Zendesk 兼任商户和服务提供商。作为商户，Zendesk 符合 PCI DSS。作为云服务提供商，Zendesk 不在支付卡处理生命周期中扮演角色。客户可以根据业务需求使用 Zendesk 实例，但 Zendesk 无意用作帐单结算系统，或用于传输和/或存储信用卡数据。

作为服务提供商，Zendesk 提供了一项功能，允许企业将个人帐号 (PAN) 输入到 Zendesk 专员界面的自定义工单字段（通过 PCI 合规工单字段）。在将数据提交到 Zendesk 平台 之前 ，输入到 PCI 合规工单字段的支付卡号会用密文标记最后 4 位数。此字段及其相关控件符合 PCI 规范。请注意Zendesk PCI DSS 合规仅适用于 Support 产品。 

请求合规证明 (AoC) 的副本 （在“Artifacts”下）。

 

Zendesk 的安全与合规方法 

Zendesk 采用行业认可的安全控制和隐私框架，以确保平台安全并符合 PCI DSS 等行业法规。包括以下内容：

实体安全 

Zendesk 将服务数据托管在已通过 ISO 27001、PCI DSS 1 级和/或 SOC 2 服务提供商认证的 AWS 数据中心。了解关于 AWS 合规的信息。

数据托管位置

Zendesk 使用遍布全球的 AWS 数据中心。  了解关于 Zendesk 服务数据的数据托管位置的信息。

我们还在某些区域提供数据本地化选择。有关产品、服务模式和区域服务的更多信息，请参阅 区域数据托管政策。

网络安全

我们的网络通过使用关键的 AWS 安全服务、与我们的 Cloudflare 边缘保护网络整合、定期审核以及网络智能技术而受到保护，这些技术可监测和/或阻止已知的恶意流量和网络攻击。

建筑

我们的网络安全架构由多个安全区组成。数据库服务器等更敏感的系统在我们最受信任的区域中受到保护。其他系统根据功能、信息分类和风险，放置在与其敏感度相称的区域中。根据区域的不同，将应用额外的安全监测和访问控制。DMZ 用于互联网之间，以及内部不同的信任区域之间。

加密

所有与 Zendesk UI 和 API 的通信都通过公共网络通过行业标准 HTTPS/TLS（TLS 1.2 或更高版本）加密。此外，对于电邮，我们的产品默认利用机会式传输层安全性 (TLS)。服务数据在 AWS 中使用 AES-256 密钥加密进行静态加密。

自动标记为密文

为了帮助客户履行其 PCI 义务，我们创建了一个名为“自动标记为密文”的功能。 当 PAN 进入您的 Zendesk 实例时，此功能将应用 Luhn 检查算法 。当该工具识别出卡片号匹配项时，它会截断号码（保留前 6 个和最后 4 个字符），并在上面添加表明已发生更改的数据标签。这会屏蔽用户界面中的数据，将日志和数据库条目中的数据标记为密文，并仅存储执行 Luhn 检查所需的时间。 

“自动标记为密文”功能自打开起仅将新数据标记为密文。不适用于帮助中心、Zendesk Chat 或其它 Zendesk 产品。  

要受益于我们的合规证明 (AoC)，您需要启用信用卡自定义字段。如果不激活此字段，您的实例可能无法从 AoC 或 PCI 合规环境中受益。

对于消息传送：

如果您的专员工作区已激活，消息传送中的支付卡信息将自动标记为密文。此内部标记为密文功能可使用应用设置掩码信用卡号码进行控制。有关更多信息，请参阅 SunCo API 文档。

了解如何启用自动标记为密文

了解更多关于将工单内容标记为密文的信息

 

符合 PCI 的工单字段和自动标记为密文有什么区别？ 

这两个功能的主要区别在于何时进行标记为密文流程，以及 Zendesk 因此承担的 PCI 合规义务。使用 PCI 合规工单字段时，标记为密文功能会在 PAN 进入 Zendesk 平台 之前 生效。此功能已经审核并认证为 PCI 合规，专用于处理支付卡号。另一方面，自动标记为密文功能可在信息进入我们的系统 后 识别支付卡数据并将其标记为密文。 

自动标记为密文并非旨在让您接受 PAN 信息。这是一项 PCI 合规功能，可帮助您管理 PCI 责任，并确保您可将您 Zendesk 中的支付卡信息标记为密文。要了解更多关于如何对实例进行 PCI 投诉的信息，请参阅 “我需要做什么才能遵守 PCI DDS？”。

法律声明

 

术语表

收单 机构——也称为“商户银行”、“收单银行”或“收单金融机构”。 为接受支付卡而发起并维护与商户的关系的实体。收单行通常负责监测其商户帐户的 PCI 合规情况。

AoC—— 合规证明的首字母缩写词。这是显示组织是否以及如何符合 PCI 合规的审核报告。

持卡人数据 ——持卡人数据至少包含完整的主要帐号 (PAN)。持卡人数据也可能以完整的 PAN 加上以下任何一项的形式显示：持卡人姓名、过期日期和/或服务代码。

CDE—— 持卡人数据环境。存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术。

DLP—— 数据丢失防护。数据丢失防护软件旨在检测潜在的数据泄露或数据丢失事件。

加密 ——将信息转为除非特定密钥持有者无法理解的形式的过程。使用加密可以在加密过程和解锁过程（加密的逆过程）之间保护信息，防止在未经授权的情况下泄露。

Luhn 检查 ——也称为“Mod 10”算法，是一种简单的校对和公式，用于验证各种标识号，例如信用卡号。大多数信用卡都使用该算法作为区分有效号码和输入错误或其他错误号码的简单方法。

屏蔽 ——一种在显示或打印时隐藏数据段的方法。如果业务不需要查看整个 PAN，则可以使用屏蔽。屏蔽涉及对 PAN 显示或打印时的保护。

PCI 合规工单字段 ——此字段用于接受专员提供的信用卡号码，并自动将信用卡号码的最后 4 位数标记为密文，然后再将数据提交到 Zendesk 平台。要受益于 Zendesk 的 AoC，必须启用此字段。

PCI-SSC—— 支付卡行业安全标准委员会的首字母缩略词。该委员会由五家信用卡品牌（Visa、万事达、美国运通、发现和 JCB）于 2006 年成立。

PCI-DSS—— 支付卡行业数据安全标准。PCI SCC 创建了一个所有商户和服务提供商都将受到约束的统一标准。

PAN—— 主要帐号。也称为“帐号”。 识别发卡行和特定持卡人的唯一支付卡号（通常用于信用卡或借记卡）。

服务提供商 - 代表其他实体直接参与持卡人数据处理、存储或传输的企业实体（非支付卡发卡行）。这也包括提供控制或可能影响持卡人数据安全服务的公司。例如提供托管防火墙、IDS 和其他服务的托管服务提供商，以及托管提供商和其他实体。

Q SA—— 合格的安全评估者。PCI SCC 已授权公司进行 PCI 评估并协助 PCI 验证；该指定是 Q SA 公司，或者类似地， Q SA 公司的个人也可以被认证为个人 Q SA。

标记为密文 ——移除不需要的敏感信息（例如 PAN）的过程。

SAQ—— 自我评估问卷。验证 PCI 合规性的实体将接受 Q SA 的外部评估，或填写 SAQ 并将其提交给卡品牌或其商户银行。

令牌 化——将有意义的文本流（例如信用卡号）分解为称为令牌（代表实际数据）的数据元素的过程，但单独使用是没有意义的。令牌化是一种从系统或数据库中移除信用卡数据的方法，从而缩小 CDE 的范围。

截断 ——通过永久移除一段 PAN 数据，使整个 PAN 不可读的方法。截断涉及对存储在文件、数据库等中的 PAN 的保护。