Zendesk Groupは、「エンタープライズサービス」において、本「補足条件」に定めるセキュリティ対策（以下「エンタープライズセキュリティ対策」と呼ぶ）を含む、強固で包括的なセキュリティプログラムを提供することをお約束します。サブスクリプション期間中、これらのエンタープライズセキュリティ対策は、基準の進化、または当社が合理的であると判断した追加的なコントロールの実施または既存のコントロールの変更に伴い、予告なしに変更される場合があります。

当社が利用するエンタープライズセキュリティ対策

当社は、エンタープライズサービスの提供にとって合理的に必要なサービスデータを保護するため、以下のエンタープライズセキュリティ対策を順守します。

1.セキュリティポリシーおよびセキュリティ要員。Zendeskは、リスクを特定し適切なコントロールを実施するための管理されたセキュリティプログラムならびに一般的な攻撃緩和のための技術および手順を有しており、それらを今後も維持します。このプログラムは、継続的な有効性および正確性を提供するための定期的な見直しを行っており、今後も見直しを継続します。Zendeskには、当社のネットワーク、システムおよびサービス用のセキュリティ・インフラストラクチャの監視と見直し、セキュリティ・インシデントへの対応、当社のセキュリティポリシーにしたがった従業員向けのトレーニングの開発および提供を担当するフルタイムの情報セキュリティチームがあり、今後もこのチームを維持します。

2.データの送信。当社は、サービスデータの安全性、機密性および完全性を保護するために商業的に妥当な、管理上の、物理的および技術的な保護措置を維持します。これらの保護措置には、お客様が選択したエンタープライズサービスからお客様が接続する可能性のある暗号化をサポートしないZendesk外のサービスを除き、インターネットによる当社のユーザーインターフェースまたはAPI（TLSまたはこれに類似する技術を使用）を使って保管・送信されるサービスデータの暗号化が含まれます。

3.監査および認証。Zendeskは、サブスクリプション契約者の要望があれば、本契約に定める守秘義務に従い、Zendeskの競合他社ではないサブスクリプション契約者（または、Zendeskの競合他社ではない、サブスクリプション契約者の独立した第三者監査人）に対して、Zendeskが本契約に定める義務を順守しているかどうかに関する情報を、 ZendeskのISO 27001認証および／またはSOC 2（適切な非開示保護の下で）、またはSOC 3レポートの形式によって提供します。

4.インシデント対応。当社は、当社のシステムまたはデータの機密性、完全性、または可用性に影響を及ぼす可能性のあるセキュリティイベントに対するインシデント管理プロセスを備えており、これには、お客様の「サービスデータ」に影響を及ぼすセキュリティ事象が確認された場合にZendeskがサブスクリプション契約者にコンタクトを取る対応時間も含まれます。このプロセスは、行動指針と、通知、上申、緩和および文書化の手順を具体的に規定しています。インシデント対応プログラムには、24時間365日の集中監視システムと、サービスインシデントに対応するための常時待機職員が含まれます。法執行機関または政府機関による別段の命令がない限り、お客様は、サービスデータの侵害が生じてから48時間以内に通知を受けるものとします。「サービスデータの侵害」とは、お客様のサービスデータに影響を及ぼしていることが確認された不正アクセスまたは不適切な開示を意味します。

5.アクセスコントロールおよび特権管理。当社では、本番システムの管理者アクセス権を、承認された職員のみに制限しています。このような職員には、固有のIDと関連する暗号キー、および／または複雑なエフェメラルトークンの使用を求めています。これらのキーやトークンは、「サービスデータ」へのアクセスを含む、当社システムにおける各個人の活動を認証・識別するために使用されます。当社の承認を受けた職員には、採用時に、固有のIDと資格情報が付与されます。職員の解雇時、またはそのような資格情報の漏洩が疑われた際は、これらの資格情報は取り消されます。アクセス権およびアクセスレベルは当社の従業員の職位および役割に基づいており、最小権限（least-privilege）および必要最小限（need-to-know）ベースの概念を利用して、定義された職責にアクセス特権をマッチさせています。

6.ネットワーク管理およびセキュリティ。当社がサービスのホスティングのために利用する副処理者は、個々のコンポーネントの故障の影響を軽減するため、合理的に十分な帯域幅を持つ業界標準の完全冗長の安全なネットワーク・アーキテクチャと、冗長ネットワークインフラストラクチャを維持しています。当社のセキュリティチームは、業界標準のユーティリティを利用して、一般的に知られている不正なネットワーク活動に対する防御を提供し、脆弱性に関するセキュリティ アドバイザリリストを監視し、外部の脆弱性スキャンおよび監査を定期的に実施しています。

7.データセンター環境および物理的セキュリティ。エンタープライズサービスの提供に関連して当社がサービスのホスティングに利用する副処理者の環境では、以下のセキュリティ対策を採用しています。

• 24時間365日体制で物理的なセキュリティ機能の責任を担うセキュリティ組織
• データセンター内のシステムまたはシステムコンポーネントがインストールまたは保存されたエリアへのアクセスは、業界標準に沿ったセキュリティ対策およびポリシーにより制限されています。
• N+1無停電電源装置、HVACシステム、バックアップ電源用発電機アーキテクチャ、最新防火設備

サービスデータを処理するサードパーティのサービスプロバイダー向けの技術的・組織的なエンタープライズセキュリティ対策

Zendeskグループが利用する第三者サービスプロバイダーは、「エンタープライズサービス」を提供するために合理的に必要な範囲で、お客様のアカウントおよび「サービスデータ」にアクセスすることができます。Zendeskは、「サービスデータ」にアクセスできる第三者サービスプロバイダーを利用する際の潜在的なリスクを評価し、管理するベンダーセキュリティレビュープログラムを維持します。また、これらの第三者サービスプロバイダーは、「メインサービス契約」の他の要件に加え、以下の適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。

1. 物理的アクセスのコントロール。サードパーティのサービスプロバイダーは、セキュリティ要員やセキュリティで保護された建物などの合理的な措置を講じて、サービスデータの処理を行うデータ処理システムに対する権限を持たない人物の物理的アクセスを防止します。

2.システムに対するアクセスのコントロール。サードパーティのサービスプロバイダーは、データ処理システムが許可なく使用されないようにするための合理的な措置を講じます。これらの管理は、行われる処理の性質に基づいて異なり、特に、パスワードおよび／または2要素認証による認証、文書化された承認プロセス、文書化された変更管理プロセス、および／または複数レベルでのアクセスの記録などの管理が含まれます。

3.データに対するアクセスのコントロール。サードパーティのサービスプロバイダーは、以下を保証するために合理的な対策を講じます。サービスデータは適切に認証された人員のみがアクセスおよび管理できるようにすること、データベースに対する直接の照会は制限されるようにすること、アプリケーションのアクセス権を設定・実施してサービスデータへのアクセスを許可された人物のみがアクセス特権を有するサービスデータへアクセスできるようにすること、また、処理の過程において許可なくサービスデータの読み取り、コピー、変更、または削除ができないようにすること。

4.送信のコントロール。サードパーティのサービスプロバイダーは合理的な対策を取り、サービスデータの電子的送信または伝送中に許可なく読み取り、コピー、変更、または削除が行われないようするため、データ送信設備によるサービスデータの転送先として想定される事業体を確認および立証できることを保証します。

5.入力のコントロール。サードパーティのサービスプロバイダーは、データ処理システムに対するサービスデータの入力、変更、削除が行われたかどうか、それらが誰により実行されたものか、さらにサードパーティのサービスプロバイダーへのあらゆるサービスデータの転送が安全な送信を介して実施されていることを確認および立証できることを保証するために合理的な対策を取ります。

6.データの保護。サードパーティのサービスプロバイダーは、サービスデータが偶発的な破壊または損失から保護されることを保証するために合理的な措置を講じます。

7.論理的分離。サードパーティのサービスプロバイダーは、サービスデータが個別に処理されることを保証するため、自社システムにおいてサービスデータと他の当事者のデータを論理的に分離します。

この規約は2022年6月1日に最終更新されたものです。