Le Groupe Zendesk s’engage à fournir un programme de sécurité robuste et complet pour les Services Grands comptes, notamment les mesures de sécurité définies dans ces Conditions supplémentaires (« Mesures de sécurité pour les grands comptes »). Pendant la Période d’abonnement, il est possible que ces Mesures de sécurité pour les grands comptes changent sans préavis, quand les normes évoluent, quand des contrôles supplémentaires sont ajoutés ou quand les contrôles existants sont modifiés si Nous l’estimons raisonnablement nécessaire.

Mesures de sécurité pour les grands comptes que Nous utilisons

Nous nous conformerons à ces présentes Mesures de sécurité pour les grands comptes, afin de protéger les données de Service dans la mesure raisonnable nécessaire pour fournir les Services Grands comptes :

1. Politiques et personnel de sécurité. Nous avons mis en place et maintiendrons un programme de sécurité géré pour identifier les risques et implémenter les contrôles appropriés, ainsi que la technologie et les processus nécessaires pour atténuer les attaques courantes. Ce programme est et sera régulièrement passé en revue afin de garantir une efficacité et une précision ininterrompues. Nous avons mis en place et maintiendrons une équipe de sécurité à plein temps, chargée de surveiller et passer en revue l’infrastructure de sécurité de Nos réseaux, systèmes et services, de répondre aux incidents de sécurité et de développer et délivrer des programmes de formation à Nos employés, conformément à Nos politiques de sécurité.

2. Transmission des données. Nous maintiendrons des garanties administratives, physiques et techniques commercialement raisonnables pour protéger la sécurité, la confidentialité et l’intégrité des Données de service. Ces mesures de protection comprennent le cryptage des Données de Service au repos et pendant la transmission avec nos interfaces utilisateur ou API (à l’aide de TLS ou de technologies similaires) sur Internet, à l’exception de tout Service non proposé par Zendesk qui ne prend pas en charge le cryptage, auquel Vous pouvez Vous connecter par le biais des Services Grands comptes à votre choix.

3. Audits et certifications. À la demande de l’Abonné et conformément aux obligations de confidentialité définies dans cet Accord, Zendesk mettra à la disposition de l’Abonné qui n’est pas un concurrent de Zendesk (ou à l’auditeur tiers indépendant de l’Abonné qui n’est pas un concurrent de Zendesk) les informations portant sur le respect par Zendesk des obligations définies dans cet Accord sous la forme de la certification ISO 27001 certification et/ou SOC 2 de Zendesk (avec des mesures de non-divulgation appropriées), ou ses rapports SOC 3.

4. Réaction aux incidents. Nous avons un processus de gestion des incidents pour les événements de sécurité qui peuvent affecter la confidentialité, l’intégrité ou la disponibilité de Nos systèmes ou données qui comprend un délai d’intervention selon lequel Zendesk contactera ses abonnés après vérification d’un incident relatif à la sécurité qui concerne Vos Données de service. Ce processus spécifie les mesures à prendre, les procédures pour la notification, l’escalade, l’atténuation et la documentation. Le programme de réaction en cas d’incident comprend des systèmes de surveillance centralisée 24/7 et la mise à disposition de personnel sur demande, pour répondre aux incidents de service. À moins d’ordre contraire de la part d’un organisme d’application de la loi ou d’un organisme gouvernemental, Vous serez avisé dans les quarante-huit (48) heures de toute atteinte à la protection des Données du service. « Violation des Données de service » signifie un accès non autorisé ou une divulgation inappropriée qui a été vérifiée comme ayant affecté Vos Données de service.

5. Contrôle d’accès et Gestion des privilèges. Nous limitons l’accès administratif des systèmes de production au personnel agréé. Nous exigeons de ce personnel qu’il possède des identifiants uniques et les clés cryptographiques associées et/ou qu’il utilise des tokens éphémères complexes. Ces clés et/ou ces tokens servent à authentifier et identifier les activités de chacun sur Nos systèmes, y compris l’accès aux Données de service. Lors de l’embauche, Notre personnel agréé se voit attribuer des identifiants uniques. Quand le personnel quitte Notre entreprise ou quand Nous suspections que ces identifiants ont été compromis, ces identifiants sont révoqués. Les droits et les niveaux d’accès sont fondés sur la fonction et le rôle de nos employés, selon les concepts de privilège minimal et de besoin de savoir pour faire correspondre les privilèges d’accès aux responsabilités définies.

6. Gestion et sécurité du réseau. Les Sous-traitants que Nous utilisons pour l’hébergement des services maintiennent une architecture réseau standard entièrement redondante et sécurisée avec une bande passante raisonnablement suffisante, ainsi qu’une infrastructure réseau redondante pour atténuer l’impact des pannes de composants individuels. Notre équipe de sécurité utilise des utilitaires standards de l’industrie pour assurer la protection contre les activités réseau non autorisées courantes connues, suit les listes de vulnérabilités publiées et effectue des analyses et des audits des vulnérabilités réguliers.

7. Environnement du centre de données et Sécurité physique. Les environnements des Sous-traitants que Nous utilisons pour l’hébergement des services dans le cadre de Notre prestation des Services Grands comptes emploient les mesures de sécurité suivantes :

• Un organisme chargé de la sécurité responsable des fonctions de sécurité physique 24/7/365.
• L’accès aux zones où sont installés ou stockés les systèmes ou les composants du système dans des centres de données est limité par des mesures de sécurité et des politiques conformes aux normes du secteur.
• Systèmes d’alimentation sans coupure N+1 et systèmes CVC, architecture de générateur de puissance de secours et système d’extinction d’incendies avancé.

Mesures techniques et organisationnelles de sécurité pour les grands comptes pour les prestataires de services tiers qui traitent des Données de service.

Nous accorderons l’accès à Votre Compte et Vos Données de service aux prestataires de services tiers que Nous utilisons uniquement aux fins de Vous fournir les Services Grands comptes. Zendesk a un programme de vérification de la sécurité des prestataires qui évalue et gère les risques potentiels liés à l’utilisation de ces prestataires de services tiers qui ont accès aux Données de service, et ces prestataires de services tiers seront obligés, entre autres obligations définies dans l’Accord sur les services principaux, d’implémenter et de respecter les mesures de sécurité techniques et organisationnelles appropriées suivantes :

1. Contrôles d’accès physique. Les prestataires de services tiers prendront des mesures raisonnables, telles que l’affectation de personnel de sécurité et de bâtiments sécurisés, pour empêcher les personnes non autorisées d’accéder physiquement aux systèmes de traitement des données où sont traitées les Données de service.

2. Contrôles d’accès aux systèmes. Les prestataires de services tiers prendront des mesures raisonnables pour empêcher toute utilisation non autorisée des systèmes de traitement de données. Ces contrôles peuvent varier en fonction de la nature du Traitement entrepris et peuvent comprendre, entre autres contrôles, l’authentification par des mots de passe ou l’authentification à deux facteurs, des processus d’autorisation documentés, des processus documentés de gestion du changement ou l’enregistrement de l’accès à plusieurs niveaux.

3. Contrôles d’accès aux données. Les prestataires de services tiers prendront des mesures raisonnables visant à fournir des Données de service seulement accessibles et gérables par du personnel dûment autorisé, un accès direct limité aux requêtes de la base de données et des droits d’accès aux applications établis et appliqués afin que les personnes autorisées à accéder aux Données de service accèdent aux Données de service pour lesquelles elles ont le privilège d’accès ; et garantir que les Données de service ne puissent être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement.

4. Contrôles de transmission. Les prestataires de services tiers prendront des mesures raisonnables pour s’assurer qu’il est possible de vérifier et de déterminer à quelles entités le transfert de Données de service au moyen d’installations de transmission de données est prévu afin que les Données de service ne puissent être lues, copiées, modifiées ou supprimées sans autorisation durant la transmission électronique ou le transport.

5. Contrôles de saisie des données. Les prestataires de services tiers prendront des mesures raisonnables pour s’assurer qu’il est possible de vérifier et de déterminer si les Données de service ont été saisies et par qui elles ont été saisies dans les systèmes de traitement des données et si elles ont été modifiées ou supprimées ; et, tout transfert de Données de service à un prestataire de services tiers sera réalisé par transfert sécurisé.

6. Protection des données. Les prestataires de services tiers prendront des mesures raisonnables pour s’assurer que les Données de service sont protégées contre les risques de destruction ou de perte accidentelle.

7. Séparation logique. Les prestataires de services tiers doivent logiquement séparer les Données de service des données des autres parties sur leurs systèmes pour s’assurer que les Données de service puissent être traitées séparément.

La dernière mise à jour de ces conditions date du 1^er juin 2022.