Zendesk 既是商家又是服务提供商。作为商家,Zendesk 符合 PCI DSS。作为基于云的服务提供商,Zendesk 不在支付卡处理生命周期中扮演任何角色。虽然客户可以通过其业务需求的方式使用 Zendesk 实例,但 Zendesk 不可用作帐单结算系统,或用于传输和/或存储信用卡数据。
作为服务提供商,Zendesk 提供了一项功能,允许企业将个人帐号 (PAN) 放入 Zendesk 专员界面中的自定义工单字段(通过 PCI 合规工单字段)。在数据提交到 Zendesk 平台 之前 ,输入到 PCI 合规工单字段中的支付卡号将被标记为最后 4 位数字。此字段及其相关控件符合 PCI。请注意,Zendesk PCI DSS 合规性仅适用于 Support 产品。
索取合规证明 (AoC) 的副本 (在“项目”下)。
Zendesk 的安全与合规方法
Zendesk 采用行业认可的安全控制和隐私框架来维护平台的安全性,并遵守行业法规,如 PCI DSS。包括以下内容:
物理安全
Zendesk 主要在已通过 ISO 27001、PCI DSS 服务提供商级别 1 和/或 SOC 2 合规认证的 AWS 数据中心托管服务数据。了解 AWS 合规性。
数据托管位置
Zendesk 使用位于全球的 AWS 数据中心。 了解您的 Zendesk 服务数据的数据托管位置。
我们还在某些区域提供数据位置选择。有关产品、服务模式和区域服务的更多信息,请参阅我们的 区域数据托管政策。
网络安全
我们的网络通过使用关键的 AWS 安全服务、与我们的 Cloudflare 边缘保护网络整合、定期审计和网络智能技术受到保护,这些技术可监测和/或阻止已知的恶意流量和网络攻击。
建筑
我们的网络安全架构由多个安全区域组成。数据库服务器等更敏感的系统在我们最受信任的区域中受到保护。根据功能、信息分类和风险,其它系统位于与其敏感度相称的区域中。根据区域的不同,将应用额外的安全监测和访问控制。DMZ 用于 Internet 之间,以及内部不同信任区域之间。
加密
所有与 Zendesk UI 和 API 的通讯都通过公共网络上的行业标准 HTTPS/TLS(TLS 1.2 或更高版本)进行加密。此外,对于电邮,我们的产品默认使用机会型传输层安全 (TLS)。服务数据在 AWS 中使用 AES-256 密钥加密进行静态加密。
自动标记为密文
为了帮助客户履行其 PCI 义务,我们创建了一个名为“自动标记为密文”的功能。 当 PAN 进入您的 Zendesk 实例时,此功能将应用 Luhn 检查算法 。当该工具识别到卡号匹配项时,它会截断该号码(前 6 个和后 4 个字符),并用数据标记表明已发生更改。这将掩盖 UI 中的数据,将其从日志和数据库条目中标记为密文,并仅将其存储足够长的时间以执行 Luhn 检查。
“自动标记为密文”功能仅将开启后的新数据标记为密文。它不适用于帮助中心、Zendesk Chat 或其它 Zendesk 产品。
要获得我们的合规性证明 (AoC) 的好处,您需要启用信用卡自定义字段。如果不激活此字段,您的实例可能无法从 AoC 或 PCI 合规环境中受益。
注意:存储空间例外包括 MIME 编码的电邮和被阻止工单中的自定义工单字段,但我们预计很快会发布移除这两个例外的功能。
对于消息传送:
如果您的专员工作区已激活,支付卡信息将在消息传送中自动被标记为密文。此内部标记为密文功能可使用应用设置 maskCreditCardNumbers 进行控制。有关更多信息,请参阅 SunCo API 文档。
PCI 合规工单字段和自动标记为密文有什么区别?
这两项功能的主要区别在于何时进行标记为密文的流程,以及 Zendesk 因此承担的 PCI 合规义务。对于 PCI 合规工单字段,标记为密文功能在 PAN 进入 Zendesk 平台 之前 进行。此功能已通过审核,符合 PCI 标准,旨在处理支付卡号。另一方面,自动标记为密文会在支付卡数据进入我们的系统 后 识别并标记为密文。
自动标记为密文并非旨在使您接受 PAN 信息。这是一项符合 PCI 的功能,可帮助您管理 PCI 职责,并确保您可以将进入 Zendesk 的支付卡信息标记为密文。要了解更多关于如何对您的实例进行 PCI 投诉的信息,请参阅 “我需要做什么才能遵守 PCI DDS?”。
法律声明
Zendesk 为使用信用卡字段的 Zendesk 服务台和帮助中心服务的订阅者维护支付卡行业 合规性证明(“AoC”),不包括 Zendesk 提供的任何其他服务或产品。AoC 表明 Zendesk 符合支付卡行业安全标准委员会制定的支付卡行业数据安全标准(以下简称“PCI DSS”)3.1 版。使用 Enterprise Subscription 服务模式的 Zendesk 订阅者可按照本文所述流程从 Zendesk 的 AoC 中受益。 完成本文章所述程序后,您的 Zendesk 帐户可能需要最多 5 个工作日才能移到符合 PCI 标准的环境中。
本文章不可替代从您所在司法辖区获得许可或授权执业的专业人士那里获得建议。对于任何特定的法律或合规问题,您应始终咨询具有适当资格的专业人员。本文章中的任何内容均不构成法律建议。
术语表
Acquirer(收单行)——也称为“merchant bank”、“acquiring bank”或“acquiring金融机构”。 发起并维护与商家关系以便接受支付卡的实体。收单行通常负责监测其商户帐户的 PCI 合规情况。
AoC—— Attestation of Compliance 的首字母缩写。这是显示组织是否以及如何合规 PCI 的审核报告。
持卡人数据 ——持卡人数据至少包含完整的主要帐号 (PAN)。持卡人数据也可能以完整的 PAN 以及以下任意形式显示:持卡人姓名、到期日期和/或服务代码。
CDE—— 持卡人数据环境。存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术。
DLP—— 数据丢失防护。数据丢失防护软件旨在检测潜在的数据泄露或数据丢失事件。
加密 —— 将信息转换为难以理解的形式(特定密钥的持有者除外)的过程。使用加密可保护加密过程和解密过程(与加密相反)之间的信息免遭未经授权的泄露。
Luhn 校验 ——也称为“Mod 10”算法,它是一个简单的校验和公式,用于验证各种身份号码,例如信用卡号码。大多数信用卡都使用该算法作为区分有效号码和输入错误或不正确号码的简单方法。
屏蔽 —— 一种在显示或打印时隐藏数据段的方法。当没有查看整个 PAN 的业务要求时,使用屏蔽。屏蔽涉及 PAN 在显示或打印时的保护。
PCI 合规工单字段 ——此字段用于接受专员的信用卡号码,在数据提交到 Zendesk 平台之前,它将自动将信用卡号码标记为最后 4 位。要从 Zendesk 的 AoC 中受益,必须启用此字段。
PCI-SSC—— 支付卡行业安全标准委员会的首字母缩写。该委员会由五个信用卡品牌(Visa、MasterCard、American Express、Discover、JCB)于 2006 年成立。
PCI-DSS—— 支付卡行业数据安全标准。PCI SSC 创建了一个统一的标准,所有的商家和服务提供商都应遵循该标准。
PAN—— 主要帐号。也称为“帐号”。 用于识别发卡行和特定持卡人的唯一支付卡号(通常用于信用卡或借记卡)。
服务提供商 ——代表另一个实体直接参与处理、存储或传输持卡人数据的企业实体(不是支付卡发卡行)。这也包括提供控制或可能影响持卡人数据安全的服务的公司。例如提供托管防火墙、IDS 和其它服务的托管服务提供商,以及托管服务提供商和其它实体。
QSA—— 合格的安全评估者。PCI SSC 已获得认证公司,可进行 PCI 评估并协助进行 PCI 验证;指定为 QSA 公司,或者类似地,可以将 QSA 公司的个人认证为个人 QSA。
标记为密文 ——将不需要的敏感信息(例如 PAN)删除的过程。
SAQ—— 自我评估调查问卷。验证 PCI 合规性的实体将接受 QSA 的外部评估,或完成 SAQ 并将其提交给卡品牌或其商户银行。
标记 化——将有意义的文本流(如信用卡号)分解为称为标记的数据元素的过程,这些元素代表实际的数据,但单独是没有意义的。令牌化是一种从系统或数据库中移除信用卡数据的方法,从而缩小了 CDE 的范围。
截断 ——通过永久移除 PAN 数据段使整个 PAN 不可读的方法。当存储在文件、数据库等中时,截断涉及保护 PAN。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。