Le modèle de responsabilité partagée Zendesk

Le modèle de responsabilité partagée Zendesk

Zendesk fournit une plateforme de service client hautement configurable et capable d’évoluer rapidement à bon nombre des plus grandes entreprises du monde travaillant dans un large éventail de secteurs d’activité. En aidant nos clients à utiliser notre plateforme cloud pour leurs besoins de service client, nous leur permettons de réduire leurs frais généraux, d’évoluer avec la demande et d’offrir des interactions remarquablement simples à leurs clients.

Le passage au cloud offre les avantages décrits ci-dessus, mais peut introduire un certain flou sur quelle partie est responsable de quel contrôle. Pour simplifier tout cela, vous trouverez ci-dessous notre modèle de responsabilité partagée. Ce cadre précise quelle partie est responsable de quels contrôles liés à la sécurité et la confidentialité de vos données. Que vous soyez un administrateur consciencieux, un responsable de la sécurité, de la conformité ou de la confidentialité ou n’importe qui chargé de contrôler les contrôles appropriés pour l’utilisation des Services Zendesk dans votre environnement, cette norme devrait clairement établir les règles que vous devez connaître.

Pour résumer en une phrase, « Zendesk est responsable de la sécurité du Service lui-même et vous êtes responsable de la sécurité au sein de vos instances particulières du Service ».

Contrôles d’accès et maintenance
Intégrations
Données, confidentialité, conformité et considérations réglementaires
Surveillance
Incidents de sécurité (rôles et responsabilités)
Liens utiles

Notez que les termes commençant par une lettre majuscule ont le sens défini dans l’Accord-cadre d’abonnement de Zendesk (Zendesk Master Subscription Agreement ou MSA).

I. Contrôles d’accès et maintenance
Le contrôle de l’accès aux systèmes sensibles et aux données qu’ils contiennent est au cœur des principes de sécurité.

L’Abonné est responsable de tous les contrôles d’accès à ses instances du service, notamment :
1. Créer, modifier, assurer la maintenance continue, assurer la maintenance de l’exactitude des droits et supprimer tous les utilisateurs, y compris les utilisateurs finaux et les agents (qu’ils soient sur site ou à distance ou encore travaillent pour un tiers)
2. Choisir et configurer la méthode d’authentification dans le service parmi les options prises en charge (qui peuvent inclure les mots de passe, l’authentification à plusieurs facteurs, la connexion unique, etc.)
3. Configurer et surveiller les aspects du traitement des sessions, comme les déconnexions, les appareils connectés, etc.
4. Autoriser ou interdire à notre personnel d’assistance l’accès à votre instance Support à des fins d’assistance
5. Configurer l’accès aux services d’API REST de Zendesk et comprendre les implications de leur utilisation (le cas échéant, notamment les intégrations, l’utilisation du service Zendesk Sunshine, etc.)
6. Configurer les restrictions IP prises en charge des produits quand nécessaire
7. Réfléchir aux autres contrôles d’accès non associés aux produits, par exemple les types d’appareils que vous autorisez les agents à utiliser pour accéder à vos instances, ainsi que tout contrôle physique, logique ou de politique applicable pour vos utilisateurs ou appareils autorisés
Zendesk est responsable de tous les contrôles d’accès aux systèmes sous-jacents du Service, notamment :
1. Assurer la maintenance des politiques et procédures pour créer, modifier, assurer la maintenance continue, assurer la maintenance de l’exactitude des droits et supprimer de façon sécurisée tous les utilisateurs (qu’ils soient sur site ou à distance ou encore travaillent pour un tiers)
2. Appliquer le contrôle fondé sur les rôles (Role Based Access Control ou RBAC), le principe du moindre droit ou de la séparation des droits (Principle of Least Privilege ou PLP) et une sécurité appropriée des identifiants notamment l’authentification à plusieurs facteurs pour l’accès de tous les employés et sous-traitants aux systèmes et applications critiques contenant des Données de service de l’Abonné
3. Effectuer des vérifications périodiques des éléments ci-dessus

II. Intégrations
L’utilisation de tierces parties peut considérablement améliorer l’efficacité, mais peut également introduire des problèmes de sécurité.

L’Abonné est responsable de prendre en compte les implications de sécurité découlant de l’utilisation de toute intégration tierce qu’il utiliser avec le Service, notamment :
1. Intégrations effectuées via l’API
2. Intégrations effectuées via l’installation d’applications de Marketplace
3. Intégrations avec toute tierce partie qui aide l’Abonné en lui fournissant du personnel, des outils ou du code, ou en se chargeant directement de la maintenance des instances Zendesk
Zendesk est responsable de faire attention d’intégrer des tierces parties dignes de confiance au Service, notamment :
1. Contrôler et faire preuve de diligence continue pour tous les Sous-traitants
2. Intégrer les acquisitions au Service de façon sécurisée
3. Vérifier que tout partenariat produit et/ou intégrations du Service avec des tierces parties satisfont aux considérations de sécurité appropriées

III. Données, confidentialité, conformité et considérations réglementaires
Être capable de rendre des comptes sur les données utilisées, leur traitement approprié, tout cadre réglementaire pertinent et l’importance des assurances tierces est indispensable.

L’Abonné est responsable du traitement approprié des données qu’il recueille et utilise, notamment :
1. Comprendre les types de données présentes dans son utilisation spécifique
2. Traiter ces données conformément à la classification des données et aux politiques de confidentialité de son entreprise, aux lois applicables pertinentes pour les données, les utilisateurs qui les fournissent, le secteur d’activité de l’Abonné et toute juridiction pertinente
3. Choisir les canaux qu’il autorise pour la communication avec ses instances du Service
4. Assurer la maintenance des instances et des Données de Service conformément à tout cadre de conformité, légal ou réglementaire applicable par lequel le secteur d’activité, les utilisateurs ou l’utilisation de l’Abonné pourraient être couverts
5. Fournir à Zendesk d’autres certificats TLS quand le mappage d’hôte vers un domaine parent non-Zendesk est souhaité pour le cryptage de trafic vers et depuis les interfaces ou les API Zendesk
6. Comprendre quand il est possible que les données ne soient pas cryptées en transit et traiter les canaux ou protocoles concernés en conséquence (principalement l’e-mail, les SMS ou les intégrations tierces effectuées à la seule discrétion de l’Abonné qui ne prennent pas le cryptage en charge)
7. Vérifier que les types de données utilisées dans l’instance de l’Abonné respectent les conditions générales de l’Accord-cadre d’abonnement de Zendesk (pour en savoir plus, consultez l’Accord-cadre d’abonnement de Zendesk)
8. Vérifier que le niveau de disponibilité et le plan de reprise d’activité choisis par l’Abonné respectent les politiques ou réglementations auxquelles l’Abonné doit de conformer
Zendesk est responsable de :
1. Protéger de façon appropriée les Données de Service de toute divulgation au niveau du Service (c.-à-d. infrastructure ou code)
2. Crypter les données en transit vers ou depuis les interfaces ou les API Zendesk via des réseaux publics
3. Crypter toutes les Données de Service au repos
4. Fournir aux abonnés des informations sur les données recueillies par les cookies au sein des produits, ainsi que l’utilisation par défaut des services
5. Décrire avec précision et exactitude comment Zendesk utilise les Données de Service, y compris les Données personnelles sous forme anonyme et sous forme identifiable, afin de fournir les Services ou autre
6. Fournir aux abonnés des outils et des fonctionnalités qui les aident à remplir leurs propres obligations en matière de traitement approprié des données personnelles ou réglementées
7. Respecter les lois et cadres réglementaires applicables pertinents pour nos offres de services et nos emplacements géographiques
8. Obtenir et fournir les assurances de conformité des tierces parties indépendantes pertinentes pour nos offres de services

IV. Surveillance
La sécurité nécessite des informations sur les processus et les activités.

L’Abonné est responsable de la surveillance de toutes les activités au sein de ses instances du service, notamment :
1. Surveiller les activités des utilisateurs (que ce soit par consultations de l’interface ou journaux d’API)
2. Faire preuve de diligence pour les communications avec des personnes inconnues ou du contenu non iable dérivé via le service
3. Maintenir les journaux ou les données extraits du Service conformément à toute réglementation applicable
Zendesk est responsable de surveiller les processus et les activités du Service lui-même, notamment :
1. Accès et activités nécessitant des droits au sein du réseau de production
2. Trafic entrant afin d’alerter ou de bloquer les adresses IP ou les envois malveillants
3. Disponibilité du Service
4. Comportement anormal au sein des actifs réseau d’entreprise ou de production
5. Sécurité du code, de l’infrastructure, du trafic et des employés ou sous-traitants pertinents

V. Incidents de sécurité
Malgré tous les efforts, des problèmes peuvent parfois survenir. La façon d’identifier un incident de sécurité, d’y réagir et d’en récupérer est la clé pour en atténuer les effets et conserver la confiance des clients. Cette section explique les rôles et responsabilités de chaque partie en cas d’incident de sécurité.

L’Abonné est responsable de tout incident ou toute violation de sécurité au sein de ses instances spécifiques, qui n’était pas dû ou n’a pas été effectué via des vulnérabilités ou des incidents dans le service lui-même, notamment :

Enquêter sur toute violation, suspectée ou avérée, au sein de son instance spécifique et y remédier quand cette violation est due à (i) une maintenance ou un contrôle d’accès insuffisant, (ii) une surveillance insuffisante des activités des utilisateurs, (iii) l’absence de diligence pour les communications ou le contenu non fiable dérivé des interactions avec les utilisateurs ou (iv) tout incident ou violation causée par l’intégration avec une tierce partie quand l’Abonné a effectué cette intégration à sa seule discrétion.
Envoyer toutes les notifications obligatoires aux organismes gouvernementaux, aux autorités policières ou aux utilisateurs finaux au sujet des violations dues aux actions de l’Abonné, tierces parties intégrées ou ayant trait aux notifications de violation de Données de Service reçues de Zendesk au sujet de l’instance de l’Abonné

Zendesk est responsable des contrôles des enquêtes sur les incidents de sécurité et de notifier les abonnés concernés des violations des Données de Service ayant lieu via le service lui-même, notamment :
1. Avoir une politique de réponse aux incidents documentée ainsi que des employés avec les rôles et responsabilités de sécurité pertinents
2. Enquêter sur les activités anormales
3. Maîtriser toute violation des Données de Service confirmée
4. Notifier tous les abonnés concernés, ainsi que les organismes gouvernementaux et les autorités policières quand la loi l’exige
5. S’assurer que des processus de sauvegarde et de reprise d’activité solides sont mis en place et testés