Il Gruppo Zendesk si impegna a fornire un programma di sicurezza solido e completo per i Servizi Enterprise, comprese le misure di sicurezza stabilite nelle presenti Condizioni supplementari ("Misure di sicurezza Enterprise"). Durante il periodo di abbonamento, queste misure di sicurezza aziendale possono cambiare senza preavviso, in base all’evoluzione degli standard o all’implementazione di controlli aggiuntivi o alla modifica dei controlli esistenti come ritenuto ragionevolmente necessario.

Misure di sicurezza aziendali da noi utilizzate

Ci atterremo a queste misure di sicurezza aziendale per proteggere i dati dei servizi nella misura ragionevolmente necessaria per fornire i servizi aziendali:

1. Politiche di sicurezza e personale. Abbiamo e manterremo un programma di sicurezza gestito per identificare i rischi e implementare controlli appropriati, nonché tecnologie e processi per la mitigazione degli attacchi comuni. Questo programma è e sarà riesaminato regolarmente per garantirne l’efficacia e l’accuratezza. Abbiamo e manterremo un team di sicurezza delle informazioni a tempo pieno responsabile del monitoraggio e della revisione dell’infrastruttura di sicurezza per le nostre reti, sistemi e servizi, della risposta agli incidenti di sicurezza e dello sviluppo e della formazione dei nostri dipendenti in conformità con le nostre politiche di sicurezza.

2. Trasmissione dati. Manterremo misure di sicurezza amministrative, fisiche e tecniche commercialmente ragionevoli per proteggere la sicurezza, la riservatezza e l’integrità dei Dati del servizio. Queste misure di sicurezza includono la crittografia dei Dati di servizio inattivi e in trasmissione tramite le nostre interfacce utente o API (che usano TLS o tecnologie simili) su Internet, ad eccezione di qualsiasi Servizio non Zendesk che non supporta la crittografia, a cui l’Utente può collegarsi tramite Enterprise Servizi al momento della tua elezione.

3. Audit e certificazioni. Su richiesta dell’Abbonato e fatti salvi gli obblighi di riservatezza stabiliti nel presente Accordo, Zendesk metterà a disposizione dell’Abbonato che non è un concorrente di Zendesk (o del revisore indipendente dell’Abbonato che non è un concorrente di Zendesk) le informazioni relative alla conformità di Zendesk con gli obblighi stabiliti nel presente Accordo sotto forma di certificazione ISO 27001 di Zendesk e/o SOC 2 (con adeguate protezioni di non divulgazione) o report SOC 3.

4. Risposta agli incidenti. Disponiamo di un processo di gestione degli incidenti per gli eventi di sicurezza che possono influire sulla riservatezza, l’integrità o la disponibilità dei nostri sistemi o dati, che include un tempo di risposta entro il quale Zendesk contatterà i propri abbonati dopo la verifica di un incidente di sicurezza che influisca sui Dati di servizio dell’utente. Questo processo specifica le azioni da intraprendere, le procedure per la notifica, l’escalation, la mitigazione e la documentazione. Il programma di risposta agli incidenti include sistemi di monitoraggio centralizzati 24×7 e personale reperibile per rispondere agli incidenti di servizio. Salvo diversamente disposto dalle forze dell’ordine o da un ente governativo, l’Utente riceverà una notifica entro quarantotto (48) ore dalla violazione dei dati del servizio. “Violazione dei dati del servizio” indica un accesso non autorizzato o una divulgazione impropria che è stato verificato per aver influito sui Dati del servizio dell’utente.

5. Controllo degli accessi e gestione dei privilegi. Limitiamo l’accesso amministrativo ai sistemi di produzione al personale autorizzato. Richiediamo che tale personale disponga di ID univoci e chiavi crittografiche associate e/o dell’uso di token temporanei complessi. Queste chiavi e/o token vengono usati per autenticare e identificare le attività di ogni persona sui nostri sistemi, incluso l’accesso ai dati del servizio. Al momento dell’assunzione, al nostro personale approvato vengono assegnati ID e credenziali univoci. In caso di cessazione del personale o se si sospetta la compromissione di tali credenziali, tali credenziali vengono revocate. I diritti e i livelli di accesso si basano sulla funzione e sul ruolo professionale dei nostri dipendenti e usano i concetti di privilegio minimo e base necessaria per abbinare i privilegi di accesso alle responsabilità definite.

6. Gestione e sicurezza della rete. I sub-responsabili del trattamento da noi utilizzati per i servizi di hosting mantengono un’architettura di rete sicura e completamente ridondante standard del settore con larghezza di banda ragionevolmente sufficiente, nonché un’infrastruttura di rete ridondante per mitigare l’impatto del guasto di un singolo componente. Il nostro team di sicurezza utilizza utilità standard del settore per fornire protezione contro le attività di rete note e non autorizzate, monitora gli elenchi di avvisi di sicurezza per individuare eventuali vulnerabilità ed effettua regolari scansioni e verifiche delle vulnerabilità esterne.

7. Ambiente del data center e sicurezza fisica. Gli ambienti dei Sub-responsabili del trattamento da noi utilizzati per i servizi di hosting in relazione alla fornitura da parte nostra dei Servizi Enterprise adottano le seguenti misure di sicurezza:

• Un’organizzazione di sicurezza responsabile delle funzioni di sicurezza fisica 24x7x365.
• L’accesso alle aree in cui sono installati o archiviati sistemi o componenti di sistema nei data center è limitato da misure di sicurezza e policy coerenti con gli standard del settore.
• N+1 gruppi di continuità e sistemi HVAC, architettura del generatore di alimentazione di backup e soppressione avanzata degli incendi.

Misure di sicurezza aziendali tecniche e organizzative per fornitori di servizi di terzi che elaborano dati di servizio

Tutti i fornitori di servizi di terzi utilizzati dal Gruppo Zendesk potranno accedere all’account e ai dati del servizio dell’utente solo nella misura ragionevolmente necessaria per fornire i Servizi Enterprise. Zendesk gestisce un programma di verifica della sicurezza dei fornitori che valuta e gestisce i potenziali rischi connessi all’uso di questi fornitori di servizi di terzi che hanno accesso ai Dati del servizio e tali fornitori di servizi di terzi saranno soggetti, tra gli altri requisiti dell’Accordo di servizi principale, implementando e mantenendo la conformità alle seguenti misure di sicurezza tecniche e organizzative appropriate:

1. Controlli di accesso fisici. I fornitori di servizi terzi devono adottare misure ragionevoli, come il personale di sicurezza e gli edifici protetti, per impedire a persone non autorizzate di accedere fisicamente ai sistemi di elaborazione dati in cui vengono elaborati i dati di servizio.

2. Controlli di accesso al sistema. I fornitori di servizi terzi adottano misure ragionevoli per evitare che i sistemi di elaborazione dati vengano usati senza autorizzazione. Questi controlli variano in base alla natura del trattamento effettuato e possono includere, tra gli altri controlli, l’autenticazione tramite password e/o autenticazione a due fattori, processi di autorizzazione documentati, processi documentati di gestione delle modifiche e/o registrazione degli accessi a diversi livelli.

3. Controlli di accesso ai dati. I fornitori di servizi di terzi devono adottare misure ragionevoli per garantire che i Dati di servizio siano accessibili e gestibili solo da personale debitamente autorizzato, l’accesso diretto alle query al database sia limitato e i diritti di accesso alle applicazioni siano stabiliti e applicati per garantire che le persone autorizzate ad accedere ai Dati di servizio abbiano accesso solo ai dati del servizio a cui hanno il privilegio di accedere; e che i Dati del servizio non possono essere letti, copiati, modificati o rimossi senza autorizzazione nel corso del Trattamento.

4. Controlli di trasmissione. I fornitori di servizi terzi adottano misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità è previsto il trasferimento dei Dati di servizio tramite strutture di trasmissione dati in modo che i Dati di servizio non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica o il trasporto.

5. Controlli di input. I fornitori di servizi terzi devono adottare misure ragionevoli per garantire che sia possibile verificare e stabilire se e da chi i Dati del servizio sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati; e qualsiasi trasferimento di Dati di servizio a un fornitore di servizi di terze parti viene effettuato tramite una trasmissione sicura.

6. Protezione dei dati. I fornitori di servizi terzi adottano misure ragionevoli per garantire che i Dati del servizio siano protetti da distruzione o perdita accidentale.

7. Separazione logica. I fornitori di servizi di terze parti separano logicamente i Dati di servizio dai dati di altre parti nei propri sistemi per garantire che i Dati di servizio possano essere elaborati separatamente.

Questi termini sono stati aggiornati l’ultima volta il 1 giugno 2022.