Garantice su seguridad y cumplimiento

Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de conformidad con ISO (proveedor de servicios de nivel según la normativa PCI DSS) o de SOC tipo . Más información sobre Cumplimiento en AWS.

Los servicios de infraestructura de AWS incluyen alimentación de seguridad, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y en última instancia sus datos. Más información sobre controles de centros de datos en AWS.

La seguridad in situ de AWS incluye aspectos como guardias de seguridad, vallado, cadenas de seguridad, tecnología de detección de intrusión y demás medidas de seguridad. Más información sobre la seguridad física de AWS.

Zendesk hace uso de centros de datos de AWS en Estados Unidos, Europa y Asia del Pacífico. Más información sobre Localizaciones de alojamiento de datos para sus Datos de servicio Zendesk.

Zendesk ofrece múltiples elecciones de localización de datos, incluidos los Estados Unidos (EE. UU.), Australia (AU), Japón, (JP) o el Espacio Económico Europeo (EEE). Para mayor información sobre las ofertas de producto, de plan y regionales, puede consultar nuestra Política de alojamiento de datos regional.

Nuestro Equipo de Seguridad distribuido a nivel mundial está disponible las 24 horas y los 7 días de la semana para responder a alertas y eventos de seguridad.

Nuestra red está protegida a través del uso de servicios de seguridad clave de AWS, de la integración con nuestras redes de protección de perímetro de Cloudflare, auditorías frecuentes y tecnologías de información de red, que supervisan y/o bloquean el tráfico malicioso conocido y los ataques de red.

Nuestra arquitectura de seguridad de red consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como servidores de bases de datos, están protegidos en nuestras zonas de mayor confianza. Otros sistemas están albergados en zonas proporcionales a su sensibilidad, dependiendo de la función, la clasificación de la información y el riesgo. En función de la zona, se aplicarán controles adicionales de acceso y monitorización de la seguridad. Se utilizan DMZ en Internet e internamente entre las distintas zonas de confianza.

El examen de seguridad de red proporciona un análisis profundo para la identificación rápida de sistemas no conformes o potencialmente vulnerables.

Además de nuestro programa extensivo de análisis y pruebas internas, Zendesk emplea cada año a expertos de seguridad externos para que realicen una prueba de penetración amplia en todas las redes tanto de producción como de empresa de Zendesk.

Nuestro sistema de gestión de eventos de incidentes de seguridad (Security Incident Event Management, SIEM) reúne amplios registros de importantes dispositivos de red y de sistemas de alojamiento. El SIEM alerta al Equipo de Seguridad de factores desencadenantes en función de eventos correlacionados para su investigación y respuesta.

Los puntos de ingreso y salida del servicio se instrumentan y monitorizan para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan determinados umbrales y usan firmas actualizadas con regularidad basadas en nuevas amenazas. Esto incluye una monitorización del sistema las 24 horas, los 7 días de la semana.

Zendesk participa en varios programas de intercambio de información sobre amenazas. Supervisamos las amenazas publicadas en esas redes de información sobre amenazas y adoptamos medidas en función de los riesgos.

Zendesk ha concebido un enfoque multicapa para la mitigación de DDoS. Una cooperación tecnológica esencial con Cloudflare ofrece defensas para el perímetro de red, mientras que el uso de las herramientas de escalabilidad y protección de AWS proporcionan una protección más profunda junto con nuestro uso de servicios específicos de DDoS de AWS.

El acceso a la red de producción de Zendesk se limita a una necesidad de conocimiento explícita, utiliza el enfoque de privilegio mínimo, se somete a auditorías y supervisiones frecuentes y está controlado por nuestro Equipo de Operaciones. Los empleados que acceden a la red de producción de Zendesk tienen que usar múltiples factores de autenticación.

En caso de alerta del sistema, los eventos se remiten a nuestros equipos activos las 24 horas y los 7 días de la semana, que ofrecen cobertura en operaciones, ingeniería de redes y seguridad. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de remisión.

Todas las comunicaciones con UI y las API de Zendesk están cifradas mediante HTTPS/TLS (TLS 1.2 o mayor) estándar del sector en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk esté protegido durante su tránsito. Para el correo electrónico, nuestro producto además hace uso de un TLS oportunista por defecto. El protocolo de seguridad de la capa de transporte (Transport Layer Security, TLS) cifra y entrega el correo electrónico de forma segura, mitigando el entrometimiento entre servidores de correo cuando servicios homólogos den soporte a este protocolo. Las excepciones de cifrado pueden incluir cualquier uso de la funcionalidad SMS en el producto, otra aplicación o integración de terceros, o bien los suscriptores de servicio pueden optar por hacer uso de ello según su propio criterio.

Los datos de servicio están cifrados en reposo en AWS mediante el cifrado clave AES-256.

Zendesk mantiene una página web de estado del sistema disponible públicamente, que incluye detalles de la disponibilidad del sistema, el mantenimiento previsto, el historial de incidencias de servicio y sucesos relevantes de seguridad.

Zendesk emplea redundancias de agrupamiento de servicios y redes para eliminar puntos únicos de fallo. Nuestro estricto régimen de copias de seguridad y/o nuestra oferta de servicio de recuperación ante desastres potenciada nos permite ofrecer un alto nivel de disponibilidad de servicio, ya que los datos de servicio se replican a través de zonas de disponibilidad.

Nuestro programa de recuperación ante desastres (RD) se asegura de que nuestros servicios sigan estando disponibles y sean fácilmente recuperables en caso de desastre.

Esto se logra mediante el establecimiento de un entorno técnico sólido, la creación de planes de recuperación ante desastres y la realización de actividades de prueba.

Nuestro paquete de recuperación ante desastres potenciada añade objetivos contractuales para el objetivo de tiempo de recuperación (Recovery Time Objective, RTO) y objetivo de punto de recuperación (Recovery Point Objective, RPO). A ello se le da soporte con nuestra capacidad de priorizar operaciones de los suscriptores de recuperación ante desastres potenciada durante cualquier acontecimiento de desastre declarado.

Zendesk hace uso de marcos de código abierto modernos y seguros con controles de seguridad para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles inherentes reducen nuestra exposición a SQL Injection (SQLi), Cross Site Scripting (XSS), y Cross Site Request Forgery (CSRF), entre otros.

Nuestra área de Garantía de calidad (Quality Assurance, QA) revisa y prueba nuestro código base. Los ingenieros que se dedican a la seguridad de las aplicaciones detectan, prueban y filtran vulnerabilidades de seguridad en código.

Los entornos de prueba y de simulación están lógicamente separados del entorno de producción. No se usan datos de servicio en nuestros entornos de desarrollo o de prueba.

Recurrimos a herramientas de seguridad externas para examinar continua y dinámicamente nuestras aplicaciones centrales en relación con riesgos comunes de seguridad en aplicaciones web, incluidos, a modo de ejemplo, los 10 mayores riesgos de seguridad de OWASP. Contamos con un equipo de seguridad de productos interno que realiza pruebas y trabaja con equipos de ingeniería a fin de subsanar cualquier problema que se detecte.

Examinamos las bibliotecas y dependencias utilizadas en nuestros productos para detectar vulnerabilidades y asegurarnos de que estas se gestionan.

Además de nuestro extensivo programa interno de pruebas y exámenes, Zendesk emplea a expertos en seguridad externos para realizar pruebas de penetración detalladas en distintas aplicaciones dentro de nuestra familia de productos.

Nuestro Programa de divulgación responsable ofrece a los investigadores en seguridad, así como a los suscriptores, un bulevar para probar de forma segura y notificar a Zendesk vulnerabilidades de seguridad a través de nuestra cooperación con HackerOne.

Zendesk ofrece varias opciones de autenticación: los suscriptores pueden activar la autenticación Zendesk nativa, el inicio de sesión único (single sign-on, SSO) mediante redes sociales (Facebook, Twitter, Google) y/o SSO de empresa (SAML, JWT) para la autenticación de usuarios finales y/o agentes. Más información sobre el acceso del usuario.

La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece los siguientes niveles de seguridad de contraseña: bajo, medio y alto, así como el establecimiento de reglas de contraseña a medida para agentes y administradores. Zendesk también permite distintos niveles de seguridad de contraseña que aplicar a usuarios finales respecto de agentes y administradores. Solo los administradores pueden cambiar el nivel de seguridad de contraseña. Más información sobre políticas de contraseñas configurables.

La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece doble factor (2FA) para agenes y administradores a través de SMS o una aplicación de autenticación. Más información sobre 2FA.

Zendesk respeta las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible para humanos, sino solo cifradas de manera aleatorizada, segura y unidireccional.

Para las empresas que necesitan un nivel superior de privacidad y seguridad de datos, Zendesk ofrece el complemento Privacidad y protección de datos avanzadas. El complemento incluye funciones de cifrado BYOK, políticas personalizables de retención de datos, ocultación de datos, ocultación de información personal identificable y registros de acceso.

El acceso a datos en las aplicaciones Zendesk está regido por el control de acceso por función (role-based access control, RBAC) y puede configurarse para definir privilegios de acceso detallados. Zendesk admite varios niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).

Más información sobre funciones de usuario:

• Funciones de soporte predeterminadas
• Funciones de soporte personalizado *Solo empresas
• Funciones predeterminadas de chat
• Funciones personalizadas de chat *Solo empresas
• Funciones predeterminadas de Explore
• Funciones predeterminadas de Guide
• Funciones predeterminadas de Talk
• Tiempo de sesión

Cualquier cuenta de Zendesk puede limitar el acceso a su soporte Zendesk a usuarios dentro de un rango específico de direcciones IP. Solo podrán registrarse en su cuenta Zendesk los usuarios procedentes de las direcciones IP permitidas. Puede permitir que los suscriptores (no agentes ni administradores) se salten esta limitación. Para mayor información, consulte Limitar el acceso al soporte de Zendesk y a su centro de ayuda mediante limitaciones de IP y Limitar el acceso al chat según la IP.

Zendesk ofrece cifrado TLS gratuito para centros de ayuda Guide con alojamiento mapeado. Zendesk utiliza Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que caduque.

También puede subir su propio certificado, si así lo decide.

Para mayor información sobre el establecimiento de certificados de cifrado para un centro de ayuda Guide, consulte Establecer un certificado de cifrado TLS alojado.

Zendesk Chat ofrece la posibilidad de limitar qué tipos de archivos se envían a los agentes. De forma alternativa, puede optar por desactivar totalmente el envío de archivos a través del chat. Para saber más sobre esta función, consulte Gestionar el envío de archivos en el chat en directo.

Zendesk ofrece Registros de auditoría a cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios de cuenta, cambios de usuario, cambios de aplicación, reglas profesionales, supresión de tickets y configuraciones. El Registro de auditoría está disponible tanto en el Centro de administración como en la API de soporte. Para saber más sobre los Registros de auditoría y ver qué información está disponible en el registro, consulte Ver cambios en el registro de auditoría.

Los suscriptores pueden configurar su instancia de modo que los usuarios tengan que iniciar sesión para visualizar los adjuntos de tickets. Más información sobre Adjuntos privados.

Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles: La ocultación manual ofrece la posibilidad de ocultar o retirar datos sensibles en comentarios de tickets de soporte, y suprimir de forma segura adjuntos, de modo que pueda proteger la información confidencial. Los datos se ocultan de tickets a través de la UI o la API para impedir que se almacene información sensible en Zendesk. Más información sobre la ocultación a través de UI o API.

La ocultación automática permite ocultar automáticamente los números de tarjetas bancarias en los tickets que envíe el suscriptor. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. También se ocultan en los registros y entradas en bases de datos. Para saber más sobre cómo activar esta función y cómo se detectan los números de tarjetas bancarias, consulte ocultación automática de números de tarjetas bancarias en tickets y en chats.

El servicio de filtrado de spam de Zendesk puede usarse para prevenir las publicaciones indeseadas de usuarios finales en su centro de ayuda Guide. Más información sobre filtrado de spam en Guía.

Zendesk ofrece DKIM (Domain Keys Identified Mail [Correo de identificación de claves de dominio]) y DMARC (Domain-based Message Authentication, Reporting, & Conformance [Autenticación, notificación y conformidad de mensaje a partir del dominio]), para firmar correos electrónicos salientes y procedentes de Zendesk cuando tenga que establecer un dominio de correo electrónico externo en su Zendesk. Utilizar un servicio de correo electrónico que dé soporte a estas características le ayuda a detener la suplantación de identidad en correos electrónicos. Más información sobre la firma digital de su correo electrónico.

Zendesk rastrea los dispositivos usados para conectarse a cada cuenta de usuario. Cuando alguien se conecta a una cuenta desde un dispositivo nuevo, se añade a la lista de dispositivos en el perfil de ese usuario. Ese usuario puede obtener una notificación por correo electrónico cuando se añade un nuevo dispositivo, y debería darle seguimiento si la actividad tiene aspecto sospechoso. Las sesiones sospechosas pueden ser objeto de interrupción a través del UI del agente. Más información sobre el seguimiento de dispositivos.

Zendesk ha desarrollado un exhaustivo conjunto de políticas de seguridad que cubren una amplia variedad de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.

Todos los empleados asisten a una Formación de concienciación sobre seguridad, que se imparte tras la contratación y con carácter anual en lo sucesivo. Todos los ingenieros reciben una Formación de código seguro anual. El Equipo de Seguridad ofrece actualizaciones adicionales en materia de concienciación sobre seguridad por correo electrónico, en publicaciones de blogs y en presentaciones durante eventos internos.

Zendesk lleva a cabo comprobaciones de antecedentes de todos los nuevos empleados de acuerdo con las leyes locales. Estas comprobaciones también son necesarias para los contratistas. Las comprobaciones de antecedentes incluyen verificaciones de carácter penal, formativo y laboral. Los equipos de limpieza también están incluidos.

Todos los nuevos empleados tienen que firmar acuerdos de no divulgación y de confidencialidad.