Servicio al cliente seguro

Garantice su seguridad y cumplimiento

Zendesk se toma muy en serio la seguridad; basta con observar el número de empresas de las listas de Fortune 100 y de Fortune 500 que nos confían sus datos. Utilizamos una combinación de características de seguridad a nivel empresarial y exhaustivas auditorías de nuestras aplicaciones, sistemas y redes, para asegurarnos de que sus datos están siempre protegidos, y con ello que cada cliente puede descansar tranquilo, los nuestros incluidos.

Certificaciones de cumplimiento y afiliaciones

Zendesk recurre a las mejores prácticas y estándares del sector para lograr el cumplimiento de los marcos de privacidad y seguridad generales aceptados en el sector. Esto a su vez ayuda a nuestros suscriptores a cumplir sus propias exigencias de cumplimiento.

Cumplimiento de seguridad
SOC 2 Tipo II

Nos sometemos a auditorías rutinarias para recibir informes SOC 2 Tipo II, disponibles previa solicitud y sujetos a un AND [Acuerdo de no divulgación]. Solicitar el último informe SOC 2 Tipo II.

ISO 27001:2013

Zendesk cuenta con el certificado ISO 27001:2013. Descargar el certificado.

ISO 27018:2014

Zendesk cuenta con el certificado ISO 27018:2014. Puede descargarse el certificado aquí.

FedRAMP LI-SaaS

Zendesk cuenta con la autorización FedRAMP con Software como servicio de bajo impacto (Low Impact Software-as-a-Service, LI-SaaS) y figura en la lista de FedRAMP Marketplace. Los suscriptores a agencias gubernamentales de EE. UU. pueden solicitar acceso al Paquete de seguridad FedRAMP d Zendesk cumplimentando un Formulario de solicitud de acceso a paquete o enviando una solicitud a fedramp@zendesk.com.

Cumplimiento de las normas del sector
PCI-DSS

Zendesk Support ofrece un campo para tarjetas bancarias configurable y conforme a PCI que oculta todas las cifras menos las cuatro últimas. Obtenga más información sobre la conformidad a PCI por parte de Zendesk.

Afiliaciones
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk recibió el McAfee CloudTrust Program. El programa presenta el sello McAfee Enterprise-Ready únicamente para los servicios que tengan la evaluación CloudTrust™ más elevada posible. Estos se encuentran entre los servicios que han obtenido el CloudTrust™ de McAfee y una evaluación de McAfee Enterprise-Ready basada en sus atributos en las categorías de datos, usuario y dispositivo, seguridad, empresa y evaluación legal.

Cloud Security Alliance (CSA)

Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en el ámbito de la informática en la nube. CSA ha publicado el Registro de Seguridad, Confianza y Garantía (Security, Trust Assurance Registry, STAR), un registro accesible públicamente que documenta los controles de seguridad de diversas ofertas de informática en la nube. Con base en los resultados de nuestra autoevaluación de diligencia debida, Zendesk completó un Cuestionario de Iniciativa de Evaluación de Consenso (Consensus Assessment Initiative, CAI), que se encuentra disponible públicamente.

El CSA CAIQ está disponible aquí.

IT-ISAC

Zendesk es miembro de IT-ISAC, un grupo centrado en conformar un variado conjunto de empresas del sector privado que hagan uso de la tecnología evolutiva y tengan un compromiso común por la seguridad. IT-ISAC permite la colaboración y el intercambio de información pertinente, analítica y explotable sobre amenazas y prácticas. Moderan grupos de intereses especiales que se centran en la Inteligencia, las amenazas internas, la seguridad física y demás áreas concretas que ayudan a fomentar nuestro cometido de proteger a Zendesk.

FIRST

Zendesk es miembro de FIRST, una confederación internacional de equipos de respuesta a incidentes que gestionan de forma cooperativa los incidentes de seguridad informática y promueve programas de prevención de incidentes. Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías, procesos y mejores prácticas. Como miembro de FIRST, la Seguridad de Zendesk trabaja con otros miembros para usar sus conocimientos, competencias y experiencia de forma conjunta para promocionar un entorno electrónico global más seguro y protegido.

Sistema de cualificaciones de servicios financieros (Financial Services Qualifications System, FSQS)

Zendesk ha satisfecho todos los requisitos (Fase 1 y Fase 2) para constar como totalmente registrado en el sistema de cualificación de proveedores FSQS (Financial Services Qualification System [Sistema de cualificación de servicios financieros]), conforme a lo establecido por las organizaciones compradoras participantes. Solicite el último Certificado FSQS aquí.

Más detalles sobre FSQS https://hellios.com/fsqs/.

Artefactos

Podemos ofrecer recursos adicionales previa solicitud.

Recursos de descarga directa (sin AND)

Certificados ISO 27001:2013

Certificado ISO 27018:2014

Informa SOC 3

Hoja de datos / Documento técnico

Declaración de cumplimiento PCI y Certificado de cumplimiento

Diagramas de arquitectura de red

  • Soporte/Guide
  • Chat
  • Talk

CSA CAIQ

Registro de riesgos

FSQS (Financial Services Qualification System)

Obtener recursos
Recursos de AND

Los recursos siguientes pueden requerir un AND en archivo. Haga clic en el botón para obtener acceso.

Certificado de seguro

Informe SOC 2 Tipo II

Resumen de prueba de penetración anual

Resumen de prueba de continuidad de la actividad y recuperación ante desastres

SIG Lite

VSA

HECVAT Lite

Los suscriptores actuales pueden acceder a estos recursos en la Admin UI:

Seguridad de la nube

Seguridad física del centro de datos
Instalaciones

Zendesk alberga Datos de servicio principalmente en centros de datos de AWS que cuentan con el certificado ISO 27001, Proveedor de servicio PCI DSS nivel 1 y/o son conformes a SOC 2. Más información sobre Cumplimiento en AWS.

Los servicios de infraestructura de AWS incluyen alimentación de seguridad, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y en última instancia sus datos. Más información sobre controles de centros de datos en AWS.

Seguridad in situ

La seguridad in situ de AWS incluye aspectos como guardias de seguridad, vallado, cadenas de seguridad, tecnología de detección de intrusión y demás medidas de seguridad. Más información sobre la seguridad física de AWS.

Localización de alojamiento de datos

Zendesk hace uso de centros de datos de AWS en Estados Unidos, Europa y Asia del Pacífico. Más información sobre Localizaciones de alojamiento de datos para sus Datos de servicio Zendesk.

Zendesk ofrece múltiples elecciones de localización de datos, incluidos los Estados Unidos (EE. UU.), Australia (AU), Japón, (JP) o el Espacio Económico Europeo (EEE). Para mayor información sobre las ofertas de producto, de plan y regionales, puede consultar nuestra Política de alojamiento de datos regional.

Seguridad del proveedor

Zendesk minimiza los riesgos asociados a proveedores externos mediante revisiones de seguridad de todos los proveedores con cualquier nivel de acceso a nuestros sistemas o datos de servicio.

Seguridad de red
Equipo de Seguridad específico

Nuestro Equipo de Seguridad distribuido a nivel mundial está disponible las 24 horas y los 7 días de la semana para responder a alertas y eventos de seguridad.

Protección

Nuestra red está protegida a través del uso de servicios de seguridad clave de AWS, de la integración con nuestras redes de protección de perímetro de Cloudflare, auditorías frecuentes y tecnologías de información de red, que supervisan y/o bloquean el tráfico malicioso conocido y los ataques de red.

Nuestra arquitectura de seguridad de red consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como servidores de bases de datos, están protegidos en nuestras zonas de mayor confianza. Otros sistemas están albergados en zonas proporcionales a su sensibilidad, dependiendo de la función, la clasificación de la información y el riesgo. En función de la zona, se aplicarán controles adicionales de acceso y monitorización de la seguridad. Se utilizan DMZ en Internet e internamente entre las distintas zonas de confianza.

Examen de vulnerabilidad de red

El examen de seguridad de red proporciona un análisis profundo para la identificación rápida de sistemas no conformes o potencialmente vulnerables.

Pruebas de penetración externas

Además de nuestro programa extensivo de análisis y pruebas internas, Zendesk emplea cada año a expertos de seguridad externos para que realicen una prueba de penetración amplia en todas las redes tanto de producción como de empresa de Zendesk.

Gestión de eventos de incidentes de seguridad

Nuestro sistema de gestión de eventos de incidentes de seguridad (Security Incident Event Management, SIEM) reúne amplios registros de importantes dispositivos de red y de sistemas de alojamiento. El SIEM alerta al Equipo de Seguridad de factores desencadenantes en función de eventos correlacionados para su investigación y respuesta.

Detección y prevención de intrusiones

Los puntos de ingreso y salida del servicio se instrumentan y monitorizan para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan determinados umbrales y usan firmas actualizadas con regularidad basadas en nuevas amenazas. Esto incluye una monitorización del sistema las 24 horas, los 7 días de la semana.

Programa de información de amenazas

Zendesk participa en varios programas de intercambio de información sobre amenazas. Supervisamos las amenazas publicadas en esas redes de información sobre amenazas y adoptamos medidas en función de los riesgos.

Mitigación de DDoS

Zendesk ha concebido un enfoque multicapa para la mitigación de DDoS. Una cooperación tecnológica esencial con Cloudflare ofrece defensas para el perímetro de red, mientras que el uso de las herramientas de escalabilidad y protección de AWS proporcionan una protección más profunda junto con nuestro uso de servicios específicos de DDoS de AWS.

Acceso lógico

El acceso a la red de producción de Zendesk se limita a una necesidad de conocimiento explícita, utiliza el enfoque de privilegio mínimo, se somete a auditorías y supervisiones frecuentes y está controlado por nuestro Equipo de Operaciones. Los empleados que acceden a la red de producción de Zendesk tienen que usar múltiples factores de autenticación.

Respuesta a incidentes de seguridad

En caso de alerta del sistema, los eventos se remiten a nuestros equipos activos las 24 horas y los 7 días de la semana, que ofrecen cobertura en operaciones, ingeniería de redes y seguridad. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de remisión.

Cifrado
Cifrado en tránsito

Todas las comunicaciones con UI y las API de Zendesk están cifradas mediante HTTPS/TLS (TLS 1.2 o mayor) estándar del sector en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk esté protegido durante su tránsito. Para el correo electrónico, nuestro producto además hace uso de un TLS oportunista por defecto. El protocolo de seguridad de la capa de transporte (Transport Layer Security, TLS) cifra y entrega el correo electrónico de forma segura, mitigando el entrometimiento entre servidores de correo cuando servicios homólogos den soporte a este protocolo. Las excepciones de cifrado pueden incluir cualquier uso de la funcionalidad SMS en el producto, otra aplicación o integración de terceros, o bien los suscriptores de servicio pueden optar por hacer uso de ello según su propio criterio.

Cifrado en reposo

Los datos de servicio están cifrados en reposo en AWS mediante el cifrado clave AES-256.

Disponibilidad y continuidad
Tiempo de disponibilidad

Zendesk mantiene una página web de estado del sistema disponible públicamente, que incluye detalles de la disponibilidad del sistema, el mantenimiento previsto, el historial de incidencias de servicio y sucesos relevantes de seguridad.

Redundancia

Zendesk emplea redundancias de agrupamiento de servicios y redes para eliminar puntos únicos de fallo. Nuestro estricto régimen de copias de seguridad y/o nuestra oferta de servicio de recuperación ante desastres potenciada nos permite ofrecer un alto nivel de disponibilidad de servicio, ya que los datos de servicio se replican a través de zonas de disponibilidad.

Recuperación ante desastres

Nuestro programa de recuperación ante desastres (RD) se asegura de que nuestros servicios permanecen disponibles y son fácilmente recuperables en caso de desastre. Esto se logra gracias a la creación de un robusto entorno técnico, creando planes de recuperación ante desastres y probando actividades.

Recuperación ante desastres potenciada

Nuestro paquete de recuperación ante desastres potenciada añade objetivos contractuales para el objetivo de tiempo de recuperación (Recovery Time Objective, RTO) y objetivo de punto de recuperación (Recovery Point Objective, RPO). A ello se le da soporte con nuestra capacidad de priorizar operaciones de los suscriptores de recuperación ante desastres potenciada durante cualquier acontecimiento de desastre declarado.

Obtenga más información sobre Garantías de recuperación ante desastres.

Seguridad de la aplicación

Desarrollo de seguridad (SDLC)
Controles de seguridad del marco

Zendesk hace uso de marcos de código abierto modernos y seguros con controles de seguridad para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles inherentes reducen nuestra exposición a SQL Injection (SQLi), Cross Site Scripting (XSS), y Cross Site Request Forgery (CSRF), entre otros.

Garantía de calidad

Nuestra área de Garantía de calidad (Quality Assurance, QA) revisa y prueba nuestro código base. Los ingenieros que se dedican a la seguridad de las aplicaciones detectan, prueban y filtran vulnerabilidades de seguridad en código.

Entornos separados

Los entornos de prueba y de simulación están lógicamente separados del entorno de producción. No se usan datos de servicio en nuestros entornos de desarrollo o de prueba.

Gestión de vulnerabilidad
Examen dinámico de vulnerabilidad

Recurrimos a herramientas de seguridad externas para examinar continua y dinámicamente nuestras aplicaciones centrales en relación con riesgos comunes de seguridad en aplicaciones web, incluidos, a modo de ejemplo, los 10 mayores riesgos de seguridad de OWASP. Contamos con un equipo de seguridad de productos interno que realiza pruebas y trabaja con equipos de ingeniería a fin de subsanar cualquier problema que se detecte.

Análisis de composición de software

Examinamos las bibliotecas y dependencias utilizadas en nuestros productos para detectar vulnerabilidades y asegurarnos de que estas se gestionan.

Pruebas de penetración externas

Además de nuestro extensivo programa interno de pruebas y exámenes, Zendesk emplea a expertos en seguridad externos para realizar pruebas de penetración detalladas en distintas aplicaciones dentro de nuestra familia de productos.

Divulgación responsable / Programa de recompensas por detección de errores

Nuestro Programa de divulgación responsable ofrece a los investigadores en seguridad, así como a los suscriptores, un bulevar para probar de forma segura y notificar a Zendesk vulnerabilidades de seguridad a través de nuestra cooperación con HackerOne.

Seguridad de producto

Seguridad de autenticación
Opciones de autenticación

Zendesk ofrece varias opciones de autenticación: los suscriptores pueden activar la autenticación Zendesk nativa, el inicio de sesión único (single sign-on, SSO) mediante redes sociales (Facebook, Twitter, Google) y/o SSO de empresa (SAML, JWT) para la autenticación de usuarios finales y/o agentes. Más información sobre el acceso del usuario.

Política de contraseña configurable

La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece los siguientes niveles de seguridad de contraseña: bajo, medio y alto, así como el establecimiento de reglas de contraseña a medida para agentes y administradores. Zendesk también permite distintos niveles de seguridad de contraseña que aplicar a usuarios finales respecto de agentes y administradores. Solo los administradores pueden cambiar el nivel de seguridad de contraseña. Más información sobre políticas de contraseñas configurables.

Autenticación de 2 factores (2FA)

La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece doble factor (2FA) para agenes y administradores a través de SMS o una aplicación de autenticación. Más información sobre 2FA.

Almacenamiento de credenciales de servicio

Zendesk respeta las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible para humanos, sino solo cifradas de manera aleatorizada, segura y unidireccional.

Características de seguridad de producto adicionales
Controles de acceso por función

El acceso a datos en las aplicaciones Zendesk está regido por el control de acceso por función (role-based access control, RBAC) y puede configurarse para definir privilegios de acceso detallados. Zendesk admite varios niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).

Más información sobre funciones de usuario:

Detalles sobre seguridad global y acceso del usuario

Limitaciones de IP

Cualquier cuenta de Zendesk puede limitar el acceso a su soporte Zendesk a usuarios dentro de un rango específico de direcciones IP. Solo podrán registrarse en su cuenta Zendesk los usuarios procedentes de las direcciones IP permitidas. Puede permitir que los suscriptores (no agentes ni administradores) se salten esta limitación. Para mayor información, consulte Limitar el acceso al soporte de Zendesk y a su centro de ayuda mediante limitaciones de IP y Limitar el acceso al chat según la IP.

Certificados de cifrado alojado para centro de ayuda (TLS)

Zendesk ofrece cifrado TLS gratuito para centros de ayuda Guide con alojamiento mapeado. Zendesk utiliza Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que caduque.

También puede subir su propio certificado, si así lo decide.

Para mayor información sobre el establecimiento de certificados de cifrado para un centro de ayuda Guide, consulte Establecer un certificado de cifrado TLS alojado.

Limitaciones de archivos en chats

Zendesk Chat ofrece la posibilidad de limitar qué tipos de archivos se envían a los agentes. De forma alternativa, puede optar por desactivar totalmente el envío de archivos a través del chat. Para saber más sobre esta función, consulte Gestionar el envío de archivos en el chat en directo.

Registros de auditoría

Zendesk ofrece Registros de auditoría a cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios de cuenta, cambios de usuario, cambios de aplicación, reglas profesionales, supresión de tickets y configuraciones. El Registro de auditoría está disponible tanto en el Centro de administración como en la API de soporte. Para saber más sobre los Registros de auditoría y ver qué información está disponible en el registro, consulte Ver cambios en el registro de auditoría.

Adjuntos privados

Los suscriptores pueden configurar su instancia de modo que los usuarios tengan que iniciar sesión para visualizar los adjuntos de tickets. Más información sobre Adjuntos privados.

Ocultación

Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles: La ocultación manual ofrece la posibilidad de ocultar o retirar datos sensibles en comentarios de tickets de soporte, y suprimir de forma segura adjuntos, de modo que pueda proteger la información confidencial. Los datos se ocultan de tickets a través de la UI o la API para impedir que se almacene información sensible en Zendesk. Más información sobre la ocultación a través de UI o API.

La ocultación automática permite ocultar automáticamente los números de tarjetas bancarias en los tickets que envíe el suscriptor. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. También se ocultan en los registros y entradas en bases de datos. Para saber más sobre cómo activar esta función y cómo se detectan los números de tarjetas bancarias, consulte ocultación automática de números de tarjetas bancarias en tickets y en chats.

Filtrado de spam en el centro de ayuda en Guía

El servicio de filtrado de spam de Zendesk puede usarse para prevenir las publicaciones indeseadas de usuarios finales en su centro de ayuda Guide. Más información sobre filtrado de spam en Guía.

Firma de correo electrónico (DKIM/DMARC)

Zendesk ofrece DKIM (Domain Keys Identified Mail [Correo de identificación de claves de dominio]) y DMARC (Domain-based Message Authentication, Reporting, & Conformance [Autenticación, notificación y conformidad de mensaje a partir del dominio]), para firmar correos electrónicos salientes y procedentes de Zendesk cuando tenga que establecer un dominio de correo electrónico externo en su Zendesk. Utilizar un servicio de correo electrónico que dé soporte a estas características le ayuda a detener la suplantación de identidad en correos electrónicos. Más información sobre la firma digital de su correo electrónico.

Seguimiento de dispositivos

Zendesk rastrea los dispositivos usados para conectarse a cada cuenta de usuario. Cuando alguien se conecta a una cuenta desde un dispositivo nuevo, se añade a la lista de dispositivos en el perfil de ese usuario. Ese usuario puede obtener una notificación por correo electrónico cuando se añade un nuevo dispositivo, y debería darle seguimiento si la actividad tiene aspecto sospechoso. Las sesiones sospechosas pueden ser objeto de interrupción a través del UI del agente. Más información sobre el seguimiento de dispositivos.

Seguridad de RR. HH.

Concienciación sobre seguridad
Políticas

Zendesk ha desarrollado un exhaustivo conjunto de políticas de seguridad que cubren una amplia variedad de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.

Formación

Todos los empleados asisten a una Formación de concienciación sobre seguridad, que se imparte tras la contratación y con carácter anual en lo sucesivo. Todos los ingenieros reciben una Formación de código seguro anual. El Equipo de Seguridad ofrece actualizaciones adicionales en materia de concienciación sobre seguridad por correo electrónico, en publicaciones de blogs y en presentaciones durante eventos internos.

Verificación de credenciales de empleados
Comprobaciones de antecedentes

Zendesk lleva a cabo comprobaciones de antecedentes de todos los nuevos empleados de acuerdo con las leyes locales. Estas comprobaciones también son necesarias para los contratistas. Las comprobaciones de antecedentes incluyen verificaciones de carácter penal, formativo y laboral. Los equipos de limpieza también están incluidos.

Acuerdos de confidencialidad

Todos los nuevos empleados tienen que firmar acuerdos de no divulgación y de confidencialidad.

Bienvenido al Programa global de privacidad de Zendesk

Zendesk cuenta con un programa global y formal en materia de privacidad y protección de datos, que incluye a partes implicadas clave de diversas funciones, como los ámbitos Jurídico, de Seguridad, de Producto y Ejecutivo dentro de la empresa. En calidad de defensores de la privacidad, trabajamos diligentemente para garantizar que nuestros servicios y los miembros de cada equipo se centran en el cumplimiento de los marcos reglamentarios y sectoriales correspondientes.

Cumplimiento.

Ley de privacidad australiana de 1998 y Principios de privacidad

La Ley de privacidad australiana de 1998 (según sus modificaciones) ofrece varios derechos al interesado y la notificación obligatoria de determinadas violaciones de la seguridad de los datos. A diferencia del RGPD, no existen los conceptos de responsable y encargado del tratamiento de los datos. https://www.zendesk.com/company/anz-privacy/

Adenda a la Lei Geral de Proteção de Dados Pessoais (LGPD) de Brasil.

La Ley General de Protección de Datos brasileña o Lei Geral de Proteção de Dados Pessoais (“LGPD”) entró en vigor el 18 de septiembre de 2020. La LGPD es una ley exhaustiva en materia de protección de datos que cubre las actividades de los responsables y de los encargados del tratamiento y ofrece derechos a las personas físicas.

Los suscriptores de Zendesk que recogen y almacenan datos personales en servicios Zendesk pueden ser considerados “responsables del tratamiento” a tenor de la LGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la LGPD. Zendesk actúa como “encargado del tratamiento”, del modo en que se define dicho término en la LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios.

Los suscriptores pueden consultar nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información más detallada sobre cómo usar productos de Zendesk y ajustarse a las iniciativas de cumplimiento. La Autoridad Nacional de Protección de Datos (National Authority for Protection Data, “ANPD”) puede pronunciar orientaciones adicionales para la LGPD en el futuro. Zendesk seguirá haciendo un seguimiento activo de la ley y continuaremos manteniendo al corriente a nuestros suscriptores sobre características y funcionalidades que pueden usar para facilitar sus esfuerzos de cumplimiento.

Si desea consultar y/o formalizar la Adenda sobre la LGPD al Acuerdo de suscripción general de Zendesk, puede hacer clic aquí. El Acuerdo de suscripción general de Zendesk incluye “Condiciones específicas por región”, en concreto una sección para Brasil.

Anexo de la Ley de Privacidad del Consumidor de California (CCPA).

La Ley de privacidad del consumidor de California(California Consumer Privacy Act, “CCPA”), Código Código Civil apdos. 1798.100 y ss. (“CCPA”) es una ley de EE. UU. promulgada en el Estado de California que entró en vigor el 1 de enero de 2020. Aborda los derechos de privacidad que asisten a ciertos consumidores de California y exige a ciertas empresas que cumplan con diversos requisitos en materia de protección de datos. Consulte igualmente el Reglamento de la CCPA final y la Ley de derechos de privacidad de California (California Privacy Rights Act, “CPRA”). Algunas disposiciones de la CPRA entraron en vigor el 16 de diciembre de 2020, mientras que las disposiciones restantes de la CPRA cobrarán efecto a partir del 1 de enero de 2023.

Los suscriptores de Zendesk que recogen y almacenan información personal en servicios Zendesk pueden ser considerados “Empresas” a tenor de la CCPA. Las Empresas asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la CCPA. Zendesk actúa como “Proveedor de servicio”, del modo en que se define dicho término en la versión actual de la CCPA, con respecto al tratamiento de información personal a través de nuestros servicios. Así pues, Zendesk recopila, accede, conserva, usa, trata y transfiere la información personal de nuestros suscriptores y de los usuarios finales de nuestros suscriptores tratada a través de los Servicios únicamente con el fin de ejecutar nuestras obligaciones en virtud de nuestros contratos existentes con los suscriptores, y con ningún otro fin comercial al margen de la ejecución de dichas obligaciones y de la mejora de los Servicios que suministramos.

No “vendemos” la información personal de nuestros suscriptores conforme se define en la CCPA. Puede que compartamos información agregada y/o anonimizada con respecto al uso de los Servicios, la cual no se considera información personal al amparo de la CCPA, ayudándonos terceros a desarrollar y mejorar los Servicios y a ofrecer a nuestros suscriptores un contenido y ofertas de servicios más pertinentes, como se detalla en nuestros contratos de suscriptor.

Puede consultar y/o formalizar la Adenda sobre la CCPA al Acuerdo de suscripción general de Zendesk aquí.

Ley de protección de la información personal y de documentos electrónicos (PIPEDA)

La Ley de protección de la información personal y de documentos electrónicos (Personal Information Protection and Electronic Documents Act, PIPEDA) de Canadá entró en vigor en 2000 y se centra en diez principios justos de la información que conforman las reglas de recopilación, utilización, acceso y divulgación de información personal. En octubre de 2021, la International Technology Association of Canada y el Information Technology Industry Council sugirieron cambios a la PIPEDA para ofrecer mayores derechos en materia de privacidad y transparencia a los ciudadanos canadienses.

Acuerdo de tratamiento o procesamiento de datos (APD)

Puede consultar y/o formalizar el APD de Zendesk aquí. El APD de Zendesk cubre las actividades de tratamiento específicas y las medidas de seguridad aplicables a nuestros servicios.

Los suscriptores pueden leer nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información detallada sobre cómo usar productos de Zendesk para asistir en el cumplimiento de las leyes de protección de datos y privacidad.

Reglamento General de Protección de Datos europeo (RGPD)

Desde nuestro inicio, el enfoque de Zendesk se ha asentado en un sólido compromiso con la privacidad, la seguridad, el cumplimiento y la transparencia. Este enfoque incluye asistir en el cumplimiento por parte de nuestros suscriptores de los requisitos de la UE en materia de protección de datos, como los establecidos en el Reglamento General de Protección de Datos (“RGPD”).

Si un suscriptor recoge, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD exige al suscriptor que use encargados del tratamiento externos que garanticen su capacidad para implementar los requisitos técnicos y organizativos del RGPD. Para ganarnos una mayor confianza de nuestros suscriptores, nuestro Acuerdo de tratamiento de datos (“ATD”) ha sido actualizado para ofrecer a nuestros clientes compromisos contractuales relativos a nuestro cumplimiento de la legislación correspondiente de la UE en materia de protección de datos y para implementar disposiciones contractuales adicionales que exija el RGPD.

Normas corporativas vinculantes (Binding Corporate Rules, BCR): Las Normas corporativas vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos a nivel de empresa aprobadas por las autoridades de protección de datos europeas para facilitar las transferencias intragrupo de datos personales desde el Espacio Económico Europe (“EEE”) hasta países ajenos al mismo. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la UE y requieren una consulta intensiva con dichas autoridades. Los suscriptores pueden consultar las entidades que cuentan con aprobación en la Lista de aprobación de Normas corporativas vinculantes aquí. En 2017, Zendesk completó el proceso de aprobación de la UE ante el Comisionado de Protección de Datos (Data Protection Commissioner, “DPC”) irlandés (revisado por pares tanto en la Oficina del Comisionado para la Información del Reino Unido como en la Autoridad de Protección de Datos holandesa) respecto de las BCR y tanto en calidad de encargado como de responsable del tratamiento de los datos. Esta importante aprobación reglamentaria validó la implementación de Zendesk de los niveles más altos posibles para proteger los datos personales globalmente, cubriendo tanto los datos personales de sus clientes como de sus empleados. Zendesk es una de las primeras empresas de software en el mundo en haber recibido la aprobación para sus BCR; y fue la segunda empresa en la historia en recibir aprobación de la DPC irlandesa.

Para acceder a las BCR de Zendesk, puede consultar:
Las Normas corporativas vinculantes de encargado del tratamiento de Zendesk son de aplicación cuando Zendesk trata datos personales en nombre de sus clientes
y
las Normas corporativas vinculantes globales de responsable del tratamiento de Zendeskque son de aplicación cuando Zendesk trata datos personales sobre los cuales es el responsable del tratamiento.

Solicitudes de interesados: Una persona física que pretenda ejercer sus derechos de protección de datos con respecto a datos personales que almacenemos o tratemos en nombre de un suscriptor nuestro dentro de los Datos de servicio del suscriptor (como, por ejemplo, con intención de acceder a, corregir, modificar, suprimir, transportar o limitar el tratamiento de dichos datos personales) debe dirigir tal consulta a nuestro suscriptor (el responsable del tratamiento). Tras recibir de uno de nuestros suscriptores la solicitud de que retiremos datos personales de Zendesk, responderemos a tal petición en un plazo de treinta (30) días. Conservaremos los datos personales que tratamos y almacenamos en nombre de nuestros suscriptores durante el tiempo necesario para proporcionar los Servicios a nuestros suscriptores.

Delegado de protección de datos: Puede contactar con el delegado de protección de datos de Zendesk (“DPD”) en euprivacy@zendesk.com.

Escudo de privacidad: El Departamento de Comercio de EE. UU., junto con la Comisión Europea y el Gobierno suizo, crearon los Marcos de Escudo de Privacidad UE-EE .UU. y Suiza-EE. UU. (“Escudo de privacidad”) para ofrecer a las empresas un mecanismo mediante el cual transferir datos personales de la Unión Europea a los Estados Unidos con un nivel adecuado de protección a efectos de la legislación europea de protección de datos. Zendesk cuenta con el certificado de cumplimiento del Marco del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. del Departamento de Comercio de EE. UU. y ha sido añadida a la lista del Departamento de Comercio de participantes autocertificados del Escudo de privacidad. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de datos personales europeos y suizos a los Estados Unidos.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) emitió un fallo en el que invalidaba el programa de Escudo de privacidad UE-EE. UU.. Entendemos que quizá tenga preguntas en torno a la invalidación del Escudo de privacidad y la posición de Zendesk en relación con el mismo, así que hemos publicado este artículo de blog para orientarle en sus consultas.

Alojamiento de datos de salud (Hébergeur de Données de Santé, HDS) en Francia

HDS permite a los proveedores de atención sanitaria en Francia utilizar el servicio al cliente y la plataforma de interacción de Zendesk con confianza en que nuestra plataforma ha implantado las medidas técnicas y de gobernanza apropiadas para proteger la información personal sanitaria (Personal Health Information, PHI). Dispone de más información aquí.

Ley de privacidad de Nueva Zelanda de 2020 y sus Principios de privacidad de la información

La Ley de privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020, se aplica a las agencias y mantiene el marco de principios establecido en la Ley de 1993. La Ley de 2020 establece que las organizaciones son responsables de garantizar que la información personal que se envía fuera de Nueva Zelanda está protegida adecuadamente y añade requisitos de notificación obligatoria de infracciones. https://www.zendesk.com/company/anz-privacy/

Ley de protección de datos personales de Singapur (Personal Data Protection Act, PDPA)

La Ley de protección de datos personales de Singapur establece leyes de protección de datos que rigen la recogida, utilización y divulgación de datos personales y está en vigor desde el 2 de julio de 2014. Zendesk es un Intermediario de datos en calidad de proveedor de servicios de software como servicio (Software-as-a-Service, “SaaS”) reconocido por la Autoridad de desarrollo de infocomunicaciones (Infocomm Development Authority, IDA) de Singapur. Dispone de más información aquí.

RGPD del Reino Unido y Brexit

El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. El 28 de junio de 2021, la Comisión Europea adoptó ciertas decisiones de adecuación para las transferencias de datos personales al Reino Unido en virtud del RGPD.

Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU. (United States Health Insurance Portability and Accountability Act, HIPAA) y Acuerdo de Asociado Profesional (Business Associate Agreement, BAA)

Para obtener una cuenta conforme con la HIPAA, tiene que (1) comprar el servicio asociado con despliegue de seguridad avanzada o el complemento de servicio asociado con despliegue de cumplimiento avanzado; (2) activar un conjunto de configuraciones de seguridad conforme indique Zendesk; y (3) formalizar nuestro Acuerdo de Asociado Profesional (“BAA”). Para mayor detalle, incluida una lista de qué servicios pueden ser conformes con la HIPAA, consulte Cumplimiento avanzado.

Detalles de datos de servicio del suscriptor

Los datos de servicio consisten en cualquier información, incluidos datos personales, que se almacene o se transmita a través de los Servicios de Zendesk por parte de nuestros suscriptores y sus usuarios finales, u otros terceros en nombre los anteriores. Utilizamos datos de servicio para operar y mejorar nuestros Servicios, ayudar a los clientes a acceder y usar los Servicios, responder a las consultas de suscriptores y enviar comunicaciones relacionadas con los Servicios.

Información adicional

Acceso: Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los clientes a proteger de forma efectiva su información. No accedemos ni usamos contenido de clientes para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley. Consulte aquí para obtener información adicional.

Alojamiento de datos: Zendesk usa Amazon Web Services para alojar los datos de servicio conforme se describe aquí y en la Política de alojamiento de datos regional. Para mayor información, puede consultar también la sección de Seguridad.

Tipos de datos recopilados por defecto por el Servicio: Zendesk ha creado una lista de puntos de datos, categorizados por producto. Para la visión completa de los tipos de datos, los suscriptores pueden usar esta lista en conjunto con su caso de uso previsto específico y los tipos de datos resultantes.

Solicitudes legales o por parte del Gobierno: La privacidad, la seguridad de los datos y la confianza del suscriptor son nuestras prioridades principales. Zendesk no divulga datos de servicio, excepto cuando sea necesario para prestar nuestros servicios y cumplir con las leyes correspondientes, conforme se detalla en nuestra Política de privacidad. Para asistir a nuestros suscriptores en la realización de revisiones del cumplimiento, contamos con recursos adicionales: Informe de transparencia y Política sobre solicitudes por parte del Gobierno.

Titularidad: Desde el punto de vista de la privacidad, el suscriptor es el responsable del tratamiento de los datos de servicio y Zendesk es el encargado del tratamiento. Esto significa que durante el tiempo que usted esté suscrito a los servicios con Zendesk, usted conserva la titularidad y el control de los datos de servicio en su instancia Zendesk.

Replicación: Zendesk replica periódicamente los datos a efectos de archivo, copia de seguridad y registros de auditoría. Usamos Amazon Web Services (AWS) para almacenar parte de la información que se copia por seguridad, como información de bases de datos y archivos adjuntos. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle.

Seguridad: Zendesk prioriza la seguridad de los datos y combina aspectos de la seguridad a nivel de empresa con exhaustivas auditorías de nuestras aplicaciones, sistemas y redes para asegurarse de que se protegen los datos de suscriptores y empresas. Consulte información adicional aquí.

Incidentes de seguridad: Para mayor información sobre la gestión de incidentes de seguridad, consulte nuestra Respuesta a incidentes de seguridad.

Subencargados: Zendesk puede usar subencargados, como filiales de Zendesk, así como empresas terceras, para suministrar, proteger o mejorar los Servicios, y dichos subencargados quizá tengan acceso a los datos de servicio. Nuestra Política de subencargados del tratamiento ofrece una lista actualizada de los nombres y ubicaciones de todos los subencargados del tratamiento.

Rescisión: Zendesk mantiene una Política de supresión de datos de servicio que describe los procesos de supresión de datos de Zendesk tras la rescisión o el vencimiento de la suscripción con Zendesk del correspondiente suscriptor.

Políticas relativas a la privacidad

Políticas
Política de cookies y Política de cookies en producto

Zendesk y los terceros autorizados pueden usar cookies y demás tecnologías de recopilación de información para diversos fines. Para obtener información detallada sobre el uso de cookies y otras tecnologías de seguimiento, puede consultar las políticas siguientes:

Política de supresión de datos de servicio
Política de privacidad

Describe cómo Zendesk recopila, utiliza, comparte y protege los datos personales.

Modelo de responsabilidad compartida

Funciones de aplicaciones relacionadas con la privacidad

Herramientas de privacidad y protección de datos

Zendesk cuenta con herramientas para que cada uno de sus productos asista en las solicitudes de los usuarios y demás obligaciones en virtud de las correspondientes leyes y normativas de privacidad y protección de datos, como el acceso, la corrección, la portabilidad, la supresión y la oposición con respecto a los datos. Para mayor información sobre las características y funcionalidades de cada producto Zendesk, consulte Cumplimiento de la privacidad y la protección de datos en productos Zendesk.

Gestión de acceso

Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los suscriptores a proteger de forma efectiva su información. No accedemos ni usamos datos de suscriptores para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley aplicable. Dispone de información adicional aquí.

Certificaciones

Zendesk ha logrado un número de certificaciones y acreditaciones de reconocimiento internacional que demuestran su cumplimiento de marcos de garantía externos. Las certificaciones de seguridad se describen aquí.

Localización de alojamiento de datos

Los suscriptores que compren el Servicio asociado con despliegue de localización de centro de datos (“Complemento de localización de centro de datos”), o que tengan la funcionalidad de Localización de centro de datos en su Plan de servicio, tienen la posibilidad de seleccionar la región que alojará sus datos de servicio de una lista de regiones disponibles que facilita Zendesk.

Privacidad por diseño

Zendesk cuenta con un sólido programa global de privacidad y protección de datos, que adopta un enfoque unificado de la gestión de la privacidad y la información para dar a los clientes flexibilidad de cara a gestionar los datos personales que se encuentran en los sistemas de Zendesk. Para obtener más detalles, consulte nuestras guías de productos: Cumplimiento de la privacidad y la protección de datos en productos Zendesk.

Ocultación / Minimización de datos

Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles:

La ocultación manual ofrece la posibilidad de ocultar o retirar datos sensibles en comentarios de tickets de Soporte, y suprimir de forma segura adjuntos, de modo que pueda proteger la información confidencial. Los datos se ocultan de tickets a través de la UI o la API para impedir que se almacene información sensible en Zendesk. Más información sobre la ocultación a través de UI o API.

La ocultación automática permite la ocultación automática de números de tarjetas bancarias en tickets enviados por agentes o por usuarios finales. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. Los números también se ocultan en los registros y entradas en bases de datos. Aprenda cómo habilitar esta función y cómo se detectan los números de tarjetas bancarias.

Informe de transparencia

Divulgación de datos de servicio: Zendesk solo divulga datos de servicio a terceros cuando la divulgación es necesaria para facilitar o mejorar los servicios o conforme sea necesario para responder a solicitudes legítimas procedentes de autoridades públicas. Consulte nuestra Política sobre solicitudes de datos por parte del Gobierno, así como el Informe de transparencia de Zendesk.

Informe de transparencia

Actualizado a fecha de: 24 de septiembre de 2021.

SOBRE NUESTRO INFORME DE TRANSPARENCIA

Zendesk, como muchas de las empresas de tecnología, recibe ocasionalmente peticiones de agencias de fuerzas del orden en Estados Unidos y otros sitios, que pretenden obtener información personal tratada por Zendesk en nombre de un cliente. Dichas solicitudes pueden adoptar la forma de una citación judicial, una orden judicial, un mandato de registro, un Documento de Seguridad Nacional u órdenes emitidas en virtud de la Ley de vigilancia de la inteligencia extranjera [Foreign Intelligence Surveillance Act]. Zendesk debe cumplir con las solicitudes válidas de información personal por parte del gobierno.

Al mismo tiempo, Zendesk se interesa profundamente por conservar la confianza de nuestros clientes. Una manera de conservar esa confianza es informar a los clientes de Zendesk y al público de las solicitudes gubernamentales válidas. Para ello, hemos preparado este informe de transparencia.

Este informe de transparencia proporciona información relacionada con las solicitudes de datos personales por parte de autoridades de aplicación de la ley que recibimos durante la primera mitad de 2021 (desde el 1 de enero de 2021 hasta el 30 de junio de 2021). Aproximadamente cada seis meses, Zendesk ofrecerá informes actualizados correspondientes al periodo de los seis meses anteriores.

Para mayor información sobre el método de Zendesk para responder a solicitudes de información por parte de autoridades de aplicación de la ley, consulte nuestra Política sobre solicitudes de datos por parte del Gobierno aquí.

Solicitudes de agencias de seguridad de Estados Unidos:

Más información sobre el método de Zendesk para responder a solicitudes de información personal de agencias de seguridad.

Tipo de solicitudNúmero de solicitudesDatos de contenido divulgadosDatos distintos de los de contenido divulgados
Citación judicial404
Orden judicial101
Orden de registro220
Solicitudes ajenas a agencias de seguridad de Estados Unidos:

Aunque Zendesk está situada en Estados Unidos, mantenemos una presencia de empresa en varios países. Cuando recibimos solicitudes de gobiernos ajenos al de EE. UU., trabajamos con abogados estadounidenses y de otros países para determinar la validez de la solicitud y nuestra capacidad de responder con arreglo a las leyes correspondientes, tanto de EE. UU. como otras.

Tipo de solicitudNúmero de solicitudesNúmero de veces que se proporcionaron los datos
Solicitudes informales80
Solicitudes gubernamentales ajenas a EE. UU. de conformidad con un MLAT0N/A
Definiciones

Datos de contenido: Incluyen el contenido de comunicaciones de usuarios finales con una cuenta, como los contenidos de tickets de Soporte de Zendesk y Zendesk Chat. Los datos de contenido suelen considerarse datos de servicio conforme se definen en el Acuerdo de suscripción general a Zendesk.

Datos distintos a los de contenido: Todos los datos que no sean datos de contenido. Pueden incluir Información de cuenta conforme se define en la Política de privacidad de Zendesk (como el nombre y la información de contacto del titular de la cuenta, información de facturación de la cuenta, duración del servicio, tipos de servicios utilizados e información de inicio de sesión en la cuenta). Además, si Zendesk recibe una orden judicial, entonces los datos distintos de los de contenido pueden también incluir metadatos distintos de los de contenido relacionados con comunicaciones de usuarios finales con una cuenta, que constituyen datos de servicio.

Orden judicial: Una orden emitida por un juez tras conclusión que revele motivos razonables para estimar que la información deseada es relevante y sustancial para una investigación penal en curso.

Órdenes FISA: Una orden o solicitud emitida al amparo de la Ley de vigilancia de servicios de inteligencia extranjeros [Foreign Intelligence Surveillance Act] respecto a información de usuario emitida en EE. UU.

Tratado de asistencia legal mutua (Mutual Legal Assistance Treaty, MLAT): Zendesk requiere que las entidades gubernamentales ajenas a EE. UU. usen los procesos legales internacionales apropiados, como el MLAT, para obtener datos de clientes.

Cartas de seguridad nacional: Una carta de seguridad nacional emitida con arreglo al título 18 del Código de EE. UU. (United States Code, U.S.C.), en su apartado 2709

Orden de registro: Una orden dictada por un juez después de que las autoridades de aplicación de la ley encuentren una causa probable de infracción penal. Es necesaria una orden de registro para obtener datos de contenido.

Citación judicial: Un requerimiento obligatorio emitido por una entidad gubernamental para la presentación de documentos en un caso penal (como citaciones para un gran jurado)