Atenda as bases

A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre controles de centros de dados na AWS.

A segurança no local da AWS inclui vários recursos, como guardas de segurança, cercas, feeds de segurança, tecnologia de detecção de intrusão e outras medidas de segurança. Saiba mais sobre segurança física da AWS.

A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre as localidades de hospedagem dos dados do seu serviço Zendesk.

A Zendesk oferece múltiplas opções de localidade de dados, inclusive os Estados Unidos (EUA), Austrália (AU), Japão (JP) ou Espaço Econômico Europeu (EEE). Para obter mais informações sobre produtos, planos e ofertas regionais, consulte a nossa Política Regional de Hospedagem de Dados.

Nossa equipe de segurança global está disponível dia e noite para responder a alertas e eventos de segurança.

Nossa rede é protegida com o uso dos principais serviços de segurança da AWS, integração com as redes de proteção de perímetro Cloudflare, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso e ataques de rede.

Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Sistemas mais sigilosos, como servidores de banco de dados, são protegidos nas nossas zonas mais confiáveis. Outros sistemas são hospedados em zonas com nível de segurança proporcional à sensibilidade dos dados, dependendo da função, da classificação das informações e do risco. Dependendo da zona, outros controles de acesso e monitoramento de segurança serão aplicados. DMZs são utilizados entre a Internet e internamente entre as diferentes zonas confiáveis.

A varredura de segurança da rede nos dá uma visão profunda para uma rápida identificação de sistemas fora de conformidade ou potencialmente vulneráveis.

Além do nosso vasto programa interno de varredura e testagem, todos os anos, a Zendesk emprega terceiros especialistas em segurança para realizar um amplo teste de penetração nas redes corporativas e de produção da Zendesk.

Nosso sistema de gerenciamento de eventos de incidente de segurança (SIEM) coleta logs extensos de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.

Os pontos de entrada e saída de serviço são instrumentados e monitorados para detectar comportamentos anômalos. Esses sistemas são configurados para gerar alertas quando incidentes e valores ultrapassam limites predeterminados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema dia e noite.

A Zendesk participa de vários programas de compartilhamento de inteligência de ameaça. Monitoramos as ameaças publicadas nessas redes de inteligência de ameaça e tomamos medidas com base em riscos.

A Zendesk arquitetou uma abordagem em várias camadas para mitigação de DDoS. Uma parceria tecnológica central com a Cloudflare fornece defesas de perímetro de rede, enquanto o uso de encaminhamento e ferramentas de proteção da AWS oferecem proteção mais profunda em conjunto com o nosso uso de serviços específicos DDoS da AWS.

O acesso à Rede de Produção da Zendesk é explicitamente restrito à necessidade de conhecimento, aplica privilégios mínimos de acesso, é frequentemente auditada e monitorada e é controlada pela nossa equipe de Operações. Os funcionários que acessam a Rede de Produção da Zendesk devem usar vários fatores de autenticação.

Em caso de alerta do sistema, os eventos são escalados para nossas equipes que trabalham dia e noite e fornecem cobertura de operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de escalação.

Toda a comunicação com a interface e as APIs da Zendesk é criptografada pelo padrão do setor HTTPS/TLS (TLS 1.2 ou posterior) em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk seja protegido durante o trânsito. Além disso, para e-mail, nosso produto aproveita o TLS por padrão. O protocolo Transport Layer Security (TLS) criptografa e entrega e-mails com segurança, eliminando a espionagem entre servidores de e-mail onde serviços associados oferecem suporte para esse protocolo. As exceções para criptografia podem incluir uso de função SMS no produto, qualquer outro aplicativo de terceiros, integração ou os assinantes do serviço podem optar por aproveitar os recursos a seu próprio critério.

Os dados de serviço são criptografados em repouso na AWS usando criptografia de chave AES-256.

A Zendesk mantém uma página de status do sistema disponível publicamente, que inclui detalhes da disponibilidade do sistema, manutenção programada, histórico de incidentes de serviço e eventos de segurança relevantes.

O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nosso rigoroso regime de backup e/ou nossa oferta do serviço de Recuperação de Desastres Aprimorada nos permitem oferecer um alto nível de disponibilidade de serviço, pois os Dados do Serviço são replicados em todas as zonas disponíveis.

Nosso programa de Recuperação de desastres (Disaster Recovery, DR) assegura que nossos Serviços permaneçam disponíveis e sejam facilmente recuperáveis em caso de desastre.

Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.

Nosso pacote de Recuperação de Desastres Aprimorada acrescenta Objetivos de Tempo de Recuperação (Recovery Time Objective, RTO) e Objetivos de Pontos de Recuperação (Recovery Point Objective, RPO). Isso é suportado por meio da nossa capacidade de priorizar operações de assinantes de Recuperação de Desastres Aprimorada durante o evento de desastre declarado.

A Zendesk aproveita as estruturas modernas e seguras de código aberto com controles de segurança para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes reduzem a exposição a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), entre outros.

Nosso departamento de controle de qualidade (QA) revisa e testa nossa base de código. Engenheiros dedicados de segurança de aplicativo da equipe identificam, testam e fazem a triagem de vulnerabilidades de segurança no código.

Os ambientes de teste e preparação estão logicamente separados do ambiente de produção. Nenhum dado de serviço é usado em nossos ambientes de desenvolvimento ou teste.

Empregamos ferramentas de segurança de terceiros para examinar contínua e dinamicamente as nossas principais aplicações contra riscos comuns de segurança de aplicativos web, inclusive, entre outros, ao 10 principais riscos de segurança do OWASP. Mantemos uma equipe de segurança de produtos interna dedicada para testar e trabalhar com as equipes de engenharia para resolver os problemas descobertos.

Fazemos a varredura das bibliotecas e dependências utilizadas nos nossos produtos para identificar vulnerabilidades e assegurar a gestão das vulnerabilidades.

Além do nosso vasto programa interno de varredura e teste, a Zendesk contrata especialistas em segurança de terceiros para realizar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.

O nosso Programa de Divulgação Responsável oferece aos pesquisadores de segurança e assinantes um caminho para realizarem testes com segurança e notificarem a Zendesk a respeito de vulnerabilidades de segurança por meio da nossa parceria com o HackerOne.

A Zendesk tem várias opções diferentes de autenticação: os assinantes podem ativar a autenticação nativa da Zendesk, o logon único (Single Sign-On, SSO) por mídia social (Facebook, Twitter, Google) e/ou o Enterprise SSO (SAML, JWT) para autenticação de usuário final e/ou agente. Saiba mais sobre acesso do usuário.

A autenticação nativa da Zendesk para produtos disponível por meio do Centro de Administração oferece os seguintes níveis de segurança de senhas: baixo, médio e alto, bem como regras de senhas personalizadas para agentes e administradores. A Zendesk também permite níveis de segurança de senhas diferentes aplicáveis a usuários finais em relação a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas de senhas configuráveis.

A autenticação nativa da Zendesk para produtos disponíveis por meio do Centro de Administração oferece autenticação de dois fatores (Two-factor authentication, 2FA) para agentes e administradores via SMS ou aplicativo autenticador. Saiba mais sobre 2FA.

A Zendesk segue as práticas recomendadas de armazenamento seguro de credenciais, jamais armazenando senhas em formato legível por humanos e somente como resultado da criptografia hash segura, saltada e unidirecional.

Para empresas que necessitam de um nível mais elevado de privacidade e segurança de dados, a Zendesk oferece o complemento Avançado de Privacidade e Proteção de Dados. O complemento inclui recursos para criptografia BYOK, políticas de retenção de dados personalizáveis, mascaramento de dados, redação de PII e logs de acesso.

O acesso aos dados nos aplicativos da Zendesk é governado pelo controle de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granular. A Zendesk é compatível com vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc.).

Saiba mais sobre funções do usuário:

• Funções de suporte padrão
• Compatível com funções personalizadas *Apenas para Enterprise
• Funções padrão de chat
• Funções personalizadas de bate-papo *Apenas para Enterprise
• Explorar funções padrão
• Funções padrão de guia
• Funções padrão de fala
• Tempo da sessão

A conta Zendesk pode restringir o acesso ao Suporte Zendesk de usuários dentro de uma variedade específica de endereços IP. Apenas os usuários com endereços IP permitidos poderão acessar a sua conta Zendesk. Você pode permitir que os assinantes (e não agentes ou administradores) ignorem essa restrição. Para obter mais informações, consulte Restrição de acesso ao Suporte Zendesk e ao Centro de ajuda usando restrições de IP e Uso de restrições de acesso IP no bate-papo.

A Zendesk oferece criptografia TLS gratuita para centros de ajuda de Guias mapeados no host. A Zendesk utiliza a Let's Encrypt para solicitar certificados e renova automaticamente o certificado antes que este expire.

Você também pode carregar o seu próprio certificado, se desejar.

Para saber mais sobre como configurar certificados criptografados para o centro de ajuda de Guias, consulte Criação de certificado de criptografia TLS hospedado.

O Chat da Zendesk conta com o recurso de restringir quais tipos de arquivo são enviados para os agentes. Ou então, você pode optar por desativar o envio de arquivos completamente no produto Chat. Para saber mais sobre esse recurso, consulte Gerenciamento de envio de arquivos em chat ao vivo.

A Zendesk oferece Registros de auditoria para contas com planos Enterprise/Enterprise Plus. Esses registros incluem alterações a contas, mudanças de usuários, alterações a aplicativos, regras de negócios, exclusões de tíquetes e configurações. O Registro de auditoria está disponível no Centro de Administração e na API de suporte. Para saber mais sobre Registros de Auditoria e ver quais informações estão disponíveis no registro, consulte Verificação de alterações no registro de auditoria.

Os assinantes podem configurar a ocorrência para que os usuários sejam obrigados a se conectar para visualizar os anexos aos tickets. Saiba mais sobre Anexos privados.

A Zendesk tem dois tipos de ocultação para remoção de dados sigilosos: A ocultação manual possibilita a ocultação ou a remoção de dados sensíveis nos comentários dos tickets do Suporte, bem como a exclusão segura de anexos, para que você possa proteger as informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre ocultação via IU ou API.

A ocultação automática permite a ocultação automática de números de cartão de crédito dos tickets enviados pelo assinante. Quando esse recurso está ativado, os números do cartão de crédito são parcialmente substituídos por espaços em branco no ticket. Também são ocultados dos registros e entradas de bancos de dados. Para saber mais sobre como ativar esse recurso e como números de cartão de crédito podem ser identificados, consulte Ocultação automática de números de cartão de crédito de tickets e de bate-papos.

O serviço de filtro de spam da Zendesk pode ser usado para impedir que postagens de spam do usuário final sejam publicadas no seu centro de ajuda de Guias. Saiba mais sobre filtragem de spam em Guia.

A Zendesk oferece Chaves de domínio para correio identificado (Domain Keys Identified Mail, DKIM) e Autenticação, relatório e conformidade de mensagens baseadas em domínio (Domain-based Message Authentication, Reporting, & Conformance, DMARC) para assinar e-mails enviados pela Zendesk quando você tiver que configurar um domínio de e-mail externo em seu Zendesk. O uso de um serviço de e-mail compatível com esses recursos ajuda você a impedir spoofing de e-mails. Saiba mais sobre a assinatura digital dos seus e-mails.

A Zendesk monitora os dispositivos usados para entrar em cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. O usuário pode receber uma notificação por e-mail a cada vez que um novo dispositivo é acrescentado, devendo acompanhar se a atividade parecer suspeita. As sessões suspeitas podem ser encerradas por meio da IU do agente. Saiba mais sobre rastreamento de dispositivos.

A Zendesk desenvolveu um conjunto abrangente de políticas de segurança e abrangem diversos tópicos. Essas políticas são compartilhadas e disponibilizadas para todos os funcionários e contratantes com acesso aos ativos de informações da Zendesk.

Todos os funcionários participam de um treinamento de conscientização sobre segurança, que é administrado após a contratação e, depois, uma vez por ano. Todos os engenheiros recebem o treinamento anual de código seguro. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por e-mail, postagens de blog e em apresentações durante eventos internos.

A Zendesk realiza investigações paralelas sobre todos os novos funcionários de acordo com as leis locais. Essas verificações também são exigidas para prestadores de serviços. A investigação paralela inclui verificação criminal, educacional e trabalhista. Equipes de limpeza estão incluídas.

Todos os novos contratados devem assinar contratos de não divulgação e confidencialidade.