Zendesk 그룹은 본 추가 약관에 명시된 보안 조치를 포함하여 이노베이션 서비스에 대한 강력하고 포괄적인 보안 프로그램(“이노베이션 보안 조치”)을 제공하고자 최선을 다하고 있습니다. 구독 기간 중 이러한 이노베이션 보안 조치는 표준이 발전하거나 추가적인 통제 기능이 구현되거나 기존 통제 기능이 합리적으로 필요하다고 판단하여 수정됨에 따라 사전 통보 없이 변경될 수 있습니다. 2019년 12월 2일 이전에 협의된 엔터프라이즈 보안 조치 및 모든 보안 조항은 이노베이션 서비스에 적용되지 않습니다.

Zendesk가 이용하는 이노베이션 보안 조치

Zendesk는 이노베이션 서비스를 제공하는 데 합리적으로 필요한 서비스 데이터를 보호하기 위해 다음과 같은 이노베이션 보안 조치를 준수합니다.

1. 보안 방침 및 담당자. Zendesk는 일반 공격 완화를 위한 기술 및 프로세스는 물론 위험을 식별하고 적절한 통제 기능을 구현하기 위해 관리형 보안 프로그램을 보유 및 유지합니다. Zendesk는 당사 네트워크, 시스템 및 서비스를 안전하게 보호하고, 보안 인시던트에 대응하고, 당사 보안 방침을 준수하여 당사 직원을 위한 교육을 개발 및 제공하는 일을 담당하는 상근 정보 보안 팀을 보유 및 유지합니다.

2. 데이터 전송. Zendesk는 서비스 데이터의 가용성, 기밀성 및 무결성을 보호하기 위해 상업적으로 합당한 행정적, 물리적, 기술적 보호 조치를 유지합니다.

3. 인시던트 대응. Zendesk는 귀하의 서비스 데이터에 영향을 미치는 보안 인시던트가 확인되면 Zendesk 가입자에게 연락해야 하는 대응 시간을 포함하여 당사 시스템 또는 데이터의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있는 보안 이벤트에 대한 인시던트 관리 프로세스를 가지고 있습니다. 이 프로세스는 행동 과정, 알림 절차, 에스컬레이션, 완화 및 문서화를 지정합니다. 법 집행 또는 정부 기관이 달리 명령하지 않는 한, 서비스 데이터 침해 발생 후 사십팔(48)시간 이내에 귀하에게 알립니다. “서비스 데이터 침해”란 귀하의 서비스 데이터에 영향을 미친 것으로 확인된 무단 액세스 또는 부적절한 공개를 의미합니다.

4. 액세스 제어 및 권한 관리. Zendesk는 승인된 담당자만 관리 작업을 위해 프로덕션 시스템에 액세스할 수 있도록 제한합니다.

5. 네트워크 관리 및 보안. Zendesk가 이용하는 데이터 센터는 합리적으로 충분한 대역폭으로 업계 표준의 완전 이중화 및 보안 네트워크 아키텍처를 유지합니다. 당사 보안 팀은 업계 표준의 도구 및 방법을 이용하여 알려진 일반 무단 네트워크 활동을 방어하며 정기적인 외부 취약성 스캔을 수행합니다.

6. 데이터 센터 환경 및 물리적 보안. 이노베이션 서비스 제공과 관련하여 Zendesk가 이용하는 데이터 센터 환경은 다음과 같은 보안 조치를 이용합니다.

• 물리적 보안 기능을 담당하는 보안 조직
• 데이터 센터 내에 시스템이나 시스템 구성 요소가 설치되거나 보관되는 영역에 대한 액세스는 업계 표준과 일치하는 보안 조치 및 방침을 통해 제한됩니다.

타사 서비스 제공업체에 대한 기술적, 조직적 이노베이션 보안 조치

Zendesk는 이노베이션 서비스를 제공하는 동안 타사 서비스 제공업체를 사용할 수 있으며, 이노베이션 서비스를 제공하는 데 합당하게 필요한 경우 그러한 서비스 제공업체에게 귀하의 계정 및 서비스 데이터에 대한 액세스 권한을 부여할 수 있습니다. Zendesk는 서비스 데이터에 액세스할 수 있는 그러한 타사 서비스 제공업체를 이용하는 것과 관련된 모든 잠재적 위험을 평가하고 관리하는 벤더 보안 심사 프로그램을 유지합니다.

서비스 데이터의 장기 호스팅에 이용되는 타사 서비스 제공업체(여기에서 인프라 위탁처리업체로 식별됨)는 주요 서비스 계약의 기타 요구 사항 중에서도 특히 구현 및 유지에 다음과 같은 적절한 기술적, 조직적 보안 조치를 준수해야 합니다.

1. 물리적 액세스 제어. 타사 서비스 제공업체는 허가받지 않은 사람이 서비스 데이터를 처리하는 데이터 처리 시스템에 물리적으로 액세스하지 못하도록 합당한 조치를 취해야 합니다.

2. 시스템 액세스 제어. 타사 서비스 제공업체는 데이터 처리 시스템이 허가 없이 사용되지 않도록 합당한 조치를 취해야 합니다.

3. 데이터 액세스 제어. 타사 서비스 제공업체는 합당한 권한을 가진 스태프만 서비스 데이터에 액세스하고 관리할 수 있도록 합당한 조치를 취해야 합니다.

4. 전송 제어. 타사 서비스 제공업체는 전자 전송 또는 이동 중 허가 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나, 제거할 수 없도록 데이터 전송 시설을 통한 서비스 데이터의 전송이 예상되는 주체를 확인하고 설정할 수 있도록 합당한 조치를 취해야 합니다.

5. 입력 제어. 타사 서비스 제공업체는 서비스 데이터가 데이터 처리 시스템에 입력되었는지, 수정되었는지, 제거되었는지 여부와 누가 그러한 작업을 수행했는지 확인하고 입증할 수 있어야 하며 반드시 보안 전송을 통해 타사 서비스 제공업체로 서비스 데이터가 전송되도록 디자인된 합당한 조치를 취해야 합니다.

6. 논리적 분리. 타사 서비스 제공업체는 서비스 데이터가 별도로 처리될 수 있도록 보장하기 위해 시스템에서 다른 회사들의 데이터와 서비스 데이터를 논리적으로 분리해야 합니다.

이노베이션 서비스 특정 위탁처리업체

우연히 이노베이션 서비스의 서비스 데이터에 액세스하지만 서비스 데이터의 핵심 호스팅 외부 제품의 특정 기능이나 구성 요소를 제공하는 데 사용되는 타사 서비스 제공업체(“이노베이션 서비스 특정 위탁처리업체”)는 인프라 위탁처리업체에 적용되는 각 표준이 구현되고 있는지 확인하기 위해 정기적으로 Zendesk의 심사를 받습니다. 이러한 타사 서비스 제공업체 목록은 여기에서 확인할 수 있으며 이노베이션 서비스 특정 위탁처리업체로 지정된 제공업체입니다.

본 약관은 2022년 6월 1일에 마지막으로 업데이트되었습니다.