El Grupo Zendesk se compromete a proporcionar un programa de seguridad sólido y completo para los Servicios de innovación, lo que incluye las medidas de seguridad establecidas en estos Términos complementarios ("Medidas de seguridad de innovación"). Durante el Plazo de suscripción, estas Medidas de seguridad de innovación pueden cambiar sin previo aviso, a medida que las normas evolucionen, se implementen controles adicionales o se modifiquen los controles existentes según lo consideremos razonablemente necesario. Las Medidas de seguridad empresariales y las disposiciones de seguridad negociadas antes del 2 de diciembre de 2019 no se aplican a los Servicios de innovación.

Medidas de seguridad de innovación que utilizamos

Cumpliremos estas Medidas de seguridad de innovación para proteger los Datos de servicio en la medida en que sea razonablemente necesario para proporcionar los Servicios de innovación:

1. Políticas de seguridad y personal. Tenemos y mantendremos un programa de seguridad gestionada para identificar los riesgos y aplicar los controles adecuados, así como la tecnología y los procesos para la mitigación de ataques comunes. Tenemos, y mantendremos, un equipo de seguridad de la información a tiempo completo que es y será responsable de proteger Nuestras redes, sistemas y servicios, de responder a incidentes de seguridad y de desarrollar e impartir capacitación a Nuestros empleados en cumplimiento de Nuestras políticas de seguridad.

2. Transmisión de datos. Mantendremos medidas de protección administrativas, físicas y técnicas comercialmente razonables para proteger la disponibilidad, confidencialidad e integridad de los Datos de servicio.

3. Respuesta a incidentes. Tenemos un proceso de administración de incidentes para eventos de seguridad que puede afectar la confidencialidad, integridad o disponibilidad de Nuestros sistemas o datos que incluye un tiempo de respuesta conforme al cual Zendesk contactará a sus suscriptores para la verificación de un incidente de seguridad que afecte Sus Datos de servicio. Este proceso especifica cursos de acción, procedimientos de notificación, escalamiento, mitigación y documentación. A menos que las autoridades policiales o una agencia gubernamental ordene algo distinto, se le notificará dentro de las cuarenta y ocho (48) horas de una Filtración de datos de servicio. “Filtración de datos de servicio” significa un acceso no autorizado o una divulgación indebida que se haya verificado que ha afectado Sus Datos de servicio.

4. Control de acceso y administración de privilegios. Limitamos el acceso administrativo del personal autorizado a los sistemas de producción.

5. Administración y seguridad de la red. Los centros de datos que Nosotros utilizamos mantienen una arquitectura de red estándar de la industria, totalmente redundante y segura con un ancho de banda razonablemente suficiente. Nuestro equipo de seguridad utiliza herramientas y métodos estándar de la industria para proporcionar defensa contra la actividad de red no autorizada común conocida y lleva a cabo escaneos de vulnerabilidad externos de forma regular.

6. Entorno y seguridad física del centro de datos. Los entornos del centro de datos que Nosotros utilizamos en relación con Nuestro suministro del Servicio de innovación emplean las siguientes medidas de seguridad:

• Una organización de seguridad responsable de las funciones de seguridad física.
• El acceso a las áreas donde los sistemas o componentes del sistema se instalan o almacenan en los centros de datos se restringe mediante medidas de seguridad y políticas que reflejan los estándares del sector.

Medidas de seguridad de innovación técnicas y organizativas para terceros proveedores de servicios

Zendesk puede utilizar terceros proveedores de servicios durante el suministro de los Servicios de innovación, y puede dar a esos proveedores de servicios acceso a Su Cuenta y Datos de servicio según sea razonablemente necesario para proporcionar los Servicios de innovación. Zendesk mantiene un programa de revisión de seguridad de proveedores que evalúa y administra los riesgos potenciales que implique el uso de estos terceros proveedores de servicios que tienen acceso a los Datos de servicio.

Los terceros proveedores de servicios que se utilizan para el alojamiento a largo plazo de los Datos de servicio (identificados aquí como Subprocesadores de infraestructura) estarán sujetos, entre los otros requisitos del Contrato de servicios principales, a que apliquen y mantengan el cumplimiento de las siguientes medidas de seguridad técnicas y organizativas adecuadas:

1. Controles de acceso físicos. Los terceros proveedores de servicios adoptarán medidas razonables para impedir que personas no autorizadas tengan acceso físico a los sistemas de procesamiento de datos en los que se Procesan los Datos de servicio.

2. Controles de acceso al sistema Los terceros proveedores de servicios adoptarán medidas razonables para evitar que los sistemas de procesamiento de datos se utilicen sin autorización.

3. Controles de acceso a los datos. Los terceros proveedores de servicios tomarán medidas razonables para asegurar que los Datos de servicio sean accesibles y administrables solo por el personal debidamente autorizado.

4. Controles de transmisión. Los terceros proveedores de servicios adoptarán medidas razonables para asegurar que sea posible verificar y establecer a qué entidades se prevé la transferencia de los Datos de servicio por medio de instalaciones de transmisión de datos de modo que los Datos de servicio no puedan leerse, copiarse o eliminarse sin autorización durante la transmisión o el transporte electrónicos.

5. Controles de entrada. Los terceros proveedores de servicios adoptarán medidas razonables diseñadas para garantizar que sea posible verificar y establecer si se han introducido, modificado o suprimido Datos de servicio, y quién lo ha hecho, en los sistemas de procesamiento de datos, y que cualquier transferencia de Datos de servicio a un tercero proveedor de servicios se realice a través de una transferencia segura.

6. Separación lógica. Los terceros proveedores de servicios separarán lógicamente los Datos de servicio de los datos de otras partes en sus sistemas para garantizar que los Datos de servicio se puedan procesar por separado.

Subprocesadores específicos del servicio de innovación

Los terceros proveedores de servicios que solo tienen acceso incidental a Sus Datos de servicio en los Servicios de innovación, pero que se utilizan para proporcionar funciones o componentes específicos del producto fuera del alojamiento central de los Datos de servicio ("Subprocesadores específicos del Servicio de innovación") son revisados regularmente por Zendesk para garantizar que estén trabajando en la implementación de cada una de las normas aplicables a los Subprocesadores de infraestructura. Hay una lista de estos terceros proveedores de servicios aquí; son los proveedores designados como Subprocesadores específicos del Servicio de innovación.

Estos términos se actualizaron por última vez el 1 de junio de 2022.