Zendesk Groupは、「エンタープライズサービス」において、本「補足条件」に定めるセキュリティ対策(以下「エンタープライズセキュリティ対策」と呼ぶ)を含む、強固で包括的なセキュリティプログラムを提供することをお約束します。サブスクリプション契約期間中、これらの「エンタープライズセキュリティ対策」は、通常の進展、追加対策の実施、または当社が合理的に必要とする既存の対策の変更に伴い、予告なく変更される場合があります。
当社が利用するエンタープライズセキュリティ対策
当社は、これらの「エンタープライズサービス」を提供するために合理的に必要な範囲で、これらの「エンタープライズセキュリティ対策」を実施し、「サービスデータ」を保護します。
1. セキュリティポリシーと人員。当社は、リスクを特定して適切な対策を実施し、一般的な攻撃緩和のための技術およびプロセスを導入するための管理セキュリティプログラムを有しており、今後もこれを維持します。本プログラムは、有効性と正確性を継続的に提供するために、定期的に見直されます。Zendeskは、当社のネットワーク、システム、およびサービスのセキュリティインフラの監視と見直し、セキュリティインシデントへの対応、および当社のセキュリティポリシーに準拠したトレーニングの開発と従業員への提供を担当する専任の情報セキュリティチームを有し、今後もこれを維持していきます。
2. データ送信。当社は、サービスデータの安全性、機密性および完全性を保護するための商取引上妥当な管理上、物理的、技術的な予防策を維持するものとします。これらの予防策には、お客様が選択した「エンタープライズサービス」からリンクできる暗号化に対応しない「Zendesk以外の第三者サービス」を除き、インターネットによる当社のユーザーインターフェイスまたはAPI(TLSまたは同様の技術を使用)で送信される保存された「サービスデータ」の暗号化が含まれます。
3. 監査と認証。Zendeskは、「契約者」からの要求があれば、本契約に定める守秘義務に従い、Zendeskの競合他社でない「契約者」(または、Zendeskの競合他社はでない「契約者」の独立した第三者監査人)に対し、Zendeskが本契約に定める義務を遵守していることに関する情報を、ZendeskのISO27001認証、SOC 2(適切な守秘義務保護下)、またはSOC 3等のレポートの形で提供するものとします。
4. インシデント対応。当社は、当社のシステムまたはデータの機密性、完全性、利用可能性に影響するセキュリティイベントに関してインシデント管理プロセスを有しています。それには、お客様のサービスデータに影響を及ぼすセキュリティインシデントの検証に関しその「契約者」にZendeskがコンタクトを取る対応時間も含まれています。このプロセスは、行動の流れ、通知、上位者への報告、緩和、文書化の手順を具体的に示しています。インシデント対応プログラムには、サービスインシデントに対応する24時間365日(年中無休)の中央監視システムおよびオンコール要員が含まれています。法執行機関または政府機関から別段の指示がない限り、お客様はサービスデータに関する侵害が生じてから48時間以内に通知されます。「サービスデータに関する侵害」とは、お客様の「サービスデータ」に影響を及ぼしていることが確認された不正アクセスや不適切な開示を意味します。
5. アクセス管理および権限管理。当社では、運用システムの管理者アクセス権を承認された担当者に制限しています。かかる担当者には、固有のIDおよび関連する暗号キー、または複雑なエフェメラルトークンの使用を求めています。これらのキーまたはトークンは、「サービスデータ」へのアクセスを含め、当社のシステムにおける各個人の活動を認証し、識別するために使用されます。雇用時に、承認された担当者には固有のIDと資格情報が割り当てられます。担当者の解雇時、またはそのような資格情報の漏洩・侵害が疑われる場合は、これらの資格情報は取り消されます。アクセス権およびアクセスレベルは当社の社員の職位および役割に基づいており、定義された職責にアクセス権限をマッチさせるために、最小権限(least-privilege)と知る必要(need-to-know)の基本的な概念を利用しています。
6. ネットワーク管理とセキュリティ。当社がホスティングサービスに利用する副処理者は、合理的に十分な帯域幅を持つ業界標準の完全に冗長化された安全なネットワークアーキテクチャに加え、個々のコンポーネントの障害の影響を軽減するための冗長ネットワークインフラを維持管理します。当社のセキュリティチームは、既知の一般的な不正ネットワーク活動に対して防御を行なうために業界標準のユーティリティを利用し、脆弱性に関するセキュリティアドバイザリーリストを監視し、外部組織による脆弱性スキャンと監査を定期的に実施します。
7. データセンター環境および物理セキュリティ。当社が「エンタープライズサービス」の提供に関連してホスティングサービスに利用する副処理者の環境では、以下のセキュリティ対策を採用しています。
- 24時間365日、物理セキュリティ機能の責任を担うセキュリティ組織。
- データセンター内でシステムまたはシステムコンポーネントがインストールまたは保存されたエリアへのアクセスは、業界標準に沿ったセキュリティ対策およびポリシーにより制限されています。
- N+1無停電電源装置、HVACシステム、バックアップ発電機アーキテクチャ、最新防火設備。
サービスデータを処理する第三者サービスプロバイダーに対する技術的および組織的なエンタープライズセキュリティ対策
Zendeskグループが利用する第三者サービスプロバイダーは、「エンタープライズサービス」を提供するために合理的に必要な範囲で、お客様のアカウントおよび「サービスデータ」にアクセスすることができます。Zendeskは、「サービスデータ」にアクセスできる第三者サービスプロバイダーを利用する際の潜在的なリスクを評価し、管理するベンダーセキュリティレビュープログラムを維持します。また、これらの第三者サービスプロバイダーは、「メインサービス契約」の他の要件に加え、以下の適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。
1. 物理的アクセスコントロール。第三者サービスプロバイダーは、セキュリティスタッフ、セキュリティ対策を整備した建物などの合理的な対策を取り、認証を受けていない人物が、「サービスデータ」が処理されるデータ処理システムへの物理的アクセスを取得することを防ぐものとします。
2. システムアクセスコントロール。第三者サービスプロバイダーは、データ処理システムが許可なく使用されることを防止するための合理的な措置を講じるものとします。これらのコントロールは、実行される処理の性質により異なるものとし、他のコントロールには、パスワード認証や2要素認証を介した認証、文書化された認証プロセス、文書化された変更管理プロセス、複数レベルでのアクセスログ記録が含まれる場合があります。
3. データアクセスコントロール。第三者サービスプロバイダーは、合理的な措置を講じて、適切な権限を持つスタッフのみが「サービスデータ」にアクセスして管理できるようにし、データベースへの直接的なクエリアクセスを制限し、アプリケーションアクセス権を確立して適用することで、「サービスデータ」にアクセスする権利を持つ人がアクセス権限を持つサービスデータにのみアクセスできるようにします。また、「サービスデータ」の処理中に、データが許可なく読み取られたり、コピーされたり、変更されたり、削除されたりすることがないようにします。
4. 送信コントロール。第三者サービスプロバイダーは、合理的な措置を講じて、データ転送設備を通じたサービスデータの転送がどのエンティティによって予定されているかを確認し、確立することで、サービスデータの電子的な転送や伝送中にデータが許可なく読み取られたり、コピーされたり、変更されたり、削除されたりすることがないようにします。
5. 入力コントロール。第三者サービスプロバイダーは、合理的な措置を講じて、「サービスデータ」がデータ処理システムに入力されたか、変更されたか、削除されたかを確認し、それが誰によって行われたかを確定できるようにします。さらに「サービスデータ」が第三者サービスプロバイダーに転送される場合には、安全な転送経路を介して実施されるようにします。
6. データ保護。第三者サービスプロバイダーは、合理的な措置を講じて、「サービスデータ」を偶発的な破壊または紛失から安全に保護するものとします。
7. 論理的分離。第三者サービスプロバイダーは、「サービスデータ」をシステム上の他の当事者のデータから論理的に分離し、「サービスデータ」を分けて処理するようにします。
本規約の最終更新日は2022年6月1日です。