Se os agentes ou usuários finais inserem os números do cartão de crédito nos tickets, é possível adicionar um campo de cartão de crédito ao formulário de ticket que atenda aos requisitos do Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI).
Esse artigo explica como adicionar o campo de cartão de crédito em conformidade com o PCI e faz recomendações adicionais para tornar seu Zendesk mais seguro. Tais recomendações não farão com que seu Zendesk esteja em conformidade com o PCI, mas irão ajudar a torná-lo mais seguro.
Tópicos discutidos:
Adição do campo do número de cartão de crédito em seu formulário de ticket
É possível usar o campo de ticket para números de cartão de crédito em conformidade com o PCI. Os usuários finais e agentes podem inserir o número do cartão de crédito completo no campo e todas as informações com exceção dos últimos 4 dígitos, que sofrerão supressão automática de informações.
Ativado o campo, sua conta será mudada para uma parte da infraestrutura do Zendesk Support em conformidade com o PCI. A mudança pode levar 5 dias úteis.
Esta seção explica como adicionar o campo e descreve suas limitações.
Como adicionar o campo do número de cartão de crédito
- Entre em sua conta do Zendesk como administrador.
- Na Central de administração, clique em Objetos e regras na barra lateral e selecione Tickets > Campos.
- Clique em Adicionar campo no canto direito.
- Clique no campo Cartão de crédito.
- Defina as seguintes propriedades do campo e clique em Salvar.
Propriedade do campo Valores Título Qualquer nome Somente leitura para usuários finais Desmarcado (veja a observação a seguir) Editável por usuários finais Desmarcado Obrigatório Recomendamos que fique desmarcado para agentes e usuários finais
Limitações
A seguir listamos as limitações conhecidas do campo de número de cartão de crédito.
Limitações do produto
- Aplicativo para dispositivos móveis do Zendesk Support - o campo é somente leitura.
- Web Widget - não oferece suporte ao campo.
- SDK para dispositivos móveis - o campo aceita apenas 4 dígitos.
- Aplicativos com estrutura de aplicativos - se o campo foi criado em aplicativo instalado do Marketplace da Zendesk. Os aplicativos conseguiam visualizar os conteúdos do campo de saída no console do navegador antes da supressão automática do Zendesk. Avalie todos os aplicativos quanto a essa vulnerabilidade antes de ativá-los.
- Compartilhamento de ticket - o campo não pode ser compartilhado entre as contas do Zendesk.
Outras limitações
- O Zendesk Support não armazena o número completo do cartão de crédito.
- O PCI permite armazenar os primeiros 6 dígitos e os últimos 4 dígitos do cartão de crédito, mas o Zendesk Support pode reter apenas os 4 últimos.
- Somente os números do cartão de crédito podem ser armazenados no campo do número de cartão de crédito. Todos os outros caracteres inseridos no campo são removidos quando a entrada é salva.
- Não há funcionalidade pronta para oferecer suporte a outros campos relacionados a dados de autenticação de cartão de crédito. Isso inclui, sem limitações, suporte aos campos de data de validade, código de verificação do cartão (CVV) ou número de identificação pessoal (PIN). Para usar o Zendesk Support de um modo que esteja em conformidade com o PCI, não solicite essas informações de seus usuários finais nos comentários de tickets de suporte. O DSS do PCI permite que essas informações sejam usadas durante o processo de autorização do cartão de crédito e o Zendesk Support não é um aplicativo de processamento de pagamento.
- Outros recursos habilitados pelo administrador podem afetar a segurança do campo de cartão de crédito em conformidade com o PCI. Ainda que o Zendesk Support nunca receba ou armazene o número do cartão de crédito quando o campo em conformidade com o PCI é usando corretamente, os aplicativos de terceiros, as extensões ou os complementos do navegador, o Talk, ou e-mail podem resultar na intercepção dos dados do titular do cartão do usuário final.
Implementação de requisitos de senha rigorosos
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (DSS de PCI) exige que os agentes e administradores da sua empresa atendam aos requisitos de senha descritos nesta seção. Se as políticas da organização impõem requisitos mais severos, então implemente esses requisitos mais severos.
Se você está usando o acesso do Zendesk para seus agentes e administradores, siga as etapas a seguir. No caso de acesso do Google ou single sign-on (SSO) para agentes e administradores, verifique se sua conta do Google ou seu servidor do logon único atende aos requisitos de senha de DSS do PCI descritos nesta seção.
- Entre em sua instância do Zendesk como administrador.
- Na Central de administração, clique em Conta na barra lateral e selecione Segurança > Autenticação de membro da equipe.
- Selecione Personalizado no menu Nível da senha.
- Clique em Editar.
- Defina os requisitos a seguir:
Configuração Requisito mínimo Número de senhas anteriores a serem rejeitadas 4 senhas anteriores Comprimento mínimo 7 Deve incluir números e caracteres especiais Apenas números Deve incluir letras maiúsculas e minúsculas Sim Validade da senha 90 dias Número de tentativas malsucedidas até o bloqueio 6 Sessões expiram após quantos minutos 15 (veja a observação) Observação: o requisito de validade da sessão é opcional se suas estações de trabalho estão configuradas para ficarem bloqueadas após 15 minutos e as restrições de IP estão configuradas para que apenas os dispositivos de sua rede confiável tenham as configurações de tempo limite em vigor. - Clique em Definir para salvar as alterações.
Os requisitos de senha acima se aplicam a agentes e administradores. Para usuários finais, a recomendação a seguir serve para evitar que as contas de usuários sejam comprometidas. Isso não é obrigatório pelo DSS do PCI, mas é aconselhável para fins de proteção das contas de suporte de seu cliente. A Zendesk recomenda selecionar a opção Alta para usuários finais na página Central de administração > Conta > Segurança > Autenticação de usuário final.
Verificação da habilitação do SSL
O PCI exige que todas as comunicações em redes públicas que contenham dados do titular do cartão sejam criptografadas.
Como configurar sua instância do Zendesk para ativar a criptografia TLS
- Entre em sua conta do Zendesk como administrador.
- Na Central de administração, clique em Conta na barra lateral e selecione Segurança > Mais configurações.
- Clique na aba SSL.
- Se você usa SSL hospedado, certifique-se de que seu certificado SSL seja válido. Caso contrário, verifique se a caixa de seleção Habilitado na seção Regular SSL está marcada.
O Zendesk usa TLS, pois o SSL não é mais suficiente segundo o DSS do PCI. Por padrão, o Zendesk usa o TLS 1.2, mas também tem o TLS 1.1 e o TLS 1.0 ativados como opções de fallback para os sistemas que não oferecem suporte ao TLS 1.2.
Recomendação: ativação de supressão automática de informações para outros campos
Não há garantias de que os usuários finais e os agentes sempre usarão o campo de número do cartão de crédito. Pode acontecer de eles inserirem o número do cartão de crédito nos comentários do ticket ou noutro campo de ticket personalizado. Para suprimir esses números, consulte Supressão automática de números de cartão de crédito dos tickets na Central de Ajuda.
Aviso legal
A Zendesk mantém um Atestado de conformidade do PCI (AoC) para os assinantes que utilizam o campo Cartão de Crédito apenas para os serviços da Central de Suporte e Central de Ajuda do Zendesk, não incluindo outros serviços ou produtos oferecidos pela Zendesk. Solicite uma cópia do AoC em Artefatos > Recursos de download direto (sem NDA) > Obter recursos. O AoC demonstra que a Zendesk está em conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (DSS do PCI) versão 4.0, criado pelo Conselho de Padrões de Segurança de Dados do PCI. Os assinantes do plano Enterprise do Zendesk podem se beneficiar do AoC do Zendesk ao seguir os procedimentos que serão abordados a seguir neste artigo. Feitos tais procedimentos, será necessário aguardar até 5 dias úteis para que sua conta do Zendesk seja mudada para o ambiente em conformidade com o PCI do Zendesk.
Este artigo não substitui o aconselhamento de um profissional licenciado e autorizado em sua jurisdição. Consulte sempre um profissional qualificado em relação a assuntos legais específicos ou de conformidade. Nada neste artigo tem a intenção de constituir aconselhamento legal.