Atención al cliente segura

Zendesk Security

Más de 145.000 clientes confían sus datos a Zendesk, y nosotros nos tomamos esta responsabilidad muy en serio. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes con objeto de garantizar la protección de los datos de los clientes y los negocios en todo momento. Nuestros clientes descansan tranquilos sabiendo que su información está en buenas manos, sus interacciones son seguras y sus negocios están protegidos.

Ver hoja de datos

Seguridad de centros de datos y redes

Seguridad física en el centro de datos
Instalaciones Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de cumplimiento con ISO 27001, de proveedor de servicios de nivel 1 de PCI/DSS o de SOC tipo II. Más información sobre el cumplimiento en AWS.

Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas HVAC y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, tus datos. Más información sobre los controles de los centros de datos en AWS.
Seguridad en el local La seguridad en el sitio de AWS incluye prestaciones como vigilantes de seguridad, barreras, fuentes de información sobre seguridad, tecnología de detección de intrusiones y otras medidas de seguridad. Más información sobre la seguridad física de AWS.
Ubicación de alojamiento de datos Zendesk utiliza los centros de datos de AWS de Estados Unidos, Europa y Asia-Pacífico. Mas información sobre las ubicaciones donde se alojan tus datos del servicio de Zendesk.

Los clientes pueden elegir entre alojar sus datos de servicio solo en EE. UU. o solo en el Espacio Económico Europeo (EEE)**. Obtén más información sobre nuestras opciones de alojamiento regional de datos y las restricciones del tipo de datos del servicio.

*Solo disponible con el complemento Ubicación del centro de datos
Seguridad de la red
Equipo de seguridad exclusivo Nuestro equipo de seguridad ubicado en todo el mundo está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.
Protección Nuestra red está protegida por los servicios de seguridad de AWS fundamentales, la integración con nuestras redes de protección perimetrales de CloudFlare, auditorías periódicas y tecnologías de inteligencia de red que supervisan o bloquean el tráfico malintencionado conocido y los ataques a la red.
Arquitectura La arquitectura de seguridad de nuestra red se compone de varias zonas de seguridad. Los sistemas más confidenciales, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de confidencialidad, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también una vigilancia de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre su red e Internet y, de manera interna, entre distintas zonas de confianza.
Análisis de vulnerabilidad de la red El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.
Pruebas de penetración efectuadas por terceros Además de contar con un extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a terceros expertos en seguridad para realizar pruebas de penetración exhaustivas en todas las redes de producción y corporativas de Zendesk.
Administración de eventos e incidentes de seguridad (SIEM) Nuestro sistema de administración de eventos e incidentes de seguridad (SIEM, en sus siglas en inglés) reúne una gran cantidad de registros de dispositivos de red y sistemas de hosts importantes. El SIEM emite alertas sobre disparadores que los notifican al equipo de seguridad basándose en eventos correlacionados para investigarlos y darles respuesta.
Detección y prevención de intrusiones Los principales puntos de entrada y salida de datos del servicio están vigilados y dotados de instrumentos para detectar comportamientos anómalos. Los sistemas están configurados para generar alertas cuando las incidencias y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente en función de las nuevas amenazas. Esto incluye una vigilancia del sistema las 24 horas de los 7 días de la semana.
Programa de inteligencia sobre amenazas Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Estamos atentos a las amenazas publicadas por esos programas y tomamos las medidas necesarias de acuerdo con nuestro riesgo.
Mitigación de DDoS Zendesk ha diseñado un sistema de mitigación de DDoS estructurado en varios niveles. Una alianza de tecnología básica con CloudFlare proporciona defensas del perímetro de la red, mientras que el uso de las herramientas de protección y escalado de AWS, unido a nuestro uso de servicios de AWS específicos para DDoS, ofrece un nivel de protección superior.
Acceso lógico El acceso a la red de producción de Zendesk está restringido por un principio de necesidad de conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y supervisado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.
Respuesta a incidentes de seguridad En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.
Encriptación
Encriptación en tránsito En su transmisión por redes públicas, todas las comunicaciones con la IU y las API de Zendesk están encriptadas con el estándar del sector HTTPS/TLS (TLS 1.2 o superior). Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto utiliza de forma predeterminada TLS oportunista. TLS (Transport Layer Security o seguridad de la capa de transporte) es un protocolo que encripta y entrega el correo electrónico de manera segura, lo que disminuye el riesgo de escuchas clandestinas entre los servidores de correo donde los servicios de los pares admiten este protocolo. Las excepciones de encriptado pueden incluir el uso de la funcionalidad de SMS dentro del producto y de cualquier otra aplicación, integración o servicio de terceros. Los suscriptores pueden optar por utilizar estos componentes a criterio propio.
Encriptación en reposo Los datos del servicio se encriptan en reposo en AWS mediante el cifrado de claves AES 256.
Disponibilidad y continuidad
Disponibilidad Zendesk mantiene un sitio web de acceso público que tiene el propósito de informar sobre los detalles de disponibilidad del sistema, el mantenimiento programado, un historial de los incidentes de mantenimiento y reparación, y eventos de seguridad importantes.
Redundancia Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de error. Nuestro estricto régimen de copia de seguridad o nuestra oferta de servicios de recuperación ante desastres mejorada nos permiten ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas de disponibilidad.
Recuperación en caso de desastre Nuestro programa de recuperación ante desastres garantiza que nuestros servicios seguirán estando disponibles o que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Este objetivo se alcanza creando un entorno técnico de gran solidez, elaborando planes de recuperación en casos de desastre y llevando a cabo pruebas.
Recuperación ante desastres mejorada El paquete de recuperación ante desastres mejorada incluye objetivos contractuales de tiempo objetivo de recuperación (RTO) y de punto objetivo de recuperación (RPO). Dichos objetivos se alcanzan gracias a nuestra capacidad para dar prioridad a las operaciones de los clientes de recuperación ante desastres mejorada durante cualquier desastre declarado. *Solo disponible con el complemento Seguridad avanzada

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Cursos de formación en programación segura Los ingenieros participan en sesiones de formación de programación segura por lo menos una vez al año. Dicha formación cubre los 10 riesgos principales para la seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.
Controles de seguridad del framework Zendesk utiliza frameworks de código abierto modernos y seguros con controles de seguridad para limitar su exposición a los 10 riesgos principales para la seguridad según OWASP. Estos controles inherentes reducen nuestra exposición a los ataques de Inyección SQL (SQLi), Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.
Quality Assurance Nuestro departamento de control de calidad revisa y somete a pruebas nuestro código base. Tenemos ingenieros en plantilla especializados en la seguridad de las aplicaciones que identifican, analizan y clasifican las vulnerabilidades de seguridad de nuestro código.
Entornos separados Los entornos de prueba y de control de calidad están separados lógicamente del entorno de producción. En nuestros entornos de desarrollo y de pruebas no se utilizan datos del servicio.
Gestión de vulnerabilidades
Análisis de vulnerabilidad dinámico Analizamos de forma continua y dinámica nuestras aplicaciones principales con herramientas de seguridad de terceros a fin de detectar los 10 principales fallos de seguridad según OWASP. Contamos con un equipo interno especializado en la seguridad de productos que realiza pruebas y colabora con los ingenieros para remediar cualquier problema que se descubra.
Análisis del código estático Los repositorios de código fuente (de nuestra plataforma y de las aplicaciones móviles) se analizan constantemente con nuestras herramientas de análisis estático integradas para detectar posibles riesgos de seguridad.
Pruebas de penetración efectuadas por terceros Además de nuestro extenso programa interno de análisis y pruebas, Zendesk contrata a expertos en seguridad externos para realizar pruebas de penetración detalladas en las distintas aplicaciones dentro de nuestra familia de productos.
Divulgación responsable y programa de gratificación bug bounty Nuestro programa de revelación responsable ofrece a los investigadores de seguridad y a los clientes un medio para hacer pruebas sin riesgo y notificar a Zendesk cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.

Funciones de seguridad de productos

Seguridad de autenticación
Opciones de autenticación Los clientes pueden habilitar la autenticación nativa de Zendesk, el inicio de sesión único (SSO) en redes sociales (Facebook, Twitter, Google) o Enterprise SSO (SAML, JWT) para la autenticación de los usuarios finales o los agentes. Más información sobre el acceso de los usuarios.
Política de contraseña configurable La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, proporciona los niveles de seguridad de contraseñas bajo, mediano y alto, además de reglas de contraseña personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseña configurables.
Autenticación de 2 factores (2FA) La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, ofrece 2 factores (2FA) para agentes y administradores mediante SMS o una aplicación de autenticación. Más información sobre 2FA.
Almacenamiento de credenciales de servicio Zendesk sigue las buenas prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.
Funciones adicionales de seguridad del producto
Control de acceso basado en roles El acceso a los datos dentro de las aplicaciones de Zendesk está gobernado por el control de acceso basado en roles (RBAC) y se puede configurar para definir privilegios de acceso muy precisos. Zendesk ofrece varios niveles de permisos para los usuarios (dueño, administrador, agente, usuario final, etc.). Más información sobre los roles de usuario:
Consulta los detalles sobre seguridad global y acceso de usuarios aquí.
Restricciones de IP Los productos de Zendesk se pueden configurar de forma que solo permitan el acceso desde intervalos de direcciones IP específicos definidos por el usuario. Estas restricciones se pueden aplicar a todos los usuarios o solamente a los agentes.Más información sobre el uso de restricciones de IP:
Adjuntos privados Puedes configurar tu instancia para obligar a los usuarios a que inicien sesión si desean ver los archivos adjuntos de un ticket. Más información sobre los adjuntos privados.
Firma de correo electrónico (DKIM/DMARC) Zendesk Support ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación, informe y conformidad de mensajes según el dominio) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en la cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.
Seguimiento de dispositivos Zendesk lleva un seguimiento de los dispositivos que se utilizan para iniciar sesión en las cuentas de los usuarios. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, el dispositivo se añade a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se añade un dispositivo nuevo y debe investigar este hecho si la actividad le parece sospechosa. Las sesiones sospechosas pueden cerrarse desde la IU del agente. Más información sobre seguimiento de dispositivos.
Censura de datos confidenciales La censura manual permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets de Support, así como borrar los archivos adjuntos, con el fin de proteger la información confidencial. Los datos se censuran en los tickets desde la IU o la API para evitar que se guarde información confidencial en Zendesk. Más información sobre la censura en la IU o la API.

La censura automática ofrece la capacidad de censurar automáticamente cadenas de números que coinciden con un número de cuenta principal de tarjeta de crédito (CC PAN) válido que pasa una verificación de Luhn tanto en Support como en Chat. Obtén más información sobre la censura automática en Support y en Chat.

Zendesk Support ofrece un campo de tarjeta de crédito compatible con PCI configurable que censura todos los dígitos menos los cuatro últimos. Más información sobre el cumplimiento de Zendesk.
Filtrado de spam para el Centro de ayuda El servicio de filtrado de spam de Zendesk evita la publicación de spam en el Centro de ayuda por parte de los usuarios finales. Más información sobre el filtrado de spam en el Centro de ayuda.

Certificados de cumplimiento y afiliaciones

Cumplimiento de seguridad
SOC 2 Tipo II Nos sometemos a auditorías de seguridad periódicas para recibir informes de SOC 2 Tipo II actualizados, disponibles previa solicitud y después de firmar un acuerdo de confidencialidad. Si deseas más información escribe a security@zendesk.com.
ISO 27001:2013 Zendesk cuenta con la certificación ISO 27001:2013. El certificado puede descargarse aquí
ISO 27018:2014 Zendesk cuenta con la certificación ISO 27018:2014. El certificado puede descargarse aquí
Afiliaciones
Skyhigh Enterprise-Ready Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Se le concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.
Cloud Security Alliance Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro cuya misión es fomentar el uso de buenas prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.

El cuestionario CAI de CSA puede descargarse aquí.
Certificaciones de privacidad
Programas de certificación de privacidad TRUSTe® Zendesk ha demostrado que nuestros programas, políticas y prácticas de privacidad cumplen con los requisitos del Escudo de privacidad de la UE y EE. UU. y el de Suiza y EE. UU. Estas empresas han autocertificado su participación en el Escudo de privacidad con el Departamento de Comercio de los Estados Unidos en https://www.privacyshield.gov/list. TRUSTe verifica el cumplimiento con el Escudo de privacidad en consonancia con los requisitos del principio de verificación complementario del Escudo de privacidad.
Certificación del Escudo de privacidad de la UE y EE. UU. y de Suiza y EE. UU. Zendesk ha obtenido la certificación de cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU. Además, la empresa ha sido incluida en la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio estadounidense. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales de Europa y Suiza a los Estados Unidos.Más información sobre el Escudo de privacidad.
Política de privacidad Más información sobre la política de privacidad de Zendesk.
CUMPLIMIENTO DE NORMAS DEL SECTOR
HIPAA Ayudamos a nuestros clientes a cumplir con las obligaciones de la HIPAA mediante las opciones de configuración de seguridad apropiadas en los productos de Zendesk. Asimismo, ponemos a disposición de los suscriptores nuestro Business Associate Agreement (BAA) para su ejecución.

*El BAA solo está disponible con la compra del complemento Seguridad avanzada y es aplicable únicamente a ciertos productos de Zendesk (se aplican reglas de configuración especial).
PCI Consulta el informe técnico sobre el cumplimiento de las normas de la industria de tarjetas de pago (PCI) o infórmate sobre el campo de conformidad con la industria de tarjetas de pago (PCI) para Zendesk Support.

*Se requiere una cuenta Enterprise.
Si deseas información sobre nuestra Certificación de conformidad (AoC) con PCI y nuestro Certificado de cumplimiento, escribe a security@zendesk.com.

Seguridad de recursos humanos

Conciencia de seguridad
Políticas Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Estas políticas están a disposición de todos los empleados y los contratistas con acceso a los recursos de información de Zendesk.
Formación Todos los empleados asisten a un curso de formación en seguridad cuando se incorporan a la empresa y posteriormente cada año. Todos los ingenieros asisten cada año a un curso de formación en programación segura. Además, el equipo de seguridad ofrece actualizaciones concernientes a la toma de conciencia en materia de seguridad, ya sea por correo electrónico, en publicaciones en blogs y en presentaciones en eventos internos.
Investigación de empleados
Verificación de antecedentes Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes penales, la educación y el historial de empleo. También se aplican al personal de limpieza.
Acuerdos de confidencialidad Todos los empleados nuevos deben firmar acuerdos de no divulgación y de confidencialidad.

Recursos de seguridad descargables

Hasta nuestros recursos están protegidos. Para tener acceso, rellena el formulario siguiente.

Escribe tu nombre
Escribe tus apellidos
Escribe una dirección de correo electrónico válida
Selecciona tu país

Casi hemos terminado. Solo háblanos un poco de tu compañía.

Escriba el nombre de su empresa
Selecciona el número de empleados
Seleccione el sector en el que trabaja
También deseo recibir correos electrónicos esporádicos de productos y servicios de Zendesk. (Puedes cancelar la suscripción en cualquier momento).
Selecciona una opción

Tu solicitud se ha enviado correctamente.

Uno de nuestros representantes contactará contigo pronto.

Lo sentimos, algo no ha funcionado bien.

Vuelve a cargar la página e inténtalo de nuevo, o bien envíanos un correo electrónico directamente a support@zendesk.com.

Estamos enviando tu solicitud... espera un momento

Si necesitas acceso al informe SOC 2, envíanos un correo electrónico a security@zendesk.com.