Cubra sus bases

Zendesk aloja Datos de servicio fundamentalmente en los centros de datos AWS que recibieron la certificación ISO 27001, Nivel 1 de proveedor de servicio PCI DSS, y/o cumplimiento SOC 2. Obtenga más información sobre el cumplimiento en AWS.

Los servicios de infraestructura de AWS incluyen energía de resguardo, sistemas HVAC, y equipos extintores de incendios que ayudan a proteger los servidores y, finalmente, sus datos. Obtenga más información sobre los Controles del centro de datos en AWS.

La seguridad en el sitio AWS incluye características tales como protecciones de seguridad, cercos, cargas de seguridad, tecnología de detección de intrusión y otras medidas de seguridad. Obtenga más información sobre seguridad física AWS.

Zendesk aprovecha los centros de datos AWS en los Estados Unidos, Europa y Asia-Pacífico. Obtenga más información sobre las ubicaciones de alojamiento de datos para sus Datos de servicio de Zendesk.

Zendesk ofrece múltiples opciones de ubicación de datos, inclusive Estados Unidos (EE. UU.), Australia (AU), Japón (JP), o el Espacio Económico Europeo (EEE). Si desea obtener más información sobre un producto, plan y ofertas regionales, consulte nuestra Política de alojamiento de datos regional.

Nuestro Equipo de Seguridad distribuido en forma global está disponible las 24 horas, los 7 días de la semana, para responder ante alertas y eventos de seguridad.

Nuestra red está protegida a través del uso de servicios de seguridad AWS clave, la integración con nuestras redes de protección de borde Cloudflare, auditorías regulares, y tecnologías de inteligencia de red que monitorean y/o bloquean tráfico malicioso y ataques en la red.

Nuestra arquitectura de seguridad de red comprende múltiples zonas de seguridad. Los sistemas más sensibles como los servidores de bases de datos están protegidos en nuestras zonas de más confianza. Otros sistemas están alojados en zonas de acuerdo con su nivel de sensibilidad, dependiendo de la función, clasificación de la información y riesgo. Dependiendo de la zona, se aplicarán monitoreo y controles de acceso adicionales. Los DMZ se utilizan entre Internet e internamente entre las diferentes zonas de confianza.

El escaneo de seguridad de red nos ofrece una perspectiva profunda para la identificación rápida de sistemas que no cumplen o son potencialmente vulnerables.

Además de nuestro extenso programa interno de pruebas y digitalización, cada año Zendesk contrata a expertos en seguridad externos para que realicen una amplia prueba de penetración en las Redes de Producción y Corporativas de Zendesk.

Nuestro sistema de Gestión de eventos e incidentes de seguridad (Security Incident Event Management, SIEM) recopila registros extensos de dispositivos de red importantes y sistemas de alojamiento. El SIEM alerta sobre disparadores que notifican al equipo de Seguridad basándose en eventos correlacionados para su investigación y respuesta.

Se instrumentan y monitorean los puntos de ingreso y egreso del servicio para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y valores superan los umbrales predeterminados y usan firmas actualizadas en forma regular en función de las nuevas amenazas. Esto incluye el monitoreo del sistema las 24 horas, los 7 días de la semana.

Zendesk participa en varios programas de uso compartido de inteligencia de amenazas. Monitoreamos las amenazas publicadas para estas redes de inteligencia de amenazas y tomamos medidas en función del riesgo.

Zendesk ha diseñado un enfoque en múltiples niveles para la mitigación DDoS. Una asociación tecnológica central con Cloudflare ofrece defensas de borde de red, mientras que el uso de escalamiento AWS y las herramientas de protección ofrecen una protección más profunda junto con nuestro uso de los servicios específicos AWS DDoS.

El acceso a la Red de producción de Zendesk está restringido a la necesidad de saber explícita, utiliza el menor privilegio, es auditado y monitoreado con frecuencia, y es controlado por nuestro Equipo de operaciones. Los empleados que acceden a la Red de producción de Zendesk deben usar múltiples factores de autenticación.

En el caso de una alerta de sistema, los eventos se remiten a nuestros equipos que prestan cobertura de Operaciones, Ingeniería de red y seguridad las 24 horas, los 7 días de la semana. Los empleados están capacitados en los procesos de respuesta ante incidentes de seguridad, incluidos los canales de comunicación y las vías de escalamiento.

Todas las comunicaciones con la IU y API de Zendesk están cifradas usando HTTPS/TLS (TLS 1.2 o superior) estándares en la industria en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk sea seguro durante el tránsito. Además, para el correo electrónico, nuestro producto saca provecho del TLS oportunista por defecto. El cifrado de Seguridad de la Capa de Transporte (Transport Layer Security, TLS) cifra y entrega correo electrónico en forma segura, mitigando la interceptación furtiva entre los servidores de correo en los que los servicios de pares soportan este protocolo. Las excepciones para el cifrado pueden incluir cualquier uso de una funcionalidad SMS dentro del producto, cualquier otra aplicación de un tercero o integración, o bien los suscriptores del servicio pueden optar por aprovecharlos según su propio criterio.

Los Datos de servicio están cifrados en descanso en AWS usando cifrado de clave AES-256.

Zendesk mantiene una página web del estado del sistema disponible que incluye detalles sobre la disponibilidad del sistema, el mantenimiento programado, el historial de incidentes en el servicio y eventos de seguridad relevantes.

Zendesk emplea el agrupamiento o clustering de servicios y las redundancias de la red para eliminar puntos de falla únicos. Nuestro estricto régimen de copia de resguardo y/o nuestra oferta del servicio de Recuperación ante desastres mejorado nos permiten brindar un alto nivel de disponibilidad del servicio, ya que los Datos de servicio se replican entre zonas de disponibilidad.

Nuestro programa de Recuperación ante desastres (Disaster Recovery, DR) asegura que nuestros servicios sigan estando disponibles y que puedan ser recuperados con facilidad en caso de un desastre.

Esto se logra a través de la construcción de un entorno técnico robusto, creando planes de Recuperación ante desastres, y actividades de prueba.

Nuestro paquete de Recuperación ante desastres mejorado suma objetivos adicionales para el Objetivo de tiempo de recuperación (Recovery Time Objective, RTO) y el Objetivo de punto de recuperación (Recovery Point Objective, RPO). Estos están respaldados con nuestra capacidad para priorizar las operaciones de los suscriptores para la Recuperación ante desastres mejorada durante cualquier evento de desastre declarado.

Zendesk aprovecha los marcos de fuente abierta con controles de seguridad modernos y seguros para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles intrínsecos reducen nuestra exposición a Inyección SQL (SQLi), Ejecución de comandos en sitios cruzados (Cross Site Scripting, XSS) y Falsificación de peticiones en sitios cruzados (Cross Site Request Forgery, CSRF), entre otros.

Nuestro departamento de Garantía de Calidad (Quality Assurance, QA) revisa y prueba nuestra base de códigos. Los ingenieros de seguridad de la aplicación dedicados de nuestro personal identifican, prueban y derivan las vulnerabilidades de seguridad en el código.

Los entornos de prueba y representación están lógicamente separados del entorno de Producción. No se usan Datos de servicio en nuestros entornos de desarrollo o prueba.

Empleamos equipamiento de herramientas de seguridad de terceros para hacer un escaneo en forma continua y dinámica de nuestras aplicaciones clave contra los riesgos comunes para la seguridad de la aplicación, lo que incluye, aunque solamente como ejemplo, los 10 riesgos principales para la seguridad de OWASP. Mantenemos un equipo interno de seguridad de producto dedicado para probar y trabajar con los equipos de ingeniería con el fin de remediar cualquier problema que se haya detectado.

Hacemos un escaneo de las bibliotecas y dependencias utilizadas en nuestros productos para identificar las vulnerabilidades y asegurar que se manejen las vulnerabilidades.

Además de nuestro exhaustivo programa de escaneo y pruebas internas, Zendesk recurre a expertos en seguridad externos para realizar pruebas de penetración detalladas en las diversas aplicaciones dentro de nuestra familia de productos.

Nuestro Programa de revelación responsable brinda tanto a los investigadores de seguridad como a los suscriptores un camino que permite probar y notificar en forma segura las vulnerabilidades en seguridad de Zendesk a través de su sociedad con HackerOne.

Zendesk tiene diversas opciones de autenticación diferentes: los suscriptores pueden activar la autenticación propia de Zendesk, la autenticación de inicio de sesión único en redes sociales (Single sign-on, SSO) (Facebook, Twitter, Google), y/o la autenticación SSO para Enterprise (SAML, JWT) del usuario final y/o agente. Más información sobre el acceso del usuario.

La autenticación propia de Zendesk para los productos disponibles a través del Centro de Administración brinda los siguientes niveles de seguridad de contraseñas: bajo, medio y alto, así como normas personalizadas para las contraseñas de agentes y administradores. Zendesk también permite distintos niveles de seguridad de contraseñas para aplicarlos a usuarios finales, como contrapuesto con agentes y administradores. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseñas configurables.

La autenticación nativa de Zendesk para los productos disponibles a través del Centro de Admin. ofrece 2 factores (2FA) para los agentes y administradores a través de SMS o de una aplicación autenticadora. Más información sobre 2FA.

Zendesk sigue las mejores prácticas para el almacenamiento seguro de credenciales al no almacenar jamás contraseñas en un formato que puede ser leído por humanos, y solamente como resultado de una función hash segura, salteada, de una vía.

Para los negocios que necesitan un mayor nivel de privacidad y seguridad de los datos, Zendesk ofrece el complemento de privacidad y protección de datos avanzada. El complemento incluye funciones de cifrado BYOK, políticas de conservación de datos personalizables, enmascaramiento de datos, redacción de información personal y registros de acceso.

El acceso a los datos dentro de las aplicaciones de Zendesk se rige por el control de acceso basados en el rol (role-based access control, RBAC) y se lo puede configurar para definir privilegios de acceso granular. Zendesk soporta diversos niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).

Más información sobre roles del usuario:

• Roles predeterminados de Soporte
• Roles personalizados de Soporte *Solo Enterprise
• Roles predeterminados en Chat
• Roles personalizados en Chat *Solo Enterprise
• Explorar roles predeterminados
• Roles predeterminados en la Guía
• Roles predeterminados en Talk
• Tiempo de sesión

Cualquier cuenta de Zendesk puede restringir el acceso a su servicio de Soporte de Zendesk a aquellos usuarios comprendidos dentro de un rango específico de direcciones IP. Solo los usuarios de las direcciones IP permitidas podrán iniciar sesión en su cuenta de Zendesk. Puede permitir que los suscriptores (no los agentes o administradores) eludan esta restricción. Si desea obtener más información, consulte Cómo restringir el acceso a Soporte de Zendesk y su Centro de ayuda usando las restricciones de IP y Cómo usar la restricción de acceso IP en Chat.

Zendesk ofrece cifrado TLS gratuito para los centros de ayuda de la Guía con asociación de alojamiento. Zendesk usa Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que expire.

También puede cargar su propio certificado, si lo elige.

Si desea obtener más información sobre la configuración de los certificados de cifrado para un centro de ayuda de la Guía, consulte Cómo configurar un certificado de cifrado TLS alojado.

El chat de Zendesk permite restringir el tipo de archivo que se envía a los agentes. De forma alternativa, puede elegir desactivar por completo el envío de archivos en el producto Chat. Si desea obtener más información sobre esta función, consulte Administración de envío de archivos en el chat en vivo.

Zendesk ofrece Registros de auditoría para las cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios en la cuenta, cambios de usuario, cambios en la aplicación, normas comerciales, eliminaciones de solicitudes y configuraciones. El Registro de auditoría está disponible tanto en el Centro de Administración como en la API de soporte. Si desea obtener más información sobre los Registros de auditoría y conocer qué información está disponible en el registro, consulte Visualización del registro de auditoría para detectar cambios.

Los suscriptores pueden configurar su instancia de modo tal que los usuarios tengan que iniciar sesión para ver los adjuntos a la solicitud. Más información sobre los Adjuntos privados.

Zendesk tiene dos tipos de redacción para eliminar los datos sensibles: La edición manual ofrece la capacidad para editar o eliminar datos sensibles en los comentarios de la solicitud de Soporte y eliminar de manera segura adjuntos, de modo tal que pueda proteger la información confidencial. Los datos se redactan de los tickets a través de la UI o la API para evitar que la información sensible se almacene en Zendesk Más información sobre la adición a través de la IU o API.

La edición automática permite la edición automática de números de tarjetas de crédito de las solicitudes enviadas por suscriptores. Cuando se activa, los números de las tarjetas de crédito se sustituyen de manera parcial por casillas en blanco en el ticket. También se los edita en los ingresos a registros y bases de datos. Si desea obtener más información sobre cómo activar esta función y cómo se identifican los números de tarjeta de crédito, consulte Edición automática de números de tarjetas de crédito de las solicitudes y de chats.

El servicio de filtro de correo masivo o spam de Zendesk puede usarse para evitar que las publicaciones de correo masivo o spam para el usuario final se publiquen en su centro de ayuda de Guía. Más información sobre cómo filtrar el correo masivo o spam en la Guía.

Zendesk ofrece Correspondencia identificada por claves de dominio (Domain Keys Identified Mail, DKIM) y Autenticación, informes y conformidad de mensajes basados en el dominio (Domain-based Message Authentication, Reporting, Conformance, DMARC) para firmar los mensajes de correo electrónico salientes de Zendesk en los casos en los que usted tenga que dar de alta un dominio de correo electrónico externo en su Zendesk. El uso de un servicio de correo electrónico que respalda estas funciones le ayuda a detener el spoofing por correo electrónico. Más información sobre cómo firmar digitalmente sus correos electrónicos.

Zendesk realiza un seguimiento de los dispositivos utilizados para iniciar sesión en cada cuenta de usuario. Cuando alguien inicia sesión para una cuenta desde un nuevo dispositivo, se lo agrega a la lista de dispositivos en el perfil de ese usuario. Ese usuario puede recibir una notificación por correo electrónico cuando se agrega un nuevo dispositivo, y debe hacer un seguimiento si la actividad parece sospechosa. Las sesiones sospechosas pueden ser finalizadas a través de la IU (interfaz del usuario) del agente. Más información sobre el seguimiento de dispositivos.

Zendesk ha desarrollado un conjunto integral de políticas de seguridad que cubren una amplia gama de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.

Todos los empleados asisten a una Capacitación de conciencia en materia de seguridad, que se imparte por contrato cada año. Todos los ingenieros reciben una Capacitación anual en códigos seguros. El equipo de Seguridad ofrece actualizaciones adicionales de conciencia en materia de seguridad por correo electrónico, publicaciones en blog y en presentaciones durante eventos internos.

Zendesk realiza verificaciones de antecedentes a todos los nuevos empleados, de conformidad con lo que establecen las leyes locales. También se exigen estas verificaciones para los contratistas. La verificación de antecedentes incluye verificación penal, educativa y laboral. Los equipos de limpieza están incluidos.

Todos los nuevos contratados deben firmar acuerdos de no divulgación y confidencialidad.