Die Zendesk-Gruppe verpflichtet sich dazu, ein robustes und umfassendes Sicherheitsprogramm für Unternehmensdienste zu bieten, das die in diesen zusätzlichen Bedingungen aufgeführten Sicherheitsmaßnahmen („Unternehmens-Sicherheitsmaßnahmen“) umfasst. Während des Abonnementzeitraums können wir diese Unternehmens-Sicherheitsmaßnahmen ohne Vorankündigung nach eigenem Ermessen anpassen, wenn Standards weiterentwickelt, zusätzliche Kontrollen eingeführt oder bestehende Kontrollen geändert werden.

Von uns eingesetzte Unternehmens-Sicherheitsmaßnahmen

Wir wenden die folgenden Unternehmens-Sicherheitsmaßnahmen an, um Servicedaten in dem für die Bereitstellung der Unternehmensdienste notwendigen Maße zu schützen:

1. Sicherheitsrichtlinien und Personal. Wir nutzen und pflegen ein verwaltetes Sicherheitsprogramm, um Risiken zu identifizieren und geeignete Kontrollen, Technologien und Prozesse zur Eindämmung gängiger Angriffe zu implementieren. Regelmäßige Überprüfungen sorgen für die dauerhafte Wirksamkeit und Präzision dieses Programms. Wir unterhalten ein Informationssicherheitsteam, das ausschließlich für die Überwachung und Überprüfung der Sicherheitsinfrastruktur unserer Netzwerke, Systeme und Dienste, die Reaktion auf Sicherheitsvorfälle sowie die Entwicklung und Durchführung von Schulungen unserer Beschäftigten in der Einhaltung unserer Sicherheitsrichtlinien zuständig ist.

2. Datenübertragung. Wir treffen laufend wirtschaftlich vertretbare administrative, physische und technische Sicherheitsmaßnahmen, um die Sicherheit, Vertraulichkeit und Unversehrtheit der Servicedaten zu gewährleisten. Zu diesen Sicherheitsmaßnahmen zählen die Verschlüsselung von Servicedaten während der Speicherung und der Übertragung über unsere Benutzeroberflächen oder APIs (anhand von TLS oder ähnlicher Technologien) über das Internet. Ausgenommen hiervon sind Daten von Nicht-Zendesk-Diensten, die keine Verschlüsselung unterstützen und die Sie nach eigenem Ermessen über die Unternehmensdienste einbinden.

3. Audits und Zertifizierungen. Auf Anfrage und vorbehaltlich der in dieser Vereinbarung ausgeführten Vertraulichkeitsverpflichtungen legt Zendesk dem Abonnenten (sofern dieser kein Konkurrent von Zendesk ist) oder seinem unabhängigen externen Auditor (sofern dieser kein Konkurrent von Zendesk ist) seine ISO 27001-Zertifizierung und/oder (nach Unterzeichnung einer entsprechenden Vertraulichkeitsvereinbarung) SOC 2- oder SOC 3-Berichte vor, die die Einhaltung der in dieser Vereinbarung ausgeführten Verpflichtungen durch Zendesk dokumentieren.

4. Vorfallsreaktion. Wir haben einen Vorfallmanagementprozess für Sicherheitsereignisse implementiert, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigen können. In diesem Prozess sind die Fristen für die Benachrichtigung unserer Abonnenten bei einem bestätigten Sicherheitsvorfall im Zusammenhang mit ihren Servicedaten geregelt. Außerdem sind in diesem Prozess die entsprechenden Handlungsabläufe sowie die Benachrichtigungs-, Eskalations-, Schadensbegrenzungs- und Dokumentationsverfahren festgelegt. Das Vorfallsreaktionsprogramm umfasst zentrale 24x7-Überwachungssysteme und Bereitschaftsdienste für die sofortige Bearbeitung von Servicevorfällen. Sofern von Strafverfolgungs- oder Regierungsbehörden nicht anders vorgeschrieben, werden Sie im Falle eine Verletzung der Sicherheit von Servicedaten innerhalb von achtundvierzig (48) Stunden benachrichtigt. Der Begriff „Verletzung der Sicherheit von Servicedaten“ bezeichnet jeden bestätigten unbefugten Zugriff oder jede bestätigte unzulässige Offenlegung im Zusammenhang mit Ihren Servicedaten.

5. Zugangskontrolle und Berechtigungsmanagement. Wir beschränken den administrativen Zugriff auf Produktionssysteme auf zugelassene Mitarbeiter. Diese Mitarbeiter benötigen eine eindeutige ID mit entsprechenden kryptografischen Schlüsseln und/oder müssen komplexe kurzlebige Token verwenden. Die Schlüssel und/oder Token werden zur Authentifizierung und Identifizierung der Zugriffe auf Servicedaten und anderer Aktivitäten der einzelnen Personen in unseren Systemen verwendet. Bei der Einstellung erhalten unsere zugelassenen Mitarbeiter eindeutige IDs und Anmeldedaten. Wenn das Arbeitsverhältnis beendet wird oder der Verdacht besteht, dass die Anmeldedaten kompromittiert wurden, verlieren diese Anmeldedaten ihre Gültigkeit. Die Zugriffsrechte und -ebenen basieren auf der Funktion und der Rolle unserer Mitarbeiter und werden nach dem Least-Privilege- und Need-to-Know-Prinzip entsprechend ihren jeweiligen Verantwortlichkeiten zugeteilt.

6. Netzwerkmanagement und -sicherheit. Die von uns für Hosting-Dienste genutzten Unterauftragsverarbeiter unterhalten eine vollständig redundante und sichere Netzwerkarchitektur nach Industriestandard mit ausreichender Bandbreite sowie eine redundante Netzwerkinfrastruktur, um die Auswirkungen des Ausfalls einzelner Komponenten zu mindern. Unser Sicherheitsteam nutzt branchenübliche Dienstprogramme zur Abwehr allgemein bekannter unbefugter Netzwerkaktivitäten, beobachtet Sicherheitshinweislisten zu Sicherheitslücken und führt regelmäßige externe Anfälligkeitsprüfungen und Audits durch.

7. Rechenzentrumsumgebung und physische Sicherheit. Die von uns für Hosting-Dienste im Zusammenhang mit der Bereitstellung von Unternehmensdiensten genutzten Unterauftragsverarbeiter schützen ihre Umgebungen mit den folgenden Sicherheitsmaßnahmen:

• Eine für physische Sicherheitsfunktionen 24x7x365 verantwortliche Sicherheitsorganisation.
• Den branchenüblichen Richtlinien entsprechende Sicherheitsmaßnahmen und -richtlinien zur Beschränkung des Zugangs zu Bereichen der Rechenzentren, in denen Systeme oder Systemkomponenten installiert sind oder gelagert werden.
• N+1 unterbrechungsfreie Stromversorgung und HLK-Anlagen, Reservestromgeneratoren und erweiterte Brandunterdrückung.

Technische und organisatorische Unternehmens-Sicherheitsmaßnahmen für externe Dienstleistungsanbieter zur Servicedatenverarbeitung

Von der Zendesk-Gruppe beauftragte Drittanbieter erhalten nur in dem für die Bereitstellung der Unternehmensdienste notwendigen und angemessenen Umfang Zugriff auf Ihre Konto- und Servicedaten. Zendesk unterhält ein Programm für die Beurteilung und das Management der mit dem Zugriff dieser Drittanbieter auf Servicedaten verbundenen potenziellen Risiken. Diese Drittanbieter müssen neben den übrigen im Hauptdienstleistungsvertrag genannten Anforderungen die folgenden angemessenen technischen und organisatorischen Sicherheitsmaßnahmen implementieren und einhalten:

1. Physische Zugangskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen wie Sicherheitspersonal und gesicherten Gebäuden dafür sorgen, dass unberechtigte Personen keinen physischen Zugang zu Datenverarbeitungssystemen erhalten, in denen Servicedaten verarbeitet werden.

2. Systemzugriffskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass Datenverarbeitungssysteme nicht ohne Berechtigung genutzt werden können. Diese Kontrollen müssen der Art der Verarbeitung angemessen sein und können unter anderem in der Authentifizierung per Kennwort und/oder Zwei-Faktor-Authentifizierung, dokumentierten Autorisierungsprozessen, dokumentierten Änderungsmanagementprozessen und/oder Zugriffsprotokollen auf verschiedenen Ebenen bestehen.

3. Datenzugriffskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass Servicedaten nur von berechtigtem Personal abgerufen und verwaltet werden können, direkte Datenbankabfragen sowie der Zugriff auf Servicedaten durch strikte Berechtigungen auf das notwendige Maß begrenzt werden und Servicedaten im Rahmen der Verarbeitung nicht ohne entsprechende Berechtigung gelesen, kopiert, geändert oder entfernt werden können.

4. Datenübertragungskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen sicherstellen, dass geprüft und gesteuert werden kann, an wen Servicedaten mithilfe von Datenübertragungseinrichtungen übertragen werden, damit Servicedaten während der elektronischen Übermittlung oder des Transports nicht ohne entsprechende Berechtigung gelesen, kopiert, geändert oder entfernt werden können.

5. Eingabekontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen sicherstellen, dass geprüft und festgestellt werden kann, ob und durch wen Servicedaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, und dass Servicedaten stets über eine sichere Verbindung übertragen werden.

6. Datenschutz. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass Servicedaten vor versehentlicher Zerstörung oder Verlust geschützt sind.

7. Logische Trennung. Externe Dienstleistungsanbieter müssen Servicedaten logisch von den Daten anderer Parteien auf ihren Systemen trennen, um sicherzustellen, dass sie separat verarbeitet werden können.

Diese Bestimmungen wurden zuletzt am 1. Juni 2022 aktualisiert.