Zendesk 책임 공유 모델

Zendesk 책임 공유 모델

Zendesk는 광범위한 산업 분야의 수많은 세계적 선도 기업들에게 고도로 구성 가능하고 신속히 확장 가능한 고객 서비스 플랫폼을 제공합니다. 가입자들이 자사 고객 서비스에 Zendesk의 클라우드 플랫폼을 이용할 수 있도록 도움으로써 오버헤드를 줄이고, 수요에 맞게 확장하고, 고객들과 대화할 수 있는 간단하고 완벽한 환경을 제공할 수 있도록 합니다.

비즈니스를 클라우드로 옮기면 위에 설명된 이점을 누리지만 어느 당사자가 어떤 제어를 책임지는지 모호해질 수 있습니다. 이러한 일을 간단하게 해결할 수 있도록 아래와 같이 공유 책임 모델이 마련되어 있습니다. 이 프레임워크는 데이터의 보안 및 개인정보 보호와 관련하여 어느 당사자가 어떤 제어에 책임이 있는지 명확하게 밝힙니다. 이 표준은 성실한 관리자, 기업 보안, 규정 준수 또는 개인 정보 보호 담당자이거나 해당 환경에서 Zendesk 서비스 사용에 대한 적절한 제어를 설정하는 업무를 맡은 사람이라면 알고 있어야 하는 사항을 명확하게 설명합니다.

이를 한 문장으로 요약하면 “Zendesk는 서비스 자체의 보안 업무를 책임지며, 귀하는 귀사가 사용하는 서비스의 특정 인스턴스에 대한 보안 업무를 책임집니다.”

액세스 제어 및 하이진
연동 서비스
데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
모니터링
유지 관리
보안 인시던트(역할 및 책임)
유용한 링크
변경 로그

대문자로 표기된 용어는 Zendesk 주요 서비스 계약(Main Services Agreement, “MSA”)에 명시된 것과 동일한 의미를 가집니다.

I. 액세스 제어 및 하이진
민감한 시스템과 그 안의 데이터에 대한 액세스를 제어하는 것이 보안 원칙의 핵심입니다.

다음을 포함하여 서비스 인스턴스에 대한 모든 액세스 제어는 가입자의 책임입니다.
1. 사내이든, 원격이든, 타사 인력이든 최종 사용자와 상담사를 포함한 모든 사용자의 프로비저닝, 수정, 지속적인 하이진, 권한 정확성 유지, 프로비저닝 취소
2. 지원되는 제품으로부터 서비스의 인증 방법을 선택하고 구성(비밀번호, MFA, SSO 등을 포함할 수 있음)
3. 로그아웃, 로그인된 기기 등 세션 처리의 요소를 구성하고 모니터링
4. 당사 지원 스태프가 지원을 위해 Support 인스턴스에 들어갈 수 있도록 허용하거나 허용 취소
5. 해당되는 경우 연동 서비스, Zendesk Sunshine 서비스 사용 등을 포함하여 Zendesk의 REST API 서비스에 대한 액세스 구성 및 사용의 의미 이해
6. 원하는 곳에서 제품이 지원하는 IP 제한 구성
7. 귀사의 사용자 또는 허용된 기기에 해당하는 모든 물리적, 논리적 또는 방침 제어는 물론 귀사의 인스턴스 액세스 시 상담사가 사용할 수 있도록 허용되는 기기 유형과 같이 제품과 관련 없는 기타 액세스 제어 고려
다음을 포함하여 서비스를 뒷받침하는 시스템에 대한 모든 액세스 제어는 Zendesk의 책임입니다.
1. 사내이든, 원격이든, 타사 인력이든 모든 사용자의 안전한 프로비저닝, 수정, 지속적인 하이진, 권한 정확성 유지 및 프로비저닝 취소를 위한 방침 및 절차 유지 관리
2. 역할 기반 액세스 제어(Role Based Access Control, RBAC), 최소 권한 원칙(Principle of Least Privilege, PLP), 가입자의 서비스 데이터가 포함된 중요한 시스템 및 애플리케이션에 대한 모든 직원 및 계약업체 액세스를 위한 다단계 인증(Multi-Factor Authentication, MFA)을 포함한 적절한 자격 증명 보안 시행
3. 위의 사항에 대한 주기적인 점검 수행

II. 연동 서비스
타사를 활용하면 효율성을 크게 개선할 수 있지만 보안 고려 사항도 생깁니다.

다음을 포함하여 서비스와 함께 이루어지는 모든 타사 연동 서비스의 이용에 따른 보안 영향을 고려하는 것은 가입자의 책임입니다.
1. API 및/또는 SDK를 통해 이루어지는 연동
2. 마켓플레이스 앱을 설치하거나 타사 채널을 사용 설정하여 이루어지는 연동
3. 스태프, 도구, 코드를 제공하거나 직접 Zendesk 인스턴스를 서비스하여 가입자를 보조하는 모든 타사와의 연동
다음을 포함하여 평판 좋은 타사를 서비스에 신중히 연동하는 것은 Zendesk의 책임입니다.
1. 모든 위탁처리업체를 면밀히 조사하고 지속적으로 실사 수행
2. 인수 업체를 안전하게 서비스에 연동
3. 타사와의 제품 파트너십 및/또는 서비스 연동에 적절한 보안 고려 사항이 있는지 확인

III. 데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
사용 중인 데이터, 그러한 데이터의 올바른 취급, 모든 관련 규제 프레임워크 및 타사 보장의 중요성을 설명하는 것은 필수입니다.

다음을 포함하여 취하고 사용하는 데이터를 올바르게 취급하는 것은 가입자의 책임입니다.
1. 특정 사용 사례와 관련된 데이터 유형 이해
2. 회사의 데이터 분류 및 개인정보 보호방침, 데이터 자체, 데이터를 제공하는 사용자, 가입자의 업종 및 관련 관할지와 관련된 해당 법에 의거하여 그러한 데이터 취급
3. 서비스의 인스턴스와 커뮤니케이션하도록 허용되는 채널 선택
4. 가입자의 업종, 사용자 또는 사용 사례가 범위에 있을 수 있는 해당 규정 준수, 법률 또는 규제 프레임워크에 의거하여 인스턴스 및 서비스 데이터 유지 관리
5. Zendesk UI 또는 API와의 트래픽 암호화에 비-Zendesk 상위 도메인에 대한 호스트 맵핑이 필요한 대체 TLS 인증서를 Zendesk에 제공
6. 데이터가 전송 중 암호화되지 않을 수 있는 경우를 이해하고 그에 따라서 해당 채널 또는 프로토콜(주로 암호화를 지원하지 않는 이메일, SMS 또는 가입자의 단독 재량으로 이루어지는 타사 연동 서비스) 취급
7. 가입자의 인스턴스와 관련된 데이터 유형이 Zendesk의 주요 서비스 계약(Zendesk MSA라고 칭함) 이용 약관을 위반하지 않도록 보장
8. 가입자가 선택하는 가동 시간 및 재해 복구 수준이 가입자가 지켜야 하는 모든 방침 및 규제를 준수하도록 보장
다음은 Zendesk의 책임입니다.
1. 모든 서비스 데이터가 서비스 수준(즉, 인프라 또는 코드)에서 공개되지 않도록 적절하게 보호
2. 공용 네트워크를 통한 UI 또는 API와 주고받는 데이터 암호화
3. 저장 중인 모든 서비스 데이터 암호화
4. 가입자에게 기본적인 서비스 사용은 물론 제품 내 쿠키에서 수집된 데이터에 대한 정보 제공
5. Zendesk가 당사 서비스를 제공하기 위해 익명 및 비익명 방식으로 개인 데이터를 포함한 서비스 데이터를 어떻게 사용하는지 정확하게 설명
6. 가입자에게 개인 또는 규제받는 데이터의 올바른 취급에 대한 의무를 충족하는 데 도움이 되는 도구와 기능 제공
7. 당사 서비스 제품 및 비즈니스 위치와 관련된 해당 법과 규제 프레임워크 준수
8. 당사 서비스 제품과 관련된 독립적인 타사 규정 준수 보장 확보 및 제공

IV. 모니터링
올바른 보안을 위해서는 프로세스 및 활동에 대한 인사이트가 필요합니다.

다음을 포함하여 서비스 인스턴스 내의 모든 활동을 모니터링하는 것은 가입자의 책임입니다.
1. UI 보기 또는 API 로그를 통해서 사용자 활동 모니터링
2. 알 수 없는 개인이나 서비스를 통해 파생된 신뢰할 수 없는 콘텐츠와의 커뮤니케이션에 대한 실사 수행
3. 해당 규제에 의거하여 서비스에서 가져온 로그 또는 데이터 유지 관리
다음을 포함하여 서비스 자체의 프로세스 및 활동을 모니터링하는 것은 Zendesk의 책임입니다.
1. 프로덕션 네트워크 내에서 권한이 필요한 액세스 및 활동
2. 부정적으로 알려진 제출이나 IP 주소에 대해 알리거나 이를 차단하기 위한 수신 트래픽
3. 서비스 가동 시간
4. 회사 또는 프로덕션 네트워크 자산 내에서 비정상적인 동작
5. 코드, 인프라, 트래픽 및 관련 직원이나 계약업체 직원의 보안

V. 유지 관리
시스템과 코드를 최신 상태로 유지하고 패치를 적용하면 많은 보안 문제를 예방할 수 있습니다.

다음을 포함하여 Zendesk 아키텍처 및/또는 계약 범위를 벗어나는 모든 시스템 또는 코드를 유지 관리하고 패치하는 것은 가입자의 책임입니다.
1. 직원 엔드포인트, 네트워크, 사용자 지정 인프라 또는 Zendesk 서비스에 액세스하고 더 나아가 Zendesk 시스템에서 수신 전이나 송신 시 서비스 데이터를 처리하기 위해 사용하는 타사 미들웨어를 포함한 자체 인프라
2. 내부적으로 또는 Zendesk 서비스와 함께 사용하기 위해 가입자가 자체 개발했거나 구매한 타사 개발 코드를 포함하여 Zendesk 서비스에 추가적인 기능을 제공하기 위해 활용되는 자체 비표준 코드. 여기에는 가입자의 요청에 따라 Zendesk 전문 서비스에서 개발한 모든 사용자 지정 코드(사용자 지정 참여의 일환으로 그러한 코드 및 유지 관리에 대한 책임이 가입자에게 넘어간 경우)도 포함됩니다.
다음을 포함하여 Zendesk 아키텍처 및/또는 계약 범위 내에서 모든 시스템 및 코드를 유지 관리하고 패치하는 것은 Zendesk의 책임입니다.
1. 운영 체제, 직접 제어하는 보안 인프라 및 시스템, 컨테이너 및 오케스트레이션 시스템 등을 포함하여 서비스를 제공하는 데 사용되는 호스팅 제공업체 시설 내에서 논리적으로 관리되는 자체 인프라
2. 직원 엔드포인트, 회사 네트워크 인프라 등 Zendesk 기업 환경 내에서 사용되는 물리적 및/또는 논리적으로 관리되는 자체 인프라
3. Zendesk 서비스를 뒷받침하는 독점 코드 베이스

* 마켓플레이스 앱은 Zendesk 아키텍처 범위 내에서 실행되더라도 Zendesk의 표준 Master Services Agreement의 적용을 받지 않고 대신 마켓플레이스 앱 이용 약관에 명시된 대로 가입자와 앱 개발자 간의 특정 약관의 적용을 받습니다. 마켓플레이스 앱의 유지 관리는 마켓플레이스 앱의 타사 개발자의 책임입니다.

VI. 보안 인시던트
아무리 노력해도 문제가 발생할 수 있습니다. 보안 인시던트를 인식하고, 대응하며, 복구하는 방식은 보안 인시던트를 성공적으로 완화하고 계속해서 고객의 신뢰를 받기 위한 핵심입니다. 이 섹션에서는 보안 인시던트 중 각 당사자의 역할과 책임을 설명합니다.

다음을 포함하여 서비스 자체 내의 취약성이나 인시던트를 통해 이루어졌거나 야기되지 않은 특정 인스턴스 내의 보안 인시던트나 침해는 가입자의 책임입니다.

(i) 충분하지 않은 액세스 제어나 하이진(약하거나 악용 가능한 공개 자격 증명의 사용 포함), (ii) 사용자 활동의 충분하지 않은 모니터링, (iii) 사용자와의 상호작용을 통해 파생된 커뮤니케이션이나 신뢰할 수 없는 콘텐츠에 대한 실사 수행 실패, (iv) 그러한 연동이 가입자의 단독 재량으로 이루어진 타사와의 연동을 통해 발생한 인시던트나 침해에 의해 야기된 특정 인스턴스 내의 모든 의심되는 침해나 실제 침해를 조사하고 수정
가입자 작업, 연동된 타사 또는 가입자의 인스턴스와 관련하여 Zendesk에서 받은 서비스 데이터 침해 알림과 관련하여 야기된 침해와 관련된 필요한 모든 알림을 정부나 법 집행 기관 또는 최종 사용자에게 보내기

다음을 포함하여 서비스 자체를 통해 발생하는 서비스 데이터 침해에 대해 영향을 받은 가입자에게 알리는 것은 물론 보안 인시던트를 조사하는 일은 Zendesk의 책임입니다.
1. 관련 보안 역할 및 책임을 맡은 스태프는 물론 문서화된 보안 인시던트 대응 방침 보유
2. 비정상적인 활동 조사
3. 확인된 모든 서비스 데이터 침해 포함
4. 법이 요구하는 대로 영향을 받은 모든 가입자나 관련 정부 또는 법 집행 기관에 알리기
5. 반드시 강력한 백업 및 재해 복구 프로세스를 마련하고 테스트