El Grupo Zendesk se compromete a proporcionar un programa de seguridad sólido y completo para los Servicios empresariales, lo que incluye las medidas de seguridad establecidas en estos Términos complementarios ("Medidas de seguridad empresariales"). Durante el Plazo de suscripción, estas Medidas de seguridad empresariales pueden cambiar sin previo aviso, a medida que las normas evolucionen, se implementen controles adicionales o se modifiquen los controles existentes según lo consideremos razonablemente necesario.

Medidas de seguridad empresariales que utilizamos

Cumpliremos estas Medidas de seguridad empresariales para proteger los Datos de servicio en la medida en que sea razonablemente necesario para proporcionar los Servicios empresariales:

1. Políticas de seguridad y de personal. Tenemos y mantendremos un programa de seguridad gestionada para identificar los riesgos y aplicar los controles adecuados y la tecnología y los procesos dirigidos a la mitigación de ataques comunes. Este programa se revisa y se seguirá revisando con frecuencia para garantizar la eficacia y precisión continuas. Tenemos, y mantendremos, un equipo de seguridad de la información a tiempo completo que es y será responsable de monitorear y revisar la infraestructura de seguridad de las redes, los sistemas y los servicios que Nos pertenezcan, de responder a incidentes de seguridad y de desarrollar e impartir capacitación a Nuestros empleados en cumplimiento de Nuestras políticas de seguridad.

2. Transmisión de datos. Mantendremos medidas de protección administrativas, físicas y técnicas comercialmente razonables para proteger la seguridad, confidencialidad e integridad de los Datos de servicio. Estas medidas de protección incluyen la encriptación de los Datos de servicio en reposo y en transmisión con Nuestras interfaces de usuario o API (mediante TLS o tecnologías similares) a través de Internet, excepto por los Servicios que no son de Zendesk que no admiten encriptación, a los que Usted puede vincularse a través de los Servicios empresariales de Su elección.

3. Auditorías y certificaciones. A solicitud del Suscriptor, y sujeto a las obligaciones de confidencialidad establecidas en este Acuerdo, Zendesk pondrá a disposición del Suscriptor que no sea un competidor de Zendesk (o al auditor de terceros independiente del Suscriptor que no sea un competidor de Zendesk) información sobre el cumplimiento de Zendesk con las obligaciones establecidas en este Acuerdo a través de la certificación ISO 27001 de Zendesk y/o los informes SOC 2 (bajo protecciones apropiadas de no divulgación) o SOC 3.

4. Respuesta a incidentes. Tenemos un proceso de administración de incidentes para eventos de seguridad que puede afectar la confidencialidad, integridad o disponibilidad de Nuestros sistemas o datos que incluye un tiempo de respuesta conforme al cual Zendesk contactará a sus suscriptores para la verificación de un incidente de seguridad que afecte Sus Datos de servicio. Este proceso especifica cursos de acción, procedimientos de notificación, escalamiento, mitigación y documentación. El programa de respuesta a incidentes incluye sistemas de monitoreo centralizado y personal de guardia las 24 horas, los 7 días de la semana para responder a incidentes de servicio. A menos que las autoridades policiales o una agencia gubernamental ordene algo diferente, se le notificará dentro de las cuarenta y ocho (48) horas de una Filtración de datos de servicio. “Filtración de datos de servicio” significa un acceso no autorizado o una divulgación indebida que se haya verificado y que haya afectado Sus Datos de servicio.

5. Control de acceso y administración de privilegios. Limitamos el acceso administrativo del personal autorizado a los sistemas de producción. Requerimos que dicho personal tenga ID únicas y claves criptográficas asociadas y/o que utilice tokens complejos efímeros. Estas claves y/o tokens se utilizan para autenticar e identificar las actividades de cada persona en Nuestros sistemas, incluido el acceso a los Datos de servicio. Luego de la contratación, se asignan ID únicas y credenciales al personal autorizado. En caso de cese del personal, o si se sospecha que dichas credenciales están en peligro, se revocarán las credenciales. Los derechos y niveles de acceso se basan en la función y el rol de trabajo de Nuestros empleados, de acuerdo con los conceptos de mínimo privilegio y necesidad de conocimiento para que los privilegios de acceso correspondan a las responsabilidades definidas.

6. Administración y seguridad de la red. Los Subprocesadores que Nosotros utilizamos para los servicios de hosting mantienen una arquitectura de red estándar totalmente redundante y segura con un ancho de banda razonablemente suficiente, así como una infraestructura de red redundante para mitigar el impacto de la falla de componentes individuales. Nuestro equipo de seguridad emplea utilidades estándar del sector para proporcionar defensa contra la actividad de red no autorizada y comúnmente conocida; monitorea las listas de advertencias de seguridad en busca de vulnerabilidades; y lleva a cabo escaneos y auditorías de vulnerabilidad externas de forma regular.

7. Entorno y seguridad física del centro de datos. Los entornos de los Subprocesadores que Nosotros utilizamos para los servicios de hosting en relación con Nuestra provisión de los Servicios empresariales emplean las siguientes medidas de seguridad:

• Una organización de seguridad responsable de las funciones de seguridad física las 24 horas del día, los 7 días de la semana, los 365 días del año.
• El acceso a las áreas donde los sistemas o componentes del sistema se instalan o almacenan en los centros de datos se restringe mediante medidas de seguridad y políticas que reflejan los estándares del sector.
• Fuente de alimentación ininterrumpida N+1 y sistemas de calefacción, ventilación y acondicionamiento de aire, arquitectura del generador de energía de reserva y supresión de incendios avanzada.

Medidas de seguridad técnicas y organizativas empresariales para terceros proveedores de servicios que procesan datos de servicio

El acceso a Su cuenta y Sus datos de servicio que se facilita a los terceros proveedores de servicios utilizados por el Grupo Zendesk se facilitará únicamente en la medida en que sea razonablemente necesario para prestar los Servicios empresariales. Zendesk mantiene un programa de revisión de seguridad de proveedores que evalúa y administra los riesgos potenciales que implica el uso de estos terceros proveedores de servicios que tienen acceso a los Datos de servicio y dichos terceros proveedores de servicios estarán sujetos a (entre otros requisitos del Contrato de servicios principales) la implementación y al mantenimiento del cumplimiento de las siguientes medidas de seguridad técnicas y organizativas adecuadas:

1. Controles de acceso físicos. Los terceros proveedores de servicios adoptarán medidas razonables, como personal de seguridad y edificios protegidos, para impedir que personas no autorizadas tengan acceso físico a los sistemas de procesamiento de datos en los que se Procesan los Datos de servicio.

2. Controles de acceso al sistema Los terceros proveedores de servicios adoptarán medidas razonables para evitar que los sistemas de procesamiento de datos se utilicen sin autorización. Estos controles varían en función de la naturaleza del Procesamiento realizado y pueden incluir, entre otros controles, autenticación mediante contraseñas y/o autenticación de dos factores, procesos de autorización documentados, procesos de gestión de cambios documentados y/o registro de acceso en varios niveles.

3. Controles de acceso a los datos. Los terceros proveedores de servicios adoptarán medidas razonables para establecer que los Datos de servicio sean accesibles y manejables solo por personal debidamente autorizado, que el acceso directo a consultas de base de datos esté restringido, y que los derechos de acceso a las aplicaciones se establezcan y cumplan para garantizar que las personas con derecho al acceso de Datos de servicio solo tengan acceso a los Datos de servicio a los que tienen privilegio de acceso y que los Datos de servicio no puedan leerse, copiarse, modificarse ni eliminarse sin autorización durante el Proceso.

4. Controles de transmisión. Los terceros proveedores de servicios adoptarán medidas razonables para asegurar que sea posible verificar y establecer a qué entidades se prevé la transferencia de los Datos de servicio por medio de instalaciones de transmisión de datos de modo que los Datos de servicio no puedan leerse, copiarse o eliminarse sin autorización durante la transmisión o el transporte electrónicos.

5. Controles de entrada. Los terceros proveedores de servicios adoptarán medidas razonables para garantizar que sea posible verificar y establecer si se han introducido, modificado o suprimido Datos de servicio, y quién lo ha hecho, en los sistemas de procesamiento de datos, y que cualquier transferencia de Datos de servicio a un tercero proveedor de servicios se realice a través de una transferencia segura.

6. Protección de datos. Los terceros proveedores de servicios tomarán las medidas razonables para proteger y asegurar los Datos de servicio contra la destrucción o pérdida accidental.

7. Separación lógica. Los terceros proveedores de servicios separarán lógicamente los Datos de servicio de los datos de otras partes en sus sistemas para garantizar que los Datos de servicio se puedan procesar por separado.

Estos términos se actualizaron por última vez el 1 de junio de 2022.