Zendeskグループは、「イノベーションサービス」において、本「補足条件」に定めるセキュリティ対策(以下「イノベーションセキュリティ対策」と呼ぶ)を含む、強固で包括的なセキュリティプログラムを提供することをお約束します。サブスクリプション契約期間中、これらの「イノベーションセキュリティ対策」は、通常の進展、追加対策の実施、または当社が合理的に必要と判断する既存の対策の変更に伴い、予告なく変更される場合があります。「エンタープライズセキュリティ対策」および2019年12月2日以前に交渉されたセキュリティ条項は、「イノベーションサービス」には適用されません。
当社が利用するイノベーションセキュリティ対策
当社は、これらの「イノベーションセキュリティ対策」を遵守し、「イノベーションサービス」を提供するために合理的に必要な範囲でサービスデータを保護します。
1. セキュリティポリシーと人員。当社は、リスクを特定して適切な対策を実施し、一般的な攻撃緩和のための技術およびプロセスを導入するための管理セキュリティプログラムを有しており、今後もこれを維持します。Zendeskは、当社のネットワーク、システム、およびサービスの安全防護、セキュリティインシデントへの対応、および当社のセキュリティポリシーに準拠したトレーニングの開発と従業員への提供を担当する専任の情報セキュリティチームを有し、今後もこれを維持していきます。
2. データ送信。当社は、「サービスデータ」の可用性、機密性、および完全性を保護するために商取引上妥当な管理上の対策、物理的、技術的な予防策を維持するものとします。
3. インシデント対応。当社は、当社のシステムまたはデータの機密性、完全性、利用可能性に影響するセキュリティイベントに関してインシデント管理プロセスを有しています。それには、お客様のサービスデータに影響を及ぼすセキュリティインシデントの検証に関しその「契約者」にZendeskがコンタクトを取る対応時間も含まれています。このプロセスは、行動の流れ、通知、上位者への報告、緩和、文書化の手順を具体的に示しています。法執行機関または政府機関から別段の指示がない限り、お客様は「サービスデータ」に関する侵害が生じてから48時間以内に通知されます。「サービスデータに関する侵害」とは、お客様の「サービスデータ」に影響を及ぼしていることが確認された不正アクセスや不適切な開示を意味します。
4. アクセス管理および権限管理。当社では、運用システムの管理者アクセス権を承認された担当者に制限しています。
5. ネットワーク管理とセキュリティ。当社が利用するデータセンターは、合理的に十分な帯域幅を持つ業界標準の完全に冗長化された安全なネットワークアーキテクチャを維持管理しています。当社のセキュリティチームは、既知の一般的な不正ネットワーク活動に対する防御を提供するために業界標準のツールと方法を利用し、外部の脆弱性スキャンを定期的に実施しています。
6. データセンター環境および物理セキュリティ。イノベーションサービスの提供に関連して、当社が利用するデータセンター環境は、次のセキュリティ対策を実施しています。
- 物理セキュリティ機能の責任を担うセキュリティ組織。
- データセンター内でシステムまたはシステムコンポーネントがインストールまたは保存されたエリアへのアクセスは、業界標準に沿ったセキュリティ対策およびポリシーにより制限されています。
第三者サービスプロバイダーに対する技術的および組織的なイノベーションセキュリティ対策
Zendeskは、「イノベーションサービス」の提供にあたり、第三者のサービスプロバイダーを利用することがあり、これらのサービスプロバイダは、「イノベーションサービス」の提供に合理的に必要な範囲で、お客様のアカウントおよび「サービスデータ」にアクセスすることができます。Zendeskは、「サービスデータ」にアクセスできる第三者サービスプロバイダーを利用する際の潜在的なリスクを評価し、管理するベンダーセキュリティレビュープログラムを維持します。
「サービスデータ」の長期的なホスティングに使用される第三者サービスプロバイダー(ここでは「インフラストラクチャの副処理者」として識別される)は、「メインサービス契約」におけるその他の要件に加え、以下の適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。
1. 物理的アクセスコントロール。第三者サービスプロバイダーは、認証を受けていない人物が「サービスデータ」が処理されるデータ処理システムへの物理的アクセスを取得することを防ぐための合理的な措置を講じるものとします。
2. システムアクセスコントロール。第三者サービスプロバイダーは、データ処理システムが許可なく使用されることを防止するための合理的な措置を講じるものとします。
3. データアクセスコントロール。第三者サービスプロバイダーは、適切な権限を有するスタッフのみが「サービスデータ」にアクセスし、管理できるよう合理的な措置を講じるものとします。
4. 送信コントロール。第三者サービスプロバイダーは、合理的な措置を講じて、データ転送設備を通じたサービスデータの転送がどのエンティティによって予定されているかを確認し、確立することで、サービスデータの電子的な転送や伝送中にデータが許可なく読み取られたり、コピーされたり、変更されたり、削除されたりすることがないようにします。
5. 入力コントロール。第三者サービスプロバイダーは、「サービスデータ」がデータ処理システムに入力され、変更され、削除されたかどうか、また、誰によりなされたか、さらに第三者サービスプロバイダーへのあらゆる「サービスデータ」の転送が、安全な送信を介して実施されることをチェックし、確定できるように設定された合理的な措置を講じるものとします。
6. 論理的分離。第三者サービスプロバイダーは、「サービスデータ」をシステム上の他の当事者のデータから論理的に分離し、「サービスデータ」を分けて処理するようにします。
イノベーションサービス専業副処理者
「イノベーションサービス」において、お客様の「サービスデータ」にアクセスする機会が付随的に発生しますが、「サービスデータ」の中核的なホスティング以外に、製品の特定の機能やコンポーネントを提供するために使用される第三者サービスプロバイダー(「イノベーションサービス専業副処理者」)は、Zendeskによって定期的に審査され、インフラストラクチャの副処理者に適用される各基準の実施に取り組んでいるかを確認されます。これらの第三者サービスプロバイダーのリストは、こちらで確認できます。これらは、イノベーションサービス専業副処理者として指定されているプロバイダーです。
本規約の最終更新日は2022年6月1日です。