Zendeskグループは、「イノベーションサービス」において、本「補足条件」に定めるセキュリティ対策（以下「イノベーションセキュリティ対策」と呼ぶ）を含む、強固で包括的なセキュリティプログラムを提供することをお約束します。サブスクリプション期間中、これらのイノベーションセキュリティ対策は、基準の進化、または当社が合理的であると判断した追加的なコントロールの実施または既存のコントロールの変更に伴い、予告なしに変更される場合があります。エンタープライズセキュリティ対策および2019年12月2日以前に取り決められたセキュリティ規定は、イノベーションサービスには適用されません。

当社が利用するイノベーションセキュリティ対策

当社は、イノベーションサービスの提供にとって合理的に必要なサービスデータを保護するため、以下のイノベーションセキュリティ対策を順守します。

1.セキュリティポリシーおよびセキュリティ要員。Zendeskは、リスクを特定し適切なコントロールを実施するための管理されたセキュリティプログラムならびに一般的な攻撃緩和のための技術および手順を有しており、それらを今後も維持します。Zendeskには、当社のネットワーク、システムおよびサービスの保護、セキュリティ・インシデントへの対応、当社のセキュリティポリシーにしがたった従業員向けのトレーニングの開発および提供を担当するフルタイムの情報セキュリティチームがあり、今後もこのチームを維持します。

2.データの送信。当社は、サービスデータの可用性、機密性および完全性を保護するために商業的に妥当な、管理上の、物理的および技術的な保護措置を維持します。

3.インシデント対応。当社は、当社のシステムまたはデータの機密性、完全性、または可用性に影響を及ぼす可能性のあるセキュリティイベントに対するインシデント管理プロセスを備えており、これには、お客様の「サービスデータ」に影響を及ぼすセキュリティ事象が確認された場合にZendeskがサブスクリプション契約者にコンタクトを取る対応時間も含まれます。このプロセスは、行動指針と、通知、上申、緩和および文書化の手順を具体的に規定しています。法執行機関または政府機関による別段の命令がない限り、お客様は、サービスデータの侵害が生じてから48時間以内に通知を受けるものとします。「サービスデータの侵害」とは、お客様のサービスデータに影響を及ぼしていることが確認された不正アクセスまたは不適切な開示を意味します。

4.アクセスコントロールおよび特権管理。当社では、本番システムの管理者アクセス権を、承認された職員のみに制限しています。

5.ネットワーク管理およびセキュリティ。当社が利用するデータセンターは、合理的に十分な帯域幅を持つ業界標準の完全冗長の安全性なネットワーク・アーキテクチャを維持しています。当社のセキュリティチームは、業界標準のツールおよび手段を利用して、一般的に知られている不正なネットワーク活動に対する防御を提供し、外部の脆弱性スキャンを定期的に実施しています。

6.データセンター環境および物理的セキュリティ。イノベーションサービスの提供に関連して当社が利用するデータセンターの環境では、次のセキュリティ対策を採用しています。

• 24時間365日体制で物理的なセキュリティ機能の責任を担うセキュリティ組織
• データセンター内のシステムまたはシステムコンポーネントがインストールまたは保存されたエリアへのアクセスは、業界標準に沿ったセキュリティ対策およびポリシーにより制限されています。

サードパーティのサービスプロバイダー向けの技術的・組織的なイノベーションセキュリティ対策

Zendeskは、イノベーションサービスの提供中にサードパーティのサービスプロバイダーを使用する場合があり、イノベーションサービスの提供において合理的に必要な場合に、これらのサービスプロバイダーに対して、お客様のアカウントおよびサービスデータへのアクセスを許可する場合があります。Zendeskは、「サービスデータ」にアクセスできる第三者サービスプロバイダーを利用する際の潜在的なリスクを評価し、管理するベンダーセキュリティレビュープログラムを維持します。

「サービスデータ」の長期的なホスティングに使用される第三者サービスプロバイダー（ここでは「インフラストラクチャの副処理者」として識別される）は、「メインサービス契約」におけるその他の要件に加え、以下の適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。

1. 物理的アクセスのコントロール。サードパーティのサービスプロバイダーは、サービスデータの処理を行うデータ処理システムに対して許可されていない人物が物理的アクセスを持つことを防止するための合理的な措置を講じます。

2.システムに対するアクセスのコントロール。サードパーティのサービスプロバイダーは、データ処理システムが許可なく使用されないようにするための合理的な措置を講じます。

3.データに対するアクセスのコントロール。サードパーティのサービスプロバイダーは、サービスデータが適切に認証されたスタッフのみによってアクセスおよび管理できるようにするための合理的な措置を講じます。

4.送信のコントロール。サードパーティのサービスプロバイダーは合理的な対策を取り、サービスデータの電子的送信または伝送中に許可なく読み取り、コピー、変更、または削除が行われないようするため、データ送信設備によるサービスデータの転送先として想定される事業体を確認および立証できることを保証します。

5.入力のコントロール。サードパーティのサービスプロバイダーは、データ処理システムに対するサービスデータの入力、変更、削除が行われたかどうか、それらが誰により実行されたものか、さらにサードパーティのサービスプロバイダーへのあらゆるサービスデータの転送が安全な送信を介して実施されていることを確認および立証できることを保証するために合理的な対策を取ります。

6.論理的分離。サードパーティのサービスプロバイダーは、サービスデータが個別に処理されることを保証するため、自社システムにおいてサービスデータと他の当事者のデータを論理的に分離します。

イノベーションサービス固有の副処理者

イノベーションサービスにおいてお客様のサービスデータに対する偶発的アクセスを有するものの、サービスデータの中核的なホスティング以外にある製品の特定の機能またはコンポーネントを提供するために使用されるサードパーティのサービスプロバイダー（「イノベーションサービス固有の副処理者」）については、Zendeskが定期的な見直しを行い、インフラストラクチャ副処理者に適用される各基準の実施に取り組んでいることの確認を行います。サードパーティのサービスプロバイダーのリストは、 こちらで確認いただけます。これらは、イノベーションサービス固有の副処理者として指定されたプロバイダーです。

この規約は2022年6月1日に最終更新されたものです。