Cuando gestionas conversaciones confidenciales con clientes, la seguridad no es solo una casilla de verificación. Es la base de la confianza entre tú y tus clientes. Una filtración de datos puede deshacer años de construcción de relaciones.
Elegir una plataforma de atención al cliente con funciones sólidas de seguridad y cumplimiento es importante. Zendesk se ha posicionado como una solución de nivel empresarial, pero ¿qué significa eso realmente para tu postura de seguridad? Analicemos lo que ofrece Zendesk, dónde destaca y lo que debes saber antes de tomar una decisión.
¿Cuál es el enfoque de Zendesk en materia de seguridad?
Zendesk opera según un modelo de responsabilidad compartida. Ellos se encargan de la seguridad de la plataforma, la protección de la infraestructura y las certificaciones de cumplimiento. Tú te encargas del acceso de los usuarios, la clasificación de los datos y la configuración de los ajustes de seguridad dentro de tu cuenta.
Esta división del trabajo es estándar en SaaS (Software como Servicio), pero Zendesk ha invertido mucho en obtener la validación de terceros. Su Centro de Confianza sirve como centro neurálgico de la documentación de seguridad, las certificaciones y los recursos de cumplimiento. Más de 110.000 empresas utilizan Zendesk, incluidas organizaciones de Fortune 100 y Fortune 500, lo que les proporciona una validación del mundo real a escala.
La empresa hace hincapié en la "privacidad desde el diseño", lo que significa que las consideraciones de seguridad se incorporan a las funciones desde el principio, en lugar de añadirse a posteriori. Esto se manifiesta en sus valores predeterminados de cifrado, los controles de acceso y las prácticas de gestión de datos.
Certificaciones de seguridad y marcos de cumplimiento de Zendesk
Zendesk mantiene una de las carteras de certificaciones más completas del sector de la atención al cliente. Esto es lo que han logrado:
Certificaciones de seguridad principales
| Certificación | Qué significa |
|---|---|
| SOC 2 Tipo II | Auditorías anuales que verifican los controles de seguridad; informes disponibles bajo NDA (acuerdo de confidencialidad) |
| ISO 27001:2022 | Certificación del sistema de gestión de la seguridad de la información |
| ISO 27018:2019 | Norma de protección de la privacidad en la nube |
| ISO 27701:2019 | Certificación de gestión de la información de privacidad |
| ISO 27017:2015 | Controles de seguridad específicos de la nube |
| ISO 42001 | Sistemas de gestión de la IA (Zendesk fue uno de los primeros proveedores de CX certificados) |
| FedRAMP LI-SaaS | Autorizado para uso gubernamental de bajo impacto |
| Cyber Essentials Plus | Verificación de ciberseguridad respaldada por el gobierno del Reino Unido |
| CSA STAR AI Niveles 1 y 2 | Primero en la industria en lograr este reconocimiento de seguridad en la nube y gobernanza de la IA |
Fuente: Centro de Confianza de Zendesk
Cumplimiento normativo regional y del sector
Además de las certificaciones de seguridad, Zendesk es compatible con los principales marcos normativos:
- HIPAA: Disponible a través del Acuerdo de Socio Comercial para organizaciones sanitarias
- PCI-DSS: Protección de datos de tarjetas de crédito con herramientas de redacción automática
- GDPR: Normas corporativas vinculantes aprobadas (Zendesk fue la segunda empresa aprobada por el Comisionado de Protección de Datos irlandés)
- CCPA/CPRA: Cumplimiento de la ley de privacidad de California
- HDS: Certificación francesa de alojamiento de datos sanitarios
- Leyes regionales: Ley de privacidad australiana, LGPD brasileña, PIPEDA canadiense, PDPA de Singapur, GDPR del Reino Unido
Esta amplitud es importante si operas en varias jurisdicciones. No necesitarás plataformas separadas para diferentes regiones.
Funciones de protección de datos y cifrado de Zendesk
Seguridad estándar (incluida en todos los planes)
Todos los planes de Zendesk incluyen medidas de seguridad fundamentales:
- Cifrado en reposo: Cifrado AES-256 a través de la infraestructura de AWS
- Cifrado en tránsito: TLS 1.2+ para todas las comunicaciones
- Control de acceso basado en roles: Permisos granulares para diferentes tipos de usuarios
- Autenticación de dos factores: Compatibilidad con SMS o aplicaciones de autenticación
- Inicio de sesión único: Integración SAML y OIDC
- Restricciones de IP: Limita el acceso a rangos de direcciones específicos
- Políticas de contraseñas configurables: Niveles de seguridad bajo, medio o alto
Complemento de privacidad y protección de datos avanzada (ADPP)
Para las organizaciones con requisitos más estrictos, Zendesk ofrece el complemento ADPP a 50 dólares por agente al mes (facturado anualmente). Esto desbloquea:
- Cifrado BYOK (Bring Your Own Key): Traiga su propia clave a través de AWS KMS, Azure Key Vault o Google Cloud
- Registros de acceso: Rastrea quién vio qué datos, cuándo y desde dónde (retención de 90 días)
- Retención de datos avanzada: Políticas personalizadas con programas de eliminación condicional
- Redacción impulsada por IA: Detección automática y sugerencias para la eliminación de PII (Información de Identificación Personal)
- Enmascaramiento de datos: Controles de visibilidad basados en roles para campos confidenciales
- Redacción automática de tarjetas de crédito: Automatización del cumplimiento de PCI
Fuente: Precios de Zendesk
Merece la pena considerar el complemento ADPP si gestionas información personal confidencial, operas en sectores regulados o necesitas pistas de auditoría para la elaboración de informes de cumplimiento. Obtén más información sobre las funciones de privacidad y protección de datos de Zendesk.
Cumplimiento de la norma HIPAA de Zendesk para el sector sanitario
Las organizaciones sanitarias tienen requisitos específicos en virtud de la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico). Zendesk los apoya a través de su complemento de Cumplimiento Avanzado, disponible en los planes Professional y Enterprise.
Requisitos para las cuentas habilitadas para HIPAA
- Requisito del plan: Suite Professional o Enterprise (o complemento de Cumplimiento Avanzado)
- Acuerdo de socio comercial: Ejecutar el BAA (Business Associate Agreement) a través de DocuSign en zendesk.com/company/business-associate-agreement
- Configuraciones de seguridad: Activar los ajustes recomendados para la protección de la PHI (Información de Salud Protegida)
Servicios cubiertos por el BAA
| Servicio | Cobertura HIPAA |
|---|---|
| Soporte (Ticketing) | Cubierto |
| Guía (Centro de ayuda) | Cubierto |
| Chat y mensajería | Cubierto |
| Talk (Voz) | Cubierto (excluyendo texto) |
| Explore (Análisis) | Cubierto |
Lo que NO está cubierto
- Programas de acceso anticipado (EAP)
- Aplicaciones de Marketplace creadas por Zendesk
- Integraciones de terceros
- Sunshine Conversations independiente
Fuente: Documentación de cumplimiento avanzado de Zendesk
Si trabajas en el sector sanitario, verifica que tu caso de uso e integraciones específicos estén dentro de la cobertura del BAA antes de la implementación.
Gobernanza de la IA y privacidad de los datos en Zendesk
Zendesk ha desarrollado un enfoque integral de la seguridad de la IA a medida que amplía sus funciones de atención al cliente impulsadas por la IA. Su arquitectura multi-LLM utiliza múltiples proveedores (OpenAI, Microsoft Azure, Amazon Bedrock, Google Cloud Platform) para evitar el bloqueo del proveedor y optimizar para diferentes casos de uso.
Principios clave de protección de datos de la IA
- Retención de datos cero: Los puntos finales de OpenAI utilizan retención cero
- Sin formación sobre los datos de los clientes: Tus datos nunca se utilizan para entrenar modelos LLM de terceros
- Modelos específicos de la cuenta: Modelos de aprendizaje automático entrenados únicamente con los datos de tu cuenta
- Técnica RAG: La generación aumentada de recuperación garantiza que las respuestas de la IA se basen en el contenido de tu base de conocimientos
Zendesk obtuvo la certificación ISO 42001 para los sistemas de gestión de la IA, lo que la convierte en uno de los primeros proveedores de CX en cumplir esta norma. Esta certificación cubre sus prácticas de IA desde el diseño y el desarrollo hasta la implementación y la supervisión.
Mejores prácticas de seguridad para administradores de Zendesk
Basándonos en las recomendaciones del sector y en la propia guía de Zendesk, este es un enfoque gradual para proteger tu entorno de Zendesk:
Fase 1: Evaluación de los fundamentos (Meses 1-2)
- Auditar los roles y permisos de los usuarios actuales
- Mapear los flujos de datos entre Zendesk y los sistemas integrados
- Documentar todas las aplicaciones e integraciones de terceros
- Identificar las deficiencias de cumplimiento con respecto a tus requisitos
Fase 2: Refuerzo del núcleo (Meses 2-4)
- Activar la autenticación multifactor para todos los usuarios
- Configurar el acceso basado en roles con principios de privilegio mínimo
- Configurar las restricciones de IP si procede
- Implementar políticas de contraseñas seguras
- Activar el registro de auditoría completo
Fase 3: Cumplimiento avanzado (Meses 4-8)
- Implementar la supervisión automatizada de los cambios de configuración
- Integrar con tu sistema SIEM si tienes uno
- Configurar paneles de control de cumplimiento en tiempo real
- Establecer procedimientos de respuesta a incidentes
Fase 4: Mejora continua (Mes 8+)
- Programar pruebas de penetración periódicas
- Realizar análisis trimestrales de las deficiencias de cumplimiento
- Proporcionar formación continua sobre concienciación en materia de seguridad
- Revisar y actualizar las políticas de seguridad
Los expertos del sector recomiendan destinar entre el 15 y el 20% del presupuesto de tu plataforma específicamente a la infraestructura de seguridad y a la gestión del cumplimiento.
Fuente: Mejores prácticas de seguridad de Optegris
Cómo eesel AI complementa el marco de seguridad de Zendesk
En eesel AI, hemos creado nuestra plataforma para que funcione dentro de los marcos de seguridad que ya tienes implementados. Cuando invitas a eesel AI a tu equipo como compañero de equipo de IA para la atención al cliente, obtienes varias ventajas de seguridad que complementan las protecciones de Zendesk.
El aislamiento de datos es fundamental para nuestro enfoque. Tus datos sirven solo a tus bots y nunca se utilizan para entrenar nuestros modelos ni se comparten con otros clientes. Mantenemos una infraestructura con certificación SOC 2 Tipo II y ofrecemos residencia de datos en la UE para organizaciones con requisitos geográficos específicos.
Nuestro modelo de compañero de equipo significa que mantienes el control sobre lo que eesel AI gestiona y cuándo se traslada a los humanos. Tú defines estas reglas en un lenguaje sencillo, no en configuraciones complejas. Por ejemplo: "Trasladar siempre las disputas de facturación a un humano" o "Para los clientes VIP, poner en copia al gestor de cuentas".
A diferencia de algunas soluciones de IA que requieren un acceso sin restricciones a tus sistemas, eesel AI se integra con tus permisos existentes de Zendesk y respeta los límites de seguridad que ya has establecido. Podemos operar como un Agente de IA gestionando los tickets de forma autónoma, un Copiloto de IA redactando respuestas para su revisión o un sistema de Triage de IA enrutando y etiquetando los tickets, todo ello manteniendo tu postura de seguridad.
Para los equipos que evalúan soluciones de IA, esto significa que no tienes que elegir entre automatización y seguridad. Puedes tener ambas cosas.
Elegir la configuración de seguridad de Zendesk adecuada
Tus necesidades de seguridad dependen de tu sector, tamaño y entorno normativo. Aquí tienes un desglose práctico:
La seguridad estándar de Zendesk es suficiente si:
- Eres una pequeña o mediana empresa sin requisitos normativos estrictos
- Necesitas cifrado básico y controles de acceso
- Los datos de tus clientes no son muy confidenciales
Considera el complemento de Cumplimiento Avanzado si:
- Estás en el sector sanitario y necesitas el cumplimiento de la norma HIPAA
- Necesitas un Acuerdo de Socio Comercial
- Necesitas configuraciones de seguridad específicas para el cumplimiento normativo
Considera el complemento ADPP si:
- Gestionas cantidades significativas de PII o datos confidenciales
- Necesitas cifrado BYOK para el cumplimiento
- Necesitas pistas de auditoría de acceso detalladas
- Operas en múltiples jurisdicciones con diferentes leyes de privacidad
Consideraciones sobre el coste total
| Plan | Precio base | Con ADPP | Con Cumplimiento Avanzado |
|---|---|---|---|
| Suite Professional | 115 $/agente/mes | 165 $/agente/mes | Incluido |
| Suite Enterprise | 169 $/agente/mes | 219 $/agente/mes | Incluido |
La facturación anual ahorra aproximadamente un 20% en comparación con los precios mensuales.
Fuente: Precios de Zendesk
Cómo empezar con un servicio de atención al cliente seguro
Zendesk ha construido una base de seguridad integral con amplias certificaciones y opciones de cumplimiento. Para la mayoría de las organizaciones, sus funciones de seguridad estándar proporcionan una protección adecuada. Si estás en sectores regulados como el sanitario o el financiero, los complementos de Cumplimiento Avanzado y ADPP cubren importantes lagunas.
La clave es hacer coincidir tus requisitos reales con la configuración correcta. No pagues por un cumplimiento de nivel empresarial si no lo necesitas. Pero no escatimes en seguridad si gestionas datos confidenciales de clientes.
Si estás buscando añadir capacidades de IA a tu entorno seguro de Zendesk, te invitamos a ver cómo eesel AI funciona como un compañero de equipo de IA que respeta tus límites de seguridad existentes. Puedes probar eesel AI gratis o reservar una demostración para ver cómo gestionamos la seguridad junto con la automatización.
Preguntas frecuentes
Compartir esta entrada
Article by
Stevia Putri
Stevia Putri is a marketing generalist at eesel AI, where she helps turn powerful AI tools into stories that resonate. She’s driven by curiosity, clarity, and the human side of technology.
