Il Gruppo Zendesk si impegna a fornire un programma di sicurezza solido e completo per i servizi di innovazione, comprese le misure di sicurezza stabilite in questi Termini supplementari ("Misure di sicurezza per l'innovazione"). Durante il periodo di abbonamento, queste misure di sicurezza dell’innovazione possono cambiare senza preavviso, in base all’evoluzione degli standard o all’implementazione di controlli aggiuntivi o alla modifica dei controlli esistenti come ritenuto ragionevolmente necessario. Le misure di sicurezza aziendale e le eventuali disposizioni di sicurezza negoziate prima del 2 dicembre 2019 non si applicano ai servizi di innovazione.

Misure di sicurezza per l’innovazione da noi utilizzate

Ci atterremo a queste misure di sicurezza per l’innovazione per proteggere i dati dei servizi nella misura ragionevolmente necessaria per fornire i servizi per l’innovazione:

1. Politiche di sicurezza e personale. Abbiamo e manterremo un programma di sicurezza gestito per identificare i rischi e implementare controlli appropriati, nonché tecnologie e processi per la mitigazione degli attacchi comuni. Abbiamo e manterremo un team di sicurezza delle informazioni a tempo pieno responsabile della salvaguardia delle nostre reti, sistemi e servizi, della risposta agli incidenti di sicurezza e dello sviluppo e della formazione dei nostri dipendenti in conformità con le nostre politiche di sicurezza.

2. Trasmissione dati. Manterremo salvaguardie amministrative, fisiche e tecniche commercialmente ragionevoli per proteggere la disponibilità, la riservatezza e l’integrità dei Dati del servizio.

3. Risposta agli incidenti. Disponiamo di un processo di gestione degli incidenti per gli eventi di sicurezza che possono influire sulla riservatezza, l’integrità o la disponibilità dei nostri sistemi o dati, che include un tempo di risposta entro il quale Zendesk contatterà i propri abbonati dopo la verifica di un incidente di sicurezza che influisca sui Dati di servizio dell’utente. Questo processo specifica le azioni da intraprendere, le procedure per la notifica, l’escalation, la mitigazione e la documentazione. Salvo diversamente disposto dalle forze dell’ordine o da un ente governativo, l’Utente riceverà una notifica entro quarantotto (48) ore dalla violazione dei dati del servizio. “Violazione dei dati del servizio” indica un accesso non autorizzato o una divulgazione impropria che è stato verificato per aver influito sui Dati del servizio dell’utente.

4. Controllo degli accessi e gestione dei privilegi. Limitiamo l’accesso amministrativo ai sistemi di produzione al personale autorizzato.

5. Gestione e sicurezza della rete. I data center da noi utilizzati mantengono un’architettura di rete completamente ridondante e sicura standard del settore con una larghezza di banda ragionevolmente sufficiente. Il nostro team di sicurezza utilizza strumenti e metodi standard del settore per fornire difesa contro le attività di rete non autorizzate note ed esegue regolari scansioni delle vulnerabilità esterne.

6. Ambiente del data center e sicurezza fisica. Gli ambienti data center da noi utilizzati in relazione alla fornitura dei Servizi di innovazione adottano le seguenti misure di sicurezza:

• Un’organizzazione di sicurezza responsabile delle funzioni di sicurezza fisica.
• L’accesso alle aree in cui sono installati o archiviati sistemi o componenti di sistema nei data center è limitato da misure di sicurezza e policy coerenti con gli standard del settore.

Misure di sicurezza per l’innovazione tecnica e organizzativa per fornitori di servizi di terzi

Zendesk può ricorrere a fornitori di servizi terzi durante la fornitura dei Servizi di innovazione e può consentire a tali fornitori di servizi di accedere all’account e ai Dati del servizio dell’utente secondo quanto ragionevolmente necessario per fornire i Servizi di innovazione. Zendesk gestisce un programma di verifica della sicurezza dei fornitori che valuta e gestisce i potenziali rischi associati all'uso di questi fornitori di servizi di terzi che hanno accesso ai dati del servizio.

Fornitori di servizi di terzi usati per l’hosting a lungo termine dei Dati del servizio (identificati come Sub-responsabili del trattamento dell’infrastruttura qui) saranno soggetti, tra gli altri requisiti del Contratto di servizi principale, all’implementazione e al mantenimento della conformità alle seguenti misure di sicurezza tecniche e organizzative appropriate:

1. Controlli di accesso fisici. I fornitori di servizi terzi adottano misure ragionevoli per impedire a persone non autorizzate di accedere fisicamente ai sistemi di elaborazione dei dati in cui vengono elaborati i dati del servizio.

2. Controlli di accesso al sistema. I fornitori di servizi terzi adottano misure ragionevoli per evitare che i sistemi di elaborazione dati vengano usati senza autorizzazione.

3. Controlli di accesso ai dati. I fornitori di servizi terzi devono adottare misure ragionevoli per garantire che i Dati del servizio siano accessibili e gestibili solo da personale adeguatamente autorizzato.

4. Controlli di trasmissione. I fornitori di servizi terzi adottano misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità è previsto il trasferimento dei Dati di servizio tramite strutture di trasmissione dati in modo che i Dati di servizio non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica o il trasporto.

5. Controlli di input. I fornitori di servizi terzi devono adottare misure ragionevoli volte a garantire che sia possibile verificare e stabilire se e da chi i Dati del servizio sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati; e qualsiasi trasferimento di Dati di servizio a un fornitore di servizi di terze parti viene effettuato tramite una trasmissione sicura.

6. Separazione logica. I fornitori di servizi di terze parti separano logicamente i Dati di servizio dai dati di altre parti nei propri sistemi per garantire che i Dati di servizio possano essere elaborati separatamente.

Sub-responsabili del trattamento specifici di Innovation Service

I fornitori di servizi di terzi che hanno accesso accidentalmente ai Dati di servizio dell’utente in Innovation Services, ma sono usati per fornire funzionalità o componenti specifici del prodotto al di fuori dell’hosting principale dei Dati di servizio ("Sub-responsabili del trattamento specifici dei servizi di innovazione") vengono regolarmente esaminati da Zendesk per garantire che lavorino all’implementazione di ciascuno degli standard applicabili ai Sub-responsabili del trattamento dell’infrastruttura. È disponibile un elenco di questi fornitori di servizi di terzi qui e sono i fornitori designati come Sub-responsabili del trattamento specifici per i servizi di innovazione.

Questi termini sono stati aggiornati l’ultima volta il 1 giugno 2022.