Atención al cliente segura

Toma todas las precauciones

Zendesk se toma muy en serio la seguridad: solo hay que ver la cantidad de empresas Fortune 100 y Fortune 500 que nos confían sus datos. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes para garantizar la protección de tus datos en todo momento. Así damos tranquilidad a todos nuestros clientes, y ellos a los suyos.

Certificados de cumplimiento y afiliaciones

Aplicamos buenas prácticas y normas sectoriales para cumplir con los marcos generales de seguridad y privacidad aceptados por el sector, lo que a su vez ayuda a nuestros clientes a respetar sus propias normas de cumplimiento.

Cumplimiento de seguridad
SOC 2 Tipo II

Nos sometemos a auditorías de seguridad periódicas para recibir informes de SOC 2 Tipo II actualizados, disponibles previa solicitud y después de firmar un acuerdo de confidencialidad. Puedes solicitar el último informe de SOC 2 Tipo II aquí.

ISO 27001:2013

Zendesk cuenta con la certificación ISO 27001:2013. El certificado puede descargarse aquí.

ISO 27018:2014

Zendesk cuenta con la certificación ISO 27018:2014. El certificado puede descargarse aquí.

LI-SaaS de FedRAMP

Zendesk cuenta con la autorización del FedRAMP para utilizar el software como servicio de bajo impacto (LI-SaaS) y figura en el Marketplace de FedRAMP. Los clientes de las agencias gubernamentales de los Estados Unidos pueden solicitar acceso al paquete de seguridad de Zendesk FedRAMP rellenando un formulario de solicitud de acceso al paquete aquí o enviando una solicitud a fedramp@zendesk.com.

Cumplimiento de normas del sector
HIPAA

Ayudamos a nuestros clientes a cumplir con las obligaciones de la HIPAA mediante las opciones de configuración de seguridad apropiadas en los productos de Zendesk. Asimismo, ponemos a disposición de los suscriptores nuestro Business Associate Agreement (BAA) para su ejecución.

* El BAA solo está disponible con la compra del complemento de cumplimiento avanzado y es aplicable únicamente a ciertos productos de Zendesk (se aplican requisitos de configuración especiales).

Normativa PCI DSS (seguridad de datos para la industria de tarjetas de pago)

Consulta el informe técnico sobre el cumplimiento de las normas de la industria de tarjetas de pago (PCI) o infórmate sobre el campo de conformidad con la industria de tarjetas de pago para Zendesk Support.

* Se requiere una cuenta Enterprise

Haz clic aquí para obtener información sobre nuestra certificación de conformidad (AoC) con PCI y nuestro certificado de cumplimiento.

Afiliaciones
Skyhigh Enterprise-Ready

Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Este sello se concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.

Cloud Security Alliance

Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro cuya misión es promover el uso de buenas prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.

El cuestionario CAI de CSA puede descargarse aquí.

IT-ISAC

Zendesk es miembro de IT-ISAC, un grupo que engloba un conjunto diverso de empresas del sector privado cuyo objetivo es aprovechar las nuevas tecnologías y mantener un compromiso común con la seguridad. IT-ISAC facilita la colaboración y el intercambio de información relevante y aplicable sobre amenazas. Modera grupos de intereses especiales que se centran en la información de inteligencia, las amenazas internas, la seguridad física y otras áreas específicas para contribuir a nuestra misión de proteger Zendesk.

FIRST

Zendesk es miembro de FIRST, una confederación internacional de equipos de respuesta a incidencias que cooperan para dar respuesta a las incidencias de seguridad informática y promover programas de prevención de incidencias. Los miembros de FIRST desarrollan y comparten datos técnicos, herramientas, metodologías, procesos y buenas prácticas. Como miembro de FIRST, Zendesk Security comparte con otros miembros sus conocimientos, habilidades y experiencia combinados para promover un entorno electrónico mundial más seguro y protegido.

Certificaciones de privacidad y protección de datos
Recursos jurídicos

Para obtener información sobre nuestros términos legales y de privacidad, visita:

Artefactos

Algunos de nuestros recursos solo pueden obtenerse si se solicitan.

Recursos de descarga directa (sin acuerdo de confidencialidad)

Para obtener acceso a los siguientes recursos descargables, haz clic en el botón de abajo:

Certificado ISO 27001:2013

Certificado ISO 27018:2014

Informe de SOC3

Hoja de datos/informe técnico

Certificación de conformidad (AoC) con PCI y certificado de cumplimiento

Diagramas de arquitectura de red

  • Support/Guide
  • Chat
  • Talk

Cuestionario CAI de CSA

Obtener recursos
Recursos con acuerdo de confidencialidad

Los siguientes recursos pueden requerir un acuerdo de confidencialidad. Haz clic en el botón siguiente para obtener acceso.

Certificado de seguro

Informe SOC 2 tipo II

Resumen anual de pruebas de penetración

Resumen de pruebas de continuidad del negocio y recuperación ante desastres

SIG Lite

VSA

Obtener recursos

Seguridad en la nube

Seguridad física en el centro de datos
Instalaciones

Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de conformidad con ISO 27001 (proveedor de servicios de nivel 1 según la normativa PCI DSS) o de SOC tipo 2. Más información sobre los programas de cumplimiento de AWS.

Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas de calefacción, ventilación y aire acondicionado (HVAC) y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, tus datos. Más información sobre los controles de los centros de datos en AWS.

Seguridad física

La seguridad en las instalaciones de AWS incluye prestaciones como vigilantes de seguridad, barreras, fuentes de información sobre seguridad, tecnología de detección de intrusiones y otras medidas de protección. Más información sobre la seguridad física de AWS.

Ubicación de alojamiento de datos

Zendesk utiliza los centros de datos de AWS de Estados Unidos, Europa y Asia-Pacífico. Más información sobre las ubicaciones de alojamiento de datos para tus datos de servicio de Zendesk.

Los clientes pueden elegir entre alojar sus datos de servicio solo en EE. UU. o solo en el Espacio Económico Europeo (EEE)*. Más información sobre nuestras opciones de alojamiento regional de datos y las restricciones del tipo de datos del servicio.

* Solo disponible con el complemento Ubicación del centro de datos

Seguridad de la red
Equipo de seguridad exclusivo

Nuestro equipo de seguridad ubicado en todo el mundo está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.

Protección

Nuestra red está protegida por los servicios de seguridad de AWS fundamentales, la integración con nuestras redes de protección perimetrales de CloudFlare, auditorías periódicas y tecnologías de inteligencia de red, que supervisan o bloquean el tráfico malintencionado conocido y los ataques a la red.

La arquitectura de seguridad de nuestra red se compone de varias zonas de seguridad. Los sistemas más confidenciales, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de confidencialidad, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también una vigilancia de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre su red e Internet y, de manera interna, entre distintas zonas de confianza.

Análisis de vulnerabilidad de la red

El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.

Pruebas de penetración efectuadas por terceros

Además de contar con un extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a expertos en seguridad independientes para realizar pruebas de penetración exhaustivas en todas las redes de producción y corporativas de Zendesk.

Administración de eventos e incidencias de seguridad

Nuestro sistema de administración de eventos e incidencias de seguridad (SIEM) reúne una gran cantidad de registros de dispositivos de red y sistemas host importantes. El SIEM emite alertas sobre disparadores que se envían al equipo de seguridad basándose en eventos correlacionados, para que se investiguen y se tomen las medidas oportunas.

Detección y prevención de intrusiones

Los principales puntos de entrada y salida de datos del servicio están vigilados y dotados de instrumentos para detectar comportamientos anómalos. Los sistemas están configurados para generar alertas cuando las incidencias y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente en función de las nuevas amenazas. Esto incluye una vigilancia del sistema las 24 horas de los 7 días de la semana.

Programa de inteligencia sobre amenazas

Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Estamos al tanto de las amenazas que publican y tomamos las medidas necesarias de acuerdo con el riesgo.

Mitigación de DDoS

Zendesk ha diseñado un sistema de mitigación de DDoS estructurado en varios niveles. Una alianza de tecnología básica con CloudFlare proporciona defensas del perímetro de la red, mientras que el uso de las herramientas de protección y escalado de AWS, unido a nuestro uso de servicios de AWS específicos para DDoS, ofrece un nivel de protección superior.

Acceso lógico

El acceso a la red de producción de Zendesk está restringido por un principio de necesidad de conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y supervisado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.

Respuesta a incidentes de seguridad

En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.

Encriptación
Encriptación en tránsito

En su transmisión por redes públicas, todas las comunicaciones con la IU y las API de Zendesk están encriptadas con el estándar del sector HTTPS/TLS (TLS  1.2 o superior). Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto utiliza de forma predeterminada TLS oportunista. TLS (Transport Layer Security o seguridad de la capa de transporte) es un protocolo que encripta y entrega el correo electrónico de manera segura, lo que disminuye el riesgo de escuchas clandestinas entre los servidores de correo donde los servicios de los pares admiten este protocolo. Las excepciones de encriptado pueden incluir el uso de la funcionalidad de SMS dentro del producto y de cualquier otra aplicación, integración o servicio de terceros. Los suscriptores pueden optar por utilizar estos componentes a criterio propio.

Encriptación en reposo

Los datos del servicio se encriptan en reposo en AWS mediante el cifrado de claves AES 256.

Disponibilidad y continuidad
Disponibilidad

Zendesk mantiene una página web de acceso público con el propósito de proporcionar datos de disponibilidad del sistema, información sobre tareas de mantenimiento programadas, el historial de los incidentes de mantenimiento y reparación, y los eventos de seguridad importantes.

Redundancia

Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de error. Nuestro estricto régimen de copia de seguridad o nuestra oferta de servicios de recuperación ante desastres mejorada nos permiten ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas de disponibilidad.

Recuperación en caso de desastre

Nuestro programa de recuperación ante desastres garantiza que nuestros servicios seguirán estando disponibles y que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Este objetivo se alcanza creando un entorno técnico de gran solidez, elaborando planes de recuperación en casos de desastre y llevando a cabo actividades de prueba.

Recuperación ante desastres mejorada

Nuestro paquete de recuperación ante desastres mejorada incluye objetivos contractuales de tiempo objetivo de recuperación (RTO) y de punto objetivo de recuperación (RPO). Dichos objetivos se alcanzan gracias a nuestra capacidad para dar prioridad a las operaciones de los clientes de recuperación ante desastres mejorada durante cualquier desastre declarado.

* Solo disponible con la compra del complemento Recuperación ante desastres mejorada.

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Cursos de formación en programación segura

Los ingenieros participan en sesiones de formación de programación segura por lo menos una vez al año. Dicha formación cubre los 10 riesgos principales para la seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.

Controles de seguridad del framework

Zendesk utiliza frameworks de código abierto modernos y seguros con controles de seguridad para limitar su exposición a los 10 riesgos principales para la seguridad según OWASP. Estos controles inherentes reducen nuestra exposición a los ataques de inyección SQL (SQLi), Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.

Quality Assurance

Nuestro departamento de control de calidad revisa y somete a pruebas nuestro código base. Tenemos ingenieros en plantilla especializados en la seguridad de las aplicaciones que identifican, analizan y clasifican las vulnerabilidades de seguridad de nuestro código.

Entornos separados

Los entornos de prueba y de control de calidad están separados lógicamente del entorno de producción. En nuestros entornos de desarrollo y de pruebas no se utilizan datos del servicio.

Gestión de vulnerabilidades
Análisis de vulnerabilidad dinámico

Analizamos de forma continua y dinámica nuestras aplicaciones principales con herramientas de seguridad de terceros a fin de detectar los 10 principales fallos de seguridad según OWASP. Contamos con un equipo interno especializado en la seguridad de productos que realiza pruebas y colabora con los ingenieros para remediar cualquier problema que se descubra.

Análisis del código estático

Los repositorios de código fuente (de nuestra plataforma y de las aplicaciones móviles) se analizan constantemente con nuestras herramientas de análisis estático integradas para detectar posibles riesgos de seguridad.

Pruebas de penetración efectuadas por terceros

Además de nuestro extenso programa interno de análisis y pruebas, Zendesk contrata a expertos en seguridad externos para realizar pruebas de penetración detalladas en las distintas aplicaciones dentro de nuestra familia de productos.

Divulgación responsable y programa de gratificación bug bounty

Nuestro programa de revelación responsable ofrece a los investigadores de seguridad y a los clientes un medio para hacer pruebas sin riesgo y notificar a Zendesk cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.

Seguridad de los productos

Seguridad de autenticación
Opciones de autenticación

Los clientes pueden habilitar la autenticación nativa de Zendesk, el inicio de sesión único (SSO) en redes sociales (Facebook, Twitter y Google) o Enterprise SSO (SAML, JWT) para la autenticación de los usuarios finales o los agentes. Más información sobre el acceso de los usuarios.

Política de contraseña configurable

La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, proporciona los niveles de seguridad de contraseñas bajo, mediano y alto, además de reglas de contraseña personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseña configurables.

Autenticación de 2 factores (2FA)

La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, ofrece 2 factores (2FA) para los agentes y administradores mediante SMS o una aplicación de autenticación. Más información sobre 2FA.

Almacenamiento de credenciales de servicio

Zendesk sigue las buenas prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.

Funciones adicionales de seguridad del producto
Control de acceso basado en roles

El acceso a los datos dentro de las aplicaciones de Zendesk se rige por el control de acceso basado en roles (RBAC) y se puede configurar para definir privilegios de acceso muy precisos. Zendesk ofrece varios niveles de permisos para los usuarios (dueño, administrador, agente, usuario final, etc.).

Más información sobre los roles de usuario:

Consulta los detalles sobre seguridad global y acceso de usuarios aquí.

Restricciones de IP

Los productos de Zendesk se pueden configurar de forma que solo permitan el acceso desde intervalos de direcciones IP específicos definidos por el usuario. Estas restricciones se pueden aplicar a todos los usuarios o solamente a los agentes. Más información sobre el uso de restricciones de IP:

Adjuntos privados

Puedes configurar tu instancia para obligar a los usuarios a que inicien sesión si desean ver los archivos adjuntos de un ticket. Más información sobre los archivos adjuntos privados.

Firma de correo electrónico (DKIM/DMARC)

Zendesk ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación de mensajes, informes y conformidad basada en dominios) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en la cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.

Seguimiento de dispositivos

Zendesk lleva un seguimiento de los dispositivos que se utilizan para iniciar sesión en las cuentas de los usuarios. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, este se añade a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se añade un dispositivo nuevo y debe investigar este hecho si la actividad le parece sospechosa. Las sesiones sospechosas pueden cerrarse desde la IU del agente. Más información sobre el seguimiento de dispositivos.

Censura de datos confidenciales

La censura manual permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets de Support, así como borrar los archivos adjuntos, con el fin de proteger la información confidencial. Los datos se censuran en los tickets desde la IU o la API para evitar que se guarde información confidencial en Zendesk. Más información sobre la censura de datos en la IU o la API.

La censura automática permite censurar automáticamente cadenas de números que coinciden con un número de cuenta principal de tarjeta de crédito (CC PAN) válido que pasa una verificación de Luhn tanto en Support como en Chat. Obtén más información sobre la censura automática en Support y en Chat.

Zendesk Support ofrece un campo de tarjeta de crédito configurable que censura todos los dígitos menos los cuatro últimos y, por lo tanto, cumple la normativa PCI. Más información sobre Zendesk y el cumplimiento de la normativa PCI.

Filtrado de spam para el Centro de ayuda

El servicio de filtrado de spam de Zendesk impide que los usuarios finales publiquen spam en el Centro de ayuda. Más información sobre el filtrado de spam en el Centro de ayuda.

Seguridad de recursos humanos

Conciencia de seguridad
Políticas

Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Estas políticas están a disposición de todos los empleados y los contratistas con acceso a los recursos de información de Zendesk.

Formación

Todos los empleados asisten a un curso de formación en seguridad cuando se incorporan a la empresa y posteriormente cada año. Todos los ingenieros asisten cada año a un curso de formación en programación segura. Además, el equipo de seguridad ofrece actualizaciones concernientes a la toma de conciencia en materia de seguridad, ya sea por correo electrónico, en publicaciones de blogs y en presentaciones realizadas en eventos internos.

Investigación de empleados
Verificación de antecedentes

Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes penales, la educación y el historial de empleo. También se aplican al personal de limpieza.

Acuerdos de confidencialidad

Todos los empleados nuevos deben firmar acuerdos de no divulgación y de confidencialidad.