O Zendesk atua como comerciante e provedor de serviços. Como comerciante, o Zendesk está em conformidade com PCI DSS. Como um provedor de serviços baseado na nuvem, o Zendesk não desempenha uma função no ciclo de vida do processamento de cartões de pagamento. Embora os clientes possam usar sua instância do Zendesk de maneiras que atendam às suas necessidades comerciais, o Zendesk não deve ser usado como um sistema de faturamento ou para transmitir e/ou armazenar dados de cartão de crédito.

Como provedor de serviços, a Zendesk fornece um recurso que permite que as empresas insiram um número de conta pessoal (PAN) em um campo de ticket personalizado (por meio do campo de ticket em conformidade com PCI) na interface do agente do Zendesk. Os números de cartão de pagamento inseridos no campo de ticket em conformidade com PCI são suprimidos para os últimos 4 dígitos antes dos dados serem enviados para a plataforma do Zendesk. Esse campo e os controles relacionados são compatíveis com PCI. Observe que a conformidade com PCI DSS do Zendesk se aplica apenas ao produto Support. 

Solicite uma cópia do Atestado de Conformidade (AoC) (em "Artefatos").

 

Uma abordagem da Zendesk para segurança e conformidade 

O Zendesk emprega controles de segurança e estruturas de privacidade aceitos pelo setor para manter a segurança da plataforma e a conformidade com regulamentos do setor, como o PCI DSS. Essas configurações incluem:

Segurança física 

A Zendesk hospeda os dados de serviço principalmente em data centers da AWS certificados como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2 . Saiba mais sobre a conformidade na AWS.

Locais de hospedagem de dados

O Zendesk usa data centers da AWS localizados em todo o mundo.  Saiba mais sobre os locais de hospedagem de dados para seus dados de serviço do Zendesk.

Também oferecemos opções de localidade de dados em determinadas áreas. Para obter mais informações sobre produtos, planos e ofertas regionais, consulte nossa Política regional de hospedagem de dados.

Segurança de rede

Nossa rede é protegida por meio do uso dos principais serviços de segurança da AWS, integração com nossas redes de proteção de borda da Cloudflare, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso conhecido e ataques de rede.

Arquitetura

Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Sistemas mais confidenciais, como servidores de banco de dados, são protegidos em nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.

Criptografia

Todas as comunicações com a interface do usuário e as APIs do Zendesk são criptografadas por HTTPS/TLS padrão do setor (TLS 1.2 ou superior) em redes públicas. Além disso, para o e-mail, nosso produto usa o Transport Layer Security (TLS) oportunista por padrão. Os Dados de serviço são criptografados em repouso usando a criptografia com chave AES de 256 bits da AWS.

Supressão automática de informações

Para ajudar nossos clientes a cumprir suas obrigações de PCI, criamos um recurso chamado "Supressão automática". Esse recurso aplica um algoritmo de verificação do Luhn quando um PAN entra em sua instância do Zendesk. Quando a ferramenta identifica uma correspondência de número de cartão, ela trunca o número (até os 6 primeiros e os 4 últimos caracteres) e marca os dados indicando que a alteração ocorreu. Isso mascara os dados na interface do usuário, os suprime das entradas de registro e banco de dados e os armazena apenas o tempo suficiente para realizar a verificação do Luhn. 

O recurso de “supressão automática” apenas suprime novos dados a partir do momento em que foi ativado. Ela não se aplica à Central de Ajuda, ao Zendesk Chat ou a outros produtos Zendesk.  

Para receber os benefícios de nosso Atestado de Conformidade (AoC), você precisará ativar o campo personalizado de cartão de crédito. Sem ativar esse campo, sua instância pode não se beneficiar do ambiente de AoC ou PCI.

Para mensagens:

Se o Espaço de trabalho do agente estiver ativado, as informações do cartão de pagamento serão automaticamente suprimidas em Mensagens. Esse recurso de supressão interna pode ser controlado usando a configuração do aplicativo maskCreditCardNumbers. Para obter mais informações, consulte a documentação da API do SunCo.

Saiba como ativar a supressão automática

Saiba mais sobre a supressão do conteúdo do ticket

 

Qual é a diferença entre o campo de ticket em conformidade com PCI e a supressão automática? 

A principal diferença entre os dois recursos envolve quando o processo de supressão ocorre e quais obrigações de conformidade com PCI o Zendesk tem como resultado disso. Com o campo de ticket em conformidade com PCI, a função de supressão ocorre antes do PAN entrar na plataforma do Zendesk. Esse recurso foi auditado e certificado como compatível com PCI e foi projetado para lidar com números de cartão de pagamento. Por outro lado, a supressão automática identifica e suprime os dados do cartão de pagamento depois que as informações entram em nossos sistemas. 

A supressão automática não foi projetada para permitir que você aceite informações de PAN. É um recurso em conformidade com o PCI que existe para ajudá-lo a gerenciar suas responsabilidades do PCI e garantir que você tenha os meios para suprimir as informações do cartão de pagamento sempre que elas entrarem em seu Zendesk. Para saber mais sobre como fazer uma reclamação do PCI de sua instância, consulte "O que preciso fazer para estar em conformidade com o PCI DDS?".

Aviso legal

 

Glossário de termos

Adquirente – Também conhecido como “banco comercial”, “banco adquirente” ou “instituição financeira adquirente”. Entidade que inicia e mantém relacionamentos com comerciantes para a aceitação de cartões de pagamento. O adquirente normalmente é responsável por monitorar a conformidade com o PCI com a conta de seus comerciantes.

AoC – Acrônimo de Atestado de Conformidade. Este é o relatório de auditoria que mostra se e como uma organização está em conformidade com o PCI.

Dados do titular do cartão – No mínimo, os dados do titular do cartão consistem no PAN (número principal da conta) completo. Os dados do titular do cartão também podem aparecer na forma do PAN completo, além de qualquer um dos seguintes: nome do titular do cartão, data de validade e/ou código de serviço.

CDE – Ambiente de dados do titular do cartão.As pessoas, os processos e a tecnologia que armazenam, processam ou transmitem dados do titular do cartão ou dados de autenticação confidenciais.

DLP – Prevenção de perda de dados. O software de prevenção de perda de dados foi projetado para detectar possíveis eventos de violação ou perda de dados.

Criptografia – Processo de conversão de informações em um formato ininteligível, exceto para os detentores de uma chave criptográfica específica. O uso de criptografia protege as informações entre o processo de criptografia e o processo de descriptografia (o inverso da criptografia) contra divulgação não autorizada.

Verificação de Luhn – Também conhecido como algoritmo “Mod 10”, é uma fórmula de soma de verificação simples usada para validar uma variedade de números de identificação, como números de cartão de crédito. A maioria dos cartões de crédito usa o algoritmo como um método simples de distinguir números válidos de números digitados incorretamente ou incorretos.

Mascaramento – Um método de ocultar um segmento de dados quando exibido ou impresso. O mascaramento é usado quando não há requisitos de negócios para visualizar o PAN inteiro. O mascaramento está relacionado à proteção do PAN quando exibido ou impresso.

Campo de ticket em conformidade com PCI – esse campo foi projetado para aceitar números de cartão de crédito de agentes, onde ele suprimirá automaticamente o número do cartão de crédito com os últimos 4 dígitos antes do envio dos dados para a plataforma do Zendesk. Este campo deve estar ativado para se beneficiar do AoC do Zendesk.

PCI-SSC – Acrônimo para Payment Card Industry Security Standards Council. Esse conselho foi criado em 2006 pelas cinco bandeiras de cartão de crédito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS – O padrão de segurança de dados do setor de cartões de pagamento. O PCI SSC criou um padrão unificado ao qual todos os comerciantes e provedores de serviços estariam sujeitos.

PAN – Número da conta principal. Também chamado de "número da conta". Número de cartão de pagamento exclusivo (normalmente para cartões de crédito ou débito) que identifica o emissor e o titular do cartão específico.

Provedor de serviços – Entidade comercial (não um emissor de cartões de pagamento) que está diretamente envolvida no processamento, armazenamento ou transmissão dos dados do titular do cartão em nome de outra entidade. Isso também inclui empresas que fornecem serviços que controlam ou podem afetar a segurança dos dados do titular do cartão. Os exemplos incluem provedores de serviços gerenciados que fornecem firewalls gerenciados, IDS e outros serviços, além de provedores de hospedagem e outras entidades.

QSA – Assessor de segurança qualificado. O PCI SSC tem empresas certificadas para realizar avaliações de PCI e ajudar na validação de PCI; a designação é uma empresa de QSA ou, da mesma forma, um indivíduo em uma empresa de QSA pode ser certificado como um QSA individual.

Suprimir – O processo de remoção de informações confidenciais, como PAN, onde elas não são necessárias.

SAQ – Questionário de autoavaliação. Uma entidade que valida a conformidade com o PCI passará por uma avaliação externa por um QSA ou preencherá um SAQ e o enviará para as bandeiras de cartão ou seu banco comercial.

Tokenização – O processo de dividir um fluxo de texto significativo, como o número do cartão de crédito, em elementos de dados chamados de tokens que representam os dados reais, mas que sozinhos não têm sentido. A tokenização é um método para remover dados de cartão de crédito de sistemas ou bancos de dados, reduzindo assim o escopo do CDE.

Truncamento – Método de tornar o PAN completo ilegível removendo permanentemente um segmento de dados do PAN. O truncamento está relacionado à proteção do PAN quando armazenado em arquivos, bancos de dados etc.