Die Zendesk-Gruppe verpflichtet sich dazu, ein robustes und umfassendes Sicherheitsprogramm für Innovationsdienste zu bieten, das die in diesen zusätzlichen Bedingungen aufgeführten Sicherheitsmaßnahmen („Innovations-Sicherheitsmaßnahmen“) umfasst. Während des Abonnementzeitraums können wir diese Sicherheitsmaßnahmen ohne Vorankündigung nach eigenem Ermessen anpassen, wenn Standards weiterentwickelt, zusätzliche Kontrollen eingeführt oder bestehende Kontrollen geändert werden. Die Unternehmens-Sicherheitsmaßnahmen sowie vor dem 2. Dezember 2019 vereinbarte Sicherheitsbestimmungen haben für Innovationsdienste keine Gültigkeit.

Von uns eingesetzte Innovations-Sicherheitsmaßnahmen

Wir wenden die folgenden Innovations-Sicherheitsmaßnahmen an, um Servicedaten in dem für die Bereitstellung der Innovationsdienste notwendigen Maße zu schützen:

1. Sicherheitsrichtlinien und Personal. Wir nutzen und pflegen ein verwaltetes Sicherheitsprogramm, um Risiken zu identifizieren und geeignete Kontrollen, Technologien und Prozesse zur Eindämmung gängiger Angriffe zu implementieren. Wir unterhalten ein Informationssicherheitsteam, das ausschließlich für den Schutz unserer Netzwerke, Systeme und Dienste, die Reaktion auf Sicherheitsvorfälle sowie die Entwicklung und Durchführung von Schulungen unserer Beschäftigten in der Einhaltung unserer Sicherheitsrichtlinien zuständig ist.

2. Datenübertragung. Wir treffen laufend wirtschaftlich vertretbare administrative, physische und technische Sicherheitsmaßnahmen, um die Verfügbarkeit, Vertraulichkeit und Unversehrtheit der Servicedaten zu gewährleisten.

3. Vorfallsreaktion. Wir haben einen Vorfallmanagementprozess für Sicherheitsereignisse implementiert, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigen können. In diesem Prozess sind die Fristen für die Benachrichtigung unserer Abonnenten bei einem bestätigten Sicherheitsvorfall im Zusammenhang mit ihren Servicedaten geregelt. Außerdem sind in diesem Prozess die entsprechenden Handlungsabläufe sowie die Benachrichtigungs-, Eskalations-, Schadensbegrenzungs- und Dokumentationsverfahren festgelegt. Sofern von Strafverfolgungs- oder Regierungsbehörden nicht anders vorgeschrieben, werden Sie im Falle eine Verletzung der Sicherheit von Servicedaten innerhalb von achtundvierzig (48) Stunden benachrichtigt. Der Begriff „Verletzung der Sicherheit von Servicedaten“ bezeichnet jeden bestätigten unbefugten Zugriff oder jede bestätigte unzulässige Offenlegung im Zusammenhang mit Ihren Servicedaten.

4. Zugangskontrolle und Berechtigungsmanagement. Wir beschränken den administrativen Zugriff auf Produktionssysteme auf zugelassene Mitarbeiter.

5. Netzwerkmanagement und -sicherheit. Die von uns genutzten Rechenzentren unterhalten eine vollständig redundante und sichere Netzwerkarchitektur nach Industriestandard mit ausreichender Bandbreite. Unser Sicherheitsteam nutzt branchenübliche Tools und Methoden zur Abwehr allgemein bekannter unbefugter Netzwerkaktivitäten und führt regelmäßige externe Anfälligkeitsprüfungen durch.

6. Rechenzentrumsumgebung und physische Sicherheit. Die von uns für im Zusammenhang mit der Bereitstellung von Innovationsdiensten genutzten Rechenzentren wenden die folgenden Sicherheitsmaßnahmen an:

• Eine für physische Sicherheitsfunktionen verantwortliche Sicherheitsorganisation.
• Den branchenüblichen Richtlinien entsprechende Sicherheitsmaßnahmen und -richtlinien zur Beschränkung des Zugangs zu Bereichen der Rechenzentren, in denen Systeme oder Systemkomponenten installiert sind oder gelagert werden.

Technische und organisatorische Innovations-Sicherheitsmaßnahmen für externe Dienstleistungsanbieter

Zendesk kann im Zusammenhang mit der Bereitstellung der Innovationsdienste auf die Dienste externer Dienstleistungsanbieter zurückgreifen und diesen in dem für die Bereitstellung der Innovationsdienste notwendigen und angemessenen Rahmen Zugriff auf Ihre Konto- und Servicedaten gewähren. Zendesk unterhält ein Programm für die Beurteilung und das Management der mit dem Zugriff dieser Drittanbieter auf Servicedaten verbundenen potenziellen Risiken.

Die von uns mit dem langfristigen Hosting von Servicedaten beauftragten Drittanbieter (Infrastruktur-Unterauftragsverarbeiter) müssen neben den übrigen im Hauptdienstleistungsvertrag genannten Anforderungen die folgenden angemessenen technischen und organisatorischen Sicherheitsmaßnahmen implementieren und einhalten:

1. Physische Zugangskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass unberechtigte Personen keinen physischen Zugang zu Datenverarbeitungssystemen erhalten, in denen Servicedaten verarbeitet werden.

2. Systemzugriffskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass Datenverarbeitungssysteme nicht ohne Berechtigung genutzt werden können.

3. Datenzugriffskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen dafür sorgen, dass Servicedaten nur von berechtigtem Personal abgerufen und verwaltet werden können.

4. Datenübertragungskontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen sicherstellen, dass geprüft und gesteuert werden kann, an wen Servicedaten mithilfe von Datenübertragungseinrichtungen übertragen werden, damit Servicedaten während der elektronischen Übermittlung oder des Transports nicht ohne entsprechende Berechtigung gelesen, kopiert, geändert oder entfernt werden können.

5. Eingabekontrollen. Externe Dienstleistungsanbieter müssen mit geeigneten Maßnahmen sicherstellen, dass geprüft und festgestellt werden kann, ob und durch wen Servicedaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, und dass Servicedaten stets über eine sichere Verbindung übertragen werden.

6. Logische Trennung. Externe Dienstleistungsanbieter müssen Servicedaten logisch von den Daten anderer Parteien auf ihren Systemen trennen, um sicherzustellen, dass sie separat verarbeitet werden können.

Innovationsdienstespezifische Unterauftragsverarbeiter

Externe Dienstleistungsanbieter, die gelegentlich Zugriff auf Ihre Servicedaten in Innovationsdiensten haben, grundsätzlich aber mit der Bereitstellung bestimmter Funktionen oder Komponenten beauftragt sind, die nichts mit dem eigentlichen Hosting von Servicedaten zu tun haben („Innovationsdienstespezifische Unterauftragsverarbeiter“), werden von Zendesk regelmäßig überprüft, um sicherzustellen, dass sie auf die Umsetzung der für Infrastruktur-Unterauftragsverarbeiter geltenden Standards hinarbeiten. Diese sind in der Liste externer Dienstleistungsanbieter gesondert als Innovationsdienstespezifische Unterauftragsverarbeiter aufgeführt.

Diese Bestimmungen wurden zuletzt am 1. Juni 2022 aktualisiert.