Zendesk 그룹은 본 추가 약관에 명시된 보안 조치를 포함하여 엔터프라이즈 서비스에 대한 강력하고 포괄적인 보안 프로그램(“엔터프라이즈 보안 조치”)을 제공하고자 최선을 다하고 있습니다. 구독 기간 중 이러한 엔터프라이즈 보안 조치는 표준이 발전하거나 추가적인 통제 기능이 구현되거나 기존 통제 기능이 합리적으로 필요하다고 판단하여 수정됨에 따라 사전 통보 없이 변경될 수 있습니다.

Zendesk가 이용하는 엔터프라이즈 보안 조치

Zendesk는 엔터프라이즈 서비스를 제공하는 데 합리적으로 필요한 서비스 데이터를 보호하기 위해 다음과 같은 엔터프라이즈 보안 조치를 준수합니다

1. 보안 방침 및 담당자. Zendesk는 일반 공격 완화를 위한 기술 및 프로세스는 물론 위험을 식별하고 적절한 통제 기능을 구현하기 위해 관리형 보안 프로그램을 보유 및 유지합니다. 효과성과 정확성을 계속 유지하도록 정기적으로 이 프로그램을 심사하고 있으며 앞으로도 계속 그렇게 할 것입니다. Zendesk는 당사 네트워크, 시스템 및 서비스에 대한 보안 인프라를 모니터링 및 심사하고, 보안 인시던트에 대응하고, 당사 보안 방침을 준수하여 당사 직원을 위한 교육을 개발 및 제공하는 일을 담당하는 상근 정보 보안 팀을 보유 및 유지합니다.

2. 데이터 전송. Zendesk는 서비스 데이터의 보안, 기밀성 및 무결성을 보호하기 위해 상업적으로 합당한 행정적, 물리적, 기술적 보호 조치를 유지합니다. 이러한 보호 조치에는 선택한 엔터프라이즈 서비스를 통해 연결할 수 있는 암호화를 지원하지 않는 비-Zendesk 서비스를 제외하고 인터넷을 통해 당사 사용자 인터페이스나 API(TLS 또는 유사한 기술을 사용하여)로 저장 및 전송 시 서비스 데이터의 암호화가 포함됩니다.

3. 감사 및 인증. 가입자의 요청 시, 그리고 본 계약에서 명시된 기밀 유지 의무에 따라 Zendesk는 Zendesk의 경쟁사가 아닌 가입자(Zendesk의 경쟁사가 아닌 가입자의 독립적인 타사 감사자)에게 ISO 27001 인증 및/또는 SOC 2(적절한 비공개 보호 하에) 또는 SOC 3 보고서 형태로 Zendesk가 본 계약에서 명시된 의무를 준수하는지에 대한 정보를 제공할 수 있습니다.

4. 인시던트 대응. Zendesk는 귀하의 서비스 데이터에 영향을 미치는 보안 인시던트가 확인되면 Zendesk 가입자에게 연락해야 하는 대응 시간을 포함하여 당사 시스템 또는 데이터의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있는 보안 이벤트에 대한 인시던트 관리 프로세스를 가지고 있습니다. 이 프로세스는 행동 과정, 알림 절차, 에스컬레이션, 완화 및 문서화를 지정합니다. 인시던트 대응 프로그램에는 24×7 중앙 집중식 모니터링 시스템 및 서비스 인시던트에 대응하기 위한 긴급 대기 인력 배치가 포함됩니다. 법 집행 또는 정부 기관이 달리 명령하지 않는 한, 서비스 데이터 침해 발생 후 사십팔(48)시간 이내에 귀하에게 알립니다. “서비스 데이터 침해”란 귀하의 서비스 데이터에 영향을 미친 것으로 확인된 무단 액세스 또는 부적절한 공개를 의미합니다.

5. 액세스 제어 및 권한 관리. Zendesk는 승인된 담당자만 관리 작업을 위해 프로덕션 시스템에 액세스할 수 있도록 제한합니다. 그러한 담당자는 고유한 ID와 관련 암호화 키 및/또는 복잡한 임시 토큰을 사용해야 합니다. 이러한 키 및/또는 토큰은 서비스 데이터 액세스를 포함하여 당사 시스템에서 각 개인의 활동을 인증하고 식별하는 데 사용됩니다. 당사의 승인된 담당자는 채용 시 고유한 ID 및 자격 증명을 배정받습니다. 담당자가 퇴사하거나 그러한 자격 증명의 손상이 의심되는 경우 이러한 자격 증명은 취소됩니다. 액세스 권한 및 수준은 당사 직원의 직무 및 역할에 따르며, 최소한의 권한 및 불가피한 경우를 기반으로 액세스 권한을 정의된 책임에 일치시킵니다.

6. 네트워크 관리 및 보안. Zendesk가 호스팅 서비스를 위해 이용하는 위탁처리업체는 개별 구성 요소 장애의 영향을 완화하기 위해 합리적으로 충분한 대역폭과 이중화된 네트워크 인프라를 갖춘 업계 표준의 완전 이중화 및 보안 네트워크 아키텍처를 유지합니다. 당사 보안 팀은 업계 표준의 유틸리티를 이용하여 알려진 일반 무단 네트워크 활동을 방어하고, 취약성에 대한 보안 어드바이저 목록을 모니터링하며, 정기적인 외부 취약성 스캔 및 감사를 수행합니다.

7. 데이터 센터 환경 및 물리적 보안. 엔터프라이즈 서비스 제공과 관련하여 Zendesk가 호스팅 서비스를 위해 이용하는 위탁처리업체 환경은 다음과 같은 보안 조치를 이용합니다.

• 24x7x365 물리적 보안 기능을 담당하는 보안 조직.
• 데이터 센터 내에 시스템이나 시스템 구성 요소가 설치되거나 보관되는 영역에 대한 액세스는 업계 표준과 일치하는 보안 조치 및 방침을 통해 제한됩니다.
• N+1 무중단 전원 공급장치 및 HVAC 시스템, 백업 발전기 아키텍처 및 첨단 화재 진압.

서비스 데이터를 처리하는 타사 서비스 제공업체에 대한 기술적, 조직적 엔터프라이즈 보안 조치

Zendesk 그룹이 이용하는 모든 타사 서비스 제공업체는 엔터프라이즈 서비스를 제공하는 데 합당하게 필요한 경우에만 귀하의 계정 및 서비스 데이터에 액세스할 수 있습니다. Zendesk는 서비스 데이터에 액세스할 수 있는 이러한 타사 서비스 제공업체를 이용하는 것과 관련된 모든 잠재적 위험을 평가하고 관리하는 벤더 보안 심사 프로그램을 유지하며, 그러한 타사 서비스 제공업체는 주요 서비스 계약의 기타 요구 사항 중에서도 특히 구현 및 유지에 다음과 같은 적절한 기술적, 조직적 보안 조치를 준수해야 합니다.

1. 물리적 액세스 제어. 타사 서비스 제공업체는 허가받지 않은 사람이 서비스 데이터를 처리하는 데이터 처리 시스템에 물리적으로 액세스하지 못하도록 보안 담당자 및 안전한 건물 등 합당한 조치를 취해야 합니다.

2. 시스템 액세스 제어. 타사 서비스 제공업체는 데이터 처리 시스템이 허가 없이 사용되지 않도록 합당한 조치를 취해야 합니다. 이러한 제어는 수행되는 처리의 특성에 따라 다양하며, 다른 제어 중에서도 비밀번호를 통한 인증 및/또는 2단계 인증, 문서화된 권한 부여 프로세스, 문서화된 변경 관리 프로세스 및/또는 여러 수준에서의 액세스 로깅을 포함할 수 있습니다.

3. 데이터 액세스 제어. 타사 서비스 제공업체는 합당한 권한을 가진 스태프만 서비스 데이터에 액세스하고 관리할 수 있도록 합당한 조치를 취해야 하며, 직접 데이터베이스 쿼리 액세스는 제한되고, 서비스 데이터에 액세스할 수 있는 자격이 있는 사람만 자신에게 액세스 권한이 있는 서비스 데이터에 액세스할 수 있도록 애플리케이션 액세스 권리가 설정 및 시행되고, 해당 서비스 데이터는 처리 과정에서 허가 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나, 제거할 수 없습니다.

4. 전송 제어. 타사 서비스 제공업체는 전자 전송 또는 이동 중 허가 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나, 제거할 수 없도록 데이터 전송 시설을 통한 서비스 데이터의 전송이 예상되는 주체를 확인하고 설정할 수 있도록 합당한 조치를 취해야 합니다.

5. 입력 제어. 타사 서비스 제공업체는 서비스 데이터가 데이터 처리 시스템에 입력되었는지, 수정되었는지, 제거되었는지 여부와 누가 그러한 작업을 수행했는지 확인하고 입증할 수 있어야 하며 반드시 보안 전송을 통해 타사 서비스 제공업체로 서비스 데이터가 전송되도록 합당한 조치를 취해야 합니다.

6. 데이터 보호. 타사 서비스 제공업체는 우발적인 파괴 또는 손실로부터 서비스 데이터를 안전하게 보호하기 위해 합당한 조치를 취해야 합니다.

7. 논리적 분리. 타사 서비스 제공업체는 서비스 데이터가 별도로 처리될 수 있도록 보장하기 위해 시스템에서 다른 회사들의 데이터와 서비스 데이터를 논리적으로 분리해야 합니다.

본 약관은 2022년 6월 1일에 마지막으로 업데이트되었습니다.