Modelo de responsabilidade compartilhada da Zendesk

A Zendesk fornece uma plataforma de atendimento ao cliente altamente configurável e capaz de se adaptar rapidamente a algumas das maiores empresas do mundo de vários setores.  Ajudamos os assinantes a aproveitar a nossa plataforma na nuvem a fim de fornecer serviços de atendimento ao cliente. Assim, os assinantes podem reduzir a sobrecarga, se adaptar para cumprir a demanda e fornecer interações elegantemente simples com os clientes.

Ao migrar seus negócios para a nuvem, você não só obtém os benefícios descritos acima, mas pode incluir ambiguidade com relação a qual parte terá o controle do quê.  Não se preocupe. Vamos compartilhar a seguir o nosso Modelo de Responsabilidade Compartilhada para simplificar tudo.  Essa estrutura esclarece qual parte fica responsável por quais controles relacionados à segurança e à privacidade dos seus dados.  Você pode ser um administrador consciente, ser responsável pela segurança corporativa, conformidade ou privacidade, ou ainda estar encarregado de configurar os controles necessários para usar os Serviços Zendesk no seu ambiente, essa estrutura define muito bem o que você precisa saber.

Resumindo em uma frase, “a Zendesk cuida da segurança do Serviço em si, enquanto você cuida da segurança das suas instâncias do Serviço”. 

1. Higienização e controles de acesso
2. Integrações
3. Dados, privacidade, conformidade e considerações regulatórias
4. Monitoramento
5. Manutenção
6. Incidentes de segurança (funções e responsabilidades)
7. Links úteis
8. Registro de alterações

Observe que os termos em letras maiúsculas são definidos no Contrato Principal de Serviços da Zendesk (“MSA”).

I. Higienização e controles de acesso
Controlar o acesso a sistemas sensíveis e aos dados contidos neles é fundamental por princípios de segurança.

1. O Assinante é responsável por todos os controles de acesso às suas instâncias do serviço, incluindo:
   1. Provisionamento, modificação, higiene regular, manutenção da precisão de privilégio e desprovisionamento de todos os usuários, incluindo usuários finais e agentes (locais, remotos ou da força de trabalho de terceiros)
   2. Escolha e configuração do método de autenticação no serviço a partir de ofertas aceitas (podem ser senhas, MFA, SSO etc.)
   3. Configuração e monitoramento dos aspectos que fazem parte da sessão, tais como saída, dispositivos conectados etc.
   4. Permissão ou veto de entrada à nossa equipe de suporte para fornecer ajuda na instância do Support
   5. Configuração de acesso e compreensão das implicações do uso dos serviços REST API do Zendesk (quando aplicável, por exemplo, integrações, uso do Zendesk Sunshine Service etc.)
   6. Configuração de quaisquer restrições de IP de produtos compatíveis quando quiser
   7. Consideração de outros controles de acesso não relacionados a produtos, como quais tipos de dispositivos você permite que os agentes usem ao acessar as suas instâncias, bem como quaisquer controles físicos, lógicos ou de política aplicáveis aos usuários ou dispositivos permitidos
2. A Zendesk é responsável por todos os controles de acesso aos sistemas que sustentam o serviço, incluindo:
   1. Manter as políticas e os procedimentos de provisionamento seguro, modificação, higiene regular, manutenção da precisão de privilégio e desprovisionamento de todos os usuários, incluindo usuários (locais, remotos e da força de trabalho de terceiros)
   2. Aplicar um Controle de acesso baseado em função (RBAC), o Princípio de privilégio mínimo (PLP), credenciais de segurança adequadas, como Autenticação multifatorial (MFA) em todos os acessos por funcionários e contratados a sistemas e aplicações críticos que contenham Dados de Serviço de um assinante
   3. Realizar verificações periódicas nos itens acima

II. Integrações
Contratar terceiros pode aumentar bastante a eficiência, mas também apresentar considerações sobre segurança.

1. O Assinante é responsável por levar em conta as implicações de segurança ao utilizar integrações de terceiros com o Serviço, como:
   1. Integrações feitas por API e/ou SDK
   2. Integrações feitas com a instalação de aplicativos do Marketplace ou a ativação de canais de terceiros
   3. Integrações com qualquer terceiro para auxiliar assinantes que envolve o fornecimento de equipes, ferramentas, códigos ou instâncias de serviço direto do Zendesk
2. A Zendesk é responsável por uma integração cuidadosa de terceiros reconhecidos ao serviço, como:
   1. Vetar e realizar auditoria regular em todos os subprocessadores
   2. Integrar aquisições ao Serviço com segurança
   3. Garantir quais parcerias com terceiros relacionadas a produtos e/ou integrações do Serviço tiveram a segurança avaliada 

III. Dados, privacidade, conformidade e considerações regulatórias
Explicar os dados estão em uso, se eles são tratados corretamente, quaisquer quadros regulatórios e a importância de garantias de terceiros é imprescindível.

1. O Assinante é responsável por tratar adequadamente os dados que eles coletam e usam, inclusive:
   1. Entender os tipos de dados em seus respectivos casos de uso
   2. Tratar esses dados de acordo com a sua classificação e as políticas de privacidade da sua empresa, com as leis aplicáveis aos dados, aos usuários que fornecem os dados, ao setor do assinante e a outras jurisdições competentes
   3. Escolher quais canais podem se comunicar com as suas instâncias do serviço
   4. Manter as instâncias e Dados de Serviço de acordo com o enquadramento de conformidade, legal ou regulatório pertinente do setor do assinante, dos usuários ou dos casos de uso pode ser necessário
   5. Fornecer à Zendesk outros certificados TLS em que o mapeamento do host a um domínio pai que não seja da Zendesk é necessário para criptografar o tráfego entre suas UI e APIs
   6. Entender quando os dados não podem ser criptografados em trânsito e tratar devidamente esses canais ou protocolos (sobretudo e-mail, SMS ou integrações de terceiros feitas a critério exclusivo do assinante quando a criptografia não é possível)
   7. Garantir que os tipos de dados envolvidos na instância do assinante não violam os termos e condições do Contrato Principal de Serviços (consulte o MSA da Zendesk)
   8. Garantir o nível de tempo de atividade e a recuperação de desastres escolhidos pelo assinante de acordo com quaisquer políticas e regulações às quais os assinantes estejam vinculados
2. A Zendesk é responsável por:
   1. Proteger adequadamente todos os Dados de Serviço contra qualquer divulgação (por exemplo, infraestrutura e código)
   2. Criptografar dados em trânsito entre UIs e APIs em redes públicas
   3. Criptografar todos os Dados de Serviço em repouso
   4. Fornecer informações aos assinantes sobre os dados coletados por cookies de produtos e o uso padrão dos serviços
   5. Descrever corretamente como usamos os Dados de Serviço, inclusive Dados Pessoais, de forma anonimizada ou não, para fornecer os nossos Serviços.
   6. Fornecer ferramentas e recursos que ajudem os assinantes a cumprir as suas obrigações e tratar adequadamente dados pessoais ou regulados.
   7. Cumprir as leis e marcos regulatórios aplicáveis às nossas ofertas de serviços e localizações das empresas
   8. Obter e fornecer garantias de conformidade de terceiros independentes relevantes às nossas ofertas de serviços

IV. Monitoramento
Uma segurança adequada necessita de insight sobre processos e atividades.

1. O Assinante é responsável por monitorar todas as atividades em suas instâncias de serviço, inclusive:
   1. Monitorar as atividades dos usuários (por visualizações da UI ou registros da API)
   2. Realizar uma auditoria nas comunicações com indivíduos desconhecidos ou em conteúdo não confiável por meio do serviço
   3. Manter registros e dados extraídos do Serviço de acordo com quaisquer regulações aplicáveis
2. A Zendesk é responsável por monitorar processos e atividades do serviço em si, inclusive:
   1. Acesso privilegiado e atividades na rede de produção
   2. Tráfego recebido para alertar ou bloquear envios com erros conhecidos ou endereços IP
   3. Disponibilidade do serviço
   4. Comportamento anormal nos ativos de rede de produção ou corporativos
   5. A segurança do código, da infraestrutura, do tráfego e de pessoal relevante do contratado ou de funcionários

V. Manutenção
Sistemas e códigos sempre atualizados e corrigidos podem impedir vários problemas de segurança.

1. O Assinante é responsável por manter e corrigir quaisquer sistemas ou códigos além dos limites arquitetônicos e/ou contratuais da Zendesk*, inclusive:
   1. Sua própria infraestrutura, incluindo pontos de extremidade de funcionários, redes, infraestrutura personalizada ou middleware de terceiros usados para acessar os Serviços Zendesk e/ou manter o processamento dos Dados do Serviço antes que ingressem ou saiam dos sistemas da Zendesk
   2. Seus próprios códigos não padronizados utilizados para fornecer funcionalidade adicional aos Serviços Zendesk, incluindo códigos desenvolvidos pela equipe interna do Assinante ou por terceiros, ou ainda códigos que o Assinante adquiriu para usar com os Serviços Zendesk. Também estão incluídos códigos personalizados desenvolvidos pelos Serviços profissionais da Zendesk a pedido dos Assinantes, desde que a responsabilidade por esses códigos e a manutenção deles tenha sido transferida para o Assinante como parte de um contrato personalizado.
2. A Zendesk é responsável por manter e corrigir todos os sistemas e códigos no seu âmbito contratual e de arquitetura, inclusive:
   1. Sua própria infraestrutura gerenciada logicamente nas instalações do provedor de hospedagem para fornecer os Serviços, incluindo sistemas operacionais, sistemas e infraestrutura de segurança sob seu controle direto, sistemas de armazenamento e orquestração etc.
   2. Uso de uma infraestrutura física própria e/ou gerenciada logicamente no ambiente corporativo da Zendesk, como pontos de extremidade de funcionários, infraestrutura de rede corporativa etc.
   3. A base de código exclusivo sustentando os Serviços da Zendesk.

* Observe que embora sejam executados no âmbito da arquitetura da Zendesk, os aplicativos do Marketplace não são contemplados pelo Contrato Principal de Serviços padrão da Zendesk, mas sim por termos específicos entre o Assinante e os próprios desenvolvedores dos aplicativos, conforme indicado em nossos Termos de Uso de Aplicativos do Marketplace. A manutenção dos aplicativos do Marketplace é de responsabilidade dos desenvolvedores terceirizados desses aplicativos.

VI. Incidentes de segurança
Mesmo com todos os esforços, nem sempre as coisas dão certo.  A forma como você reconhece, responde e se recupera de um incidente de segurança é essencial para mitigar e manter a confiança de um cliente.  Esta seção define as funções e responsabilidades de cada parte em caso de incidentes de segurança.

1. O Assinante é responsável por qualquer incidente ou violação de segurança em suas instâncias específicas que não tenha sido causado ou possibilitado por vulnerabilidades ou incidentes dentro do serviço em si, inclusive 
1. Investigar e corrigir qualquer violação suspeita ou real em sua instância específica causada por (i) um controle insuficiente de acesso ou higienização (incluindo o uso de credenciais públicas fracas ou com vulnerabilidades), (ii) um monitoramento insuficiente das atividades dos usuários, (iii) a não realização de auditoria sobre comunicações ou conteúdo não confiável derivado de interações com usuários, ou (iv) qualquer incidente ou violação ocorrido pela interação com terceiros, em que tal integração foi realizada a critério exclusivo do assinante.
2. Enviar notificações obrigatórias a autoridades do governo ou policiais, ou a usuários finais sobre violações causadas por ações do Assinante, terceiros integrados, ou relacionadas a notificações de Violações de Dados do Serviço recebidas da Zendesk com relação à instância do Assinante
2. A Zendesk é responsável por controles para investigar incidentes de segurança, bem como notificar os assinantes afetados por Violações de Dados do Serviço ocorridas por meio do próprio serviço, inclusive 
   1. Contar com uma Política de Resposta a Incidentes de Segurança documentada e uma equipe com funções e responsabilidades de segurança
   2. Investigar atividades anormais
   3. Controlar qualquer Violação de Dados do Serviço confirmada
   4. Notificar quaisquer assinantes afetados ou órgãos governamentais ou policiais competentes quando exigido por lei.
   5. Garantir que processos de backup e recuperação de dados robustos sejam implementados e testados

VII. Links úteis

Atendimento ao cliente seguro com a segurança do Zendesk

Práticas recomendadas de segurança do Zendesk

Portal legal do Zendesk

Higienização e controles de acesso

Gerenciamento de segurança e acesso do usuário no Zendesk Support (links agregados)

Funções dos usuários no Chat

Autenticação de usuário no Chat

Concessão de acesso temporário à sua conta para a Zendesk

Integrações

API da Zendesk

Aplicativos do Marketplace da Zendesk

Subprocessadores da Zendesk

Subprocessadores do Zendesk Connect

Parceiros da Zendesk

Dados, privacidade, conformidade e considerações regulatórias

Política de cookies de produtos da Zendesk

Contrato Principal de Serviços da Zendesk

Proteção de dados e privacidade da Zendesk

Monitoramento

Registro de auditoria de alterações nas instâncias do Support (UI / API)

API de registro de auditoria de eventos de ticket do Support

Painéis do Chat

UI de histórico do chat

Exportações incrementais e API em tempo real do Chat

Painel do Talk

API incremental do Talk

Objetos personalizados, eventos e API de perfis do Sunshine

Firehose API/tempo real do Sell

Em caso de dúvidas, contate-nos pelo e-mailsecurity@zendesk.com  

VIII. Registro de alterações
16 de junho de 2023

1. Inclusão de um registro de alterações
2. Inclusão da Seção V Manutenção
3. Explicação de incidentes causados pelo uso de credenciais fracas ou com vulnerabilidades públicas por Assinantes e/ou seus Usuários finais sob a responsabilidade do Assinante no âmbito da seção VI “Incidentes de Segurança”