HIPAA 사용 계정:
이 문서에서 대문자로 사용된 모든 용어는 Zendesk의 사업 제휴 계약("BAA")에 명시된 의미를 가집니다.
Zendesk와 가입자는 사업 제휴 계약(“BAA”)을 체결하여 가입자가 사용 사례에 맞게 다음 구성이나 가입자가 실질적으로 유사하다고 평가한 대안을 평가하고 HIPAA 것을 요구합니다. 보호 대상 건강 정보(“PHI”)를 서비스에 도입하기 전에
가입자가 단독 재량에 따라 아래 나열된 권장 구성을 구현하지 않기로 결정하는 경우, 가입자는 보호 대상 건강 정보를 포함한 가입자의 서비스 데이터에 대한 무단 액세스 또는 공개의 부적절한 사용에 대해 전적인 책임을 집니다. 가입자가 권장하는 구성에서 그러한 편차를 제거할 수 있습니다.
가입자가 적절한 수준의 서비스 플랜을 구매했고 필요한 관련 추가 기능이 있어야 합니다(확실하지 않은 경우 영업 담당자에게 문의하세요)
I. 모든 HIPAA 사용 계정에 대해 다음과 같은 Zendesk Support 용 최소 보안 구성이 마련되어 있어야 하며 BAA에 승인되어 있어야 합니다.
-
다음 두 가지 방법 중 하나를 통한 보안 상담원 인증:
- 비밀번호 설정이 있는 기본 Zendesk Support 사용:(i) “높음”으로 설정; 또는 (ii) “높음” 설정에서 설정된 요구 사항보다 덜 안전한 요구 사항을 설정하는 방식으로 가입자가 사용자 지정합니다. 또한 이 하위 섹션의 옵션에 따라 가입자는 서비스 내에서 기본적으로 2단계 인증("2FA")도 사용 설정하고 시행해야 합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다. 또는
- Zendesk의 "높음" 비밀번호 설정에서 설정된 요구 사항보다 덜 안전한 요구 사항이 있는 외부 통합 인증("SSO") 솔루션을 활용하고 모든 상담사의 액세스에 대해 선택한 솔루션 내에서 2단계 인증을 사용 설정하고 시행합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다.
- 인증 방법으로 SSO를 사용하는 모든 인증은 비밀번호 액세스를 사용 중지해야 합니다.
- HIPAA 사용 계정에서 SSL(Secure Sockets Layer) 암호화가 항상 사용 설정된 상태를 유지해야 합니다. zendesk.com이 아닌 다른 도메인을 활용하는 HIPAA 사용 계정은 호스팅된 SSL을 설정하고 유지해야 합니다..
- 상담원 액세스는 가입자가 제어하는 특정 IP 주소로 제한되어야 합니다. 단, 가입자가 위의 요구 사항 1.a 또는 1.b에서 설명된 대로 상담사에 대해 다단계 인증을 사용 설정하지 않는 한(기본적으로 서비스 내에서 또는 Enterprise SSO와 결합된 가입자의 환경 내에서). 명확히 하기 위해 “상담원 액세스 권한”은 사용자 인터페이스(“UI”)를 통해 서비스 데이터에 액세스하는 실제 상담원에게 부여된 액세스 권한을 의미합니다.
-
가입자의 HIPAA 사용 계정이 Zendesk 애플리케이션 프로그래밍 인터페이스("API")에 대한 호출을 가능하게 하는 한도 내에서, 가입자는 모든 가입자 또는 생성, 액세스, 수정 또는 삭제가 허용된 제3자 엔티티의 보안 영향을 이해해야 합니다. 그러한 액세스 및/또는 연동을 통한 서비스 데이터 및 PHI. 해당 API의 액세스를 위해 Zendesk는여기 에 설명된 대로 다양한 방법을 제공 하며 가입자는 사용된 API 모델에 따라 다음과 같은 보안 성공 사례를 구현해야 합니다.
- OAuth 2.0 접근 방식. 이 모델은 가장 세분화된 보안 기능을 제공하지만 최종 사용자가 권한 부여를 수락해야 합니다. 가능한 경우 가입자는OAuth 2.0 접근 방식 및 인증 체계를 활용합니다.. 가입자는 각 OAuth 클라이언트에 설명적이고 고유한 클라이언트 이름 및 고유 식별자 지정 기능을 제공합니다. 각 OAuth 토큰에 부여된 권한은 필요한 작업을 수행하는 데 필요한 최소한의 권한을 허용해야 합니다.
- REST API 토큰 접근 방식. 이 모델은 가장 광범위하며 API 토큰이 API 모델의 모든 기능을 활용할 수 있도록 합니다. 그 특성상 가장 광범위한 액세스 및 기능을 제공하므로 주의해서 사용해야 합니다. 이 접근 방식을 사용할 때 가입자는 (i) 각 서비스에 대해 고유한 토큰을 사용하고 토큰을 지정하는 기능을 설명하는 이름을 지정합니다. (ii) 엔드 투 엔드 암호화된 전송 방법을 따르지 않는 한 API 토큰을 제3자와 공유하지 않습니다. (iii) API 토큰이 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자가 즉시 관련 토큰을 순환한다는 사실을 인정합니다. (iv) 최소한가입자의 조직 정책에 따라 토큰을 자주순환합니다.
- 가능한 경우 가입자는 API에 대한 비밀번호 액세스를 사용 중지해야 합니다. 이 접근 방식은 사용자 자격 증명을 모든 요청과 함께 전송하여 사용자를 광범위하게 노출시켜 악의적인 당사자가 더 쉽게 가로챌 수 있도록 하기 때문입니다.
- 첨부 파일에 액세스하기 위해 인증을 요구하려면 가입자가 '다운로드 시 인증 필요'를 사용 설정해야 합니다.. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다. 그러한 경우 가입자는 그러한 첨부 데이터의 콘텐츠 및 그러한 첨부 데이터에 대한 액세스에 대한 모든 책임을 집니다.
- 가입자는 모든 상담사, 관리자 및 소유자가 액세스한 엔드포인트에 대해 최대 15분 동안 시스템 비활성 상태에서 작동하도록 설정된 비밀번호로 잠긴 화면 보호기 또는 시작 화면을 체계적으로 시행해야 합니다.
- 가입자는 사용자가 전체 인스턴스/브랜드/조직에 대한 업데이트를 볼 수 있도록 허용하는 보기 권한을 변경하거나 사용자 자신의 티켓 이외의 액세스를 허용하는 기본 설정을 변경해서는 안 됩니다(단, 가입자가 그러한 사용자가 모든 티켓에 액세스할 수 있도록 가입자의 승인을 받도록 보장할 모든 책임을 지지 않는 한). 후속 데이터). 가입자는 최종 사용자 조직 권한이 사용자 프로필과 조직 자체에서 설정될 수 있음을 인정하며, 설정이 충돌하는 경우 더 허용적인 설정이 덜 허용적인 설정을 무시합니다.
- 가입자는 Zendesk가 가입자의 Zendesk Support 인스턴스에 수신되기 전에 최종 사용자로부터의 이메일 전송 및 관련 서비스 데이터를 보호할 책임이 없음을 인정합니다. 여기에는 티켓 댓글이나 첨부 파일을 포함하되 이에 국한되지 않는 Zendesk Support 티켓에 대한 답장을 통해 이메일을 통해 전달될 수 있는 모든 PHI가 포함됩니다.
- 가입자는 가입자의 상담사가 이메일 채널을 통해 Zendesk Support 티켓에 응답하거나 자동화 또는 트리거에 의해 시작된 경우와 같이 다양한 상황에서 Zendesk Support 가 최종 사용자에게 이메일을 보낸다는 사실을 인정합니다. 기본적으로 이 이메일에는 PHI를 포함할 수 있는 자동 알림에 포함되도록 구성된 가장 최근 티켓 서신 또는 기타 정보가 포함되어 있습니다. 가입자를 더욱 보호하기 위해 Zendesk Support 인스턴스는 최종 사용자에게 상담사가 응답했음을 알리기만 하고, 최종사용자가 Zendesk Support 에서 인증을 받아야 메시지의 내용을 볼 수 있도록 구성됩니다.
-
가입자는 모든 Zendesk 서비스에서 단독 재량에 따라 활용되는 모든 문자 메시지 기능이 SMS 및/또는 관련 프로토콜에 의해 뒷받침되며, 서비스 안팎으로 메시지가 암호화되지 않은 전송을 포함할 수 있음을 인정합니다. 따라서 문자 메시지 기능은 다음 중 하나를 수행해야 합니다.
- HIPAA 사용 계정에서 사용되지 않음*, 또는
- 사용되는 경우 가입자는 그러한 기능의 사용에 대한 모든 책임을 집니다.
- 가입자는 서비스의레거시 고객 만족도 설문조사(“레거시 CSAT”)기능을 사용하여 암호화 상태가 제어되지 않는 사용자의 평점을 얻기 위해 이메일을 통해 Support 티켓과 연결된 서비스 데이터(PHI를 포함할 수 있음)를 보내는 것을 인정합니다. 제공합니다. 따라서 레거시 CSAT 기능은 다음 중 하나를 수행해야 합니다.
- HIPAA 사용 계정에서 사용되지 않음*, 또는
- 사용되는 경우 가입자는 그러한 기능의 사용에 대한 모든 책임을 집니다.
-
가입자는 서비스의 고객 만족도 설문조사("CSAT") 기능의 사용이티켓 작성 채널에 대해 적절하게 구성되어 있지 않은 경우 은(는) 사용자의 평점을 얻기 위해 이메일을 통해 Support 티켓과 연결된 서비스 데이터(PHI를 포함할 수 있음)를 보냅니다. 암호화 상태는 Zendesk에서 제어하지 않습니다. 또한 특정 CSAT URL이 있는 사람은 누구나 특정 티켓에 제공된 답변에 액세스할 수 있습니다. 따라서 티켓 작성 채널에 CSAT 기능을 사용할 때 가입자는
- 잠재적인 ePHI를 포함하지 않도록 CSAT 자동화 이메일 본문을 구성하고 {{satisfaction.survey_url}}자리 표시자만
- 주관식 질문 기능을 사용하지 않음
* 의심의 여지를 없애기 위해 SMS에 관한 섹션 10의 ePHI와 관련된 데이터 주의 사항은 섹션 1.a에서 설명된 대로 제품 내 2단계 인증 사용에 적용되지 않습니다. 그러한 기능은 신원 확인을 위한 숫자 문자열만 전송하기 때문입니다.
II. Zendesk Guide 및 Gather 서비스에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 모든 HIPAA 사용 계정에 대해 BAA에 승인되어 있어야 합니다.
- 가입자는 Guide 및 Gather 서비스가 본질적으로 공개되며(제한된 문서를 활용하지 않거나폐쇄형 또는 제한된 인스턴스를 사용 하지 않는 경우), 따라서 가입자는 Zendesk Guide 또는 Gather 서비스의 모든 문서에 문서 또는 문서의 첨부 파일 또는 문서 내의 이미지.
- 가입자는 Zendesk Guide 에서 최종 사용자가 댓글을 추가할 수 있는 기능을 사용 중지하거나, 아래 섹션 3에 명시된 바와 같이 모든 댓글에서 PHI를 제거할 책임이 있습니다.
- Zendesk Guide 서비스가 Guide Professional 또는 Enterprise인 경우 가입자는 가능한 경우 Zendesk Guide 에서 Gather 기능을 해제하여최종 사용자가 새 게시물을 만들 수 있는 기능을 사용 중지해야 합니다 . 가입자는Zendesk Guide 서비스에서 콘텐츠 중재를 사용 설정하고 “모든 콘텐츠 중재”로 설정해야 합니다.. PHI가 포함된 어떤 제출도 승인되지 않습니다.
- 가입자가 Gather 서비스 내에서 직원이 아닌 “커뮤니티 중재자”를 사용하는 것은 허용되지 않습니다.
- 가입자는 Gather 커뮤니티 구성원의 “@멘션”이 가능하며 최종 사용자가 공개 프로필을 가질 수 있도록 허용하며 이 기능이 사용 사례에서 위험하다고 간주되는 경우공개 프로필을사용 중지하거나@멘션을 사용 중지해야 함을인정합니다.
III. Zendesk 메시징 사용을 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 모든 HIPAA 사용 계정에 대해 Zendesk BAA에서 승인되어야 합니다.
- 가입자는 (i) 소셜 미디어 메시지에 ePHI가 포함되지 않도록 보장하거나 (ii) 통합 메시징 플랫폼과 자체 BAA를 체결하는 데 대한 전적인 책임을 지지 않는 한 소셜 미디어 메시징 채널 연동을 사용 설정해서는 안 됩니다.
- 가입자는 최종 사용자가 메시징 대화에 파일을 첨부할 수 있는 기능을 사용 중지해야 하며, (i)안전한 첨부 파일을 사용 설정 하는 데 대한 전적인 책임이 있습니다. 또는 (ii) 상담사가 ePHI가 포함된 파일을 메시징 대화에 첨부하지 않도록 합니다. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다. 그러한 경우에는 그러한 URL 및/또는 첨부 파일 데이터의 콘텐츠 및 액세스에 대한 모든 책임은 가입자에게 있습니다.
- 모든 상담원과 라이트 상담원이 모든 최종 사용자로부터 오는 모든 수신 메시지를 볼 수 있도록 보장하는 데 대한 모든 책임은 가입자에게 있습니다.
- 가입자 또는 그 상담사가 API 및 웹훅을 위한 연동 서비스(예: Answer Bot 용으로 만든 플로우의 일부로서)에 액세스하거나 개발하거나 메시징 경험을 사용자 지정하는 경우, 가입자는 모든 사용자 지정 워크플로우 및 가입자 또는 제3자(챗봇 제공업체 포함)는 그러한 액세스 및/또는 연동을 통해 서비스 데이터 및 ePHI를 생성, 액세스, 수정 또는 삭제할 수 있습니다.
- 가입자가 메시징 대화가 현재 활성 상태인 동안 상담원의 메시징 대화 참여 권한을 제거하고자 하는 경우, 가입자는 해당 상담원의 Zendesk 액세스 권한을 강제 종료하는 데 대한 모든 책임을 집니다.
- 기본적으로 최종 사용자와의 웹 위젯 대화는 영구적이며 최종 사용자가 동일한 기기에서 웹 채팅으로 돌아올 때 볼 수 있습니다. 이 기능을 사용 중지하거나 최종 사용자가 기기를 공유하지 않도록 하는 데 대한 모든 책임은 가입자에게 있습니다.
-
가입자가 최종 사용자에 대한 인증을 구현하려는 경우 성공 사례 및 업계 표준에 따라 안전한 방식으로 이를 구현하는 데 대한 모든 책임은 가입자에게 있습니다.
- 이 접근 방식을 사용할 때 가입자는 (i) 각 인증 채널에 고유한 JWT 서명 키를 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공합니다. (ii) 합리적으로 요구되고 엔드 투 엔드로 암호화된 전송 방법에 따르지 않는 한 JWT 서명 키를 제3자와 공유하지 않습니다. (iii) JWT 서명 키가 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자가 관련 JWT 서명 키를 즉시 순환한다는 사실을 인정합니다. (iv) 최소한 가입자의 조직 정책에 따라 JWT 서명 키를 자주 순환해야 합니다.
- 가입자는 만료 JWT 속성을 사용하고 그 값을 15분 이하로 설정해야 합니다.
- 가입자는 실제 상담사에게 전달되지 않고 티켓으로 전송되는 최종 사용자와 Answerbot 간의 상호작용이 여전히 시스템에 저장되며 의무에 따라(예: 웹훅 구현을 통해) 그러한 상호작용을 삭제하는 것은 가입자의 책임임을 인정합니다. 대화가 저장될 때 가입자에게 알리고 Sunshine Conversations API를 통해 (자동으로) 삭제를 트리거합니다.
- 가입자는 최종 사용자와 Answerbot 간의 대화가변환되었음을 인정합니다. 은(는) 현재 티켓을 삭제할 수 없습니다. 티켓을 삭제하여 삭제할 수 있습니다.
- 가입자는 메시징 채널의 최종 사용자 첨부 파일이 현재 Zendesk에서 맬웨어에 대해 검사되지 않음을 인정합니다. 가입자의 자산에 대한 위험을 완화하기 위한 절차와 정책을 마련할 책임은 전적으로 가입자에게 있습니다.
IV. Zendesk Sunshine Conversations( Zendesk Suite 와 함께 사용)를 사용하기 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HIPAA 사용 계정에 대해 Zendesk BAA에서 승인되어야 합니다.
- 가입자는 (i) 타사 채널 메시지에 ePHI가 포함되지 않도록 하거나 (ii) 통합 메시징 플랫폼과 자체 BAA를 체결하는 데 대한 전적인 책임을 지지 않는 한 타사 채널 연동을 사용 설정해서는 안 됩니다.
-
가입자는 Sunshine Conversations 애플리케이션 프로그래밍 인터페이스("API")를 통해 서비스 데이터 및 PHI를 생성, 액세스, 수정 또는 삭제할 수 있는 모든 가입자 또는 제3자 주체의 보안 영향을 이해할 모든 책임을 집니다. 해당 API에 액세스하기 위해 가입자는 사용된 API 모델에 따라 다음과 같은 보안 성공 사례를 구현해야 합니다.
- OAuth 2.0 접근 방식. 이 모델은 가장 세분화된 보안 기능을 제공하지만 최종 사용자가 권한 부여를 수락해야 합니다. 가능한 경우 가입자는 OAuth 2.0 접근 방식 및 인증 체계. 가입자는 각 OAuth 클라이언트에 설명적이고 고유한 클라이언트 이름 및 고유 식별자 지정 기능을 제공합니다.
- REST API 토큰 접근 방식. 이 모델은 가장 광범위하며 API 토큰이 API 모델의 모든 기능을 활용할 수 있도록 합니다. 그 특성상 가장 광범위한 액세스 및 기능을 제공하므로 주의해서 사용해야 합니다. 이 접근 방식을 사용할 때 가입자는 (i) 각 서비스에 대해 고유한 토큰을 사용하고 토큰을 지정하는 기능을 설명하는 이름을 지정합니다. (ii) 엔드 투 엔드 암호화된 전송 방법을 따르지 않는 한 API 토큰을 제3자와 공유하지 않습니다. (iii) API 토큰이 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자가 즉시 관련 토큰을 순환한다는 사실을 인정합니다. (iv) 가입자의 조직 정책에 따라 토큰을 자주 순환합니다.
- 가입자 또는 그 상담사가 API 및 웹훅을 위한 연동 서비스에 액세스 또는 개발하거나 Sunshine Conversations 경험을 사용자 지정하는 경우, 가입자는 모든 사용자 지정 워크플로우 및 허용되는 모든 가입자 또는 제3자 엔터티(챗봇 제공업체 포함)에 대한 개인정보 보호 및 보안 영향을 이해할 전적인 책임이 있습니다. 그러한 액세스 및/또는 연동 서비스를 통해 서비스 데이터 및 ePHI를 생성, 액세스, 수정 또는 삭제합니다.
- 가입자는 Zendesk Support 에 대해 구성된 IP 제한이 Sunshine Conversations API로 확장되지 않음을 인정합니다. 2.b에 설명된 대로 Sunshine Conversations API 및 API 토큰에 대한 액세스를 제한하는 데 대한 전적인 책임은 가입자에게 있습니다. 그리고 가입자의 정책에 따릅니다.
- 가입자는 최종 사용자가 Sunshine Conversations 대화에 파일을 첨부할 수 있는 기능을 사용 중지해야 하며,안전한 첨부 파일을 사용 설정 Sunshine Conversations 데 대한 모든 책임은 가입자에게 있습니다. 또는 상담사가 ePHI가 포함된 파일을 메시징 대화에 첨부하지 않도록 합니다. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다. 그러한 경우 가입자는 그러한 첨부 데이터의 콘텐츠 및 그러한 첨부 데이터에 대한 액세스에 대한 모든 책임을 집니다.
-
가입자가 최종 사용자에 대한 인증을 구현하고자 하는 경우 보안 성공 사례 및 업계 표준에 따라 강력한 방법으로 이를 구현하는 데 대한 모든 책임은 가입자에게 있습니다.
- 이 접근 방식을 사용할 때 가입자는 (i) 각 인증 채널에 고유한 JWT 서명 키를 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공합니다. (ii) 합리적으로 요구되고 엔드 투 엔드로 암호화된 전송 방법에 따르지 않는 한 JWT 서명 키를 제3자와 공유하지 않습니다. (iii) JWT 서명 키가 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자가 관련 JWT 서명 키를 즉시 순환한다는 사실을 인정합니다. (iv) 최소한 가입자의 조직 정책에 따라 JWT 서명 키를 자주 순환해야 합니다.
- 가입자는 만료 JWT 속성을 사용하고 그 값을 15분 이하로 설정해야 합니다.
- 가입자는 실제 상담사에게 전달되지 않고 티켓으로 전송되는 최종 사용자와 Answerbot 간의 상호작용이 여전히 시스템에 저장되며 의무에 따라 예를 들어 웹훅을 구현하여 그러한 상호작용을 삭제하는 것은 가입자의 책임이라는 사실을 인정합니다. 그러한 대화가 저장될 때 가입자에게 알리고 Sunshine Conversations API를 통해 (자동으로) 삭제를 트리거합니다.
- 가입자는 티켓으로 변환된 최종 사용자와 Answerbot 간의 대화를 현재 삭제할 수 없음을 인정합니다. 티켓을 삭제하여 삭제할 수 있습니다.
- 가입자는 Sunshine Conversations API를 통해 삭제된 메시지가 최종 사용자에 대해서만 삭제되고 Zendesk 상담사 워크스페이스에서는 삭제되지 않음을 인정합니다. 티켓 자체를 삭제하거나 내용 삭제 기능을 사용하면 됩니다(제한 사항 7 참조).
- 가입자는 Sunshine Conversation 채널의 모든 첨부 파일이 현재 Zendesk에서 맬웨어에 대해 검사되지 않음을 인정합니다. 가입자는 가입자 직원의 위험을 완화하기 위한 절차와 정책을 마련할 책임이 있습니다.
V. Zendesk Chat 서비스에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HIPAA 사용 계정에 대해 BAA에 승인되어 있어야 합니다.
- 가입자는 Zendesk Support 서비스와 연결하고 Zendesk Support 서비스를 통해 인증함으로써 Zendesk Chat 서비스에 대한 상담사의 액세스를 제한해야 합니다.
- 가입자는 (a) 이메일 파이핑을 사용 중지하거나, (b) 웹 위젯 에서이메일 채팅 대화 내용 옵션을 사용 중지하고, (c) Chat 대시보드에서이메일을 통해 내보내기를 공유 하지 않음 으로써 이메일을 통해 Chat 대화 내용을 보내서는 안 됩니다.
- 가입자가 (i) 채팅에 ePHI가 존재하지 않도록 하고, 및/또는 (ii) 가입자가 그러한 데이터를 볼 수 있도록 모든 상담사가 허용하도록 보장할 전적인 책임이 가입자에게 있다고 가정하지 않는 한 가입자는 “상담사 워크스페이스”를 사용 설정해서는 안 됩니다.
VI. Zendesk Explore 서비스 사용을 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HIPAA 사용 계정에 대해 BAA에 승인되어 있어야 합니다.
가입자는 ePHI가 사용자 이름, 티켓 제목, 필드 및 양식 선택, 그리고 자유 형식 텍스트 필드에 있는 모든 콘텐츠를 통해 Explore 제품에 표시될 수 있음을 인정합니다.
- PHI를 포함하는 범위 내 서비스 인스턴스의 경우 가입자는 (i) 상위 서비스 인스턴스에서 PHI를 포함할 수 있는 모든 티켓/통화/채팅에 액세스할 수 있는 상담사에게만 Explore 인터페이스에 대한 액세스 권한을 부여해야 합니다. (ii) 해당 환경에서 Explore를 사용하는 데 필요한 최소한의 권한을 고려하여 그러한 액세스 권한을 부여해야 합니다. Explore에서 액세스 수준을 구성하는 데 대한 자세한 내용은여기를 참조하세요.
- “내보내기” 기능을 활용하는 경우, (i) 가입자는 PHI가 가입자가 상담원의 인터페이스에 액세스하도록 허용한 장치로 전송될 수 있으며 그러한 장치에 대한 모든 수행 제어는 가입자의 책임이며 (ii) 가입자는 사용을 거부해야 함을 인정합니다. (a) 그러한 내보내기에 PHI가 포함되지 않도록 보장하거나, (b) 그러한 전송에 사용되는 이메일 서비스가 허용되는 최소 암호화 프로토콜을 통한 암호화를 수용할 수 있는 책임을 가정하지 않는 한, 현재 PCI 표준에 따라 다릅니다.
* Explore Enterprise 사용 시 특별 고려 사항:
가입자는 Explore Enterprise 서비스를 사용하면 더 많은 데이터 공유 및 내보내기 기능이 수반될 수 있음을 인정합니다. 가입자는 다음을 수행해야 합니다.
- (i) 그러한 대시보드에 ePHI가 존재하지 않도록 하거나, (ii) 그러한 데이터를 보고 받을 수 있도록 승인된 상담사, 그룹, 목록 또는 최종 사용자와만 대시보드를 공유할 수 있습니다.
- IP 제한 활용
- 여기서 URL(Uniform Resource Locator)을 통해 대시보드를 공유하는 경우 가입자는 개인 또는 그룹 사용자 계정과 공유하는 것이 아니라 액세스 링크를 통해 데이터를 공유해야 한다는 사실을 인정합니다. 따라서 가입자는 (i) 비밀번호 보호를 사용 설정하고, (ii) 선택한 비밀번호의 복잡성, 순환, 저장 및 수신 당사자에 대한 배포가 그러한 대시보드에 포함된 데이터의 보호를 위한 가입자의 비밀번호 정책을 준수하도록 보장하고, (iii) 순환되어야 합니다. 노출이 의심되거나 확인되는 경우 부당한 지연 없이
VII. 배포된 관련 서비스의 제품 내 기능(“추가 기능”)에 대한 공지:
- 공동 작업 배포 연결된 서비스: “Side Conversations.” 가입자는 “사이드 대화” 기능을 사용하면 “하위 티켓” 및/또는 “사이드 대화” 메시지가 만들어지거나 가입자의 Support 인스턴스에서 티켓, 이메일, Slack 또는 연동 서비스를 통해 수신자에게 전송될 수 있음을 인정합니다(상담사의 재량에 따라 구성). . 가입자가 HIPAA 사용 계정에서 이 기능을 사용하기로 결정하는 경우 가입자는 (i) 그러한 메시지에 PHI가 포함되어 있지 않도록 하거나, (ii) 메시지에 PHI가 있을 수 있는 경우 가입자가 전적인 책임을 집니다. “사이드 대화” 기능을 통한 메시지 교환으로 인한 PHI의 무단 획득, 액세스, 사용 또는 공개와 관련된 모든 책임, 비용, 손상 또는 피해에 대해 책임을 묻습니다.
VIII. Zendesk 모바일 애플리케이션의 사용(또는 스마트폰이나 태블릿과 같은 모바일 장치를 통한 액세스)을 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 모든 HIPAA 사용 계정에 대해 Zendesk BAA에 승인되어 있어야 합니다.
- 사용량에 기기 수준 암호화가 포함됩니다.
- 허용되는 가장 높은 기기 설정으로 설정된 생체 인식 또는 PIN 액세스가 활용됩니다.
- 그러한 기기의 잠금 화면에 티켓 댓글을 표시할 수 있는 알림을 사용 중지해야 합니다.
- 화면 비활성 잠금을 사용 설정하고 15분 이상 비활성 상태가 되면 잠기도록 구성해야 합니다.
- 가입자는 Zendesk Support 모바일 애플리케이션에서 첨부 파일이 스캔되어 맬웨어로 감지되었는지 여부를 표시하지 않으며, 상담원이 이 정보를 보려면 브라우저를 통해 로그인해야 한다는 사실을 인정합니다. 가입자는 가능한 위험을 완화하기 위한 절차와 정책을 마련하는 데 대한 전적인 책임을 집니다.
- 가입자는 Support 모바일 애플리케이션에서 내용 삭제기능 Support 사용할 수 없으며 상담사가 내용 삭제 기능을 사용하려면 브라우저를 통해 로그인해야 한다는 사실을 인정합니다.
- 가입자가 Zendesk 메시징에 대해 최종 사용자를 인증하기로 선택하는 경우 가입자는 최종 사용자의 인증 상태가 Support 모바일 애플리케이션에 표시되지 않음을 인정합니다.
IX. Zendesk의 BAA에 서명한 후 Zendesk Insights 서비스를 사용한 가입자의 경우 2021년 2월 5일부로 이 서비스에 대한 지원이 중단됩니다.
X. Zendesk AI 기능에 대한 공지 사항(“Zendesk AI”, “Advanced AI”, “Generative AI” 등):
- 가입자는Zendesk AI 기능이 Zendesk 서비스의 생산성을 높이기 위한 것으로 (i) 의료 또는 의료 자문을 제공하거나, (ii) 상태의 진단을 제공하거나, (iii) 치료를 처방하거나, (iv) 사용자가 의료 전문가의 조언, 진단 또는 치료를 구하지 못하도록 하는 방식, (v) 다른 방식으로 사용자에게 정보를 제공하거나 사용자의 범위를 결정하는 결정을 내리는 행위 의료 서비스 검색 또는 수신에 영향을 미칠 수 있는 모든 의료 플랜, 치료 프로그램, 검사 서비스 또는 기타 의료 서비스(가입자 고유의 사용 사례 및 사용자와의 상호작용에 따라 이러한 결정에 대한 전적인 책임이 가입자에게 있는 경우는 제외) 그러한 방식으로 AI를 사용할 때의 잠재적인 의미).
- 가입자는 OpenAI 로 제공되는 생성형 AI 기능을 사용하는 경우 OpenAI 출력이 사람이 생성한 것이 아니라 컴퓨터에서 생성되며 부정확한 출력을 생성할 수 있음을 인정합니다. Zendesk는 이러한 출력의 정확성을 보장하지 않습니다.
- 가입자는Zendesk 봇 안내말이가입자의 최종 사용자에게 필수 고지 사항 메시지를 제공하는 데 사용되는 경우 메시지의 콘텐츠 무결성을 보장하기 위해 “변형 생성” 기능이 활성화되지 않음을 인정합니다.
- 가입자는 관리 센터에서 상담원용 생성형 AI/지식창고용 생성형 AI 기능을 사용 설정하면 역할 및 권한에 관계없이 해당 인스턴스의 모든 상담사에 대해 이 기능이 사용 설정됨을 인정합니다.
고지 사항: 법이나 규정의 변경 또는 Zendesk 서비스의 변경으로 인해 이 문서의 보안 구성이 수시로 변경될 수 있습니다. 이 문서에는 현재 위에 설명된 Zendesk 제품 내에서 PHI를 보호하기 위한 최소한의 효과적인 보안 구성에 대한 Zendesk의 권장 사항이 수록되어 있습니다. 이 문서는 그러한 데이터에 대한 모든 제어에 대한 완전한 기본서식을 구성하거나 법적 자문을 구성하지 않습니다. 각 Zendesk 가입자는 HIPAA 준수 요건과 관련하여 자체 법률 자문을 구해야 하며, 그러한 변경이 구성의 보안을 방해하거나 저하시키지 않는 한 각 가입자의 자체 분석에 따라 보안 구성을 추가로 변경해야 합니다. 이 문서에 설명되어 있습니다.
변경 로그 HIPAA 사용 계정:
2024년 10월 10일
- 새로운 기능을 수용하기 위해 섹션 I, Support, number 12(CSAT)를 추가하고 섹션 I, Support, number 11(레거시 CSAT)을 편집했습니다.
2024년 3월 7일
- 섹션 X, Zendesk AI 기능에 대한 알림 추가됨
-
섹션 I, Support, 7번(보기 권한):
- “보기 권한”이 단지 “조직”이 아닌 전체 “인스턴스/브랜드/조직”에 적용된다는 점을 명확히 했습니다.
- 최종 사용자별 조직 동작에 대한 새 조항을 추가했습니다.
-
섹션 I, Support, number 9 (이메일):
- Zendesk Support 에서 최종 사용자에게 이메일을 보내는 상황을 확장하여 상담원이 티켓에 응답하는 것이 아니라 자동화나 트리거에 의해 시작된 응답 또는 이메일 채널을 통한 응답을 포함합니다.
- 기본적으로 자동 알림이 가장 최근의 티켓 서신 또는 PHI를 포함할 수 있는 기타 구성된 정보를 포함할 수 있도록 지정합니다.
2023년 10월 25일
- 소개: HIPAA 사용 계정에 대한 소개 문구를 명확히 했습니다.
- 섹션 II, Guide 및 Gather, 1번(헬프 센터 제한 사항): 명확한 설명을 위해 IP 제한을 제한된 문서로 대체했습니다.
2023년 4월 13일
-
섹션 I, Support, 4번 (API) :
- 명확성을 위해 인증 방법에 대한 링크를 추가했습니다.
- b) 업계 성공 사례에 따라 순환에 대한 정확한 시간 프레임 권장 사항을 제거하고 REST API 서비스 약관에 대한 참조를 제거했습니다(중복).
- c) API에 기본 인증 사용에 대해 경고하기 위해 추가됨
-
섹션 II, 가이드:
- 1번(헬프 센터 제한 사항): 제품 기능에 맞게 폐쇄형 또는 제한된 헬프 센터에 대한 참조를 추가했습니다.
- 5번(@멘션): 제품에 맞게 @멘션을 사용 중지하는 옵션을 추가했습니다. 기능
-
섹션 III, 메시징:
- 1번 및 2번(타사 채널 및 비공개 첨부 파일): 명확성을 위해 섹션 식별자 (i) 및 (ii)를 추가했습니다.
- 2번(비공개 첨부 파일):설명을 위해 “ URL 및/또는”을 추가했습니다.
- 번호 7-10(최종 사용자 인증, Answerbot 대화 삭제, 내용 삭제, 맬웨어 검사): 투명성을 위해 전체 섹션 추가
- 섹션 IV, Sunshine Conversations : Zendesk Suite 의 Sunshine Conversations 가 BAA의 일부가 됨에 따라 전체 섹션 추가됨
- 섹션 V, Chat, 3번(상담사 워크스페이스): 약간의 문구 수정
- 섹션 VIII, 모바일 애플리케이션, 5-7번(맬웨어 검사, 내용 삭제, 최종 사용자 인증): 투명성을 위해 전체 섹션 추가
2023년 2월 24일
- 섹션 I. Support, 3번: 이제 UI가 통합됨에 따라 Support 와 Chat IP 제한 간의 별도의 구분을 제거했습니다.
- 섹션 I. Support, 5번: 요건 미달에 대한 설명 추가
- 섹션 I. Support, 7번: “가입자가 해서는 안 됨”이 “가입자가 해서는 안 됨”으로 변경되었습니다.
- 섹션 IV. Chat, 2번: 대화 내용 및 파이핑에 국한되지 않고 이메일을 사용하여 Chat에서 데이터를 내보내는 모든 기능이 금지됩니다.
- 섹션 III. 메시징: Zendesk 비즈니스 제휴 계약의 범위에 추가되는 Zendesk 메시징 기능에 대해 계정에 전체 섹션이 추가되었습니다.
2021년 7월 9일
- 상담사 워크스페이스 사용과 관련된 책임에 대한 3. 항목을 Chat 섹션 아래에 추가합니다.
2021년 1월 21일
- 번호 1.11을 추가하면 가입자가 설문조사의 일부로 이메일을 통해 전송된 데이터에 대해 책임을 지지 않는 한 CSAT가 허용되지 않습니다.
- 사용자가 이미 그러한 데이터에 액세스할 수 있도록 승인을 받았기 때문에 가입자가 보기 권한을 변경할 수 있도록 허용하려면 1.7에 주의하세요.
- 인라인 URL이 아닌 텍스트 내에 임베드된 링크의 회사스타일과 일치하도록 전체 문서를 업데이트 했습니다(구성 콘텐츠에 영향을 미치지 않음).
2020년 8월
- 향상된 대시보드 공유 기능을 다루는 Explore Enterprise 추가
- Chat 첨부 파일에 대한 금지 해제(이제 Support 인증 요구 사항이 적용됨)
- 사용자 지정 필드에서 ePHI 금지가 전 세계가 아닌 Insights 사용에만 적용된다는 명확성
- 첫 번째 추가 항목인 “사이드 대화”와 함께 배포된 서비스의 추가 기능을 다루는 새 섹션 추가
- 다양한 문법/서식 편집(콘텐츠에 중요하지 않음)
2020년 7월 13일:
- 제품 내 2단계 인증에 SMS를 기본으로 사용하는 것과 대조적으로 서비스를 통한 SMS 사용과 관련하여 명확하게 했습니다. * 의심의 여지를 없애기 위해 SMS에 관한 섹션 10의 ePHI와 관련된 데이터 주의 사항은 섹션 1.a에 설명된 대로 제품 내 2단계 인증 사용에 적용되지 않습니다. 그러한 기능은 신원 확인을 위한 숫자 문자열만 전송하기 때문입니다."
2019년 12월 13일
- 상담사 액세스에 대한 MFA가 시행되는 한 사용 사례에서 그러한 제한을 허용하지 않는 상담사 IP 제한을 무시할 수 있습니다.
2019년 12월 17일
- 상담사가 그러한 댓글을 중재하고 모든 PHI를 제거하는 한 Guide에서 최종 사용자 댓글을 허용합니다.
2019년 11월 6일
- 가입자가 그러한 결정에 대한 책임을 지는 한 특정 구성을 포기하거나 대체하기 위해 가입자의 단독 재량으로 선택할 수 있는 변경 내용을 반영하도록 문서를 업데이트했습니다.
가입자가 아래 나열된 특정 구성 또는 아래 나열된 일련의 필수 구성을 구현하고 준수하지 않는 경우
가입자 자신이 위험을 감수하고 가입자의 단독 재량에 따릅니다. 그러한 실패는 Zendesk와 그 직원, 대리인 및 계열사가 가입자의 그러한 실패로 인해 발생하는 모든 전자 보호 건강 정보를 포함한 가입자의 서비스 데이터에 대한 무단 액세스, 부적절한 사용 또는 공개와 관련하여 모든 책임을 면제합니다. . "
-
기타 변경 내용은 다음과 같습니다.
- 1. 가입자가 그러한 전송에 PHI가 존재하지 않도록 보장하는 모든 책임을 지는 한 SMS를 사용할 수 있는 능력.
- 2. 가입자가 그러한 첨부 파일에 PHI가 존재하지 않도록 할 모든 책임이 있는 한 Chat에서 첨부 파일을 사용할 수 있습니다.
2019년 3월 6일
- Zendesk Explore 의 설정을 포함하도록 업데이트됨
2019년 1월 17일
- Chat에서 첨부 파일을 허용하지 않도록 을(를) 업데이트했습니다.
HDS 사용 계정:
이 문서에서 대문자로 표시된 모든 용어는 Zendesk의 Master Subscription Agreement에 대한 HDS 약관 별첨("HDS 약관 별첨")에 명시된 의미를 가집니다.
Zendesk와 가입자는 개인 건강 정보(“PHI”)를 서비스에 도입하기 전에 가입자가 모든 HDS 사용 계정에 대해 다음 구성을 구현하고 준수할 것을 요구하는 특정 HDS 약관 별첨을 체결했습니다. 이 문서에서 대문자로 표시된 모든 용어는 HDS 약관 별첨에 명시된 의미를 가집니다.
가입자가 아래 나열된 특정 구성 또는 아래 나열된 일련의 필수 구성을 구현하지 않고 준수하지 않는 것은 가입자 자신의 책임이며 가입자의 단독 재량입니다. 그러한 실패로 인해 Zendesk와 그 직원, 대리인 및 계열사는 전자 개인 건강 정보를 포함한 가입자의 서비스 데이터에 대한 무단 액세스, 부적절한 사용 또는 공개와 관련하여 어떠한 책임도 면제됩니다. .
Zendesk Support 에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 별첨에 명시되어 있어야 합니다.
Zendesk Support 에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 별첨에 명시되어 있어야 합니다.
- 다음 두 가지 방법 중 하나를 통한 보안 상담원 인증:
- 비밀번호 설정이 있는 기본 Zendesk Support 사용:(i) “높음”으로 설정; 또는 (ii) “높음” 설정에서 설정된 요구 사항보다 덜 안전한 요구 사항을 설정하는 방식으로 가입자가 사용자 지정합니다. 또한 이 하위 섹션의 옵션에 따라 가입자는 서비스 내에서 기본적으로 2단계 인증("2FA")도 사용 설정하고 시행해야 합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다. 또는
- Zendesk의 "높음" 비밀번호 설정에서 설정된 요구 사항보다 덜 안전한 요구 사항이 있는 외부 통합 인증("SSO") 솔루션을 활용하고 모든 상담사의 액세스에 대해 선택한 솔루션 내에서 2단계 인증을 사용 설정하고 시행합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다.
- 인증 방법으로 SSO를 사용하는 모든 인증은 비밀번호 액세스를 사용 중지해야 합니다.
- HDS 사용 계정의 SSL(Secure Sockets Layer) 암호화는 항상 사용 설정된 상태를 유지해야 합니다. zendesk.com 외 다른 도메인을 활용하는 HDS 사용 계정은 호스팅된 SSL을 설정하고 유지해야 합니다..
- Support및Chat의 가입자가 제어하는 특정 IP 주소로 상담원 액세스가 제한되어야 합니다.단, 가입자가 위의 요구 사항 1.a 또는 1.b에서 설명된 대로 상담사에 대해 다단계 인증을 사용 설정하지 않는 한(기본적으로 서비스 내에서 또는 Enterprise SSO와 결합된 가입자의 환경 내에서). 명확히 하기 위해 “상담원 액세스 권한”은 사용자 인터페이스(“UI”)를 통해 서비스 데이터에 액세스하는 실제 상담원에게 부여된 액세스 권한을 의미합니다.
- 가입자의 HDS 사용 계정이 Zendesk 애플리케이션 프로그래밍 인터페이스(“API”)에 대한 호출을 가능하게 하는 한도 내에서 가입자 또는 생성, 액세스, 수정 또는 삭제가 허용된 모든 제3자 엔터티의 보안 영향을 이해할 모든 책임은 가입자에게 있습니다. 그러한 액세스 및/또는 연동을 통한 서비스 데이터 및 PHI. 해당 API에 액세스하기 위해 가입자는 사용된 API 모델에 따라 다음과 같은 보안 성공 사례를 구현해야 합니다.
- OAuth 2.0 접근 방식. 이 모델은 가장 세분화된 보안 기능을 제공하지만 최종 사용자가 권한 부여를 수락해야 합니다. 가능한 경우 가입자는OAuth 2.0 접근 방식 및 인증 체계를 활용합니다.. 가입자는 각 OAuth 클라이언트에 설명적이고 고유한 클라이언트 이름 및 고유 식별자 지정 기능을 제공합니다. 각 OAuth 토큰에 부여된 권한은 필요한 작업을 수행하는 데 필요한 최소한의 권한을 허용해야 합니다.
- REST API 토큰 접근 방식. 이 모델은 가장 광범위하며 API 토큰이 API 모델의 모든 기능을 활용할 수 있도록 합니다. 그 특성상 가장 광범위한 액세스 및 기능을 제공하므로 주의해서 사용해야 합니다. 이 접근 방식을 사용할 때 가입자는 (i) 각 서비스에 대해 고유한 토큰을 사용하고 토큰을 지정하는 기능을 설명하는 이름을 지정합니다. (ii) 엔드 투 엔드 암호화된 전송 방법을 따르지 않는 한 API 토큰을 제3자와 공유하지 않습니다. (iii) API 토큰이 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자가 즉시 관련 토큰을 순환한다는 사실을 인정합니다. (iv) 최소한 180일마다 한 번씩 토큰을 순환합니다. 가입자는 서비스의REST API 서비스 약관을 따라야 합니다.
- 첨부 파일에 액세스하기 위해 인증을 요구하려면 가입자가 '다운로드 시 인증 필요'를 사용 설정해야 합니다.
- 가입자는 모든 상담사, 관리자 및 소유자가 액세스한 엔드포인트에 대해 최대 15분 동안 시스템 비활성 상태에서 작동하도록 설정된 비밀번호로 잠긴 화면 보호기 또는 시작 화면을 체계적으로 시행해야 합니다.
- 가입자는 사용자가 전체 조직에 대한 업데이트를 볼 수 있도록 허용하는 보기 권한을 변경하거나 사용자 자신의 티켓 이외의 액세스를 허용하는 기본 설정을 변경해서는 안 됩니다(가입자가 그러한 사용자가 모든 후속 데이터에 액세스할 수 있도록 가입자의 승인을 받도록 보장할 모든 책임을 지지 않는 한).
- 가입자는 Zendesk가 가입자의 Zendesk Support 인스턴스에 수신되기 전에 최종 사용자로부터의 이메일 전송 및 관련 서비스 데이터를 보호할 책임이 없음을 인정합니다. 여기에는 티켓 댓글이나 첨부 파일을 포함하되 이에 국한되지 않는 Zendesk Support 티켓에 대한 답장을 통해 이메일을 통해 전달될 수 있는 모든 PHI가 포함됩니다.
- 가입자는 가입자의 상담사가 Zendesk Support 티켓에 응답할 때 Zendesk Support 에서 최종 사용자에게 이메일을 보낸다는 사실을 인정합니다. 기본적으로 이 이메일에는 상담사가 최종 사용자에게 보낸 모든 통신 내용이 포함되며 PHI가 포함될 수도 있습니다. 가입자를 더욱 보호하기 위해 상담사가 응답했음을 최종 사용자에게 알리고메시지의 내용을 보려면 최종 사용자가 Zendesk Support 에 인증하도록 요구하도록 Zendesk Support 인스턴스를 구성해야 합니다..
- 가입자는 모든 Zendesk 서비스에서 단독 재량에 따라 활용되는 모든 문자 메시지 기능이 SMS 및/또는 관련 프로토콜에 의해 뒷받침되며, 서비스 안팎으로 메시지가 암호화되지 않은 전송을 포함할 수 있음을 인정합니다. 따라서 문자 메시지 기능은 다음 중 하나를 수행해야 합니다.
- HDS 사용 계정에서 사용되지 않음*, 또는
- 사용되는 경우 그러한 기능의 사용에 대한 모든 책임은 가입자에게 있습니다.
* 의심의 여지를 없애기 위해 SMS에 관한 섹션 10의 ePHI와 관련된 데이터 주의 사항은 섹션 1.a에서 설명된 대로 제품 내 2단계 인증 사용에 적용되지 않습니다. 그러한 기능은 신원 확인을 위한 숫자 문자열만 전송하기 때문입니다.
Zendesk Guide 및 Gather 서비스에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 별첨에 명시되어 있어야 합니다.
- 가입자는 Guide 및 Gather 서비스가 본질적으로 공개되며(“내부” 헬프 센터에 대한 IP 제한을 활용하지 않는 경우), 따라서 가입자는 Zendesk Guide 또는 Gather 서비스의 문서에 PHI가 포함되지 않도록 해야 합니다. 문서 또는 문서의 첨부 파일 또는 문서 내의 이미지.
- 가입자는 Zendesk Guide 에서 최종 사용자가 댓글을 추가할 수 있는 기능을 사용 중지하거나 중재하고 모든 댓글에서 PHI를 제거할 책임이있습니다.
- 가입자가 Gather 서비스 내에서 직원이 아닌 “커뮤니티 중재자”를 사용하는 것은 허용되지 않습니다.
Zendesk Chat 서비스에 대해 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 별첨에 명시되어 있어야 합니다.
- 가입자는 Zendesk Support 서비스와 연결하고 Zendesk Support 서비스를 통해 인증함으로써 Zendesk Chat 서비스에 대한 상담사의 액세스를 제한해야 합니다.
- 가입자는이메일 파이핑을 사용 중지해야 합니다.
- 가입자는 (i) 채팅에 ePHI가 존재하지 않도록 하고, 및/또는 (ii) 가입자가 모든 상담사가 그러한 데이터를 볼 수 있도록 허용할 책임이 없는 한 “상담사 워크스페이스”를 사용 설정해서는 안 됩니다.
Zendesk Explore 서비스 사용을 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 별첨에 명시되어 있어야 합니다.
가입자는 ePHI가 사용자 이름, 티켓 제목, 필드 및 양식 선택, 그리고 자유 형식 텍스트 필드에 있는 모든 콘텐츠를 통해 Explore 제품에 표시될 수 있음을 인정합니다.
- PHI를 포함하는 범위 내 서비스 인스턴스의 경우 가입자는 (i) 상위 서비스 인스턴스에서 PHI를 포함할 수 있는 모든 티켓/통화/채팅에 액세스할 수 있는 상담사에게만 Explore 인터페이스에 대한 액세스 권한을 부여해야 합니다. (ii) 해당 환경에서 Explore를 사용하는 데 필요한 최소한의 권한을 고려하여 그러한 액세스 권한을 부여해야 합니다. Explore에서 액세스 수준을 구성하는 데 대한 자세한 내용은여기를 참조하세요.
- “내보내기” 기능을 활용하는 경우, (i) 가입자는 PHI가 가입자가 상담원의 인터페이스에 액세스하도록 허용한 장치로 전송될 수 있으며 그러한 장치에 대한 모든 수행 제어는 가입자의 책임이며 (ii) 가입자는 사용을 거부해야 함을 인정합니다. (a) 그러한 내보내기에 PHI가 포함되지 않도록 보장하거나, (b) 그러한 전송에 사용되는 이메일 서비스가 허용되는 최소 암호화 프로토콜을 통한 암호화를 수용할 수 있는 책임을 가정하지 않는 한, 현재 PCI 표준에 따라 다릅니다.
* Explore Enterprise 사용 시 특별 고려 사항:
가입자는 Explore Enterprise 서비스를 사용하면 더 많은 데이터 공유 및 내보내기 기능이 수반될 수 있음을 인정합니다. 가입자는 다음을 수행해야 합니다.
- (i) 그러한 대시보드에 ePHI가 존재하지 않도록 하거나, (ii) 그러한 데이터를 보고 받을 수 있도록 승인된 상담사, 그룹, 목록 또는 최종 사용자와만 대시보드를 공유할 수 있습니다.
- IP 제한 활용
- 여기서 URL(Uniform Resource Locator)을 통해 대시보드를 공유하는 경우 가입자는 개인 또는 그룹 사용자 계정과 공유하는 것이 아니라 액세스 링크를 통해 데이터를 공유해야 한다는 사실을 인정합니다. 따라서 가입자는 (i) 비밀번호 보호를 사용 설정하고, (ii) 선택한 비밀번호의 복잡성, 순환, 저장 및 수신 당사자에 대한 배포가 그러한 대시보드에 포함된 데이터의 보호를 위한 가입자의 비밀번호 정책을 준수하도록 보장하고, (iii) 순환되어야 합니다. 노출이 의심되거나 확인되는 경우 부당한 지연 없이
Zendesk 모바일 애플리케이션의 사용(또는 스마트폰이나 태블릿과 같은 모바일 장치를 통한 액세스)을 위한 다음과 같은 최소 보안 구성이 마련되어 있어야 하며 HDS 사용 계정에 대한 HDS 약관 전시회에서 이를 인정해야 합니다.
- 사용량에 기기 수준 암호화가 포함됩니다.
- 허용되는 가장 높은 기기 설정으로 설정된 생체 인식 또는 PIN 액세스가 활용됩니다.
- 그러한 기기의 잠금 화면에 티켓 댓글을 표시할 수 있는 알림을 사용 중지해야 합니다.
- 화면 비활성 잠금을 사용 설정하고 15분 이상 비활성 상태가 되면 잠기도록 구성해야 합니다.
배포된 관련 서비스의 제품 내 기능(“추가 기능”)에 대한 공지:
- 공동 작업 배포 연결된 서비스: “Side Conversations.” 가입자는 “사이드 대화” 기능을 사용하면 “하위 티켓” 또는 “사이드 대화” 메시지가 만들어지거나 가입자의 Support 인스턴스에서 티켓, 이메일, Slack 또는 연동 서비스를 통해 수신자에게 전송될 수 있음을 인정합니다(상담사의 재량에 따라 구성). 가입자가 HDS 사용 계정에서 이 기능을 사용하기로 결정하는 경우 가입자는 (i) 그러한 메시지에 PHI가 포함되지 않도록 하거나, (ii) 메시지에 PHI가 있을 수 있는 경우 가입자가 전적인 책임을 집니다. “사이드 대화” 기능을 통한 메시지 교환으로 인한 PHI의 무단 획득, 액세스, 사용 또는 공개와 관련된 모든 책임, 비용, 손상 또는 피해에 대해 책임을 묻습니다.
고지 사항: 법이나 규정의 변경 또는 Zendesk 서비스의 변경으로 인해 이 문서의 보안 구성이 수시로 변경될 수 있습니다. 이 문서에는 현재 위에 설명된 Zendesk 제품 내에서 PHI를 보호하기 위한 최소한의 효과적인 보안 구성에 대한 Zendesk의 권장 사항이 수록되어 있습니다. 이 문서는 그러한 데이터에 대한 모든 제어에 대한 완전한 기본서식을 구성하거나 법적 자문을 구성하지 않습니다. 각 Zendesk 가입자는 HDS 규정 준수 요구 사항과 관련하여 자체 법률 자문을 구해야 하며, 그러한 변경이 구성의 보안을 방해하거나 저하시키지 않는 한 각 가입자의 자체 분석에 따라 보안 구성을 추가로 변경해야 합니다. 이 문서에 설명되어 있습니다.
번역 고지 사항: 본 문서는 콘텐츠에 대한 기본적인 이해를 제공하기 위해 자동 번역 소프트웨어를 사용하여 번역되었습니다. 정확한 번역을 제공하고자 합당한 노력을 기울였으나 Zendesk는 번역의 정확성을 보장하지 않습니다.
번역된 문서에 포함된 정보의 정확성과 관련하여 질문이 있으시면 문서의 공식 버전인 영문 버전을 참조하시기 바랍니다.