Atención al cliente segura

Zendesk Security

Más de 140.000 clientes confían sus datos a Zendesk, y nosotros nos tomamos esta responsabilidad muy en serio. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes con objeto de garantizar la protección de los datos de los clientes y los negocios en todo momento. Nuestros clientes descansan tranquilos sabiendo que su información está en buenas manos, sus interacciones son seguras y sus negocios están protegidos.

Ver hoja de datos

Seguridad de centros de datos y redes

Seguridad física
Instalaciones Zendesk aloja los datos del servicio en centros de datos de AWS que poseen la certificación de cumplimiento con ISO 27001, de proveedor de servicios de nivel 1 de PCI/DSS o de SOC tipo II.

Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas HVAC y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, tus datos.
Seguridad en el local La seguridad en el sitio de AWS incluye prestaciones como vigilantes de seguridad, barreras, fuentes de información sobre seguridad, tecnología de detección de intrusiones y otras medidas de seguridad. Más información sobre la seguridad física de AWS.
Vigilancia El personal de Zendesk supervisa constantemente todos los sistemas de redes de producción, los dispositivos conectados en red y los circuitos, además de administrarlos lógicamente. AWS supervisa la seguridad física, la alimentación y la conectividad a Internet.
Ubicación Zendesk utiliza los centros de datos de AWS de Estados Unidos, Europa y Asia-Pacífico. Los clientes pueden elegir entre alojar sus datos de servicio solo en EE. UU. o solo en Europa* (por el momento, Zendesk Chat solo se puede alojar en Europa). Obtén más información sobre nuestras opciones de alojamiento de datos.

*Solo disponible con el complemento Ubicación del centro de datos
Seguridad de la red
Equipo de seguridad exclusivo Nuestro equipo de seguridad ubicado en todo el mundo está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.
Protección Nuestra red está protegida por los servicios de seguridad de AWS fundamentales, la integración con nuestras redes de protección perimetrales de CloudFlare, auditorías periódicas y tecnologías de inteligencia de red que supervisan o bloquean el tráfico malintencionado y los ataques a la red.
Arquitectura La arquitectura de seguridad de nuestra red se compone de varias zonas de seguridad. Los sistemas más confidenciales, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de confidencialidad, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también una vigilancia de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre su red e Internet y, de manera interna, entre distintas zonas de confianza.
Análisis de vulnerabilidad de la red El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.
Pruebas de penetración efectuadas por terceros Además de contar con un extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a terceros expertos en seguridad para realizar pruebas de penetración exhaustivas en toda la red de producción de Zendesk.
Administración de eventos e incidentes de seguridad (SIEM) Nuestro sistema de administración de eventos e incidentes de seguridad (SIEM, en sus siglas en inglés) reúne una gran cantidad de registros de dispositivos de red y sistemas de hosts importantes. El SIEM emite alertas sobre disparadores que los notifican al equipo de seguridad basándose en eventos correlacionados para investigarlos y darles respuesta.
Detección y prevención de intrusiones Los principales puntos de entrada y salida de datos del servicio están vigilados y dotados de instrumentos para detectar comportamientos anómalos. Los sistemas están configurados para generar alertas cuando las incidencias y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente en función de las nuevas amenazas. Esto incluye una vigilancia del sistema las 24 horas de los 7 días de la semana.
Programa de inteligencia sobre amenazas Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Estamos atentos a las amenazas publicadas por esos programas y tomamos las medidas necesarias de acuerdo con nuestro riesgo y nuestra exposición.
Mitigación de DDoS Zendesk ha diseñado un sistema de mitigación de DDoS estructurado en varios niveles. Una alianza de tecnología básica con CloudFlare proporciona defensas del perímetro de la red, mientras que el uso de las herramientas de protección y escalado de AWS, unido a nuestro uso de servicios de AWS específicos para DDoS, ofrece un nivel de protección superior.
Acceso lógico El acceso a la red de producción de Zendesk está restringido por un principio de necesidad de conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y supervisado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.
Respuesta a incidentes de seguridad En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.
Encriptación
Encriptación en tránsito La comunicación entre el usuario y los servidores de Zendesk Support y Chat, transmitida por redes públicas, se encripta mediante HTTPS y Transport Layer Security (TLS), protocolos altamente recomendados en el sector. El protocolo TLS también se utiliza para la encriptación de correos electrónicos.
Encriptación en reposo Los clientes de Zendesk se benefician de las medidas de protección que aporta la encriptación en reposo de sus datos. Los datos del servicio se encriptan en reposo en AWS mediante el cifrado de claves AES 256.
Disponibilidad y continuidad
Disponibilidad Zendesk mantiene un sitio web de acceso público que tiene el propósito de informar sobre los detalles de disponibilidad del sistema, el mantenimiento programado, un historial de los incidentes de mantenimiento y reparación, y eventos de seguridad importantes.
Redundancia Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de error. Nuestro estricto régimen de copia de seguridad o nuestra oferta de servicios de recuperación ante desastres mejorada nos permiten ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas de disponibilidad.
Recuperación en caso de desastre Nuestro programa de recuperación ante desastres garantiza que nuestros servicios seguirán estando disponibles o que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Este objetivo se alcanza creando un entorno técnico de gran solidez, elaborando planes de recuperación en casos de desastre y llevando a cabo pruebas.
Recuperación ante desastres mejorada El paquete de recuperación ante desastres mejorada incluye objetivos contractuales de tiempo objetivo de recuperación (RTO) y de punto objetivo de recuperación (RPO). Dichos objetivos se alcanzan gracias a nuestra capacidad para dar prioridad a las operaciones de los clientes de recuperación ante desastres mejorada durante cualquier desastre declarado. *Solo disponible con el complemento Seguridad avanzada

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Cursos de formación en seguridad Los ingenieros participan en sesiones de formación de programación segura por lo menos una vez al año. Dicha formación cubre los 10 riesgos principales para la seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.
Controles de seguridad del framework Ruby on Rails La mayoría de los productos de Zendesk utilizan los controles de seguridad del framework Ruby on Rails para limitar nuestra exposición a los 10 riesgos principales para la seguridad según OWASP. Estos controles inherentes reducen nuestra exposición a los ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) y de Inyección SQL (SQLi), entre otros.
Control de calidad Nuestro departamento de control de calidad revisa y somete a pruebas nuestro código base. Tenemos ingenieros en plantilla especializados en la seguridad de las aplicaciones que identifican, analizan y clasifican las vulnerabilidades de seguridad de nuestro código.
Entornos separados Los entornos de prueba y de control de calidad están separados lógicamente del entorno de producción. En los entornos de desarrollo y de pruebas no se utilizan datos del servicio.
Vulnerabilidades de la aplicación
Análisis de vulnerabilidad dinámico Analizamos de forma continua y dinámica nuestras aplicaciones principales con herramientas de seguridad de terceros a fin de detectar los 10 principales fallos de seguridad según OWASP. Contamos con un equipo interno especializado en la seguridad de productos que realiza pruebas y colabora con los ingenieros para remediar cualquier problema que se descubra.
Análisis del código estático Los repositorios de código fuente (de nuestra plataforma y de las aplicaciones móviles) se analizan constantemente con nuestras herramientas de análisis estático integradas para detectar posibles riesgos de seguridad.
Pruebas de penetración de seguridad Además de nuestro extenso programa interno de análisis y pruebas, cada trimestre Zendesk contrata a expertos en seguridad externos para realizar pruebas de penetración detalladas en las distintas aplicaciones dentro de nuestra familia de productos.
Divulgación responsable y programa de gratificación bug bounty Nuestro programa de revelación responsable ofrece a los investigadores de seguridad y a los clientes un medio para hacer pruebas sin riesgo y notificar a Zendesk cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.

Funciones de seguridad de productos

Seguridad de autenticación
Opciones de autenticación Para los agentes y administradores de Support y Chat ofrecemos el inicio de sesión de Zendesk. Para Zendesk Support también se pueden activar el SSO y la autenticación con Google.

Los usuarios finales de Support y Chat pueden utilizar el inicio de sesión de Zendesk. En Zendesk Support también se pueden activar el SSO y el SSO por redes sociales (Facebook, Twitter, Google) para la autenticación de los usuarios finales.
Inicio de sesión único (SSO) El inicio de sesión único (SSO) te permite autenticar a los usuarios en tus propios sistemas sin exigirles que especifiquen credenciales adicionales para iniciar sesión en su cuenta de Zendesk Support. Se admiten JSON Web Token (JWT) y Security Assertion Markup Language (SAML). Más información sobre la configuración de la seguridad y del inicio de sesión.

*SAML solo está disponible para las cuentas Professional y Enterprise *JWT solo está disponible para las cuentas Team y superiores
Política de contraseña configurable Zendesk Support/Guide proporciona los niveles de seguridad de contraseñas bajo, mediano y alto, además de reglas para contraseñas personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas.

*Se aplica a las cuentas Professional y Enterprise.
Autenticación de dos factores (2FA) Si utilizas el inicio de sesión de Zendesk en tu instancia de Zendesk Support, puedes activar la autenticación de 2 factores (2FA) para los agentes y administradores. Zendesk admite SMS y diversas aplicaciones de autenticación para la generación de códigos de acceso. También puedes utilizar 2FA en tu propio entorno donde apliques Enterprise SSO como método de autenticación para Zendesk. 2FA proporciona una capa de seguridad adicional para tu cuenta de Zendesk, para que sea más difícil que otra persona inicie sesión suplantando tu identidad. Más información sobre 2FA
Almacenamiento seguro de credenciales Zendesk sigue las buenas prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.
Seguridad y autenticación de la API La API de Zendesk Support admite TLS únicamente. Para efectuar la autorización en la API se puede utilizar la autenticación básica con el nombre de usuario y la contraseña o con el nombre de usuario y el token de API. También se admite la autenticación OAuth. Más información sobre la seguridad de la API.
Funciones adicionales de seguridad del producto
Control de acceso basado en roles El acceso a los datos dentro de las aplicaciones de Zendesk está gobernado por el control de acceso basado en roles (RBAC) y se puede configurar para definir privilegios de acceso muy precisos. Zendesk ofrece varios niveles de permisos para los usuarios (dueño, administrador, agente, usuario final, etc.). Más información sobre los roles de usuario en Support y el acceso de usuarios y la seguridad.
Restricciones de IP Zendesk Support y Chat se pueden configurar para que solo permitan el acceso desde intervalos de direcciones IP específicos definidos de antemano. Estas restricciones se pueden aplicar a todos los usuarios o solamente a los agentes. Más información sobre el uso de restricciones de IP.

*Solo disponible en las cuentas Support Enterprise y Chat Enterprise
Adjuntos privados Es posible configurar la cuenta de Zendesk Support para obligar a los usuarios a que inicien sesión si desean ver los archivos adjuntos de un ticket. Si no se configura así, se podrá acceder a los archivos adjuntos mediante una ID de ticket de token aleatorio y largo.
Seguridad de transmisiones En su transmisión por redes públicas, todas las comunicaciones con la IU y la API de Zendesk están encriptadas con el estándar del sector HTTPS/TLS. Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto utiliza de forma predeterminada TLS oportunista. TLS (Transport Layer Security o seguridad de la capa de transporte) es un protocolo que encripta y entrega el correo electrónico de manera segura, lo que disminuye el riesgo de escuchas clandestinas entre los servidores de correo donde los servicios de los pares admiten este protocolo.
Firma de correo electrónico (DKIM/DMARC) Zendesk Support ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación, informe y conformidad de mensajes según el dominio) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en la cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.
Seguimiento de dispositivos Para mayor seguridad, tu instancia de Zendesk Support lleva un seguimiento de los dispositivos utilizados para iniciar sesión en cada cuenta de usuario. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, el dispositivo se añade a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se añade un nuevo dispositivo y debe investigar este hecho si la actividad le parece sospechosa. Las sesiones sospechosas pueden cerrarse desde la IU del agente.
Censura de datos confidenciales La censura de Zendesk Support y Chat permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets, en campos personalizados y en chats con el fin de proteger la información confidencial. Los datos se censuran en los tickets para evitar que en Zendesk se guarde información confidencial. Más información sobre la seguridad de los datos confidenciales.

*Solo disponible en las cuentas Enterprise
Filtrado de spam para el Centro de ayuda Zendesk Support ofrece un servicio de filtrado de spam que evita la publicación de spam por parte de los usuarios finales en el Centro de ayuda o el Portal Web. Más información sobre el filtrado de spam en el Centro de ayuda.

Certificados de cumplimiento y afiliaciones

Cumplimiento de seguridad
SOC 2 Tipo II Tenemos un informe SOC 2 Tipo II, que está disponible previa solicitud y después de firmar un acuerdo de confidencialidad. Si deseas más información escribe a security@zendesk.com.
ISO 27001:2013 Zendesk cuenta con la certificación ISO 27001:2013. El certificado puede descargarse aquí
ISO 27018:2014 Zendesk cuenta con la certificación ISO 27018:2014. El certificado puede descargarse aquí
Afiliaciones
Skyhigh Enterprise-Ready Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Se le concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.
Cloud Security Alliance Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro cuya misión es promover el uso de buenas prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.
Certificaciones de privacidad
Programas de certificación de privacidad TRUSTe® Zendesk ha demostrado que nuestros programas, políticas y prácticas de privacidad cumplen con los requisitos del Escudo de privacidad de la UE y EE. UU. y el de Suiza y EE. UU. Estas empresas han autocertificado su participación en el Escudo de privacidad con el Departamento de Comercio de los Estados Unidos en https://www.privacyshield.gov/list. TRUSTe verifica el cumplimiento con el Escudo de privacidad en consonancia con los requisitos del principio de verificación complementario del Escudo de privacidad.
Certificación del Escudo de privacidad de la UE y EE. UU. y de Suiza y EE. UU. Zendesk ha obtenido la certificación de cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU. Además, la empresa ha sido incluida en la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio estadounidense. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales de Europa y Suiza a los Estados Unidos.
Política de privacidad Más información sobre la política de privacidad de Zendesk.
CUMPLIMIENTO DE NORMAS DEL SECTOR
HIPAA Ayudamos a nuestros clientes a cumplir con las obligaciones de la HIPAA mediante las opciones de configuración de seguridad apropiadas en los productos de Zendesk. Asimismo, ponemos a disposición de los suscriptores nuestro Business Associate Agreement (BAA) para su ejecución. *El BAA solo está disponible con la compra del complemento Seguridad avanzada y es aplicable únicamente a ciertos productos de Zendesk (se aplican reglas de configuración especial).
Uso de Zendesk en un entorno de PCI Consulta el informe técnico sobre el cumplimiento de las normas de la industria de tarjetas de pago (PCI) o infórmate sobre el campo de conformidad con la industria de tarjetas de pago (PCI) para Zendesk Support.

*Se requiere una cuenta Enterprise

Metodologías de seguridad adicionales

Conciencia de seguridad
Políticas Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Estas políticas están a disposición de todos los empleados y los contratistas con acceso a los recursos de información de Zendesk.
Formación Todos los empleados nuevos participan en un curso de formación en seguridad que se ofrece a la hora de la contratación y posteriormente cada año. Todos los ingenieros reciben anualmente formación en programación segura. El equipo de seguridad ofrece actualizaciones concernientes a la sensibilización sobre la seguridad a través de correo electrónico, publicaciones en blogs y presentaciones en eventos internos.
Investigación de empleados
Verificación de antecedentes Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes penales, la educación y el historial de empleo. También se aplican al personal de limpieza.
Acuerdos de confidencialidad Todo empleado nuevo debe someterse a una evaluación como parte del proceso de contratación y además, firmar acuerdos de no divulgación y de confidencialidad.

Recursos de seguridad descargables

Hasta nuestros recursos están protegidos. Para tener acceso, rellena el formulario siguiente.

Escribe tu nombre
Escribe tus apellidos
Ingrese una dirección de correo electrónico válida
Selecciona tu país

Casi hemos terminado. Solo háblanos un poco de tu compañía.

Escriba el nombre de su empresa
Selecciona el número de empleados
Seleccione el sector en el que trabaja
También deseo recibir correos electrónicos esporádicos de productos y servicios de Zendesk. (Puedes cancelar la suscripción en cualquier momento).
Selecciona una opción

Tu solicitud se ha enviado correctamente.

Uno de nuestros representantes contactará contigo pronto.

Lo sentimos, algo no ha funcionado bien.

Vuelve a cargar la página e inténtalo de nuevo, o bien envíanos un correo electrónico directamente a support@zendesk.com.

Estamos enviando tu solicitud... espera un momento

Si necesitas acceso al informe SOC 2, envíanos un correo electrónico a security@zendesk.com.