如果您的专员或终端用户在工单中输入了信用卡号,可在工单表格中添加一个信用卡字段,以满足支付卡行业 (PCI) 数据安全标准 (DSS) 要求。
除了描述如何添加符合 PCI 的信用卡字段之外,本文还提供了其他建议,以使您的 Zendesk 更加安全。这些建议不会使您的 Zendesk PCI 合规,但有助于提高其安全性。
涵盖的主题:
将信用卡号字段添加到您的工单表格
您可以将符合 PCI 的工单字段用于信用卡号。终端用户和专员可在字段中输入完整的信用卡号,除最后 4 位数字外,所有内容都将自动标记为密文。
启用此字段后,您的帐户将被移动到 Zendesk Support 基础架构的 PCI 合规部分。移动可能需要最多 5 个工作日。
本节描述如何添加字段并概述其限制。
添加信用卡号字段
- 以管理员身份登录您的 Zendesk 帐户。
- 在管理中心,单击侧栏中的对象和规则,然后选择工单 > 字段。
- 单击右侧的添加字段。
- 单击 信用卡 字段。
- 设置以下字段属性,然后单击“保存”。
字段属性 值 标题 任意名称 终端用户只读 未选中(请参阅下面的注释) 终端用户可编辑 未选中 是否必要 强烈建议对于专员和终端用户不要勾选
限制
以下是信用卡号字段的已知限制。
产品限制
- Zendesk Support 移动应用 - 该字段为只读。
- Web Widget - 不支持该字段。
- 移动 SDK - 该字段仅接受 4 位数字。
- 应用框架应用 - 如果该字段内置于从 Zendesk 市场安装的应用中。应用可以在被 Zendesk 标记为密文之前,在浏览器控制台中查看发出的字段内容。在激活任何应用之前,请先评估其是否存在此漏洞。
- 工单共用 - 该字段无法在 Zendesk 帐户之间共用。
其它限制
- Zendesk Support 不会存储完整的信用卡号。
- PCI 允许存储信用卡的前 6 位和后 4 位,但 Zendesk Support 只能保留后 4 位。
- 只有信用卡号码可以存储在信用卡号码字段中。当保存输入时,输入到该字段中的所有其它字符都将被移除。
- 无法使用开箱即用的功能来支持与信用卡身份验证数据相关的其它字段。这包括但不限于过期日期、信用卡验证值 (CVV) 或个人识别码 (PIN) 字段。要以符合 PCI 的方式使用 Zendesk Support,您不应在支持工单的评论中要求您的终端用户提供此信息。PCI DSS 仅允许在信用卡授权过程中使用此信息,而 Zendesk Support 不是支付处理应用程序。
- 管理员启用的其它功能可能会影响 PCI 合规信用卡字段的安全。如果正确使用符合 PCI 标准的字段,Zendesk Support 永远不会接收或存储信用卡号,但第三方应用、浏览器扩展或附加功能、Talk 或电邮可能会导致终端用户的持卡人数据被拦截。
实施严格的密码要求
PCI 数据安全标准要求您公司的专员和管理员满足本节所述的密码要求。如果您组织的政策规定了更高的要求,请实施更高的要求。
如果您的专员和管理员使用 Zendesk 登录,请按照以下步骤操作。如果您对专员和管理员使用 Google 登录或单点登录 (SSO),请验证您的 Google 帐户或单点登录服务器是否满足本节所述 PCI DSS 密码要求。
- 以管理员身份登录您的 Zendesk 实例。
- 在管理中心,单击侧栏中的帐户图标 (),然后选择安全 > 团队成员身份验证。
- 从“密码”级别 菜单中选择 “自定义 ”。
- 单击编辑。
- 设置以下要求:
设置 最低要求 拒绝之前的密码数量 4 个以前的密码 最小长度 7 必须包含数字和特殊字符 仅数字 必须包含大小写混合的字母 是 密码过期时间 90 天 锁定之前可尝试失败次数 6 会话在几分钟后过期 15(见注释) 注意:如果您的工作站配置为在 15 分钟后锁定,并且 IP 限制已配置为仅对来自您受信任的网络的设备强制执行超时设置,则会话过期要求是可选的。 - 单击“ 设置 ”以保存更改。
上述密码要求适用于专员和管理员。对于终端用户,建议遵循以下建议,以避免终端用户的帐户被盗用。 PCI DSS 不要求这样做,但应考虑这样做以保护您客户的支持帐户。Zendesk 建议在“ 管理中心 > 帐户 > 安全 > 终端用户身份验证终端用户” 页面上为终端用户选择“高 ”选项。
确保 SSL 已启用
推荐:为其它字段启用自动标记为密文
无法保证终端用户或专员将始终使用信用卡号字段。他们可能在工单评论或另一个自定义工单字段中输入信用卡号。要同时将这些号码标记为密文,请参阅帮助中心的自动将工单中的信用卡号码标记为密文。
法律声明
Zendesk 为使用信用卡字段的 Zendesk 服务台和帮助中心服务的订阅者维护支付卡行业合规性证明 (AoC),不包括 Zendesk 提供的任何其他服务或产品。在 Artifacts>Direct Download Resources (non-NDA)>Get resources中请求 AoC 的副本 。AoC 表明 Zendesk 符合支付卡行业安全标准委员会制定的支付卡行业数据安全标准 (PCI DSS) 4.0 版。Enterprise 服务模式的 Zendesk 订阅者可按照本文所述流程从 Zendesk 的 AoC 中受益。 完成本文章所述程序后,您的 Zendesk 帐户可能需要最多 5 个工作日才能移到符合 PCI 标准的环境中。
本文章不可替代从您所在司法辖区获得许可或授权执业的专业人士那里获得建议。对于任何特定的法律或合规问题,您应始终咨询具有适当资格的专业人员。本文章中的任何内容均不构成法律建议。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。