我的服务模式是什么?

在 Suite Enterprise 及更高服务模式可用在 Support Enterprise 服务模式中可用

如果您的专员或终端用户在工单中输入了信用卡号,可在工单表格中添加一个信用卡字段,以满足支付卡行业 (PCI) 数据安全标准 (DSS) 要求。

注意:信用卡号字段是目前 Zendesk Support 界面和帮助中心中唯一符合 PCI 的功能。

除了描述如何添加 PCI 合规的信用卡字段之外,本文还提出了其他建议,以使您的 Zendesk 更安全。这些建议不会使您的 Zendesk PCI 合规,但有助于提高 Zendesk PCI 的安全性。

涵盖的主题:

  • 将信用卡号字段添加到工单表格
  • 实施严格的密码要求 
  • 确保 SSL 已启用
  • 建议:为其他字段启用自动标记为密文
  • 法律声明

将信用卡号字段添加到工单表格

您可以将符合 PCI 的工单字段用于信用卡号码。终端用户和专员可在该字段中输入完整的信用卡号,除最后 4 位数外的所有内容都将自动标记为密文。

注意:PCI 合规报告不涵盖使用 Zendesk API 时更新信用卡字段。

启用该字段后,您的帐户将转入 Zendesk Support 基础设施的 PCI 合规部分。移动操作最多可能需要 5 个工作日。

本节描述了如何添加该字段并概述了其限制。

添加信用卡号字段

  1. 以管理员身份登录您的 Zendesk 帐户。
  2. 在管理中心,单击侧栏中的对象和规则图标 (),然后选择工单 > 字段。
  3. 单击右侧的添加字段。
  4. 单击 信用卡 字段。
  5. 设置以下字段属性,然后单击保存。
    字段属性 值
    标题 任意名称
    终端用户只读 未选中(请参阅下面的注释)
    终端用户可编辑 未选中
    必填 强烈建议不要选中专员和终端用户
注意:如果您希望您的帐户属于基础设施的 PCI 合规部分,则必须添加信用卡字段。要对终端用户隐藏此字段,必须取消勾选 终端用户只读 。

限制

以下是信用卡号字段的已知限制。

产品限制

  • Zendesk Support 移动应用——此字段为只读。
  • Web Widget —— 不支持此字段。
  • 移动 SDK:该字段仅接受 4 位数。
  • 应用框架应用 - 如果该字段内置于从 Zendesk 市场安装的应用中。在 Zendesk 标记为密文之前,应用可在浏览器控制台中查看发出的字段内容。请在激活应用之前,评估所有应用是否存在此漏洞。
  • 工单共用——该字段无法在 Zendesk 帐户之间共用。

其他限制

  • Zendesk Support 不会存储完整的信用卡号码。
  • PCI 允许存储信用卡的前 6 位数和最后 4 位数,但 Zendesk Support 只能保留最后 4 位数。
  • 信用卡号码字段中只能存储信用卡号码。保存输入时,在此字段中输入的所有其他字符都将被删除。
  • 不提供支持信用卡身份验证数据相关其它字段的开箱即用功能。包括但不限于过期日期、信用卡验证码 (CVV) 或个人识别码 (PIN) 字段。要以符合 PCI 的方式使用 Zendesk Support,您不应在支持工单的评论中要求终端用户提供此信息。PCI DSS 仅允许此信息在信用卡授权过程中使用,而 Zendesk Support 不是支付处理应用程序。
  • 管理员启用的其他功能可能会影响 PCI 合规信用卡字段的安全。如果正确使用符合 PCI 的字段,Zendesk Support 从不接收或存储信用卡号,但第三方应用、浏览器扩展或附加功能、Talk 或电邮都可能导致终端用户的持卡人数据被拦截。

实施严格的密码要求

PCI 数据安全标准要求您公司的专员和管理员满足本部分中所述的密码要求。如果您组织的政策提出了更高的要求,请执行更高的要求。

如果您的专员和管理员使用 Zendesk 登录,请按照以下步骤操作。如果您对专员和管理员使用谷歌登录或单点登录 (SSO),请验证您的谷歌帐户或单点登录服务器是否满足本节中所述的 PCI DSS 密码要求。

  1. 以管理员身份登录您的 Zendesk 实例。
  2. 在管理中心,单击侧栏中的帐户 (),然后选择安全 > 团队成员身份验证。
  3. 从密码级别 菜单中选择 自定义 。
  4. 单击编辑。
  5. 满足以下要求:
    设置 最低要求
    拒绝之前的密码数量 4 个之前的密码
    最小长度 7
    必须包含数字和特殊字符 仅数字
    必须包含大小写混合的字母 是
    密码过期时间 90 天
    锁定之前可尝试失败次数 6
    会话在几分钟后过期 15(见注释)
    注意:如果您的工作站已配置为 15 分钟后锁定,且 IP 限制已配置为仅对来自您受信任的网络的设备实施超时设置,则会话过期要求是可选的。
  6. 单击 设置 以保存更改。

上述密码要求适用于专员和管理员。对于终端用户,建议使用以下建议,以防止终端用户帐户被盗。 PCI DSS 不强制要求这样做,但应考虑保护您客户的支持帐户。Zendesk 建议在 管理中心 > 帐户 > 安全 > 终端用户身份验证终端用户 页面上为终端用户选择高 选项。

确保 SSL 已启用

PCI 要求对通过公共网络进行的任何通信(可能包含持卡人数据)进行加密。

配置 Zendesk 实例以启用 TLS 加密

  1. 以管理员身份登录您的 Zendesk 帐户。
  2. 在管理中心,单击侧栏中的帐户,然后选择安全 > 更多设置。
  3. 单击 SSL 标签。
  4. 如果您使用的是托管 SSL,请确保您的 SSL 证书是有效的。否则,请确保选中 常规 SSL 部分的已启用复选框。

Zendesk 使用 TLS 是因为 PCI DSS 认为 SSL 已不再足够。Zendesk 默认使用 TLS 1.2,但也启用了 TLS 1.1 和 TLS 1.0,作为无法处理 TLS 1.2 的系统的后备选项。

建议:为其他字段启用自动标记为密文

不保证终端用户或专员始终使用信用卡号字段。他们可能在工单评论或其他自定义工单字段中输入信用卡号。要将这些号码也标记为密文,请参阅帮助中心将工单中的信用卡号自动标记为密文。

注意:此功能目前不符合 PCI 标准。它旨在提供额外的安全保护,防止持卡人数据通过您的 Zendesk 帐户和电邮通知传播。

法律声明

Zendesk 仅为使用 Zendesk 服务台和帮助中心服务的信用卡字段的订阅者维护支付卡行业合规证明 (AoC),不包括 Zendesk 提供的任何其他服务或产品。在 Artifacts> 直接下载资源(非保密)> 获取资源中请求 AoC 副本 。AoC 证明 Zendesk 符合支付卡行业数据安全标准 (PCI DSS) 4.0 版,该标准由支付卡行业安全标准委员会制定。Enterprise 服务模式的 Zendesk 订阅者可按照本文所述流程受益于 Zendesk 的 AoC。  按照本文所述步骤操作后,最多需要 5 个工作日才能将您的 Zendesk 帐户迁移到 Zendesk PCI 合规环境中。

并不能以本文为代替,只能咨询在您所在辖区有证或授权从业的专业人士的意见。有关任何特定法律或合规问题,您应咨询具有适当资格的专业人士。本文中的任何内容均不构成法律建议。

翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性

如对翻译准确性有任何疑问,请以文章的英语版本为准。

由 Zendesk 提供技术支持