Servicio al cliente seguro
Garantice su seguridad y cumplimiento
Zendesk se toma muy en serio la seguridad: solo hay que ver la cantidad de empresas Fortune y Fortune que nos confían sus datos. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes para garantizar la protección de tus datos en todo momento. Así damos tranquilidad a todos nuestros clientes, y ellos a los suyos.
Certificaciones de cumplimiento y afiliaciones
Zendesk recurre a las mejores prácticas y estándares del sector para lograr el cumplimiento de los marcos de privacidad y seguridad generales aceptados en el sector. Esto a su vez ayuda a nuestros suscriptores a cumplir sus propias exigencias de cumplimiento.
Cumplimiento de seguridad
SOC 2 Tipo II
Nos sometemos a auditorías de seguridad periódicas para recibir informes de SOC Tipo II actualizados, disponibles previa solicitud y después de firmar un acuerdo de confidencialidad. Solicitar el último informe SOC 2 Tipo II.
ISO 27001:2013
Zendesk cuenta con el certificado ISO 27001:2013. Descargar el certificado.
ISO 27018:2014
Zendesk cuenta con el certificado ISO 27018:2014. El certificado puede descargarse aquí.
ISO 27701:2019
Zendesk cuenta con el certificado ISO 27701:2019. El certificado puede descargarse aquí.
LI-SaaS de FedRAMP
Zendesk cuenta con la autorización del FedRAMP para utilizar el software como servicio de bajo impacto (LI-SaaS) y figura en el Marketplace de FedRAMP. Los clientes de las agencias gubernamentales de los Estados Unidos pueden solicitar acceso al paquete de seguridad de Zendesk FedRAMP rellenando un formulario de solicitud de acceso al paquete aquí o enviando una solicitud a fedramp@zendesk.com.
Cumplimiento de las normas del sector
PCI-DSS
Zendesk Support ofrece un campo de tarjeta de crédito configurable que censura todos los dígitos menos los cuatro últimos y, por lo tanto, cumple la normativa PCI. Más información sobre Zendesk y el cumplimiento de la normativa PCI.
Afiliaciones
McAfee Cloud Trust - McAfee Enterprise Ready
Zendesk recibió el McAfee CloudTrust Program. El programa presenta el sello McAfee Enterprise-Ready únicamente para los servicios que tengan la evaluación CloudTrust™ más elevada posible. Estos se encuentran entre los servicios que han obtenido el CloudTrust™ de McAfee y una evaluación de McAfee Enterprise-Ready basada en sus atributos en las categorías de datos, usuario y dispositivo, seguridad, empresa y evaluación legal.
Cloud Security Alliance (CSA)
Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en el ámbito de la informática en la nube. CSA ha publicado el Registro de Seguridad, Confianza y Garantía (Security, Trust & Assurance Registry, STAR), un registro accesible públicamente que documenta los controles de seguridad de diversas ofertas de informática en la nube. Con base en los resultados de nuestra autoevaluación de diligencia debida, Zendesk completó un Cuestionario de Iniciativa de Evaluación de Consenso (Consensus Assessment Initiative, CAI), que se encuentra disponible públicamente.
El CSA CAIQ está disponible aquí.
IT-ISAC
Zendesk es miembro de IT-ISAC, un grupo que engloba un conjunto diverso de empresas del sector privado cuyo objetivo es aprovechar las nuevas tecnologías y mantener un compromiso común con la seguridad. IT-ISAC facilita la colaboración y el intercambio de información relevante y aplicable sobre amenazas. Modera grupos de intereses especiales que se centran en la información de inteligencia, las amenazas internas, la seguridad física y otras áreas específicas para contribuir a nuestra misión de proteger Zendesk.
FIRST
Zendesk es miembro de FIRST, una confederación internacional de equipos de respuesta a incidencias que cooperan para dar respuesta a las incidencias de seguridad informática y promover programas de prevención de incidencias. Los miembros de FIRST desarrollan y comparten datos técnicos, herramientas, metodologías, procesos y buenas prácticas. Como miembro de FIRST, Zendesk Security comparte con otros miembros sus conocimientos, habilidades y experiencia combinados para promover un entorno electrónico mundial más seguro y protegido.
Sistema de cualificaciones de servicios financieros (Financial Services Qualifications System, FSQS)
Zendesk ha cumplido todos los requisitos (etapa y etapa ) para inscribirse en el sistema de calificación de proveedores FSQS (Financial Services Qualification System), según lo establecido por las organizaciones compradoras. Solicite el último Certificado FSQS aquí.
Más detalles sobre FSQS https://hellios.com/fsqs/.
Artefactos
Podemos ofrecer recursos adicionales previa solicitud.
Recursos de descarga directa (sin AND)
Certificados ISO 27001:2013
Certificado ISO 27018:2014
Certificado ISO 27701:2019
Informe de SOC
Hoja de datos / Documento técnico
Declaración de cumplimiento PCI y Certificado de cumplimiento
Diagramas de arquitectura de red
- Soporte/Guide
- Chat
- Talk
CSA CAIQ
Registro de riesgos
FSQS (Financial Services Qualification System)
SIG Lite
VSA
HECVAT Lite
Obtener recursosRecursos de AND
Los recursos siguientes pueden requerir un AND en archivo. Haga clic en el botón para obtener acceso.
Certificado de seguro
Informe SOC tipo II
Resumen de prueba de penetración anual
Resumen de prueba de continuidad de la actividad y recuperación ante desastres
Seguridad de la nube
Seguridad física del centro de datos
Instalaciones
Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de conformidad con ISO (proveedor de servicios de nivel según la normativa PCI DSS) o de SOC tipo . Más información sobre Cumplimiento en AWS.
Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas de calefacción, ventilación y aire acondicionado (HVAC) y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, tus datos. Más información sobre los controles de los centros de datos en AWS.
Seguridad in situ
La seguridad en las instalaciones de AWS incluye prestaciones como vigilantes de seguridad, barreras, fuentes de información sobre seguridad, tecnología de detección de intrusiones y otras medidas de protección. Más información sobre la seguridad física de AWS.
Localización de alojamiento de datos
Zendesk utiliza los centros de datos de AWS de Estados Unidos, Europa y Asia-Pacífico. Más información sobre las ubicaciones de alojamiento de datos para tus datos de servicio de Zendesk.
Zendesk ofrece múltiples elecciones de localización de datos, incluidos los Estados Unidos (EE. UU.), Australia (AU), Japón, (JP) o el Espacio Económico Europeo (EEE). Para mayor información sobre las ofertas de producto, de plan y regionales, puede consultar nuestra Política de alojamiento de datos regional.
Seguridad del proveedor
Zendesk minimiza los riesgos asociados a proveedores externos mediante revisiones de seguridad de todos los proveedores con cualquier nivel de acceso a nuestros sistemas o datos de servicio.
Seguridad de red
Equipo de Seguridad específico
Nuestro Equipo de Seguridad distribuido a nivel mundial está disponible las 24 horas y los 7 días de la semana para responder a alertas y eventos de seguridad.
Protección
Nuestra red está protegida a través del uso de servicios de seguridad clave de AWS, de la integración con nuestras redes de protección de perímetro de Cloudflare, auditorías frecuentes y tecnologías de información de red, que supervisan y/o bloquean el tráfico malicioso conocido y los ataques de red.
Nuestra arquitectura de seguridad de red consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como servidores de bases de datos, están protegidos en nuestras zonas de mayor confianza. Otros sistemas están albergados en zonas proporcionales a su sensibilidad, dependiendo de la función, la clasificación de la información y el riesgo. En función de la zona, se aplicarán controles adicionales de acceso y monitorización de la seguridad. Se utilizan DMZ en Internet e internamente entre las distintas zonas de confianza.
Examen de vulnerabilidad de red
El examen de seguridad de red proporciona un análisis profundo para la identificación rápida de sistemas no conformes o potencialmente vulnerables.
Pruebas de penetración externas
Además de contar con un extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a expertos en seguridad independientes para realizar pruebas de penetración exhaustivas en todas las redes de producción y corporativas de Zendesk.
Gestión de eventos de incidentes de seguridad
Nuestro sistema de gestión de eventos de incidentes de seguridad (Security Incident Event Management, SIEM) reúne amplios registros de importantes dispositivos de red y de sistemas de alojamiento. El SIEM alerta al Equipo de Seguridad de factores desencadenantes en función de eventos correlacionados para su investigación y respuesta.
Detección y prevención de intrusiones
Los puntos de ingreso y salida del servicio se instrumentan y monitorizan para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan determinados umbrales y usan firmas actualizadas con regularidad basadas en nuevas amenazas. Esto incluye una monitorización del sistema las 24 horas, los 7 días de la semana.
Programa de información de amenazas
Zendesk participa en varios programas de intercambio de información sobre amenazas. Supervisamos las amenazas publicadas en esas redes de información sobre amenazas y adoptamos medidas en función de los riesgos.
Mitigación de DDoS
Zendesk ha concebido un enfoque multicapa para la mitigación de DDoS. Una cooperación tecnológica esencial con Cloudflare ofrece defensas para el perímetro de red, mientras que el uso de las herramientas de escalabilidad y protección de AWS proporcionan una protección más profunda junto con nuestro uso de servicios específicos de DDoS de AWS.
Acceso lógico
El acceso a la red de producción de Zendesk se limita a una necesidad de conocimiento explícita, utiliza el enfoque de privilegio mínimo, se somete a auditorías y supervisiones frecuentes y está controlado por nuestro Equipo de Operaciones. Los empleados que acceden a la red de producción de Zendesk tienen que usar múltiples factores de autenticación.
Respuesta a incidentes de seguridad
En caso de alerta del sistema, los eventos se remiten a nuestros equipos activos las 24 horas y los 7 días de la semana, que ofrecen cobertura en operaciones, ingeniería de redes y seguridad. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de remisión.
Cifrado
Cifrado en tránsito
Todas las comunicaciones con UI y las API de Zendesk están cifradas mediante HTTPS/TLS (TLS 1.2 o mayor) estándar del sector en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk esté protegido durante su tránsito. Para el correo electrónico, nuestro producto además hace uso de un TLS oportunista por defecto. El protocolo de seguridad de la capa de transporte (Transport Layer Security, TLS) cifra y entrega el correo electrónico de forma segura, mitigando el entrometimiento entre servidores de correo cuando servicios homólogos den soporte a este protocolo. Las excepciones de cifrado pueden incluir cualquier uso de la funcionalidad SMS en el producto, otra aplicación o integración de terceros, o bien los suscriptores de servicio pueden optar por hacer uso de ello según su propio criterio.
Cifrado en reposo
Los datos de servicio están cifrados en reposo en AWS mediante el cifrado clave AES-256.
Disponibilidad y continuidad
Tiempo de disponibilidad
Zendesk mantiene una página web de acceso público con el propósito de proporcionar datos de disponibilidad del sistema, información sobre tareas de mantenimiento programadas, el historial de los incidentes de mantenimiento y reparación, y los eventos de seguridad importantes.
Redundancia
Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de error. Nuestro estricto régimen de copia de seguridad o nuestra oferta de servicios de recuperación ante desastres mejorada nos permiten ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas de disponibilidad.
Recuperación ante desastres
Nuestro programa de recuperación ante desastres garantiza que nuestros servicios seguirán estando disponibles y que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Este objetivo se alcanza creando un entorno técnico de gran solidez, elaborando planes de recuperación en casos de desastre y llevando a cabo actividades de prueba.
Recuperación ante desastres potenciada
Nuestro paquete de recuperación ante desastres mejorada incluye objetivos contractuales de tiempo objetivo de recuperación (RTO) y de punto objetivo de recuperación (RPO). Dichos objetivos se alcanzan gracias a nuestra capacidad para dar prioridad a las operaciones de los clientes de recuperación ante desastres mejorada durante cualquier desastre declarado.
Obtenga más información sobre Garantías de recuperación ante desastres.
Seguridad de la aplicación
Desarrollo de seguridad (SDLC)
Formación sobre código seguro
Controles de seguridad del marco
Zendesk hace uso de marcos de código abierto modernos y seguros con controles de seguridad para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles inherentes reducen nuestra exposición a SQL Injection (SQLi), Cross Site Scripting (XSS), y Cross Site Request Forgery (CSRF), entre otros.
Garantía de calidad
Nuestra área de Garantía de Calidad (Quality Assurance, QA) revisa y prueba nuestro código base. Los ingenieros que se dedican a la seguridad de las aplicaciones detectan, prueban y filtran vulnerabilidades de seguridad en código.
Entornos separados
Los entornos de prueba y de simulación están lógicamente separados del entorno de producción. No se usan datos de servicio en nuestros entornos de desarrollo o de prueba.
Gestión de vulnerabilidad
Examen dinámico de vulnerabilidad
Recurrimos a herramientas de seguridad externas para examinar continua y dinámicamente nuestras aplicaciones centrales en relación con riesgos comunes de seguridad en aplicaciones web, incluidos, a modo de ejemplo, los 10 mayores riesgos de seguridad de OWASP. Contamos con un Equipo de Seguridad de productos interno que realiza pruebas y trabaja con equipos de ingeniería a fin de subsanar cualquier problema que se detecte.
Análisis de composición de software
Examinamos las bibliotecas y dependencias utilizadas en nuestros productos para detectar vulnerabilidades y asegurarnos de que estas se gestionan.
Pruebas de penetración externas
Además de nuestro extensivo programa interno de pruebas y exámenes, Zendesk emplea a expertos en seguridad externos para realizar pruebas de penetración detalladas en distintas aplicaciones dentro de nuestra familia de productos.
Divulgación responsable / Programa de recompensas por detección de errores
Nuestro programa de revelación responsable ofrece a los investigadores de seguridad y a los clientes un medio para hacer pruebas sin riesgo y notificar a Zendesk cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.
Seguridad de producto
Seguridad de autenticación
Opciones de autenticación
Zendesk proporciona varias opciones de autenticación: los suscriptores pueden activar la autenticación Zendesk nativa, el inicio de sesión único (single sign-on, SSO) mediante redes sociales (Facebook, Twitter, Google) y/o SSO de empresa (SAML, JWT) para la autenticación de usuarios finales y/o agentes. Más información sobre el acceso del usuario.
Política de contraseña configurable
La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, proporciona los niveles de seguridad de contraseñas bajo, mediano y alto, además de reglas de contraseña personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseña configurables.
Autenticación de 2 factores (2FA)
La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, ofrece factores (FA) para los agentes y administradores mediante SMS o una aplicación de autenticación. Más información sobre 2FA.
Almacenamiento de credenciales de servicio
Zendesk respeta las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible para humanos, sino solo cifradas de manera aleatorizada, segura y unidireccional.
Características de seguridad de producto adicionales
Controles de acceso por función
El acceso a datos en las aplicaciones Zendesk está regido por el control de acceso por función (role-based access control, RBAC) y puede configurarse para definir privilegios de acceso detallados. Zendesk admite varios niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).
Más información sobre funciones de usuario:
Limitaciones de IP
Cualquier cuenta de Zendesk puede limitar el acceso a su soporte Zendesk a usuarios dentro de un rango específico de direcciones IP. Solo podrán registrarse en su cuenta Zendesk los usuarios procedentes de las direcciones IP permitidas. Puede permitir que los suscriptores (no agentes ni administradores) se salten esta limitación. Para mayor información, consulte Limitar el acceso al soporte de Zendesk y a su centro de ayuda mediante limitaciones de IP y Limitar el acceso al chat según la IP.
Certificados de cifrado alojado para centro de ayuda (TLS)
Zendesk ofrece cifrado TLS gratuito para centros de ayuda Guide con alojamiento mapeado. Zendesk utiliza Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que caduque.
También puede subir su propio certificado, si así lo decide.
Para mayor información sobre el establecimiento de certificados de cifrado para un centro de ayuda Guide, consulte Establecer un certificado de cifrado TLS alojado.
Limitaciones de archivos en chats
Zendesk Chat ofrece la posibilidad de limitar qué tipos de archivos se envían a los agentes. De forma alternativa, puede optar por desactivar totalmente el envío de archivos a través del chat. Para saber más sobre esta función, consulte Gestionar el envío de archivos en el chat en directo.
Registros de auditoría
Zendesk ofrece Registros de auditoría a cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios de cuenta, cambios de usuario, cambios de aplicación, reglas profesionales, supresión de tickets y configuraciones. El Registro de auditoría está disponible tanto en el Centro de administración como en la API de soporte. Para saber más sobre los Registros de auditoría y ver qué información está disponible en el registro, consulte Ver cambios en el registro de auditoría.
Adjuntos privados
Los suscriptores pueden configurar su instancia de modo que los usuarios tengan que iniciar sesión para visualizar los adjuntos de tickets. Más información sobre Adjuntos privados.
Ocultación
Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles: La censura manual permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets de Support, así como borrar los archivos adjuntos, con el fin de proteger la información confidencial. Los datos se censuran en los tickets desde la IU o la API para evitar que se guarde información confidencial en Zendesk. Más información sobre la ocultación a través de UI o API.
La ocultación automática permite ocultar automáticamente los números de tarjetas bancarias en los tickets que envíe el suscriptor. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. También se ocultan en los registros y entradas en bases de datos. Para saber más sobre cómo activar esta función y cómo se detectan los números de tarjetas bancarias, consulte Ocultación automática de números de tarjetas bancarias en tickets y en chats.
Filtrado de spam en el centro de ayuda Guide
El servicio de filtrado de spam de Zendesk impide que los usuarios finales publiquen spam en el Centro de ayuda. Más información sobre filtrado de spam en Guide.
Firma de correo electrónico (DKIM/DMARC)
Zendesk ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación de mensajes, informes y conformidad basada en dominios) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en la cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.
Seguimiento de dispositivos
Zendesk lleva un seguimiento de los dispositivos que se utilizan para iniciar sesión en las cuentas de los usuarios. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, este se añade a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se añade un dispositivo nuevo y debe investigar este hecho si la actividad le parece sospechosa. Las sesiones sospechosas pueden cerrarse desde la IU del agente. Más información sobre el seguimiento de dispositivos.
Seguridad de RR. HH.
Concienciación sobre seguridad
Políticas
Zendesk ha desarrollado un exhaustivo conjunto de políticas de seguridad que cubren una amplia variedad de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.
Formación
Todos los empleados asisten a una Formación de concienciación sobre seguridad, que se imparte tras la contratación y con carácter anual en lo sucesivo. Todos los ingenieros reciben una Formación de código seguro anual. El Equipo de Seguridad ofrece actualizaciones adicionales en materia de concienciación sobre seguridad por correo electrónico, en publicaciones de blogs y en presentaciones durante eventos internos.
Verificación de credenciales de empleados
Comprobaciones de antecedentes
Zendesk lleva a cabo comprobaciones de antecedentes de todos los nuevos empleados de acuerdo con las leyes locales. Estas comprobaciones también son necesarias para los contratistas. Las comprobaciones de antecedentes incluyen verificaciones de carácter penal, formativo y laboral. Los equipos de limpieza también están incluidos.
Acuerdos de confidencialidad
Todos los nuevos empleados tienen que firmar acuerdos de no divulgación y de confidencialidad.
Bienvenido al Programa global de privacidad de Zendesk
Zendesk cuenta con un programa global y formal en materia de privacidad y protección de datos, que incluye a partes implicadas clave de diversas funciones, como los ámbitos Jurídico, de Seguridad, de Producto y Ejecutivo dentro de la empresa. En calidad de defensores de la privacidad, trabajamos diligentemente para garantizar que nuestros servicios y los miembros de cada equipo se centran en el cumplimiento de los marcos reglamentarios y sectoriales correspondientes.
Cumplimiento.
Ley de privacidad australiana de 1998 y Principios de privacidad
La Ley de privacidad australiana de 1998 (según sus modificaciones) ofrece varios derechos al interesado y la notificación obligatoria de determinadas violaciones de la seguridad de los datos. A diferencia del RGPD, no existen los conceptos de responsable y encargado del tratamiento de los datos. https://www.zendesk.com/company/anz-privacy/
Brazil Lei Geral de Proteção de Dados Pessoais (LGPD)
La Ley General de Protección de Datos brasileña o Lei Geral de Proteção de Dados Pessoais (“LGPD”) entró en vigor el 18 de septiembre de 2020. La LGPD es una ley exhaustiva en materia de protección de datos que cubre las actividades de los responsables y de los encargados del tratamiento y ofrece derechos a las personas físicas.
Los suscriptores de Zendesk que recogen y almacenan datos personales en servicios Zendesk pueden ser considerados “responsables del tratamiento” a tenor de la LGPD. Las empresas son las principales responsables de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente, incluido el CCPA. Zendesk actúa como “encargado del tratamiento”, del modo en que se define dicho término en la LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios.
Los suscriptores pueden consultar nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información más detallada sobre cómo usar productos de Zendesk y ajustarse a las iniciativas de cumplimiento. La Autoridad Nacional de Protección de Datos (National Authority for Protection Data, “ANPD”) puede pronunciar orientaciones adicionales para la LGPD en el futuro. Zendesk seguirá haciendo un seguimiento activo de la ley y continuaremos manteniendo al corriente a nuestros suscriptores sobre características y funcionalidades que pueden usar para facilitar sus esfuerzos de cumplimiento.
La Adenda a LGPD de Zendesk se ha incorporado en el Acuerdo de tratamiento de datos de Zendesk. Si desea revisar y/o ejecutar el Acuerdo de tratamiento de datos de Zendesk, haga clic aquí.
Ley de privacidad del consumidor de California (California Consumer Privacy Act, CCPA)
La Ley de privacidad del consumidor de California(California Consumer Privacy Act, “CCPA”), Código Código de California apdos. 1798.100 y ss., es una ley de EE. UU. promulgada en el Estado de California que entró en vigor el 1 de enero de 2020. Aborda los derechos de privacidad que asisten a ciertos consumidores de California y exige a ciertas empresas que cumplan con diversos requisitos en materia de protección de datos. Consulte igualmente el Reglamento de la CCPA final y la Ley de derechos de privacidad de California (California Privacy Rights Act, “CPRA”). Algunas disposiciones de la CPRA entraron en vigor el 16 de diciembre de 2020, mientras que las disposiciones restantes de la CPRA cobrarán efecto a partir del 1 de enero de 2023.
Los clientes de Zendesk que recopilan y almacenan información personal en los servicios de Zendesk pueden considerarse "Empresas" en virtud del CCPA. Las empresas son las principales responsables de garantizar que el tratamiento de datos personales cumpla con la legislación de protección de datos pertinente, incluido el CCPA. Zendesk actúa como un "Proveedor de servicios", tal como se define dicho término en la versión actual del CCPA, con respecto al tratamiento de información personal a través de nuestros servicios. Por lo tanto, Zendesk recopila, accede, mantiene, utiliza, procesa y transfiere la información personal de nuestros clientes y los usuarios finales de nuestros clientes tratados a través de los servicios con el único fin de cumplir nuestras obligaciones en virtud de nuestro(s) contrato(s) existente(s) con los suscriptores; y, para ningún propósito comercial que no sea el cumplimiento de dichas obligaciones y la mejora de los servicios que brindamos.
No “vendemos” la información personal de nuestros suscriptores conforme se define en la CCPA. Podemos compartir información agregada o anónima con terceros acerca del uso de los servicios (que no se considera información personal según el CCPA) para ayudarnos a desarrollar y mejorar los servicios y proporcionar a los clientes contenido más pertinente y ofertas de servicios como se detalla en nuestros acuerdos con los clientes.
La Adenda a CCPA de Zendesk se ha incorporado en el Acuerdo de tratamiento de datos de Zendesk. Si desea revisar y/o ejecutar el Acuerdo de tratamiento de datos de Zendesk, haga clic aquí.
Si desea revisar o ejecutar el anexo al acuerdo de suscripción general del LGPD de Zendesk, haga clic aquí.
Ley de protección de la información personal y de documentos electrónicos (PIPEDA)
La Ley de protección de la información personal y de documentos electrónicos (Personal Information Protection and Electronic Documents Act, PIPEDA) de Canadá entró en vigor en 2000 y se centra en diez principios justos de la información que conforman las reglas de recopilación, utilización, acceso y divulgación de información personal. En octubre de 2021, la International Technology Association of Canada y el Information Technology Industry Council sugirieron cambios a la PIPEDA para ofrecer mayores derechos en materia de privacidad y transparencia a los ciudadanos canadienses.
Acuerdo de procesamiento de datos
Puede consultar y/o formalizar el APD de Zendesk aquí. El APD de Zendesk cubre las actividades de tratamiento específicas y las medidas de seguridad aplicables a nuestros servicios e incorpora las nuevas Cláusulas Contractuales Estándar de la Unión Europea (CCE de la UE).
Si necesitas que tu APD actual de Zendesk se actualice para incorporar los nuevos CCE de la UE y el Anexo del Reino Unido, pero no deseas ejecutar un nuevo APD, puedes revisar y/o ejecutar el Anexo de transferencia de datos de Zendesk aquí.
Los suscriptores pueden leer nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información detallada sobre cómo usar productos de Zendesk para asistir en el cumplimiento de las leyes de protección de datos y privacidad.
Reglamento General de Protección de Datos europeo (RGPD)
Desde nuestros inicios, el enfoque de Zendesk se ha basado en un fuerte compromiso con la privacidad, la seguridad, el cumplimiento y la transparencia. Este enfoque incluye asistir en el cumplimiento por parte de nuestros suscriptores de los requisitos de la UE en materia de protección de datos, como los establecidos en el Reglamento General de Protección de Datos (“RGPD”).
Si un suscriptor recoge, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD exige al suscriptor que use encargados del tratamiento externos que garanticen su capacidad para implementar los requisitos técnicos y organizativos del RGPD. Para ganarnos una mayor confianza de nuestros suscriptores, nuestro Acuerdo de tratamiento de datos (“ATD”) ha sido actualizado para ofrecer a nuestros clientes compromisos contractuales relativos a nuestro cumplimiento de la legislación correspondiente de la UE en materia de protección de datos y para implementar disposiciones contractuales adicionales que exija el RGPD.
Normas corporativas vinculantes (Binding Corporate Rules, BCR): Las Normas corporativas vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos a nivel de empresa aprobadas por las autoridades de protección de datos europeas para facilitar las transferencias intragrupo de datos personales desde el Espacio Económico Europe (“EEE”) hasta países ajenos al mismo. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la UE y requieren una consulta intensiva con dichas autoridades. Los suscriptores pueden consultar las entidades que cuentan con aprobación en la Lista de aprobación de Normas corporativas vinculantes aquí. En 2017, Zendesk completó el proceso de aprobación de la UE ante el Comisionado de Protección de Datos (Data Protection Commissioner, “DPC”) irlandés (revisado por pares tanto en la Oficina del Comisionado para la Información del Reino Unido como en la Autoridad de Protección de Datos holandesa) respecto de las BCR y tanto en calidad de encargado como de responsable del tratamiento de los datos. Esta importante aprobación normativa valida la implementación de los estándares más altos posibles de Zendesk para la protección de datos personales a nivel mundial; esto cubre tanto los datos personales de sus clientes como los de sus empleados. Zendesk es una de las pocas empresas de software en el mundo que ha recibido aprobación para sus BCR; y solo la segunda empresa en recibir la aprobación del DPC de Irlanda.
Para acceder a las BCR de Zendesk, puede consultar:
Las Normas corporativas vinculantes de encargado del tratamiento de Zendesk son de aplicación cuando Zendesk trata datos personales en nombre de sus clientes
y
las Normas corporativas vinculantes globales de responsable del tratamiento de Zendeskque son de aplicación cuando Zendesk trata datos personales sobre los cuales es el responsable del tratamiento.
Solicitudes de interesados: Una persona física que pretenda ejercer sus derechos de protección de datos con respecto a datos personales que almacenemos o tratemos en nombre de un Suscriptor nuestro dentro de los Datos de servicio del Suscriptor (como, por ejemplo, con intención de acceder a, corregir, modificar, suprimir, transportar o limitar el tratamiento de dichos datos personales) debe dirigir su consulta a nuestro Suscriptor (el responsable del tratamiento). Tras recibir de uno de nuestros suscriptores la solicitud de que retiremos datos personales de Zendesk, responderemos a tal petición en un plazo de treinta (30) días. Conservaremos los datos personales que tratamos y almacenamos en nombre de nuestros Suscriptores durante el tiempo necesario para proporcionar los Servicios a nuestros Suscriptores.
Delegado de protección de datos: Puede contactar con el delegado de protección de datos de Zendesk (“DPD”) en euprivacy@zendesk.com.
Escudo de privacidad: El Departamento de Comercio de EE. UU., junto con la Comisión Europea y el Gobierno suizo, crearon los Marcos de Escudo de Privacidad UE-EE .UU. y Suiza-EE. UU. (“Escudo de privacidad”) para ofrecer a las empresas un mecanismo mediante el cual transferir datos personales de la Unión Europea a los Estados Unidos con un nivel adecuado de protección a efectos de la legislación europea de protección de datos. Zendesk cuenta con el certificado de cumplimiento del Marco del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. del Departamento de Comercio de EE. UU. y ha sido añadida a la lista del Departamento de Comercio de participantes autocertificados del Escudo de privacidad. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales de Europa y Suiza a los Estados Unidos.
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) emitió un fallo en el que invalidaba el programa de Escudo de privacidad UE-EE. UU.. Entendemos que puede tener preguntas sobre la invalidación del Escudo de privacidad y la postura de Zendesk relacionada con este escudo, por lo que hemos publicado esta entrada en nuestro blog para ayudarlo con sus dudas.
Alojamiento de datos de salud (Hébergeur de Données de Santé, HDS) en Francia
HDS permite a los proveedores de atención sanitaria en Francia utilizar el servicio al cliente y la plataforma de interacción de Zendesk con confianza en que nuestra plataforma ha implantado las medidas técnicas y de gobernanza apropiadas para proteger la información personal sanitaria (Personal Health Information, PHI). Dispone de información adicional aquí.
Ley de privacidad de Nueva Zelanda de 2020 y sus Principios de privacidad de la información
La Ley de privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020, se aplica a las agencias y mantiene el marco de principios establecido en la Ley de 1993. La Ley de 2020 establece que las organizaciones son responsables de garantizar que la información personal que se envía fuera de Nueva Zelanda está protegida adecuadamente y añade requisitos de notificación obligatoria de infracciones. https://www.zendesk.com/company/anz-privacy/
Ley de protección de datos personales de Singapur (Personal Data Protection Act, PDPA)
La Ley de protección de datos personales de Singapur establece leyes de protección de datos que rigen la recogida, utilización y divulgación de datos personales y está en vigor desde el 2 de julio de 2014. Zendesk es un Intermediario de datos en calidad de proveedor de servicios de software como servicio (Software-as-a-Service, “SaaS”) reconocido por la Autoridad de desarrollo de infocomunicaciones (Infocomm Development Authority, IDA) de Singapur. Dispone de información adicional aquí.
RGPD del Reino Unido y Brexit
El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. El 28 de junio de 2021, la Comisión Europea adoptó ciertas decisiones de adecuación para las transferencias de datos personales al Reino Unido en virtud del RGPD.
Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU. (United States Health Insurance Portability and Accountability Act, HIPAA) y Acuerdo de Asociado Profesional (Business Associate Agreement, BAA)
Para obtener una cuenta conforme con la HIPAA, tiene que (1) comprar el servicio asociado con despliegue de seguridad avanzada o el complemento de servicio asociado con despliegue de cumplimiento avanzado; (2) activar un conjunto de configuraciones de seguridad conforme indique Zendesk; y (3) formalizar nuestro Acuerdo de Asociado Profesional (“BAA”). Para mayor detalle, incluida una lista de qué servicios pueden ser conformes con la HIPAA, consulte Cumplimiento avanzado.
Detalles de datos de servicio del suscriptor
Datos de servicio es toda información, incluidos los datos personales, que almacenan o transmiten los clientes o sus usuarios finales a través de los servicios de Zendesk, o que se almacena y transmite en su nombre. Utilizamos los datos de servicio para operar y mejorar nuestros servicios, ayudar a que los clientes accedan y usen los servicios, responder a las consultas de los clientes y enviar comunicaciones relacionadas con los servicios.
Información adicional
Acceso: Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los clientes a proteger de forma efectiva su información. No accedemos ni usamos contenido de clientes para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley. Consulte aquí para obtener información adicional.
Alojamiento de datos: Zendesk usa Amazon Web Services para alojar los datos de servicio conforme se describe aquí y en la Política de alojamiento de datos regional. Para mayor información, puede consultar también la sección de Seguridad.
Tipos de datos recopilados por defecto por el Servicio: Zendesk ha creado una lista de puntos de datos, categorizados por producto. Para la visión completa de los tipos de datos, los suscriptores pueden usar esta lista en conjunto con su caso de uso previsto específico y los tipos de datos resultantes.
Solicitudes legales o por parte del Gobierno: La privacidad, la seguridad de los datos y la confianza del suscriptor son nuestras prioridades principales. Zendesk no divulga datos de servicio, excepto cuando sea necesario para prestar nuestros servicios y cumplir con las leyes correspondientes, conforme se detalla en nuestra Política de privacidad. Para asistir a nuestros suscriptores en la realización de revisiones del cumplimiento, contamos con recursos adicionales: Informe de transparencia y Política sobre solicitudes por parte del Gobierno.
Titularidad: Desde el punto de vista de la privacidad, el suscriptor es el responsable del tratamiento de los datos de servicio y Zendesk es el encargado del tratamiento. Esto significa que durante el tiempo que usted esté suscrito a los servicios con Zendesk, usted conserva la titularidad y el control de los datos de servicio en su instancia Zendesk.
Replicación: Zendesk replica periódicamente los datos a efectos de archivo, copia de seguridad y registros de auditoría. Usamos Amazon Web Services (AWS) para almacenar parte de la información que se copia por seguridad, como información de bases de datos y archivos adjuntos. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles.
Seguridad: Zendesk prioriza la seguridad de los datos y combina características de seguridad de clase empresarial con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos de clientes y negocios siempre estén protegidos. Consulte información adicional aquí.
Incidentes de seguridad: Para mayor información sobre la gestión de incidentes de seguridad, consulte nuestra Respuesta a incidentes de seguridad.
. Subencargados. Zendesk puede utilizar subencargados, que pueden ser filiales o terceros, para proporcionar, proteger o mejorar los servicios, y dichos subencargados pueden tener acceso a los datos de servicio. Nuestra Política de subencargados del tratamiento ofrece una lista actualizada de los nombres y ubicaciones de todos los subencargados del tratamiento.
Rescisión: Zendesk mantiene una Política de supresión de datos de servicio que describe los procesos de supresión de datos de Zendesk tras la rescisión o el vencimiento de la suscripción con Zendesk del correspondiente suscriptor.
Políticas relativas a la privacidad
Políticas
Información detallada sobre cómo y cuándo usamos cookies en los sitios web de Zendesk.
Ofrece información sobre cómo y cuándo Zendesk usa cookies en los servicios Zendesk.
Cómo se suprimen los datos de servicio de nuestros suscriptores en relación con la cancelación, rescisión o migración de una cuenta en los Servicios Zendesk.
Este marco aclara las responsabilidades de cada parte con respecto a los controles relacionados con la seguridad y la privacidad de sus datos.
Funciones de aplicaciones relacionadas con la privacidad
Herramientas de privacidad y protección de datos
Zendesk cuenta con herramientas para que cada uno de sus productos asista en las solicitudes de los usuarios y demás obligaciones en virtud de las correspondientes leyes y normativas de privacidad y protección de datos, como el acceso, la corrección, la portabilidad, la supresión y la oposición con respecto a los datos. Para mayor información sobre las características y funcionalidades de cada producto Zendesk, consulte Cumplimiento de la privacidad y la protección de datos en productos Zendesk.
Gestión de acceso
Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los suscriptores a proteger de forma efectiva su información. No accedemos ni usamos datos de suscriptores para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley aplicable. Dispone de información adicional aquí.
Certificaciones
Zendesk ha logrado una serie de certificaciones y acreditaciones reconocidas internacionalmente que demuestran el cumplimiento de los marcos de garantía de terceros, según lo descrito en nuestro sitio de Seguridad. Las certificaciones de seguridad se describen aquí.
Localización de alojamiento de datos
Los suscriptores que compren el Servicio asociado con despliegue de localización de centro de datos (“Complemento de localización de centro de datos”), o que tengan la funcionalidad de Localización de centro de datos en su Plan de servicio, tienen la posibilidad de seleccionar la región que alojará sus datos de servicio de una lista de regiones disponibles que facilita Zendesk.
Privacidad por diseño
Zendesk cuenta con un sólido programa global de privacidad y protección de datos, que adopta un enfoque unificado de la gestión de la privacidad y la información para dar a los clientes flexibilidad de cara a gestionar los datos personales que se encuentran en los sistemas de Zendesk. Para obtener más detalles, consulte nuestras guías de productos: Cumplimiento de la privacidad y la protección de datos en productos Zendesk.
Ocultación / Minimización de datos
Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles:
La censura manual permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets de Support, así como borrar los archivos adjuntos, con el fin de proteger la información confidencial. Los datos se censuran en los tickets desde la IU o la API para evitar que se guarde información confidencial en Zendesk. Más información sobre la censura de datos en la IU o la API.
La ocultación automática permite la ocultación automática de números de tarjetas bancarias en tickets enviados por agentes o por usuarios finales. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. Los números también se ocultan en los registros y entradas en bases de datos. Aprenda cómo habilitar esta función y cómo se detectan los números de tarjetas bancarias.
Legal
Nuestros acuerdos y políticas ofrecen a los suscriptores transparencia e información detallada sobre los servicios Zendesk, que a su vez dan soporte a nuestros suscriptores para cumplir sus propias exigencias legales y de cumplimiento.
Acuerdos
Zendesk ofrece varios acuerdos de tratamiento de datos y otras adendas para contribuir al cumplimiento de las leyes de privacidad de datos por parte de los suscriptores, disponibles para su formalización aquí. Estos incluyen:
Acuerdo de tratamiento o procesamiento de datos (APD)
HIPAA de Estados Unidos y Acuerdo de Asociado Profesional (BAA)
Acuerdo marco de suscripción (MSA)
Políticas
Los suscriptores pueden hacer uso de nuestra Plantilla de accesibilidad de producto voluntaria al realizar sus valoraciones preliminares.
Los niveles mínimos que esperamos de nuestros directivos, directores, empleados y trabajadores temporales en el desempeño de nuestras actividades.
Información detallada sobre cómo y cuándo usamos cookies en los sitios web de Zendesk.
Ofrece información sobre cómo y cuándo Zendesk usa cookies en los servicios Zendesk.
Cómo gestiona Zendesk las notificaciones de infracción.
Cómo se suprimen los datos de servicio de nuestros suscriptores en relación con la cancelación, rescisión o migración de una cuenta en los Servicios Zendesk.
Aborda el procedimiento de Zendesk para responder a una solicitud recibida de una autoridad de aplicación de la ley o gubernamental de otro tipo.
Describe cómo Zendesk recopila, utiliza, comparte y protege los datos personales.
Dónde pueden alojarse los datos de servicio de Zendesk si un suscriptor compra o activa el complemento de ubicación del centro de datos.
Programas mediante los que los investigadores de seguridad informan que detectaron vulnerabilidades de seguridad en los servicios Zendesk.
Dispone de políticas adicionales de Zendesk aquí.
Informe de transparencia
Divulgación de datos de servicio: Zendesk solo divulga datos de servicio a terceros cuando la divulgación es necesaria para facilitar o mejorar los servicios o conforme sea necesario para responder a solicitudes legítimas procedentes de autoridades públicas. Consulte nuestra Política sobre solicitudes de datos por parte del Gobierno, así como el Informe de transparencia de Zendesk.