Servicio al cliente seguro
Garantice su seguridad y cumplimiento
Zendesk se toma muy en serio la seguridad: solo hay que ver la cantidad de empresas Fortune 100 y Fortune 500 que nos confían sus datos. Utilizamos una combinación de características de seguridad a nivel empresarial y exhaustivas auditorías de nuestras aplicaciones, sistemas y redes, para asegurarnos de que sus datos están siempre protegidos, y con ello que cada cliente puede descansar tranquilo, los nuestros incluidos.
Certificaciones de cumplimiento y afiliaciones
Zendesk recurre a las mejores prácticas y estándares del sector para lograr el cumplimiento de los marcos de privacidad y seguridad generales aceptados en el sector. Esto a su vez ayuda a nuestros suscriptores a cumplir sus propias exigencias de cumplimiento.
SOC 2 Tipo II
Nos sometemos a auditorías de seguridad periódicas para recibir informes de SOC Tipo II actualizados, disponibles previa solicitud y después de firmar un acuerdo de confidencialidad. Solicitar el último informe SOC 2 Tipo II.
ISO 27001:2022
Zendesk cuenta con el certificado ISO 27001:2022. Descargar el certificado.
ISO 27018:2019
Zendesk cuenta con el certificado ISO 27018:2019. Puede descargarse el certificado aquí.
ISO 27701:2019
Zendesk cuenta con el certificado ISO 27701:2019. El certificado puede descargarse aquí.
ISO 27018:2015
Zendesk cuenta con el certificado ISO 27018:2015. El certificado puede descargarse aquí.
FedRAMP LI-SaaS
Zendesk cuenta con la autorización FedRAMP con Software como servicio de bajo impacto (Low Impact Software-as-a-Service, LI-SaaS) y figura en la lista de FedRAMP Marketplace. Los suscriptores a agencias gubernamentales de EE. UU. pueden solicitar acceso al Paquete de seguridad FedRAMP d Zendesk cumplimentando un Formulario de solicitud de acceso a paquete o enviando una solicitud a fedramp@zendesk.com.
PCI-DSS
Ofrecemos varias maneras de evitar o eliminar la conservación de datos PCI en tus servicios Zendesk. Para obtener más información sobre Zendesk y los datos de los titulares de tarjetas, consulta este artículo
McAfee Cloud Trust - McAfee Enterprise Ready
Zendesk recibió el McAfee CloudTrust Program. El programa presenta el sello McAfee Enterprise-Ready únicamente para los servicios que tengan la evaluación CloudTrust™ más elevada posible. Estos se encuentran entre los servicios que han obtenido el CloudTrust™ de McAfee y una evaluación de McAfee Enterprise-Ready basada en sus atributos en las categorías de datos, usuario y dispositivo, seguridad, empresa y evaluación legal.
Cloud Security Alliance (CSA)
Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin ánimo de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en el ámbito de la informática en la nube. CSA ha publicado el Registro de Seguridad, Confianza y Garantía (Security, Trust Assurance Registry, STAR), un registro accesible públicamente que documenta los controles de seguridad de diversas ofertas de informática en la nube. Con base en los resultados de nuestra autoevaluación de diligencia debida, Zendesk completó un Cuestionario de Iniciativa de Evaluación de Consenso (Consensus Assessment Initiative, CAI), que se encuentra disponible públicamente.
El CSA CAIQ está disponible aquí.
IT-ISAC
Zendesk es miembro de IT-ISAC, un grupo centrado en conformar un variado conjunto de empresas del sector privado que hagan uso de la tecnología evolutiva y tengan un compromiso común por la seguridad. IT-ISAC permite la colaboración y el intercambio de información pertinente, analítica y explotable sobre amenazas y prácticas. Moderan grupos de intereses especiales que se centran en la Inteligencia, las amenazas internas, la seguridad física y demás áreas concretas que ayudan a fomentar nuestro cometido de proteger a Zendesk.
FIRST
Zendesk es miembro de FIRST, una confederación internacional de equipos de respuesta a incidentes que gestionan de forma cooperativa los incidentes de seguridad informática y promueve programas de prevención de incidentes. Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías, procesos y mejores prácticas. Como miembro de FIRST, la Seguridad de Zendesk trabaja con otros miembros para usar sus conocimientos, competencias y experiencia de forma conjunta para promocionar un entorno electrónico global más seguro y protegido.
Sistema de cualificaciones de servicios financieros (Financial Services Qualifications System, FSQS)
Zendesk ha cumplido todos los requisitos (etapa y etapa) para inscribirse en el sistema de calificación de proveedores FSQS (Financial Services Qualification System), según lo establecido por las organizaciones compradoras. Solicite el último Certificado FSQS aquí.
Más detalles sobre FSQS https://hellios.com/fsqs/.
Artefactos
Podemos ofrecer recursos adicionales previa solicitud.
Certificados ISO 27001:2022
Certificado ISO 27018:2019
Certificado ISO 27701:2019
Certificado ISO 27018:2015
Informa SOC 3
Hoja de datos / Documento técnicoDeclaración de cumplimiento PCI y Certificado de cumplimiento
Diagramas de arquitectura de red
Soporte/Guide
Chat
Talk
CSA CAIQ
Registro de riesgos
FSQS (Financial Services Qualification System)
SIG Lite
VSA
HECVAT Lite
Los recursos siguientes pueden requerir un AND en archivo. Haga clic en el botón para obtener acceso.
Certificado de seguro
Informe SOC 2 Tipo II
Resumen de prueba de penetración anual
Seguridad de la nube
Instalaciones
Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de conformidad con ISO (proveedor de servicios de nivel según la normativa PCI DSS) o de SOC tipo . Más información sobre Cumplimiento en AWS.
Los servicios de infraestructura de AWS incluyen alimentación de seguridad, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y en última instancia sus datos. Más información sobre controles de centros de datos en AWS.
Seguridad in situ
La seguridad in situ de AWS incluye aspectos como guardias de seguridad, vallado, cadenas de seguridad, tecnología de detección de intrusión y demás medidas de seguridad. Más información sobre la seguridad física de AWS.
Localización de alojamiento de datos
Zendesk hace uso de centros de datos de AWS en Estados Unidos, Europa y Asia del Pacífico. Más información sobre Localizaciones de alojamiento de datos para sus Datos de servicio Zendesk.
Zendesk ofrece múltiples elecciones de localización de datos, incluidos los Estados Unidos (EE. UU.), Australia (AU), Japón, (JP) o el Espacio Económico Europeo (EEE). Para mayor información sobre las ofertas de producto, de plan y regionales, puede consultar nuestra Política de alojamiento de datos regional.
Zendesk minimiza los riesgos asociados a proveedores externos mediante revisiones de seguridad de todos los proveedores con cualquier nivel de acceso a nuestros sistemas o datos de servicio.
Equipo de Seguridad específico
Nuestro Equipo de Seguridad distribuido a nivel mundial está disponible las 24 horas y los 7 días de la semana para responder a alertas y eventos de seguridad.
Protección
Nuestra red está protegida a través del uso de servicios de seguridad clave de AWS, de la integración con nuestras redes de protección de perímetro de Cloudflare, auditorías frecuentes y tecnologías de información de red, que supervisan y/o bloquean el tráfico malicioso conocido y los ataques de red.
Nuestra arquitectura de seguridad de red consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como servidores de bases de datos, están protegidos en nuestras zonas de mayor confianza. Otros sistemas están albergados en zonas proporcionales a su sensibilidad, dependiendo de la función, la clasificación de la información y el riesgo. En función de la zona, se aplicarán controles adicionales de acceso y monitorización de la seguridad. Se utilizan DMZ en Internet e internamente entre las distintas zonas de confianza.
Examen de vulnerabilidad de red
El examen de seguridad de red proporciona un análisis profundo para la identificación rápida de sistemas no conformes o potencialmente vulnerables.
Pruebas de penetración externas
Además de nuestro programa extensivo de análisis y pruebas internas, Zendesk emplea cada año a expertos de seguridad externos para que realicen una prueba de penetración amplia en todas las redes tanto de producción como de empresa de Zendesk.
Gestión de eventos de incidentes de seguridad
Nuestro sistema de gestión de eventos de incidentes de seguridad (Security Incident Event Management, SIEM) reúne amplios registros de importantes dispositivos de red y de sistemas de alojamiento. El SIEM alerta al Equipo de Seguridad de factores desencadenantes en función de eventos correlacionados para su investigación y respuesta.
Detección y prevención de intrusiones
Los puntos de ingreso y salida del servicio se instrumentan y monitorizan para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan determinados umbrales y usan firmas actualizadas con regularidad basadas en nuevas amenazas. Esto incluye una monitorización del sistema las 24 horas, los 7 días de la semana.
Programa de información de amenazas
Zendesk participa en varios programas de intercambio de información sobre amenazas. Supervisamos las amenazas publicadas en esas redes de información sobre amenazas y adoptamos medidas en función de los riesgos.
Mitigación de DDoS
Zendesk ha concebido un enfoque multicapa para la mitigación de DDoS. Una cooperación tecnológica esencial con Cloudflare ofrece defensas para el perímetro de red, mientras que el uso de las herramientas de escalabilidad y protección de AWS proporcionan una protección más profunda junto con nuestro uso de servicios específicos de DDoS de AWS.
Acceso lógico
El acceso a la red de producción de Zendesk se limita a una necesidad de conocimiento explícita, utiliza el enfoque de privilegio mínimo, se somete a auditorías y supervisiones frecuentes y está controlado por nuestro Equipo de Operaciones. Los empleados que acceden a la red de producción de Zendesk tienen que usar múltiples factores de autenticación.
Respuesta a incidentes de seguridad
En caso de alerta del sistema, los eventos se remiten a nuestros equipos activos las 24 horas y los 7 días de la semana, que ofrecen cobertura en operaciones, ingeniería de redes y seguridad. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de remisión.
Cifrado en tránsito
Todas las comunicaciones con UI y las API de Zendesk están cifradas mediante HTTPS/TLS (TLS 1.2 o mayor) estándar del sector en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk esté protegido durante su tránsito. Para el correo electrónico, nuestro producto además hace uso de un TLS oportunista por defecto. El protocolo de seguridad de la capa de transporte (Transport Layer Security, TLS) cifra y entrega el correo electrónico de forma segura, mitigando el entrometimiento entre servidores de correo cuando servicios homólogos den soporte a este protocolo. Las excepciones de cifrado pueden incluir cualquier uso de la funcionalidad SMS en el producto, otra aplicación o integración de terceros, o bien los suscriptores de servicio pueden optar por hacer uso de ello según su propio criterio.
Cifrado en reposo
Los datos de servicio están cifrados en reposo en AWS mediante el cifrado clave AES-256.
Tiempo de disponibilidad
Zendesk mantiene una página web de estado del sistema disponible públicamente, que incluye detalles de la disponibilidad del sistema, el mantenimiento previsto, el historial de incidencias de servicio y sucesos relevantes de seguridad.
Redundancia
Zendesk emplea redundancias de agrupamiento de servicios y redes para eliminar puntos únicos de fallo. Nuestro estricto régimen de copias de seguridad y/o nuestra oferta de servicio de recuperación ante desastres potenciada nos permite ofrecer un alto nivel de disponibilidad de servicio, ya que los datos de servicio se replican a través de zonas de disponibilidad.
Recuperación ante desastres
Nuestro programa de recuperación ante desastres (RD) se asegura de que nuestros servicios sigan estando disponibles y sean fácilmente recuperables en caso de desastre.
Esto se logra mediante el establecimiento de un entorno técnico sólido, la creación de planes de recuperación ante desastres y la realización de actividades de prueba.
Recuperación ante desastres potenciada
Nuestro paquete de recuperación ante desastres potenciada añade objetivos contractuales para el objetivo de tiempo de recuperación (Recovery Time Objective, RTO) y objetivo de punto de recuperación (Recovery Point Objective, RPO). A ello se le da soporte con nuestra capacidad de priorizar operaciones de los suscriptores de recuperación ante desastres potenciada durante cualquier acontecimiento de desastre declarado.
Obtenga más información sobre Garantías de recuperación ante desastres.Seguridad de la aplicación
Formación sobre código seguro
Controles de seguridad del marco
Zendesk hace uso de marcos de código abierto modernos y seguros con controles de seguridad para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles inherentes reducen nuestra exposición a SQL Injection (SQLi), Cross Site Scripting (XSS), y Cross Site Request Forgery (CSRF), entre otros.
Garantía de calidad
Nuestra área de Garantía de calidad (Quality Assurance, QA) revisa y prueba nuestro código base. Los ingenieros que se dedican a la seguridad de las aplicaciones detectan, prueban y filtran vulnerabilidades de seguridad en código.
Entornos separados
Los entornos de prueba y de simulación están lógicamente separados del entorno de producción. No se usan datos de servicio en nuestros entornos de desarrollo o de prueba.
Examen dinámico de vulnerabilidad
Recurrimos a herramientas de seguridad externas para examinar continua y dinámicamente nuestras aplicaciones centrales en relación con riesgos comunes de seguridad en aplicaciones web, incluidos, a modo de ejemplo, los 10 mayores riesgos de seguridad de OWASP. Contamos con un equipo de seguridad de productos interno que realiza pruebas y trabaja con equipos de ingeniería a fin de subsanar cualquier problema que se detecte.
Análisis de composición de software
Examinamos las bibliotecas y dependencias utilizadas en nuestros productos para detectar vulnerabilidades y asegurarnos de que estas se gestionan.
Pruebas de penetración externas
Además de nuestro extensivo programa interno de pruebas y exámenes, Zendesk emplea a expertos en seguridad externos para realizar pruebas de penetración detalladas en distintas aplicaciones dentro de nuestra familia de productos.
Divulgación responsable / Programa de recompensas por detección de errores
Nuestro Programa de divulgación responsable ofrece a los investigadores en seguridad, así como a los suscriptores, un bulevar para probar de forma segura y notificar a Zendesk vulnerabilidades de seguridad a través de nuestra cooperación con HackerOne.
Seguridad de producto
Opciones de autenticación
Zendesk ofrece varias opciones de autenticación: los suscriptores pueden activar la autenticación Zendesk nativa, el inicio de sesión único (single sign-on, SSO) mediante redes sociales (Facebook, Twitter, Google) y/o SSO de empresa (SAML, JWT) para la autenticación de usuarios finales y/o agentes. Más información sobre el acceso del usuario.
Política de contraseña configurable
La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece los siguientes niveles de seguridad de contraseña: bajo, medio y alto, así como el establecimiento de reglas de contraseña a medida para agentes y administradores. Zendesk también permite distintos niveles de seguridad de contraseña que aplicar a usuarios finales respecto de agentes y administradores. Solo los administradores pueden cambiar el nivel de seguridad de contraseña. Más información sobre políticas de contraseñas configurables.
Autenticación de 2 factores (2FA)
La autenticación nativa de Zendesk para productos, disponible a través del Centro de administración, ofrece doble factor (2FA) para agenes y administradores a través de SMS o una aplicación de autenticación. Más información sobre 2FA.
Almacenamiento de credenciales de servicio
Zendesk respeta las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible para humanos, sino solo cifradas de manera aleatorizada, segura y unidireccional.
Privacidad y protección de datos avanzadas
Para las empresas que necesitan un nivel superior de privacidad y seguridad de datos, Zendesk ofrece el complemento Privacidad y protección de datos avanzadas. El complemento incluye funciones de cifrado BYOK, políticas personalizables de retención de datos, ocultación de datos, ocultación de información personal identificable y registros de acceso.
Controles de acceso por función
El acceso a datos en las aplicaciones Zendesk está regido por el control de acceso por función (role-based access control, RBAC) y puede configurarse para definir privilegios de acceso detallados. Zendesk admite varios niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).
Más información sobre funciones de usuario:
- Funciones de soporte predeterminadas
- Funciones de soporte personalizado *Solo empresas
- Funciones predeterminadas de chat
- Funciones personalizadas de chat *Solo empresas
- Funciones predeterminadas de Explore
- Funciones predeterminadas de Guide
- Funciones predeterminadas de Talk
- Tiempo de sesión
Limitaciones de IP
Cualquier cuenta de Zendesk puede limitar el acceso a su soporte Zendesk a usuarios dentro de un rango específico de direcciones IP. Solo podrán registrarse en su cuenta Zendesk los usuarios procedentes de las direcciones IP permitidas. Puede permitir que los suscriptores (no agentes ni administradores) se salten esta limitación. Para mayor información, consulte Limitar el acceso al soporte de Zendesk y a su centro de ayuda mediante limitaciones de IP y Limitar el acceso al chat según la IP.
Certificados de cifrado alojado para centro de ayuda (TLS)
Zendesk ofrece cifrado TLS gratuito para centros de ayuda Guide con alojamiento mapeado. Zendesk utiliza Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que caduque.
También puede subir su propio certificado, si así lo decide.
Para mayor información sobre el establecimiento de certificados de cifrado para un centro de ayuda Guide, consulte Establecer un certificado de cifrado TLS alojado.
Limitaciones de archivos en chats
Zendesk Chat ofrece la posibilidad de limitar qué tipos de archivos se envían a los agentes. De forma alternativa, puede optar por desactivar totalmente el envío de archivos a través del chat. Para saber más sobre esta función, consulte Gestionar el envío de archivos en el chat en directo.
Registros de auditoría
Zendesk ofrece Registros de auditoría a cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios de cuenta, cambios de usuario, cambios de aplicación, reglas profesionales, supresión de tickets y configuraciones. El Registro de auditoría está disponible tanto en el Centro de administración como en la API de soporte. Para saber más sobre los Registros de auditoría y ver qué información está disponible en el registro, consulte Ver cambios en el registro de auditoría.
Adjuntos privados
Los suscriptores pueden configurar su instancia de modo que los usuarios tengan que iniciar sesión para visualizar los adjuntos de tickets. Más información sobre Adjuntos privados.
Ocultación
Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles: La ocultación manual ofrece la posibilidad de ocultar o retirar datos sensibles en comentarios de tickets de soporte, y suprimir de forma segura adjuntos, de modo que pueda proteger la información confidencial. Los datos se ocultan de tickets a través de la UI o la API para impedir que se almacene información sensible en Zendesk. Más información sobre la ocultación a través de UI o API.
La ocultación automática permite ocultar automáticamente los números de tarjetas bancarias en los tickets que envíe el suscriptor. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. También se ocultan en los registros y entradas en bases de datos. Para saber más sobre cómo activar esta función y cómo se detectan los números de tarjetas bancarias, consulte ocultación automática de números de tarjetas bancarias en tickets y en chats.
Filtrado de spam en el centro de ayuda en Guía
El servicio de filtrado de spam de Zendesk puede usarse para prevenir las publicaciones indeseadas de usuarios finales en su centro de ayuda Guide. Más información sobre filtrado de spam en Guía.
Firma de correo electrónico (DKIM/DMARC)
Zendesk ofrece DKIM (Domain Keys Identified Mail [Correo de identificación de claves de dominio]) y DMARC (Domain-based Message Authentication, Reporting, & Conformance [Autenticación, notificación y conformidad de mensaje a partir del dominio]), para firmar correos electrónicos salientes y procedentes de Zendesk cuando tenga que establecer un dominio de correo electrónico externo en su Zendesk. Utilizar un servicio de correo electrónico que dé soporte a estas características le ayuda a detener la suplantación de identidad en correos electrónicos. Más información sobre la firma digital de su correo electrónico.
Seguimiento de dispositivos
Zendesk rastrea los dispositivos usados para conectarse a cada cuenta de usuario. Cuando alguien se conecta a una cuenta desde un dispositivo nuevo, se añade a la lista de dispositivos en el perfil de ese usuario. Ese usuario puede obtener una notificación por correo electrónico cuando se añade un nuevo dispositivo, y debería darle seguimiento si la actividad tiene aspecto sospechoso. Las sesiones sospechosas pueden ser objeto de interrupción a través del UI del agente. Más información sobre el seguimiento de dispositivos.
Seguridad de RR. HH.
Políticas
Zendesk ha desarrollado un exhaustivo conjunto de políticas de seguridad que cubren una amplia variedad de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.
Formación
Todos los empleados asisten a una Formación de concienciación sobre seguridad, que se imparte tras la contratación y con carácter anual en lo sucesivo. Todos los ingenieros reciben una Formación de código seguro anual. El Equipo de Seguridad ofrece actualizaciones adicionales en materia de concienciación sobre seguridad por correo electrónico, en publicaciones de blogs y en presentaciones durante eventos internos.
Comprobaciones de antecedentes
Zendesk lleva a cabo comprobaciones de antecedentes de todos los nuevos empleados de acuerdo con las leyes locales. Estas comprobaciones también son necesarias para los contratistas. Las comprobaciones de antecedentes incluyen verificaciones de carácter penal, formativo y laboral. Los equipos de limpieza también están incluidos.
Acuerdos de confidencialidad
Todos los nuevos empleados tienen que firmar acuerdos de no divulgación y de confidencialidad.
Bienvenido al Programa global de privacidad de Zendesk
Zendesk cuenta con un programa global y formal en materia de privacidad y protección de datos, que incluye a partes implicadas clave de diversas funciones, como los ámbitos Jurídico, de Seguridad, de Producto y Ejecutivo dentro de la empresa. En calidad de defensores de la privacidad, trabajamos diligentemente para garantizar que nuestros servicios y los miembros de cada equipo se centran en el cumplimiento de los marcos reglamentarios y sectoriales correspondientes.
Cumplimiento
La Ley de privacidad australiana de 1998 (según sus modificaciones) ofrece varios derechos al interesado y la notificación obligatoria de determinadas violaciones de la seguridad de los datos. A diferencia del RGPD, no existen los conceptos de responsable y encargado del tratamiento de los datos. https://www.zendesk.com/company/anz-privacy/
La Ley General de Protección de Datos brasileña o Lei Geral de Proteção de Dados Pessoais (“LGPD”) entró en vigor el 18 de septiembre de 2020. La LGPD es una ley exhaustiva en materia de protección de datos que cubre las actividades de los responsables y de los encargados del tratamiento y ofrece derechos a las personas físicas.
Los suscriptores de Zendesk que recogen y almacenan datos personales en servicios Zendesk pueden ser considerados “responsables del tratamiento” a tenor de la LGPD. Los responsables del tratamiento asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la LGPD. Zendesk actúa como “encargado del tratamiento”, del modo en que se define dicho término en la LGPD, con respecto al tratamiento de datos personales a través de nuestros servicios.
Los suscriptores pueden consultar nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información más detallada sobre cómo usar productos de Zendesk y ajustarse a las iniciativas de cumplimiento. La Autoridad Nacional de Protección de Datos (National Authority for Protection Data, “ANPD”) puede pronunciar orientaciones adicionales para la LGPD en el futuro. Zendesk seguirá haciendo un seguimiento activo de la ley y continuaremos manteniendo al corriente a nuestros suscriptores sobre características y funcionalidades que pueden usar para facilitar sus esfuerzos de cumplimiento.
La Adenda a LGPD de Zendesk se ha incorporado en el Acuerdo de tratamiento de datos de Zendesk. Si desea revisar y/o ejecutar el Acuerdo de tratamiento de datos de Zendesk, haga clic aquí.
La Ley de privacidad del consumidor de California(California Consumer Privacy Act, “CCPA”), Código Código Civil apdos. 1798.100 y ss. (“CCPA”) es una ley de EE. UU. promulgada en el Estado de California que entró en vigor el 1 de enero de 2020. Aborda los derechos de privacidad que asisten a ciertos consumidores de California y exige a ciertas empresas que cumplan con diversos requisitos en materia de protección de datos. Consulte igualmente el Reglamento de la CCPA final y la Ley de derechos de privacidad de California (California Privacy Rights Act, “CPRA”). Algunas disposiciones de la CPRA entraron en vigor el 16 de diciembre de 2020, mientras que las disposiciones restantes de la CPRA cobrarán efecto a partir del 1 de enero de 2023.
Los suscriptores de Zendesk que recogen y almacenan información personal en servicios Zendesk pueden ser considerados “Empresas” a tenor de la CCPA. Las Empresas asumen la principal responsabilidad por garantizar que su tratamiento de datos personales es conforme a la legislación pertinente en materia de protección de datos, incluida la CCPA. Zendesk actúa como “Proveedor de servicio”, del modo en que se define dicho término en la versión actual de la CCPA, con respecto al tratamiento de información personal a través de nuestros servicios. Así pues, Zendesk recopila, accede, conserva, usa, trata y transfiere la información personal de nuestros suscriptores y de los usuarios finales de nuestros suscriptores tratada a través de los Servicios únicamente con el fin de ejecutar nuestras obligaciones en virtud de nuestros contratos existentes con los suscriptores, y con ningún otro fin comercial al margen de la ejecución de dichas obligaciones y de la mejora de los Servicios que suministramos.
No “vendemos” la información personal de nuestros suscriptores conforme se define en la CCPA. Puede que compartamos información agregada y/o anonimizada con respecto al uso de los Servicios, la cual no se considera información personal al amparo de la CCPA, ayudándonos terceros a desarrollar y mejorar los Servicios y a ofrecer a nuestros suscriptores un contenido y ofertas de servicios más pertinentes, como se detalla en nuestros contratos de suscriptor.
La Adenda a CCPA de Zendesk se ha incorporado en el Acuerdo de tratamiento de datos de Zendesk. Si desea revisar y/o ejecutar el Acuerdo de tratamiento de datos de Zendesk, haga clic aquí.
Si desea revisar y/o ejecutar el Apéndice de EE. UU. al Acuerdo principal de Servicios de Zendesk, haga clic aquí.
La Ley de protección de la información personal y de documentos electrónicos (Personal Information Protection and Electronic Documents Act, PIPEDA) de Canadá entró en vigor en 2000 y se centra en diez principios justos de la información que conforman las reglas de recopilación, utilización, acceso y divulgación de información personal. En octubre de 2021, la International Technology Association of Canada y el Information Technology Industry Council sugirieron cambios a la PIPEDA para ofrecer mayores derechos en materia de privacidad y transparencia a los ciudadanos canadienses.
Puede consultar y/o formalizar el APD de Zendesk aquí. El APD de Zendesk cubre las actividades de tratamiento específicas y las medidas de seguridad aplicables a nuestros servicios e incorpora las nuevas Cláusulas Contractuales Estándar de la Unión Europea (CCE de la UE).
Los suscriptores pueden leer nuestras Guías de productos y la Política de supresión de datos de servicio para obtener información detallada sobre cómo usar productos de Zendesk para asistir en el cumplimiento de las leyes de protección de datos y privacidad.
Desde nuestro inicio, el enfoque de Zendesk se ha asentado en un sólido compromiso con la privacidad, la seguridad, el cumplimiento y la transparencia. Este enfoque incluye asistir en el cumplimiento por parte de nuestros suscriptores de los requisitos de la UE en materia de protección de datos, como los establecidos en el Reglamento General de Protección de Datos (“RGPD”).
Si un suscriptor recoge, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD exige al suscriptor que use encargados del tratamiento externos que garanticen su capacidad para implementar los requisitos técnicos y organizativos del RGPD. Para ganarnos una mayor confianza de nuestros suscriptores, nuestro Acuerdo de tratamiento de datos (“ATD”) ha sido actualizado para ofrecer a nuestros clientes compromisos contractuales relativos a nuestro cumplimiento de la legislación correspondiente de la UE en materia de protección de datos y para implementar disposiciones contractuales adicionales que exija el RGPD.
Normas corporativas vinculantes (Binding Corporate Rules, BCR): Las Normas corporativas vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos a nivel de empresa aprobadas por las autoridades de protección de datos europeas para facilitar las transferencias intragrupo de datos personales desde el Espacio Económico Europe (“EEE”) hasta países ajenos al mismo. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la UE y requieren una consulta intensiva con dichas autoridades. Los suscriptores pueden consultar las entidades que cuentan con aprobación en la Lista de aprobación de Normas corporativas vinculantes aquí. En 2017, Zendesk completó el proceso de aprobación de la UE ante el Comisionado de Protección de Datos (Data Protection Commissioner, “DPC”) irlandés (revisado por pares tanto en la Oficina del Comisionado para la Información del Reino Unido como en la Autoridad de Protección de Datos holandesa) respecto de las BCR y tanto en calidad de encargado como de responsable del tratamiento de los datos. Esta importante aprobación reglamentaria validó la implementación de Zendesk de los niveles más altos posibles para proteger los datos personales globalmente, cubriendo tanto los datos personales de sus clientes como de sus empleados. Zendesk es una de las primeras empresas de software en el mundo en haber recibido la aprobación para sus BCR; y fue la segunda empresa en la historia en recibir aprobación de la DPC irlandesa.
Para acceder a las BCR de Zendesk, puede consultar:
- Normas corporativas de vinculación de la UE para el Procesador de Zendesk
- Normas corporativas de vinculación de la UE para el Controlador de Zendesk
Para acceder a las BCR de Zendesk, puede consultar:
- Normas corporativas de vinculación del Procesador de Zendesk en el Reino Unido
- Normas corporativas de vinculación del Controlador de Zendesk en el Reino Unido
Solicitudes de interesados: Una persona física que pretenda ejercer sus derechos de protección de datos con respecto a datos personales que almacenemos o tratemos en nombre de un suscriptor nuestro dentro de los Datos de servicio del suscriptor (como, por ejemplo, con intención de acceder a, corregir, modificar, suprimir, transportar o limitar el tratamiento de dichos datos personales) debe dirigir tal consulta a nuestro suscriptor (el responsable del tratamiento). Tras recibir de uno de nuestros suscriptores la solicitud de que retiremos datos personales de Zendesk, responderemos a tal petición en un plazo de treinta (30) días. Conservaremos los datos personales que tratamos y almacenamos en nombre de nuestros suscriptores durante el tiempo necesario para proporcionar los Servicios a nuestros suscriptores.
Delegado de protección de datos: Puede contactar con el delegado de protección de datos de Zendesk (“DPD”) en euprivacy@zendesk.com.
HDS permite a los proveedores de atención sanitaria en Francia utilizar el servicio al cliente y la plataforma de interacción de Zendesk con confianza en que nuestra plataforma ha implantado las medidas técnicas y de gobernanza apropiadas para proteger la información personal sanitaria (Personal Health Information, PHI). Dispone de información adicional aquí.
La Ley de privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020, se aplica a las agencias y mantiene el marco de principios establecido en la Ley de 1993. La Ley de 2020 establece que las organizaciones son responsables de garantizar que la información personal que se envía fuera de Nueva Zelanda está protegida adecuadamente y añade requisitos de notificación obligatoria de infracciones. https://www.zendesk.com/company/anz-privacy/
La Ley de protección de datos personales de Singapur establece leyes de protección de datos que rigen la recogida, utilización y divulgación de datos personales y está en vigor desde el 2 de julio de 2014. Zendesk es un Intermediario de datos en calidad de proveedor de servicios de software como servicio (Software-as-a-Service, “SaaS”) reconocido por la Autoridad de desarrollo de infocomunicaciones (Infocomm Development Authority, IDA) de Singapur. Dispone de información adicional aquí.
El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. El 28 de junio de 2021, la Comisión Europea adoptó ciertas decisiones de adecuación para las transferencias de datos personales al Reino Unido en virtud del RGPD.
Para obtener una cuenta conforme con la HIPAA, tiene que (1) comprar el servicio asociado con despliegue de seguridad avanzada o el complemento de servicio asociado con despliegue de cumplimiento avanzado; (2) activar un conjunto de configuraciones de seguridad conforme indique Zendesk; y (3) formalizar nuestro Acuerdo de Asociado Profesional (“BAA”). Para mayor detalle, incluida una lista de qué servicios pueden ser conformes con la HIPAA, consulte Cumplimiento avanzado.
Detalles de datos de servicio del suscriptor
Los datos de servicio consisten en cualquier información, incluidos datos personales, que se almacene o se transmita a través de los Servicios de Zendesk por parte de nuestros suscriptores y sus usuarios finales, u otros terceros en nombre los anteriores. Utilizamos datos de servicio para operar y mejorar nuestros Servicios, ayudar a los clientes a acceder y usar los Servicios, responder a las consultas de suscriptores y enviar comunicaciones relacionadas con los Servicios.
Acceso: Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los clientes a proteger de forma efectiva su información. No accedemos ni usamos contenido de clientes para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley. Consulte aquí para obtener información adicional.
Alojamiento de datos: Zendesk usa Amazon Web Services para alojar los datos de servicio conforme se describe aquí y en la Política de alojamiento de datos regional. Para mayor información, puede consultar también la sección de Seguridad.
Tipos de datos recopilados por defecto por el Servicio: Zendesk ha creado una lista de puntos de datos, categorizados por producto. Para la visión completa de los tipos de datos, los suscriptores pueden usar esta lista en conjunto con su caso de uso previsto específico y los tipos de datos resultantes.
Solicitudes legales o por parte del Gobierno: La privacidad, la seguridad de los datos y la confianza del suscriptor son nuestras prioridades principales. Zendesk no divulga datos de servicio, excepto cuando sea necesario para prestar nuestros servicios y cumplir con las leyes correspondientes, conforme se detalla en nuestra Política de privacidad. Para asistir a nuestros suscriptores en la realización de revisiones del cumplimiento, contamos con recursos adicionales: Informe de transparencia y Política sobre solicitudes por parte del Gobierno.
Titularidad: Desde el punto de vista de la privacidad, el suscriptor es el responsable del tratamiento de los datos de servicio y Zendesk es el encargado del tratamiento. Esto significa que durante el tiempo que usted esté suscrito a los servicios con Zendesk, usted conserva la titularidad y el control de los datos de servicio en su instancia Zendesk.
Replicación: Zendesk replica periódicamente los datos a efectos de archivo, copia de seguridad y registros de auditoría. Usamos Amazon Web Services (AWS) para almacenar parte de la información que se copia por seguridad, como información de bases de datos y archivos adjuntos. Puede consultar nuestra Política regional de alojamiento de datos para mayor detalle.
Seguridad: Zendesk prioriza la seguridad de los datos y combina aspectos de la seguridad a nivel de empresa con exhaustivas auditorías de nuestras aplicaciones, sistemas y redes para asegurarse de que se protegen los datos de suscriptores y empresas. Consulte información adicional aquí.
Incidentes de seguridad: Para mayor información sobre la gestión de incidentes de seguridad, consulte nuestra Respuesta a incidentes de seguridad.
Subencargados: Zendesk puede usar subencargados, como filiales de Zendesk, así como empresas terceras, para suministrar, proteger o mejorar los Servicios, y dichos subencargados quizá tengan acceso a los datos de servicio. Nuestra Política de subencargados del tratamiento ofrece una lista actualizada de los nombres y ubicaciones de todos los subencargados del tratamiento.
Rescisión: Zendesk mantiene una Política de supresión de datos de servicio que describe los procesos de supresión de datos de Zendesk tras la rescisión o el vencimiento de la suscripción con Zendesk del correspondiente suscriptor.
Políticas relativas a la privacidad
Información detallada sobre cómo y cuándo usamos cookies en los sitios web de Zendesk.
Ofrece información sobre cómo y cuándo Zendesk usa cookies en los servicios Zendesk.
Cómo se suprimen los datos de servicio de nuestros suscriptores en relación con la cancelación, rescisión o migración de una cuenta en los Servicios Zendesk.
Este marco aclara las responsabilidades de cada parte con respecto a los controles relacionados con la seguridad y la privacidad de sus datos.
Funciones de aplicaciones relacionadas con la privacidad
Zendesk cuenta con herramientas para que cada uno de sus productos asista en las solicitudes de los usuarios y demás obligaciones en virtud de las correspondientes leyes y normativas de privacidad y protección de datos, como el acceso, la corrección, la portabilidad, la supresión y la oposición con respecto a los datos. Para mayor información sobre las características y funcionalidades de cada producto Zendesk, consulte Cumplimiento de la privacidad y la protección de datos en productos Zendesk.
Zendesk ofrece una serie avanzada de funciones de acceso y cifrado para ayudar a los suscriptores a proteger de forma efectiva su información. No accedemos ni usamos datos de suscriptores para ningún fin que no sea la prestación, el mantenimiento y la mejora de los servicios Zendesk y, en general, conforme lo exija la ley aplicable. Dispone de información adicional aquí.
Zendesk ha logrado un número de certificaciones y acreditaciones de reconocimiento internacional que demuestran su cumplimiento de marcos de garantía externos. Las certificaciones de seguridad se describen aquí.
Los suscriptores que compren el Servicio asociado con despliegue de localización de centro de datos (“Complemento de localización de centro de datos”), o que tengan la funcionalidad de Localización de centro de datos en su Plan de servicio, tienen la posibilidad de seleccionar la región que alojará sus datos de servicio de una lista de regiones disponibles que facilita Zendesk.
Zendesk cuenta con un sólido programa global de privacidad y protección de datos, que adopta un enfoque unificado de la gestión de la privacidad y la información para dar a los clientes flexibilidad de cara a gestionar los datos personales que se encuentran en los sistemas de Zendesk. Para obtener más detalles, consulte nuestras guías de productos: Cumplimiento de la privacidad y la protección de datos en productos Zendesk.
Zendesk proporciona dos tipos de ocultación para eliminar datos sensibles:
La ocultación manual ofrece la posibilidad de ocultar o retirar datos sensibles en comentarios de tickets de Soporte, y suprimir de forma segura adjuntos, de modo que pueda proteger la información confidencial. Los datos se ocultan de tickets a través de la UI o la API para impedir que se almacene información sensible en Zendesk. Más información sobre la ocultación a través de UI o API.
La ocultación automática permite la ocultación automática de números de tarjetas bancarias en tickets enviados por agentes o por usuarios finales. Cuando se active, los números de tarjetas bancarias se sustituirán parcialmente con casillas en blanco en el ticket. Los números también se ocultan en los registros y entradas en bases de datos. Aprenda cómo habilitar esta función y cómo se detectan los números de tarjetas bancarias.
IA de Zendesk
La IA de Zendesk se basa en los principios fundamentales de privacidad, seguridad y cumplimiento, por diseño. Nuestro compromiso de ofrecer a las empresas los productos y soluciones más seguros y fiables posibles está integrado en nuestro ADN. Como parte de todo esto, Zendesk estableció un conjunto de principios de diseño que no solo establecen el estándar para la forma en que diseñamos, desarrollamos y construimos todo lo que hacemos, sino que establecen una base clara para nuestro uso de la IA generativa para las experiencias de los clientes (CX y las experiencias de los empleados (EX)).
Los Datos de servicio tratados por la IA de Zendesk están sujetos a todos los estándares y compromisos de seguridad, incluido el cumplimiento de las sólidas Medidas de seguridad empresarial de Zendesk y el almacenamiento dentro del entorno de Zendesk que cumple con SOC 2. Los Datos de servicio no se compartirán con ningún otro cliente.
Las funciones de la IA generativa están actualmente impulsadas por OpenAI. OpenAI elimina todos los datos después de producir el resultado, sin ningún almacenamiento. Las prácticas de seguridad de datos de OpenAI están disponibles aquí.
Todos los modelos desarrollados por Zendesk son modelos de clasificación, lo que significa que están entrenados para leer y clasificar las entradas en una de un número determinado de categorías creadas por Zendesk. Dado que estos modelos no son generativos, el modelo no produce ningún contenido, y no es posible que el modelo reproduzca los datos.
¿Utiliza Zendesk los datos de servicio al cliente para formar modelos de aprendizaje automático?
Zendesk ofrece tres tipos de funcionalidad de aprendizaje automático:
1. Funcionalidad de ML específica de la cuenta: Zendesk crea modelos de aprendizaje automático adaptados a la cuenta de un cliente utilizando solo datos existentes en la cuenta. Los modelos específicos de la cuenta no serán utilizados por ningún otro cliente.
2. Funcionalidad de ML genérica: Zendesk utiliza los datos de servicio para formar a sus modelos genéricos de aprendizaje automático entre cuentas para que sean predictivos y útiles para múltiples clientes de Zendesk. Estos incluyen modelos globales y del sector. Estos modelos nunca revelarán los Datos de servicio de un cliente a otro cliente, porque no son “generativos” (es decir, no crean texto).
3. Funcionalidad de ML generativo compatible con OpenAI: Los modelos OpenAI están preentrenados y los datos de los clientes de Zendesk nunca serán utilizados por OpenAI (ni por ningún otro tercero) para formar a su(s) modelo(s).
¿Cómo protege Zendesk los datos de servicio cuando se utilizan para la formación de modelos?Antes de usar los Datos de Servicio para entrenar una funcionalidad de ML genérica, Zendesk aplica procesos de agregación y saneamiento, según sea necesario. Para el entrenamiento del modelo no se utilizan campos destinados a la admisión de datos personales ni archivos adjuntos a los tickets. Zendesk se compromete a garantizar que el modelo no reproducirá ningún Dato de Servicio. No existe ningún riesgo de que los datos de un cliente se expongan a otro cliente a través de los resultados del modelo. Véase Información sobre el uso de datos de IA.
Las alucinaciones son un riesgo intrínseco para las características generativas de la IA. Zendesk hace dos cosas para mitigar este riesgo:
Zendesk utiliza la técnica de generación aumentada de recuperación (RAG) para garantizar que las respuestas generadas o los resultados de búsqueda se basan en contenido específico de la base de conocimientos.
El equipo de desarrollo de Zendesk inspecciona regularmente las respuestas con comentarios negativos del usuario final para detectar alucinaciones y desarrollar herramientas que puedan detectar y prevenir automáticamente dichos escenarios.
Todos los Datos de Servicio se alojan en las regiones AWS existentes de Zendesk. Para conocer las ubicaciones de alojamiento de los subencargados, consulta la Política de subencargados de Zendesk
El uso de la IA de Zendesk no afecta a ningún compromiso de localización de datos del suscriptor, incluidos los disponibles en el Complemento de Localización de Centros de Datos. Los Datos de Servicio de los suscriptores que cumplan los requisitos seguirán alojándose en la región seleccionada.
Nota: Zendesk WFM (Tymeshift), Zendesk QA (Klaus) y Ultimate Service Data se alojan en Google Cloud Platform en las regiones que se proporcionan a continuación:
Producto | Ubicación(es) de alojamiento de datos de servicio |
---|---|
Zendesk WFM (Tymeshift) | EE. UU., Alemania |
Zendesk QA (Klaus) | Alemania |
Ultimate | EE. UU., Bélgica |
Todos los productos y funciones de Zendesk están diseñados teniendo en cuenta la privacidad, y el Zendesk AI no es una excepción.
Los suscriptores pueden cumplir con varias leyes de privacidad (como el RGPD y la CCPA) cuando usan Zendesk, incluidas las funciones de la IA de Zendesk.
La IA de Zendesk puede contar con cobertura conforme al Acuerdo de Asociado de Negocios (BAA) de Zendesk.
Los suscriptores interesados en celebrar un BAA con Zendesk deben tener acceso al complemento de Cumplimiento Avanzado.
Seguridad de los datos
Las prácticas de seguridad de datos de OpenAI están disponibles aquí.
Modelo de seguridad
Zendesk utiliza modelos preentrenados de OpenAI, y OpenAI nunca utilizará los Datos de Servicio para ningún otro propósito que no sea proporcionar y asegurar su servicio al suscriptor. Una vez entregado el producto, se borran los Datos de Servicio.
Formación del modelo
OpenAI nunca utilizará los Datos de Servicio para el entrenamiento de modelos o cualquier otra forma de mejora del servicio.
Localización y alojamiento de datos
OpenAI admite la localización del procesamiento de datos en el Espacio Económico Europeo (EEE) y Suiza para los clientes que cumplen los requisitos. Sin embargo, ten en cuenta que OpenAI no almacena ni aloja datos de servicio, que solo se procesan en la memoria para ofrecer el resultado.
Privacidad de los datos
Zendesk utiliza la política de "Cero Retención de Datos" de OpenAI para que ningún Dato de Servicio sea almacenado o alojado por OpenAI después de que se haya entregado el producto. Como resultado, el uso de OpenAI no afecta la capacidad de los suscriptores de cumplir con varias leyes de privacidad (como el RGPD y la CCPA) al usar Zendesk.
Todas las funciones de OpenAI dentro de Zendesk son opcionales. Los suscriptores que no deseen utilizar estas funciones no tienen que activarlas, y siempre pueden desactivarlas a través del Centro de Administración.
HIPAA
Algunas funciones de OpenAI se pueden usar en cuentas que cumplen con la HIPAA. Consulte la página Cumplimiento avanzado para obtener más información.
Puedes obtener más información sobre la seguridad y privacidad del agente de IA de Ultimate aquí.
Aviso legal
Nuestros acuerdos y políticas ofrecen a los suscriptores transparencia e información detallada sobre los servicios Zendesk, que a su vez dan soporte a nuestros suscriptores para cumplir sus propias exigencias legales y de cumplimiento.
Zendesk ofrece varios acuerdos de tratamiento de datos y otras adendas para contribuir al cumplimiento de las leyes de privacidad de datos por parte de los suscriptores, disponibles para su formalización aquí. Estos incluyen:
Acuerdo de tratamiento o procesamiento de datos (APD)
HIPAA de Estados Unidos y Acuerdo de Asociado Profesional (BAA)
Contrato de servicios principales (MSA)
Los suscriptores pueden hacer uso de nuestra Plantilla de accesibilidad de producto voluntaria al realizar sus valoraciones preliminares.
Los niveles mínimos que esperamos de nuestros directivos, directores, empleados y trabajadores temporales en el desempeño de nuestras actividades.
Información detallada sobre cómo y cuándo usamos cookies en los sitios web de Zendesk.
Ofrece información sobre cómo y cuándo Zendesk usa cookies en los servicios Zendesk.
Cómo gestiona Zendesk las notificaciones de infracción.
Cómo se suprimen los datos de servicio de nuestros suscriptores en relación con la cancelación, rescisión o migración de una cuenta en los Servicios Zendesk.
Aborda el procedimiento de Zendesk para responder a una solicitud recibida de una autoridad de aplicación de la ley o gubernamental de otro tipo.
Describe cómo Zendesk recopila, utiliza, comparte y protege los datos personales.
Dónde pueden alojarse los datos de servicio de Zendesk si un suscriptor compra o activa el complemento de ubicación del centro de datos.
Programas mediante los que los investigadores de seguridad informan que detectaron vulnerabilidades de seguridad en los servicios Zendesk.
Dispone de políticas adicionales de Zendesk aquí.
Informe de transparencia
Divulgación de datos de servicio: Zendesk solo divulga datos de servicio a terceros cuando la divulgación es necesaria para facilitar o mejorar los servicios o conforme sea necesario para responder a solicitudes legítimas procedentes de autoridades públicas. Consulte nuestra Política sobre solicitudes de datos por parte del Gobierno, así como el Informe de transparencia de Zendesk.