최근 검색


최근 검색 없음

Craig Lima's Avatar

Craig Lima

가입한 날짜: 2021년 4월 14일

·

마지막 활동: 2025년 1월 02일

팔로잉

0

팔로워

0

총 활동 수

11

투표 수

0

플랜 수

3

활동 개요

님의 최근 활동 Craig Lima

Craig Lima님이 에 댓글을 입력함

댓글Zendesk policies and agreements

Dec 27th, 2024, added section XII to incorporate Workforce Management “WFM” into HIPAA BAA scope

댓글 보기 · 2025년 1월 02일에 게시됨 · Craig Lima

0

팔로워

0

투표 수

0

댓글


Craig Lima님이 에 댓글을 입력함

댓글Zendesk policies and agreements

Dec 16th 2024

1. Added section XI to incorporate Zendesk QA into scope 

2. Changed various instances of "Answer Bot" to "AI Agents" to denote naming convention changes and broader scope.

3. Changed various instances of “must” and “shall” to “should” to denote best practices philosophy of configs, as well as to reinforce the Subscriber responsibility for interpretation of HIPAA compliance vis-a-vis Admin / Owner configurations and use case implementation  https://support.zendesk.com/hc/en-us/articles/4408833510938-The-Zendesk-Shared-Responsibility-Model

댓글 보기 · 2024년 12월 17일에 게시됨 · Craig Lima

0

팔로워

0

투표 수

0

댓글


Craig Lima님이 에 문서를 만듦

문서Zendesk 정책
Zendesk WFM(인적 자원 관리) (Tymeshift), Zendesk QA (Klaus) 및 Ultimate 기능은 Google 클라우드 플랫폼(GCP)에서 호스팅되며 이 페이지에 나열된 지역에서는 호스팅하지 못할 수도 있습니다.

Zendesk가 가입자 서비스 데이터를 호스팅하는 AWS 지역

현재 다음 AWS 지역에서 가입자 서비스 데이터를 호스팅하고 있습니다.

  • 미국 동부(북버지니아)
  • 미국 동부(오하이오)
  • 미국 서부(오리건)
  • 유럽 경제 지역(아일랜드)
  • 유럽 경제 지역(프랑크푸르트)
  • 영국(런던)
  • 아시아 태평양(도쿄)
  • 아시아 태평양(오사카)
  • 아시아 태평양(시드니)

데이터 위치 선택 계약

Zendesk는 가입자가 데이터 센터 위치 추가 기능(데이터 센터 위치 추가 기능 단독 구매 또는 구매한 서비스 플랜 내에 데이터 센터 위치 추가 기능 포함)을 구매한 가입자 서비스 데이터의 호스팅 위치에 대해서만 약정합니다. 이 약정의 예외에 대해 알아보려면 여기에서 지역 데이터 호스팅 정책을 읽어 보십시오.

수요의 균형을 맞추고 성능을 개선하고 최상의 서비스를 제공하기 위해 통지 없이 지역 간에 계정 데이터를 이동할 수도 있습니다.  계정에서 데이터 위치 추가 기능을 구매한 경우에는 필요한 국가나 법적 경계 내에서 지역 간 이동이 유지되도록 합니다.

서비스 데이터가 호스팅된 실제 주소 확보하기

요청 시 해당 서비스 데이터를 호스팅하는 AWS(Amazon Web Services) 지역(AWS에서 국가, 국가 내 지리적 지역, 주 및 또는 도시로 설명할 수 있는 일반적인 영역)을 알려드릴 수 있습니다.

기술적 수준에서 AWS가 작동하는 방식으로 인해 해당 서비스 데이터가 호스팅되는 정확한 실제 주소를 제공해 드릴 수는 없습니다.  이는 AWS 자체의 아키텍처에 기반합니다.  AWS는 전 세계에 "지역"을 가지고 있습니다.  이러한 지역 내에 “가용성 영역”(즉 "AZ")의 개념이 있습니다.  AWS에서 자산을 만들면 특정 지역에 있는 하나 이상의 AZ에 위치하게 됩니다.  지역 내에서 또는 지역 간에 데이터를 복제하기로 한 자산 소유자의 선택과 관계없이 AWS 자체에서 지역 내의 데이터를 다른 AZ로 복제할 수도 있습니다.  그 결과 Zendesk 가입자 서비스 데이터가 해당 지역 내의 수많은 시설 내에 존재하게 됩니다.  또한 보안상의 이유로 AWS는 데이터 센터 빌딩이나 관련 시설의 특정 위치를 알리는 것을 공식적으로 승인하지 않습니다.

해당 Zendesk 하위 도메인이 어느 AWS 지역에서 호스팅되고 있는지 알아야 하는 경우에는 Zendesk 고객 지원팀에 문의하세요.

변경 로그:

2024년 4월 - Zendesk WFM(인적 자원 관리) (Tymeshift) 및 Zendesk QA (Klaus)에 대한 주의 사항 추가

2024년 7월 - Ultimate에 대한 주의 사항 추가

July 2024 - 두 개의 새로운 호스팅 위치 추가: 영국(런던), 아시아 태평양(오사카)

 

2024년 7월 26일에 편집됨 · Craig Lima

5

팔로워

1

투표

0

댓글


Craig Lima님이 에 문서를 만듦

문서Zendesk 정책

Zendesk 책임 공유 모델

Zendesk는 광범위한 산업 분야의 수많은 세계적 선도 기업들에게 고도로 구성 가능하고 신속히 확장 가능한 고객 서비스 플랫폼을 제공합니다.  가입자들이 자사 고객 서비스에 Zendesk의 클라우드 플랫폼을 이용할 수 있도록 도움으로써 오버헤드를 줄이고, 수요에 맞게 확장하고, 고객들과 대화할 수 있는 간단하고 완벽한 환경을 제공할 수 있도록 합니다.

비즈니스를 클라우드로 옮기면 위에 설명된 이점을 누리지만 어느 당사자가 어떤 제어를 책임지는지 모호해질 수 있습니다.  이러한 일을 간단하게 해결할 수 있도록 아래와 같이 공유 책임 모델이 마련되어 있습니다.  이 프레임워크는 데이터의 보안 및 개인정보 보호와 관련하여 어느 당사자가 어떤 제어에 책임이 있는지 명확하게 밝힙니다.  이 표준은 성실한 관리자, 기업 보안, 규정 준수 또는 개인 정보 보호 담당자이거나 해당 환경에서 Zendesk 서비스 사용에 대한 적절한 제어를 설정하는 업무를 맡은 사람이라면 알고 있어야 하는 사항을 명확하게 설명합니다.

이를 한 문장으로 요약하면 “Zendesk는 서비스 자체의 보안 업무를 책임지며, 귀하는 귀사가 사용하는 서비스의 특정 인스턴스에 대한 보안 업무를 책임집니다.” 

  1. 액세스 제어 및 하이진
  2. 연동 서비스
  3. 데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
  4. 모니터링
  5. 유지 관리
  6. 보안 인시던트(역할 및 책임)
  7. 유용한 링크
  8. 변경 로그

대문자로 표기된 용어는 Zendesk 주요 서비스 계약(Main Services Agreement, “MSA”)에 명시된 것과 동일한 의미를 가집니다.

I. 액세스 제어 및 하이진
민감한 시스템과 그 안의 데이터에 대한 액세스를 제어하는 것이 보안 원칙의 핵심입니다.

  1. 다음을 포함하여 서비스 인스턴스에 대한 모든 액세스 제어는 가입자의 책임입니다.
    1. 사내이든, 원격이든, 타사 인력이든 최종 사용자와 상담사를 포함한 모든 사용자의 프로비저닝, 수정, 지속적인 하이진, 권한 정확성 유지, 프로비저닝 취소
    2. 지원되는 제품으로부터 서비스의 인증 방법을 선택하고 구성(비밀번호, MFA, SSO 등을 포함할 수 있음)
    3. 로그아웃, 로그인된 기기 등 세션 처리의 요소를 구성하고 모니터링
    4. 당사 지원 스태프가 지원을 위해 Support 인스턴스에 들어갈 수 있도록 허용하거나 허용 취소
    5. 해당되는 경우 연동 서비스, Zendesk Sunshine 서비스 사용 등을 포함하여 Zendesk의 REST API 서비스에 대한 액세스 구성 및 사용의 의미 이해
    6. 원하는 곳에서 제품이 지원하는 IP 제한 구성
    7. 귀사의 사용자 또는 허용된 기기에 해당하는 모든 물리적, 논리적 또는 방침 제어는 물론 귀사의 인스턴스 액세스 시 상담사가 사용할 수 있도록 허용되는 기기 유형과 같이 제품과 관련 없는 기타 액세스 제어 고려
  2. 다음을 포함하여 서비스를 뒷받침하는 시스템에 대한 모든 액세스 제어는 Zendesk의 책임입니다.
    1. 사내이든, 원격이든, 타사 인력이든 모든 사용자의 안전한 프로비저닝, 수정, 지속적인 하이진, 권한 정확성 유지 및 프로비저닝 취소를 위한 방침 및 절차 유지 관리
    2. 역할 기반 액세스 제어(Role Based Access Control, RBAC), 최소 권한 원칙(Principle of Least Privilege, PLP), 가입자의 서비스 데이터가 포함된 중요한 시스템 및 애플리케이션에 대한 모든 직원 및 계약업체 액세스를 위한 다단계 인증(Multi-Factor Authentication, MFA)을 포함한 적절한 자격 증명 보안 시행
    3. 위의 사항에 대한 주기적인 점검 수행

II. 연동 서비스
타사를 활용하면 효율성을 크게 개선할 수 있지만 보안 고려 사항도 생깁니다.

  1. 다음을 포함하여 서비스와 함께 이루어지는 모든 타사 연동 서비스의 이용에 따른 보안 영향을 고려하는 것은 가입자의 책임입니다.
    1. API 및/또는 SDK를 통해 이루어지는 연동
    2. 마켓플레이스 앱을 설치하거나 타사 채널을 사용 설정하여 이루어지는 연동
    3. 스태프, 도구, 코드를 제공하거나 직접 Zendesk 인스턴스를 서비스하여 가입자를 보조하는 모든 타사와의 연동
  2. 다음을 포함하여 평판 좋은 타사를 서비스에 신중히 연동하는 것은 Zendesk의 책임입니다.
    1. 모든 위탁처리업체를 면밀히 조사하고 지속적으로 실사 수행
    2. 인수 업체를 안전하게 서비스에 연동
    3. 타사와의 제품 파트너십 및/또는 서비스 연동에 적절한 보안 고려 사항이 있는지 확인 

III. 데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
사용 중인 데이터, 그러한 데이터의 올바른 취급, 모든 관련 규제 프레임워크 및 타사 보장의 중요성을 설명하는 것은 필수입니다.

  1. 다음을 포함하여 취하고 사용하는 데이터를 올바르게 취급하는 것은 가입자의 책임입니다.
    1. 특정 사용 사례와 관련된 데이터 유형 이해
    2. 회사의 데이터 분류 및 개인정보 보호방침, 데이터 자체, 데이터를 제공하는 사용자, 가입자의 업종 및 관련 관할지와 관련된 해당 법에 의거하여 그러한 데이터 취급
    3. 서비스의 인스턴스와 커뮤니케이션하도록 허용되는 채널 선택
    4. 가입자의 업종, 사용자 또는 사용 사례가 범위에 있을 수 있는 해당 규정 준수, 법률 또는 규제 프레임워크에 의거하여 인스턴스 및 서비스 데이터 유지 관리
    5. Zendesk UI 또는 API와의 트래픽 암호화에 비-Zendesk 상위 도메인에 대한 호스트 맵핑이 필요한 대체 TLS 인증서를 Zendesk에 제공
    6. 데이터가 전송 중 암호화되지 않을 수 있는 경우를 이해하고 그에 따라서 해당 채널 또는 프로토콜(주로 암호화를 지원하지 않는 이메일, SMS 또는 가입자의 단독 재량으로 이루어지는 타사 연동 서비스) 취급
    7. 가입자의 인스턴스와 관련된 데이터 유형이 Zendesk의 주요 서비스 계약(Zendesk MSA라고 칭함) 이용 약관을 위반하지 않도록 보장
    8. 가입자가 선택하는 가동 시간 및 재해 복구 수준이 가입자가 지켜야 하는 모든 방침 및 규제를 준수하도록 보장
  2. 다음은 Zendesk의 책임입니다.
    1. 모든 서비스 데이터가 서비스 수준(즉, 인프라 또는 코드)에서 공개되지 않도록 적절하게 보호
    2. 공용 네트워크를 통한 UI 또는 API와 주고받는 데이터 암호화
    3. 저장 중인 모든 서비스 데이터 암호화
    4. 가입자에게 기본적인 서비스 사용은 물론 제품 내 쿠키에서 수집된 데이터에 대한 정보 제공
    5. Zendesk가 당사 서비스를 제공하기 위해 익명 및 비익명 방식으로 개인 데이터를 포함한 서비스 데이터를 어떻게 사용하는지 정확하게 설명
    6. 가입자에게 개인 또는 규제받는 데이터의 올바른 취급에 대한 의무를 충족하는 데 도움이 되는 도구와 기능 제공
    7. 당사 서비스 제품 및 비즈니스 위치와 관련된 해당 법과 규제 프레임워크 준수
    8. 당사 서비스 제품과 관련된 독립적인 타사 규정 준수 보장 확보 및 제공

IV. 모니터링
올바른 보안을 위해서는 프로세스 및 활동에 대한 인사이트가 필요합니다.

  1. 다음을 포함하여 서비스 인스턴스 내의 모든 활동을 모니터링하는 것은 가입자의 책임입니다.
    1. UI 보기 또는 API 로그를 통해서 사용자 활동 모니터링
    2. 알 수 없는 개인이나 서비스를 통해 파생된 신뢰할 수 없는 콘텐츠와의 커뮤니케이션에 대한 실사 수행
    3. 해당 규제에 의거하여 서비스에서 가져온 로그 또는 데이터 유지 관리
  2. 다음을 포함하여 서비스 자체의 프로세스 및 활동을 모니터링하는 것은 Zendesk의 책임입니다.
    1. 프로덕션 네트워크 내에서 권한이 필요한 액세스 및 활동
    2. 부정적으로 알려진 제출이나 IP 주소에 대해 알리거나 이를 차단하기 위한 수신 트래픽
    3. 서비스 가동 시간
    4. 회사 또는 프로덕션 네트워크 자산 내에서 비정상적인 동작
    5. 코드, 인프라, 트래픽 및 관련 직원이나 계약업체 직원의 보안

V. 유지 관리
시스템과 코드를 최신 상태로 유지하고 패치를 적용하면 많은 보안 문제를 예방할 수 있습니다.

  1. 다음을 포함하여 Zendesk 아키텍처 및/또는 계약 범위를 벗어나는 모든 시스템 또는 코드를 유지 관리하고 패치하는 것은 가입자의 책임입니다.
    1. 직원 엔드포인트, 네트워크, 사용자 지정 인프라 또는 Zendesk 서비스에 액세스하고 더 나아가 Zendesk 시스템에서 수신 전이나 송신 시 서비스 데이터를 처리하기 위해 사용하는 타사 미들웨어를 포함한 자체 인프라
    2. 내부적으로 또는 Zendesk 서비스와 함께 사용하기 위해 가입자가 자체 개발했거나 구매한 타사 개발 코드를 포함하여 Zendesk 서비스에 추가적인 기능을 제공하기 위해 활용되는 자체 비표준 코드. 여기에는 가입자의 요청에 따라 Zendesk 전문 서비스에서 개발한 모든 사용자 지정 코드(사용자 지정 참여의 일환으로 그러한 코드 및 유지 관리에 대한 책임이 가입자에게 넘어간 경우)도 포함됩니다.
  2. 다음을 포함하여 Zendesk 아키텍처 및/또는 계약 범위 내에서 모든 시스템 및 코드를 유지 관리하고 패치하는 것은 Zendesk의 책임입니다.
    1. 운영 체제, 직접 제어하는 보안 인프라 및 시스템, 컨테이너 및 오케스트레이션 시스템 등을 포함하여 서비스를 제공하는 데 사용되는 호스팅 제공업체 시설 내에서 논리적으로 관리되는 자체 인프라
    2. 직원 엔드포인트, 회사 네트워크 인프라 등 Zendesk 기업 환경 내에서 사용되는 물리적 및/또는 논리적으로 관리되는 자체 인프라
    3. Zendesk 서비스를 뒷받침하는 독점 코드 베이스

* 마켓플레이스 앱은 Zendesk 아키텍처 범위 내에서 실행되더라도 Zendesk의 표준 Master Services Agreement의 적용을 받지 않고 대신 마켓플레이스 앱 이용 약관에 명시된 대로 가입자와 앱 개발자 간의 특정 약관의 적용을 받습니다. 마켓플레이스 앱의 유지 관리는 마켓플레이스 앱의 타사 개발자의 책임입니다.

VI. 보안 인시던트
아무리 노력해도 문제가 발생할 수 있습니다.  보안 인시던트를 인식하고, 대응하며, 복구하는 방식은 보안 인시던트를 성공적으로 완화하고 계속해서 고객의 신뢰를 받기 위한 핵심입니다.  이 섹션에서는 보안 인시던트 중 각 당사자의 역할과 책임을 설명합니다.

  1. 다음을 포함하여 서비스 자체 내의 취약성이나 인시던트를 통해 이루어졌거나 야기되지 않은 특정 인스턴스 내의 보안 인시던트나 침해는 가입자의 책임입니다. 
    1. (i) 충분하지 않은 액세스 제어나 하이진(약하거나 악용 가능한 공개 자격 증명의 사용 포함), (ii) 사용자 활동의 충분하지 않은 모니터링, (iii) 사용자와의 상호작용을 통해 파생된 커뮤니케이션이나 신뢰할 수 없는 콘텐츠에 대한 실사 수행 실패, (iv) 그러한 연동이 가입자의 단독 재량으로 이루어진 타사와의 연동을 통해 발생한 인시던트나 침해에 의해 야기된 특정 인스턴스 내의 모든 의심되는 침해나 실제 침해를 조사하고 수정
    2. 가입자 작업, 연동된 타사 또는 가입자의 인스턴스와 관련하여 Zendesk에서 받은 서비스 데이터 침해 알림과 관련하여 야기된 침해와 관련된 필요한 모든 알림을 정부나 법 집행 기관 또는 최종 사용자에게 보내기
  2. 다음을 포함하여 서비스 자체를 통해 발생하는 서비스 데이터 침해에 대해 영향을 받은 가입자에게 알리는 것은 물론 보안 인시던트를 조사하는 일은 Zendesk의 책임입니다. 
    1. 관련 보안 역할 및 책임을 맡은 스태프는 물론 문서화된 보안 인시던트 대응 방침 보유
    2. 비정상적인 활동 조사
    3. 확인된 모든 서비스 데이터 침해 포함
    4. 법이 요구하는 대로 영향을 받은 모든 가입자나 관련 정부 또는 법 집행 기관에 알리기
    5. 반드시 강력한 백업 및 재해 복구 프로세스를 마련하고 테스트

VII. 유용한 링크

Zendesk 보안으로 안전한 고객 서비스

Zendesk 보안 성공 사례

Zendesk 법률 포털

액세스 제어 및 하이진

Zendesk Support에서 보안 및 사용자 액세스 관리하기(집계된 링크)

Chat의 사용자 역할

Chat에서 사용자 인증

계정에 대한 Zendesk의 임시 액세스 권한 부여하기

연동 서비스

Zendesk API

Zendesk 마켓플레이스 앱

Zendesk 위탁처리업체

Zendesk Connect 위탁처리업체

Zendesk 파트너

데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항

Zendesk 제품 내 쿠키 방침

Zendesk 주요 서비스 계약

Zendesk 데이터 및 개인정보 보호

모니터링

Support 인스턴스 변경 감사 로그(UI/API)

Support 티켓 이벤트 감사 로그 API

Chat 대시보드

채팅 기록 UI

Chat 증분 내보내기실시간 API

Talk 대시보드

Talk 증분 API

Sunshine 사용자 지정 개체, 이벤트 및 프로필 API

Sell 실시간/Firehose API

 

궁금한 점이 더 있으면 security@zendesk.com으로 문의하시기 바랍니다.

VIII. 변경 로그
2023년 6월 16일

  1. 변경 로그 추가
  2. 섹션 V 유지 관리 추가
  3. 가입자 및/또는 그 최종 사용자가 사용하는 약하거나 공개적으로 악용 가능한 자격 증명으로 야기되는 인시던트를 섹션 VI "보안 인시던트" 내에서 가입자의 책임으로 명확하게 밝힘

번역 고지 사항: 본 문서는 콘텐츠에 대한 기본적인 이해를 제공하기 위해 자동 번역 소프트웨어를 사용하여 번역되었습니다. 정확한 번역을 제공하고자 합당한 노력을 기울였으나 Zendesk는 번역의 정확성을 보장하지 않습니다.

번역된 문서에 포함된 정보의 정확성과 관련하여 질문이 있으시면 문서의 공식 버전인 영문 버전을 참조하시기 바랍니다.

2024년 5월 08일에 편집됨 · Craig Lima

0

팔로워

2

투표 수

0

댓글


Craig Lima님이 에 문서를 만듦

문서Zendesk 정책

사용 중인 플랜

Suite 모두

데이터를 클라우드에 저장하려면 많은 신뢰가 필요합니다. 그 대가로 이 정보를 공유하는 파트너들이 보안을 최우선으로 생각한다는 사실을 알고자 합니다. Zendesk 가입자들은 민감한 정보를 관리하기 위해 다양한 표준과 프레임워크를 사용하므로 Zendesk는 귀사의 데이터를 안전하게 보호하고 규정을 준수하도록 유지하기 위해 Zendesk 서비스 전반에 걸쳐 다음과 같은 국제 표준화 기구(ISO) 벤치마크를 구현했습니다.

ISO 27001 

ISO/IEC 27000 표준은 조직이 데이터 처리 방식을 벤치마크하는 데 도움이 되는 일련의 프레임워크를 제공합니다. 이러한 표준 중 가장 일반적인 “ISO/IEC 27001”은 정보 보안 관리 시스템(ISMS)에 대한 요구 사항을 제공하며 성공적인 감사를 완료한 조직이 요구 사항이 충족된다는 보장을 제공합니다.

ISO 27018 

ISO/IEC 27018은 ISO/IEC 27002에 따른 가이드라인을 제공하며, Zendesk와 같은 클라우드 서비스 제공업체에 대한 개인 식별 정보(PII)의 보호에 중점을 둡니다.

ISO 27701 

ISO/IEC 27701:2019는 PIMS(Privacy Information Management System)를 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항 및 지침을 지정합니다. 조직 내 개인정보 보호 관리를 위한 ISO/IEC 27001 및 ISO/IEC 27002를 보완합니다. 이로써 데이터 컨트롤러와 데이터 프로세서가 사용하는 개인 데이터를 관리하기 위한 프레임워크를 마련하여 보안 및 개인정보 보호 제어 기능을 모두 갖추게 됩니다.

이러한 감사 범위에 속하는 Zendesk 서비스 및 프로세스

ISO/IEC 27001:2013, ISO/IEC 27018:2014 및 ISO/IEC 27701:2019 인증의 범위는 Zendesk, Inc.의 글로벌 네트워크 인프라 및 개발, 운영, Zendesk 본사 밖에서 중앙 집중식으로 관리되며 다음과 같은 범위 내 사무실 위치에서 지원되는 Support, Guide, Chat, Connect, Inbox 및 Explore의 제공: 캘리포니아주 샌프란시스코 및 위스콘신주 매디슨(미국), 코펜하겐(덴마크), 더블린(아일랜드), 마닐라(필리핀), 멜버른(호주), 몽펠리에(프랑스) 및 싱가포르.

또한 서비스형 인프라(IaaS) 데이터 센터 제공업체를 사용 하여 IaaS에서 제공되는 모든 서비스를 실행하는 인프라를 보호합니다. 클라우드. IaaS 환경 관리를 위한 Zendesk의 보안 제어 기능은 물리적 및 환경적 통제를 제외하고는 이 인증서의 범위입니다.

호스팅 서비스의 위탁처리업체는 현재 AWS이며 자체 ISO 인증을 보유하고 있습니다. 자세한 내용은 규정 준수 페이지를 참조하세요. 여기를 참조하세요.

고객에게 의미하는 바

내부적으로 Zendesk는 보안 관리 및 개인정보 보호 기능이 업계 최고의 표준을 준수하는지 확인하기 위해 이러한 독립적인 감사를 실시합니다. 이러한 외부 검증을 받은 규정 준수 표준은 Zendesk가 데이터 취급 방식에 있어 고객에 대한 책임 사항을 충족한다는 사실을 확인해 주는 것입니다. 또한 ISO/IEC 27701은 조직이 해당 법률 및 규정을 감사 기준의 일부로 선언할 것을 요구하여 이 표준이 GDPR(일반 데이터 보호 규정), CCPA(캘리포니아 소비자 개인정보 보호법) 및 기타 법률과 같은 요구 사항에 맵핑될 수 있도록 합니다. .

범위 내 제품을 사용하는 모든 고객이 이러한 보호를 받음

이러한 인증은 위에 나열된 대로 Zendesk의 서비스에 대한 것입니다. 추가로 요금을 지불하거나 이러한 인증의 보호를 받기 위해 어떤 식으로든 인스턴스를 구성할 필요가 없습니다.

Zendesk의 ISO 27001, ISO 27018 및 ISO 27701 인증과 고객 인증 비교

ISO 27001, ISO 27018 및 ISO 27701 인증은 특정 범위의 Zendesk 서비스에 대한 보안 및 개인정보 보호 관리 프로세스를 다룹니다. Zendesk를 사용하여 서비스의 일부를 운영하면서 이러한 인증을 취득하고자 하는 경우에는 협회로부터 자동으로 인증되지 않습니다. 하지만 Zendesk의 인증을 통해 귀사의 인스턴스에 대한 이러한 인증을 더 쉽게 취득할 수 있습니다.

Zendesk의 ISO 인증 확보하기

https://www.zendesk.com/product/zendesk-security/#anchor-security-resources 에서 양식을 작성하여 NDA 없이 언제든지 무료로 Zendesk의 ISO 인증서에 액세스할 수 있습니다.

 

 

번역 고지 사항: 본 문서는 콘텐츠에 대한 기본적인 이해를 제공하기 위해 자동 번역 소프트웨어를 사용하여 번역되었습니다. 정확한 번역을 제공하고자 합당한 노력을 기울였으나 Zendesk는 번역의 정확성을 보장하지 않습니다.

번역된 문서에 포함된 정보의 정확성과 관련하여 질문이 있으시면 문서의 공식 버전인 영문 버전을 참조하시기 바랍니다.

2024년 5월 08일에 편집됨 · Craig Lima

3

팔로워

1

투표

0

댓글


Craig Lima님이 에 문서를 만듦

문서Zendesk 정책

HIPAA 및 HDS 사용 계정(총칭하여 “의료 서비스 사용 계정”):

이 문서에서 대문자 BAA 사용된 모든 용어는 계정 유형(통칭하여, “Healthcare Agreement”).

HIPAA 사용 계정의 경우 “PHI”는 “보호되는 건강 정보”를 의미하며, HDS 사용 계정의 경우 “PHI”는 “개인 건강 정보”를 의미합니다.

Zendesk와 가입자는 헬스케어 계약을 체결하여 가입자가 사용 사례에 맞게 다음 구성 또는 가입자가 평가한 대안을 평가하고 구현하여 모든 헬스케어 사용 계정에 대해 해당 법률에 따른 규정 준수 요구 사항을 해결하도록 권장합니다. (들) 서비스에 PHI를 도입하기 전에

가입자가 단독 재량에 따라 아래 나열된 권장 구성을 구현하지 않기로 결정하는 경우 가입자는 PHI를 포함한 가입자의 서비스 데이터에 대한 무단 액세스 또는 공개의 부적절한 사용에 대해 전적인 책임을 집니다. 가입자가 권장하는 구성과의 편차.

가입자가 적절한 수준의 서비스 플랜을 구매했고 필요한 관련 추가 기능이 있어야 합니다(확실하지 않은 경우 영업 담당자에게 문의하세요).

가입자에게 HDS 사용 계정이 있는 경우 가입자는Zendesk 위탁처리업체 정책에서 “팔로우” 버튼을 클릭하여 서비스를 제공하는 데 사용된 위탁처리업체에 대한 모든 변경에 대한 알림을 받아야 합니다.

다음과 같은 Zendesk 서비스에 대한 최소 보안 구성이 마련되어 있어야 하며, 모든 헬스케어 사용 계정에 대한 헬스케어 계약에서 이를 인정해야 합니다.

I. Zendesk Support:

  1. 다음 두 가지 방법 중 하나를 통한 보안 상담원 인증:
    1. 비밀번호 설정이 있는 기본 Zendesk Support 사용:(i) “권장”으로 설정; 또는 (ii) “권장” 설정에서 설정된 것보다 덜 안전한 요구 사항을 설정하는 방식으로 가입자가 사용자 지정합니다. 또한 이 하위 섹션의 옵션에 따라 가입자는 서비스 내에서 기본적으로 2단계 인증("2FA")도 사용 설정하고 시행해야 합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다. 또는
    2. Zendesk의 “권장” 비밀번호 설정에서 설정된 요구 사항보다 덜 안전한 요구 사항이 있는 외부 통합 인증(SSO) 솔루션을 활용하고 모든 상담사의 액세스에 대해 선택한 솔루션 내에서 2단계 인증을 사용 설정하고 시행합니다. 관리자가 최종 사용자의 비밀번호를 설정할 수 있도록 허용하는 관리 제어 기능을 사용 중지해야 합니다.
    3. 인증 방법으로 SSO를 사용하는 모든 인증은비밀번호 액세스를 사용 중지해야 합니다.
  2. 헬스케어 사용 계정에서 SSL(Secure Sockets Layer) 암호화가 항상 사용 설정된 상태를 유지해야 합니다. zendesk.com이 아닌 다른 도메인을 활용하는 헬스케어 사용 계정은호스팅된 SSL을 설정하고 유지해야 합니다..
  3. 가능하다면 상담사 액세스가 가입자의 제어 하에 있는특정 IP 주소로 제한되어야 합니다. 단, 가입자가 위의 요구 사항 1.a 또는 1.b에서 설명된 대로 상담사에 대해 다단계 인증을 사용 설정하지 않는 한(기본적으로 서비스 내에서 또는 Enterprise SSO와 결합된 가입자의 환경 내에서).  명확히 하기 위해 “상담원 액세스 권한”은 사용자 인터페이스(“UI”)를 통해 서비스 데이터에 액세스하는 실제 상담원에게 부여된 액세스 권한을 의미합니다.
  4. 가입자의 헬스케어 사용 계정이 Zendesk 애플리케이션 프로그래밍 인터페이스(“API”)에 대한 호출을 가능하게 하는 한도 내에서 가입자 또는 생성, 액세스, 수정 또는 삭제가 허용된 모든 제3자 엔티티의 보안 영향을 이해할 모든 책임은 가입자에게 있습니다. 그러한 액세스 및/또는 연동을 통한 서비스 데이터 및 PHI. 해당 API의 액세스를 위해 Zendesk는여기에 설명된 대로 다양한 방법을 제공하며 가입자는 사용된 API 모델에 따라 다음과 같은 보안 성공 사례를 구현해야 합니다.
    1. OAuth 2.0 접근 방식.  이 모델은 가장 세분화된 보안 기능을 제공하지만 최종 사용자가 권한 부여를 수락해야 합니다.  가능한 경우 가입자는OAuth 2.0 접근 방식 및 인증 체계를활용해야 합니다.. 가입자는 각 OAuth 클라이언트에 설명적이고 고유한 클라이언트 이름 및 고유 식별자 지정 기능을 제공해야 합니다. 각 OAuth 토큰에 부여된 권한은 필요한 작업을 수행하는 데 필요한 최소한의 권한을 허용해야 합니다.
    2. REST API 토큰 접근 방식.  이 모델은 가장 광범위하며 API 토큰이 API 모델의 모든 기능을 활용할 수 있도록 합니다. 그 특성상 가장 광범위한 액세스 및 기능을 제공하므로 주의해서 사용해야 합니다. 이 접근 방식을 사용할 때 가입자는 (i) 각 서비스에 대해 고유한 토큰을 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공해야 합니다. (ii) 엔드 투 엔드 암호화된 전송 방법을 따르지 않는 한 API 토큰을 제3자와 공유하지 않습니다. (iii) API 토큰이 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자는 즉시 관련 토큰을 순환해야 함을 인정합니다. (iv) 최소한가입자의 조직 정책에 따라 토큰을 자주순환합니다.  
    3. 가능하다면 가입자는 API에 대한 비밀번호 액세스를 사용 중지해야 합니다. 이 접근 방식은 모든 요청과 함께 사용자 자격 증명을 보내 사용자를 광범위하게 노출시켜 악의적인 당사자가 더 쉽게 가로챌 수 있기 때문입니다.  
  5. 첨부 파일에 액세스하기 위해 인증을 요구하려면 가입자가'다운로드 시 인증 필요'를사용 설정해야 합니다.. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다. 그러한 경우 가입자는 그러한 첨부 데이터의 콘텐츠 및 그러한 첨부 데이터에 대한 액세스에 대한 모든 책임을 집니다.
  6. 가입자는 모든 상담사, 관리자 및 소유자가 액세스하는 엔드포인트에 대해 최대 15분 동안 시스템 비활성 상태에서 작동하도록 설정된 비밀번호로 잠긴 화면 보호기 또는 시작 화면을 체계적으로 시행해야 합니다.
  7. 가입자는 사용자가 전체 인스턴스/브랜드/조직에 대한 업데이트를 볼 수 있도록 허용하는 보기 권한을 변경하거나 사용자 자신의 티켓이나 그룹을 벗어나는 액세스를 허용하는 기본 설정을 변경해서는 안 됩니다(단, 가입자가 그러한 사용자를 승인하도록 보장할 모든 책임이 가입자에게 있는 경우는 제외). 모든 후속 데이터에 액세스). 가입자는 최종 사용자 조직 권한이 사용자 프로필과 조직 자체에서 설정될 수 있음을 인정하며, 설정이 충돌하는 경우 더 허용적인 설정이 덜 허용적인 설정을 무시합니다.
  8. 가입자는 Zendesk가 가입자의 Zendesk Support 인스턴스에 수신되기 전에 최종 사용자로부터의 이메일 전송 및 관련 서비스 데이터를 보호할 책임이 없음을 인정합니다. 여기에는 티켓 댓글이나 첨부 파일을 포함하되 이에 국한되지 않는 Zendesk Support 티켓에 대한 답장을 통해 이메일을 통해 전달될 수 있는 모든 PHI가 포함됩니다.
  9. 가입자는 가입자의 상담사가 이메일 채널을 통해 Zendesk Support 티켓에 응답하거나 자동화 또는 트리거에 의해 시작된 경우와 같이 다양한 상황에서 Zendesk Support 최종 사용자에게 이메일을 보낸다는 사실을 인정합니다. 기본적으로 이 이메일에는 PHI를 포함할 수 있는 자동 알림에 포함되도록 구성된 가장 최근 티켓 서신 또는 기타 정보가 포함되어 있습니다. 가입자를 더욱 보호하기 위해 Zendesk Support 인스턴스는 최종 사용자에게 상담사가 응답했음을 알리기만 하고, 최종 사용자가 Zendesk Support 에서 인증을 받아야 메시지의 내용을 볼 수 있도록 구성됩니다.
  10. 가입자는 모든 Zendesk 서비스에서 단독 재량에 따라 활용되는 모든 문자 메시지 기능이 SMS 및/또는 관련 프로토콜에 의해 뒷받침되며, 서비스 안팎으로 메시지가 암호화되지 않은 전송을 포함할 수 있음을 인정합니다.  따라서 문자 메시지 기능은 다음 중 하나를 수행해야 합니다.
    1. 헬스케어 사용 계정에서 사용되지 않음*, 또는
    2. 사용되는 경우 가입자는 그러한 기능의 사용에 대한 모든 책임을 집니다.
  11. 가입자는 서비스의레거시 고객 만족도 설문조사(“레거시 CSAT”)기능을 사용하여 암호화 상태가 제어되지 않는 사용자의 평점을 얻기 위해 이메일을 통해 Support 티켓과 연결된 서비스 데이터(PHI를 포함할 수 있음)를 보내는 것을 인정합니다. 제공합니다. 따라서 레거시 CSAT 기능은 다음 중 하나를 수행해야 합니다.
    1. 헬스케어 사용 계정에서 사용되지 않음*, 또는
    2. 사용되는 경우 가입자는 그러한 기능의 사용에 대한 모든 책임을 집니다.
  12. 가입자는서비스의 고객 만족도 설문조사("CSAT") 기능의 사용이 티켓 작성 채널에 대해 적절하게 구성되어 있지 않은 경우 은(는) 사용자의 평점을 얻기 위해 이메일을 통해 Support 티켓과 연결된 서비스 데이터(PHI를 포함할 수 있음)를 보냅니다. 암호화 상태는 Zendesk에서 제어하지 않습니다. 또한 특정 CSAT URL이 있는 사람은 누구나 특정 티켓에 제공된 답변에 액세스할 수 있습니다. 따라서 티켓 작성 채널에 CSAT 기능을 사용할 때 가입자는
    1. 잠재적인 PHI를 포함하지 않도록 CSAT 자동화 이메일 본문을 구성하고 {{satisfaction.survey_url}}자리 표시자만
    2. 주관식 질문 기능을 사용하지 않음

* 의심의 여지를 없애기 위해 SMS에 관한 섹션 10의 PHI와 관련된 데이터 주의 사항은 섹션 1.a에 설명된 대로 제품 내 2단계 인증 사용에 적용되지 않습니다. 그러한 기능은 신원 확인을 위한 숫자 문자열만 전송하기 때문입니다.

II. Zendesk Guide and Gather:

  1. 가입자는 Guide 및 Gather 서비스가 본질적으로 공개되며(제한된 문서를 활용하거나폐쇄형 또는 제한된 인스턴스를사용 하지 않는 경우), 따라서 가입자는 Zendesk Guide 또는 Gather 서비스의 문서에 문서 또는 문서의 첨부 파일 또는 문서 내의 이미지.
  2. 가입자는 Zendesk Guide 에서 최종 사용자가 댓글을 추가할 수 있는 기능을 사용 중지하거나,중재하고 모든 댓글에서 PHI를 제거할 책임을 져야 합니다(아래 섹션 3 참조).
  3. Zendesk Guide 서비스가 Guide Professional 또는 Enterprise인 경우 가입자는 가능한 경우 Zendesk Guide 에서Gather 기능을 해제하여최종 사용자가 새 게시물을 만들 수 있는 기능을 사용 중지해야 합니다 . 가입자는Zendesk Guide 서비스에서 콘텐츠 중재를 사용 설정하고 “모든 콘텐츠 중재”로 설정해야 합니다.. PHI가 포함된 제출은 승인되어서는 안 됩니다.
  4. 가입자가 Gather 서비스 내에서 직원이 아닌 “커뮤니티 중재자”를 사용하는 것은 허용되지 않습니다.
  5. 가입자는 Gather 커뮤니티 구성원의 “@멘션”이 가능하며 최종 사용자가 공개 프로필을 가질 수 있도록 허용하며 이 기능이 사용 사례에서 위험하다고 간주되는 경우공개 프로필을 해제하거나@멘션을 사용 중지해야 함을인정합니다.

III. Zendesk 메시징:

  1. 가입자는 (i) 소셜 미디어 메시지에 PHI가 포함되지 않도록 보장하거나 (ii) 통합 메시징 플랫폼과 자체 BAA 체결에 대한 전적인 책임을 지지 않는 한 소셜 미디어 메시징 채널 연동을 사용 설정해서는 안 됩니다.
  2. 가입자는 최종 사용자가 메시징 대화에 파일을 첨부할 수 있는 기능을 사용 중지해야 하며, (i) 안전한 첨부 파일 사용 설정에 대한 모든 책임은 가입자에게 있습니다.또는 (ii) 상담사가 ePHI가 포함된 파일을 메시징 대화에 첨부하지 않도록 합니다. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다.  그러한 경우에는 그러한 URL 및/또는 첨부 파일 데이터의 콘텐츠 및 액세스에 대한 모든 책임은 가입자에게 있습니다.
  3. 모든 상담원과 라이트 상담원이 모든 최종 사용자로부터 오는 모든 수신 메시지를 볼 수 있도록 보장하는 데 대한 모든 책임은 가입자에게 있습니다.
  4. 가입자 또는 그 상담사가 API 및 웹훅을 위한 연동 서비스(예: AI 상담사를 위해 만들어진 플로우의 일부로서)에 액세스하거나 개발하거나 메시징 경험을 사용자 지정하는 경우, 가입자는 모든 사용자 지정 워크플로우 및 가입자 또는 제3자(챗봇 제공업체 포함)는 그러한 액세스 및/또는 연동을 통해 서비스 데이터 및 ePHI를 생성, 액세스, 수정 또는 삭제할 수 있습니다.
  5. 가입자가 메시징 대화가 현재 활성 상태인 동안 상담원의 메시징 대화 참여 권한을 제거하고자 하는 경우, 가입자는 해당 상담원의 Zendesk 액세스 권한을 강제 종료하는 데 대한 모든 책임을 집니다.
  6. 기본적으로 최종 사용자와의 웹 위젯 대화는 영구적이며 최종 사용자가 동일한 기기에서 웹 채팅으로 돌아올 때 볼 수 있습니다. 이 기능을 사용 중지하거나 최종 사용자가 기기를 공유하지 않도록 하는 데 대한 모든 책임은 가입자에게 있습니다.
  7. 가입자가 최종 사용자에 대한 인증을 구현하려는 경우 성공 사례 및 업계 표준에 따라 안전한 방식으로 이를 구현하는 데 대한 모든 책임은 가입자에게 있습니다.
    1. 이 접근 방식을 사용할 때 가입자는 (i) 각 인증 채널에 고유한 JWT 서명 키를 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공해야 합니다. (ii) 합리적으로 요구되고 엔드 투 엔드로 암호화된 전송 방법에 따르지 않는 한 JWT 서명 키를 제3자와 공유하지 않습니다. (iii) JWT 서명 키가 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우, 가입자는 관련 JWT 서명 키를 즉시 순환해야 합니다. (iv) 최소한 가입자의 조직 정책에 따라 JWT 서명 키를 자주 순환해야 합니다.
    2. 가입자는 만료 JWT 속성을 사용하고 값을 15분 이하로 설정해야 합니다.
  8. 가입자는 최종 사용자와 AI 상담사 간의 상호작용이 실제 상담사에게 전달되지 않고 티켓으로 전송된다는 사실을 인정하며, 이러한 상호작용은 시스템에 계속 저장되며 의무에 따라(예를 들어 이러한 대화가 저장될 때 가입자에게 알리고 Sunshine Conversations API를 통해 (자동으로) 삭제를 트리거하는 웹훅. 
  9. 가입자는 최종 사용자와 AI 상담원 간의 대화가 변환되었음을 인정합니다.은(는) 현재 티켓을 삭제할 수 없습니다. 티켓을 삭제하여 삭제할 수 있습니다. 
  10. 가입자는 메시징 채널의 최종 사용자 첨부 파일이 현재 Zendesk에서 맬웨어에 대해 검사되지 않음을 인정합니다. 가입자의 자산에 대한 위험을 완화하기 위한 절차와 정책을 마련할 책임은 전적으로 가입자에게 있습니다. 
  11. 가입자는 “사이드 대화” 기능을 사용하면 “하위 티켓” 및/또는 “사이드 대화” 메시지가 만들어지거나 가입자의 Support 인스턴스에서 티켓, 이메일, Slack 또는 연동 서비스를 통해 수신자에게 전송될 수 있음을 인정합니다(상담사의 재량에 따라 구성). . 가입자가 헬스케어 사용 계정에서 이 기능을 사용하기로 결정하는 경우 가입자는 (i) 그러한 메시지에 PHI가 포함되어 있지 않도록 하거나, (ii) 메시지에 PHI가 있을 수 있는 경우 가입자가 전적인 책임을 집니다. “사이드 대화” 기능을 통한 메시지 교환으로 인한 PHI의 무단 획득, 액세스, 사용 또는 공개와 관련된 모든 책임, 비용, 손상 또는 피해에 대해 책임을 묻습니다.

IV. Zendesk Sunshine Conversations:

  1. 가입자는 (i) 타사 채널 메시지에 PHI가 포함되지 않도록 하거나 (ii) 통합 메시징 플랫폼과 자체 BAA 체결하는 데 대한 전적인 책임을 지지 않는 한 타사 채널 연동 서비스를 사용 설정해서는 안 됩니다.
  2. 가입자는 Sunshine Conversations 애플리케이션 프로그래밍 인터페이스("API")를 통해 서비스 데이터 및 PHI를 생성, 액세스, 수정 또는 삭제할 수 있는 모든 가입자 또는 제3자 주체의 보안 영향을 이해할 모든 책임을 집니다. 해당 API에 액세스하기 위해 가입자는 사용된 API 모델에 따라 다음과 같은 보안 성공 사례를 구현해야 합니다.
    1. OAuth 2.0 접근 방식.  이 모델은 가장 세분화된 보안 기능을 제공하지만 최종 사용자가 권한 부여를 수락해야 합니다.  가능한 경우 가입자는 다음을 활용해야 합니다. OAuth 2.0 접근 방식 및 인증 체계. 가입자는 각 OAuth 클라이언트에 설명적이고 고유한 클라이언트 이름 및 고유 식별자 지정 기능을 제공해야 합니다. 
    2. REST API 토큰 접근 방식.  이 모델은 가장 광범위하며 API 토큰이 API 모델의 모든 기능을 활용할 수 있도록 합니다.  그 특성상 가장 광범위한 액세스 및 기능을 제공하므로 주의해서 사용해야 합니다. 이 접근 방식을 사용할 때 가입자는 (i) 각 서비스에 대해 고유한 토큰을 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공해야 합니다. (ii) 엔드 투 엔드 암호화된 전송 방법을 따르지 않는 한 API 토큰을 제3자와 공유하지 않습니다. (iii) API 토큰이 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우 가입자는 즉시 관련 토큰을 순환해야 함을 인정합니다. (iv) 가입자의 조직 정책에 따라 토큰을 자주 순환합니다.  
    3. 가입자 또는 그 상담사가 API 및 웹훅을 위한 연동 서비스에 액세스 또는 개발하거나 Sunshine Conversations 경험을 사용자 지정하는 경우, 가입자는 모든 사용자 지정 워크플로우 및 허용되는 모든 가입자 또는 제3자 엔터티(챗봇 제공업체 포함)에 대한 개인정보 보호 및 보안 영향을 이해할 전적인 책임이 있습니다. 그러한 액세스 및/또는 연동 서비스를 통해 서비스 데이터 및 PHI를 생성, 액세스, 수정 또는 삭제합니다.
  3. 가입자는 Zendesk Support 에 대해 구성된 IP 제한이 Sunshine Conversations API로 확장되지 않음을 인정합니다. 2.b에 설명된 대로 Sunshine Conversations API 및 API 토큰에 대한 액세스를 제한하는 데 대한 전적인 책임은 가입자에게 있습니다. 그리고 가입자의 정책에 따릅니다. 
  4. 가입자는 최종 사용자가 Sunshine Conversations 대화에 파일을 첨부할 수 있는 기능을 사용 중지해야 하며, 안전한 첨부 파일을 사용 설정하는 데대한 전적인 책임은 가입자에게 있습니다.또는 상담사가 PHI가 포함된 파일을 메시징 대화에 첨부하지 않도록 합니다. 그렇게 하지 않으면 해당 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 무제한 첨부 파일에 액세스할 수 있습니다. 그러한 경우 가입자는 그러한 첨부 데이터의 콘텐츠 및 그러한 첨부 데이터에 대한 액세스에 대한 모든 책임을 집니다.
  5. 가입자가 최종 사용자에 대한 인증을 구현하고자 하는 경우 보안 성공 사례 및 업계 표준에 따라 강력한 방법으로 이를 구현하는 데 대한 모든 책임은 가입자에게 있습니다.
    1. 이 접근 방식을 사용할 때 가입자는 (i) 각 인증 채널에 고유한 JWT 서명 키를 사용하고 토큰에 기능을 지정하는 설명적인 이름을 제공해야 합니다. (ii) 합리적으로 요구되고 엔드 투 엔드로 암호화된 전송 방법에 따르지 않는 한 JWT 서명 키를 제3자와 공유하지 않습니다. (iii) JWT 서명 키가 제3자와 공유되고 가입자가 제3자 데이터 위반 사실을 알게 되는 경우, 가입자는 관련 JWT 서명 키를 즉시 순환해야 합니다. (iv) 최소한 가입자의 조직 정책에 따라 JWT 서명 키를 자주 순환해야 합니다.
    2. 가입자는 만료 JWT 속성을 사용하고 값을 15분 이하로 설정해야 합니다.
  6. 가입자는 최종 사용자와 AI 상담사 간의 상호작용이 실제 상담사에게 전달되지 않고 티켓으로 연결된다는 사실을 인정하며, 웹훅 구현 등 의무에 따라 그러한 상호작용을 삭제하는 것은 가입자의 책임이라는 사실을 인정합니다. 이러한 대화가 저장될 때 가입자에게 알리고 Sunshine Conversations API를 통해 (자동으로) 삭제를 트리거합니다. 
  7. 가입자는 티켓으로 변환된 최종 사용자와 AI 상담사 간의 대화를 현재 삭제할 수 없음을 인정합니다. 티켓을 삭제하여 삭제할 수 있습니다. 
  8. 가입자는 Sunshine Conversations API를 통해 삭제된 메시지가 최종 사용자에 대해서만 삭제되고 Zendesk 상담사 워크스페이스 에서는 삭제되지 않음을 인정합니다. 티켓 자체를 삭제하거나 내용 삭제 기능을 사용하면 됩니다(제한 사항 7 참조). 
  9. 가입자는 Sunshine Conversation 채널의 모든 첨부 파일이 현재 Zendesk에서 맬웨어에 대해 검사되지 않음을 인정합니다. 가입자는 가입자 직원의 위험을 완화하기 위한 절차와 정책을 마련할 책임이 있습니다. 

V. Zendesk Chat:

  1. 가입자는 Zendesk Support 서비스와 연결하고 Zendesk Support 서비스를 통해 인증함으로써 Zendesk Chat 서비스에 대한 상담사의 액세스를 제한해야 합니다.
  2. 가입자는 (a)이메일 파이핑을 사용 중지하고, (b) 클래식 웹 위젯 에서이메일 채팅 대화 내용 옵션을 사용 중지하고, (c) Chat 대시보드에서 이메일을 통해 내보내기를 공유하지 않는 방법으로 이메일을 통해 Chat 대화 내용을보내서는 안 됩니다 .
  3. 가입자는 (i) 채팅에 PHI가 표시되지 않도록 하고, 및/또는 (ii) 가입자가 그러한 데이터를 볼 수 있도록 모든 상담사가 허용하도록 보장할 전적인 책임을 집니다.

VI. Zendesk Explore 서비스:

가입자는 사용자 이름, 티켓 제목, 필드 및 양식 선택, 그리고 자유 형식 텍스트 필드에 있는 모든 콘텐츠를 통해 Explore 제품에 PHI가 표시될 수 있음을 인정합니다.

  1. PHI가 포함된 범위 내 서비스 인스턴스의 경우 가입자는 (i) 상위 서비스 인스턴스에서 PHI를 포함할 수 있는 모든 티켓/통화/채팅에 액세스할 수 있는 상담사에게만 Explore 인터페이스에 대한 액세스 권한을 부여해야 합니다. (ii) 해당 환경에서 Explore를 사용하는 데 필요한 최소한의 권한을 고려하여 그러한 액세스 권한을 부여해야 합니다. Explore에서 액세스 수준을 구성하는 데 대한 자세한 내용은여기를참조하세요.
  2. “내보내기” 기능을 활용하는 경우, (i) 가입자는 PHI가 가입자가 상담사의 인터페이스에 액세스할 수 있도록 허용한 장치로 전송될 수 있으며 그러한 장치에 대한 모든 수행 제어는 가입자의 책임이며 (ii) 가입자는 사용을 거부해야 함을 인정합니다. (a) 그러한 내보내기에 PHI가 포함되지 않도록 보장하거나, (b) 그러한 전송에 사용되는 이메일 서비스가 허용되는 최소 암호화 프로토콜을 통한 암호화를 수용할 수 있는 책임을 가정하지 않는 한, 현재 PCI 표준에 따라 다릅니다.

* Explore Enterprise 사용 시 특별 고려 사항:

가입자는 Explore Enterprise 서비스를 사용하면 더 많은 데이터 공유 및 내보내기 기능이 수반될 수 있음을 인정합니다. 가입자는 다음을 수행해야 합니다.

  1. (i) 그러한 대시보드에 PHI가 존재하지 않도록 하거나, (ii) 그러한 데이터를 보고 받을 수 있도록 승인된 상담사, 그룹, 목록 또는 최종 사용자와만 대시보드를 공유합니다.
  2. IP 제한 활용
  3. 여기서 URL(Uniform Resource Locator)을 통해 대시보드를 공유하는 경우 가입자는 개인 또는 그룹 사용자 계정과 공유하는 것이 아니라 액세스 링크를 통해 데이터를 공유해야 한다는 사실을 인정합니다. 따라서 가입자는 (i) 비밀번호 보호를 사용 설정하고, (ii) 선택한 비밀번호의 복잡성, 순환, 저장 및 수신 당사자에 대한 배포가 그러한 대시보드에 포함된 데이터의 보호를 위한 가입자의 비밀번호 정책을 준수하도록 보장하고, (iii) 순환되어야 합니다. 노출이 의심되거나 확인되는 경우 부당한 지연 없이

VII. 배포된 관련 서비스의 제품 내 기능(“추가 기능”)에 대한 공지:

  1. 공동 작업 배포 연결된 서비스: “Side Conversations.” 가입자는 “사이드 대화” 기능을 사용하면 “하위 티켓” 및/또는 “사이드 대화” 메시지가 만들어지거나 가입자의 Support 인스턴스에서 티켓, 이메일, Slack 또는 연동 서비스를 통해 수신자에게 전송될 수 있음을 인정합니다(상담사의 재량에 따라 구성). . 가입자가 헬스케어 사용 계정에서 이 기능을 사용하기로 결정하는 경우 가입자는 (i) 그러한 메시지에 PHI가 포함되어 있지 않도록 하거나, (ii) 메시지에 PHI가 있을 수 있는 경우 가입자가 전적인 책임을 집니다. “사이드 대화” 기능을 통한 메시지 교환으로 인한 PHI의 무단 획득, 액세스, 사용 또는 공개와 관련된 모든 책임, 비용, 손상 또는 피해에 대해 책임을 묻습니다.

VIII. Zendesk 모바일 애플리케이션(또는 스마트폰이나 태블릿과 같은 모바일 장치를 통한 액세스):

  1. 사용량에 기기 수준 암호화가 포함됩니다.
  2. 허용되는 가장 높은 기기 설정으로 설정된 생체 인식 또는 PIN 액세스를 활용해야 합니다.
  3. 티켓 댓글이 그러한 기기의 잠금 화면에 표시되도록 허용하는 알림을 사용 중지해야 합니다.
  4. 화면 비활성 잠금을 사용 설정하고 15분 이상 비활성 상태가 되면 잠기도록 구성해야 합니다.
  5. 가입자는 Support 모바일 애플리케이션에서 내용 삭제 기능을 Support 수 없으며 상담사가 내용 삭제 기능을 사용하려면 브라우저를 통해 로그인해야 한다는 사실을 인정합니다.
  6. 가입자가 Zendesk 메시징에 대해 최종 사용자를 인증하기로 선택하는 경우 가입자는 최종 사용자의 인증 상태가 Support 모바일 애플리케이션에 표시되지 않음을 인정합니다.

IX. Zendesk Insights: 2021년 2월 5일부로 이 서비스에 대한 지원이 중단되었습니다.   

X. Zendesk AI 기능에 대한 공지 사항(“Zendesk AI”, “고급 AI”, “생성형 AI” 등):

  1. 가입자는Zendesk AI 기능이Zendesk 서비스의 생산성을 높이기 위한 것으로 (i) 의료 또는 의료 자문을 제공하거나, (ii) 상태의 진단을 제공하거나, (iii) 치료를 처방하거나, (iv) 사용자가 의료 전문가의 조언, 진단 또는 치료를 구하지 못하도록 하는 방식, (v) 다른 방식으로 사용자에게 정보를 제공하거나 사용자의 범위를 결정하는 결정을 내리는 행위 의료 서비스 검색 또는 수신에 영향을 미칠 수 있는 모든 의료 플랜, 치료 프로그램, 검사 서비스 또는 기타 의료 서비스(가입자 고유의 사용 사례 및 사용자와의 상호작용에 따라 이러한 결정에 대한 전적인 책임이 가입자에게 있는 경우는 제외) 그러한 방식으로 AI 사용할 때의 잠재적인 의미).
  2. 가입자는 생성형 AI 기능을 사용하는 경우 그러한 생성된 AI 출력이 사람이 생성한 것이 아니라 컴퓨터에서 생성되며 부정확한 출력을 생성할 수 있음을 인정합니다. Zendesk는 이러한 출력의 정확성을 보장하지 않습니다.
  3. 가입자는AI 상담원 대화 봇 안내말이가입자의 최종 사용자에게 필수 고지 사항 메시지를 제공하는 데 사용되는 경우 메시지의 콘텐츠 무결성을 보장하기 위해 “변형 생성” 기능이 활성화되지 않음을 인정합니다. 
  4. 가입자는 관리 센터 에서 향상된 쓰기 기능을 사용 설정하면 역할 및 권한에 관계없이 해당 인스턴스의 모든 상담사에 대해 이 기능이 사용 설정된다는 사실을 인정합니다. 

XI. Zendesk QA

  1. 가입자는 Zendesk QA AI 기능이 Zendesk 서비스의 생산성을 높이기 위한 것으로 (i) 의학적 또는 의료적 자문을 제공하거나, (ii) 상태의 진단을 제공하는 것으로 해석될 수 있는 방식으로 사용되어서는 안 된다는 점을 인정합니다. 또는 증상, (iii) 치료를 처방, 또는 (iv) 사용자가 의료 전문가의 조언, 진단 또는 치료를 구하지 못하도록 하는 방식, (v) 사용자에게 정보를 제공하거나 사용자의 범위를 결정하는 결정을 내리는 행위 의료 서비스 검색 또는 수신에 영향을 미칠 수 있는 모든 의료 플랜, 치료 프로그램, 검사 서비스 또는 기타 의료 서비스의 그러한 방식으로 AI 사용할 때의 잠재적 영향).
  2. 가입자는 Zendesk 인스턴스의 삭제 또는 내용 삭제가 Zendesk QA 와 바로 동기화되지 않고 대신 3~6시간 후에 이월된다는 사실을 인정합니다.
  3. 설문조사 기능을 사용할 때 가입자는 (i) Zendesk QA AI 지원 기능을 사용 중지해야 합니다(또는 QA 작업을 수행하는 모든 상담사가 그러한 거래 내에서 잠재적인 데이터를 볼 수 있도록 하는 것은 물론 1항의 원칙이 올바른지 확인해야 함) ( ii) 설문조사 질문이나 설명에 PHI가 노출되지 않도록(또는 기회주의적 StartTLS를 통해 전송되는 이메일에서 그러한 데이터에 대한 책임을 지지 않도록) 설문조사를 구성해야 합니다.
  4. “Zendesk Chat” 사용자 지정 연동 서비스를 사용할 때 가입자는 데이터가 무제한 기간 동안 보존되지 않도록 가입자의 정책에 맞게 데이터 보존 기간을 설정하는 것을 고려해야 합니다.
  5. 가입자는 Sunshine Conversations API를 사용하여 Zendesk 메시징 대화의 일부를 삭제할 때 이 변경 내용이 Zendesk QA 에 반영되지 않음을 인정합니다. 대신 내용 삭제를 통해 원래 티켓에서 정보를 제거하거나 전체 대화를 제거해야 합니다.
  6. 가입자는 Zendesk QA 현재 Zendesk의 “비공개 첨부 파일” 기능을 지원하지 않음을 인정합니다. 즉, 첨부 파일의 올바른 URL에 액세스할 수 있는 사람은 누구나 첨부 파일에 액세스할 수 있으며 PHI를 포함한 민감한 데이터와 함께 사용해서는 안 됩니다. 그러한 URL 및/또는 첨부 파일 데이터의 콘텐츠 및 액세스에 대한 모든 책임은 가입자에게 있습니다.
  7. 가입자는 Zendesk QA 의 초기 프로비저닝 시 첫 번째 동기화 후에만 고급 연결 구성이 가능함을 인정합니다.

XII. Zendesk 인적 자원 관리 "WFM (인적 자원 관리)":

  1. 가입자는
    1. 기본 WFM (인적 자원 관리) 관리자 역할은 WFM (인적 자원 관리) 서비스에 적용되는 모든 상담사 활동 및 설정(아래 2번에서 언급된 태그 포함)에 액세스할 수 있습니다.
    2. 기본 상담사 역할은여기에 설명된 대로 사용자 지정 역할을 만들어 다른 액세스 권한을 갖도록 관리자가 구성하지 않는 한 상담사의 활동에 액세스할 수 있습니다.
  2. 가입자는 상담원, 관리자 또는 Support 의 티켓 내에서 미리 정의된 시스템 논리가 적용한 태그가 WFM (인적 자원 관리) 제품 내에서 그러한 티켓 활동을 볼 수 있도록 허용된 모든 사용자에게 표시된다는 사실을 인정합니다. 가입자가 태그를 민감한 것으로 간주하는 경우에는 액세스가 적절하게 구성되어야 합니다.

고지 사항: 법이나 규정의 변경 또는 Zendesk 서비스의 변경으로 인해 이 문서의 보안 구성이 수시로 변경될 수 있습니다. 이 문서에는 현재 위에 설명된 Zendesk 제품 내에서 PHI를 보호하기 위한 최소한의 효과적인 보안 구성에 대한 Zendesk의 권장 사항이 수록되어 있습니다. 이 문서는 그러한 데이터에 대한 모든 제어에 대한 완전한 기본서식을 구성하거나 법적 자문을 구성하지 않습니다. 각 Zendesk 가입자는 HIPAA 또는 HDS 규정 준수 요구 사항과 관련하여 자체 법률 자문을 구해야 하며, 각 가입자의 독립적인 분석에 따라 보안 구성을 추가로 변경해야 합니다. 단 그러한 변경으로 인해 이 문서에 설명된 구성을 참조하세요.

 


변경 로그:

2025년 1월 24일

  • 통합 HIPAA 및 HDS 구성

2024년 12월 27일

  • Zendesk 인적 자원 관리 ("WFM (인적 자원 관리)")를 범위에 통합하는 섹션 XII를 추가했습니다.

2024년 12월 16일

  • Zendesk QA 범위에 통합하기 위해 섹션 XI를 추가했습니다.
  • 명명 규칙 변경 및 더 넓은 범위를 나타내기 위해 "Answer Bot"의 다양한 인스턴스를 "AI Agents"로 변경했습니다.

2024년 10월 10일

  • 새 기능을 수용하기 위해 섹션 I, Support, 12번(CSAT)을 추가하고 섹션 I, Support, 11번(레거시 CSAT)을 편집했습니다. 

2024년 3월 7일

  • 섹션 X, Zendesk AI 기능에 대한 알림 추가됨
  • 섹션 I, Support, 7번(보기 권한):
    • “보기 권한”이 단지 “조직”이 아닌 전체 “인스턴스/브랜드/조직”에 적용된다는 점을 명확히 했습니다.
    • 최종 사용자별 조직 동작에 대한 새 조항을 추가했습니다. 
  • 섹션 I, Support, number 9 (이메일):  
    • Zendesk Support 에서 최종 사용자에게 이메일을 보내는 상황을 확장하여 상담원이 티켓에 응답하는 것이 아니라 자동화나 트리거에 의해 시작된 응답 또는 이메일 채널을 통한 응답을 포함합니다.
    • 기본적으로 자동 알림이 가장 최근의 티켓 서신 또는 PHI를 포함할 수 있는 기타 구성된 정보를 포함할 수 있도록 지정합니다.

2023년 10월 25일

  • 소개: HIPAA 사용 계정에 대한 소개 문구를 명확히 했습니다.
  • 섹션 II, Guide 및 Gather, 1번(헬프 센터 제한 사항): 명확한 설명을 위해 IP 제한을 제한된 문서로 대체했습니다.

2023년 4월 13일

  • 섹션 I, Support, 4번 (API) : 
    • 명확성을 위해 인증 방법에 대한 링크를 추가했습니다. 
    • b) 업계 성공 사례에 따라 순환에 대한 정확한 시간 프레임 권장 사항을 제거하고 REST API 서비스 약관에 대한 참조를 제거했습니다(중복).
    • c) API에 기본 인증 사용에 대해 경고하기 위해 추가됨 
  • 섹션 II, 가이드:
    • 1번(헬프 센터 제한 사항): 제품 기능에 맞게 폐쇄형 또는 제한된 헬프 센터에 대한 참조를 추가했습니다.
    • 5번(@멘션): 제품에 맞게 @멘션을 사용 중지하는 옵션을 추가했습니다. 기능 
  • 섹션 III, 메시징: 
    • 1번 및 2번(타사 채널 및 비공개 첨부 파일): 명확성을 위해 섹션 식별자 (i) 및 (ii)를 추가했습니다.
    • 2번(비공개 첨부 파일):설명을 위해 “ URL 및/또는”을 추가했습니다.
    • 번호 7-10(최종 사용자 인증, Answerbot 대화 삭제, 내용 삭제, 맬웨어 검사): 투명성을 위해 전체 섹션 추가
  • 섹션 IV, Sunshine Conversations : Zendesk Suite 의 Sunshine Conversations BAA 의 일부가 됨에 따라 전체 섹션 추가됨 
  • 섹션 V, Chat, 3번(상담사 워크스페이스): 작은 문구 수정
  • 섹션 VIII, 모바일 애플리케이션, 5-7번(맬웨어 검사, 내용 삭제, 최종 사용자 인증): 투명성을 위해 전체 섹션 추가

2023년 2월 24일

  • 섹션 I. Support, 3번: 이제 UI가 통합됨에 따라 Support 와 Chat IP 제한 간의 별도의 구분을 제거했습니다.
  • 섹션 I. Support, 5번: 요건 미달에 대한 설명 추가 
  • 섹션 I. Support, 7번: “가입자가 해서는 안 됨”이 “가입자가 해서는 안 됨”으로 변경되었습니다.
  • 섹션 IV. Chat, 2번: 대화 내용 및 파이핑에 국한되지 않고 이메일을 사용하여 Chat에서 데이터를 내보내는 모든 기능이 금지됩니다. 
  • 섹션 III. 메시징: Zendesk 비즈니스 제휴 계약의 범위에 추가되는 Zendesk 메시징 기능에 대해 계정에 전체 섹션이 추가되었습니다.

2021년 7월 9일

  • 상담사 워크스페이스 사용과 관련된 책임에 대한 3. 항목을 Chat 섹션 아래에 추가합니다.

2021년 1월 21일

  • 번호 1.11을 추가하면 가입자가 설문조사의 일부로 이메일을 통해 전송된 데이터에 대해 책임을 지지 않는 한 CSAT 허용되지 않습니다. 
  • 사용자가 이미 그러한 데이터에 액세스할 수 있도록 승인을 받았기 때문에 가입자가 보기 권한을 변경할 수 있도록 허용하려면 1.7에 주의하세요.
  • 인라인 URL이 아닌 텍스트 내에 임베드된 링크의 회사스타일과 일치하도록 전체 문서를 업데이트했습니다 (구성 콘텐츠에 영향을 미치지 않음).

2020년 8월

  • 향상된 대시보드 공유 기능을 다루는 Explore Enterprise 추가
  • Chat 첨부 파일에 대한 금지 해제(이제 Support 인증 요구 사항이 적용됨)
  • 사용자 지정 필드에서 ePHI 금지가 전 세계가 아닌 Insights 사용에만 적용된다는 명확성
  • 첫 번째 추가 항목인 “사이드 대화”와 함께 배포된 서비스의 추가 기능을 다루는 새 섹션 추가
  • 다양한 문법/서식 편집(콘텐츠에 중요하지 않음)

2020년 7월 13일:

  • 제품 내 2단계 인증에 SMS를 기본으로 사용하는 것과 대조적으로 서비스를 통한 SMS 사용과 관련하여 명확하게 했습니다. * 의심의 여지를 없애기 위해 SMS에 관한 섹션 10의 ePHI와 관련된 데이터 주의 사항은 섹션 1.a에 설명된 대로 제품 내 2단계 인증 사용에 적용되지 않습니다. 그러한 기능은 신원 확인을 위한 숫자 문자열만 전송하기 때문입니다."

2019년 12월 13일 

  • 상담사 액세스에 대한 MFA가 시행되는 한 사용 사례에서 그러한 제한을 허용하지 않는 상담사 IP 제한을 무시할 수 있습니다.

2019년 12월 17일 

  • 상담사가 그러한 댓글을 중재하고 모든 PHI를 제거하는 한 Guide에서 최종 사용자 댓글을 허용합니다.

2019년 11월 6일

  • 가입자가 그러한 결정에 대한 책임을 지는 한 특정 구성을 포기하거나 대체하기 위해 가입자의 단독 재량으로 선택할 수 있는 변경 내용을 반영하도록 문서를 업데이트했습니다.

가입자가 아래 나열된 특정 구성 또는 아래 나열된 일련의 필수 구성을 구현하고 준수하지 않는 경우

가입자 자신이 위험을 감수하고 가입자의 단독 재량에 따릅니다. 그러한 실패는 Zendesk와 그 직원, 대리인 및 계열사가 가입자의 그러한 실패로 인해 발생하는 모든 전자 보호 건강 정보를 포함한 가입자의 서비스 데이터에 대한 무단 액세스, 부적절한 사용 또는 공개와 관련하여 모든 책임을 면제합니다. . "

  • 기타 변경 내용은 다음과 같습니다.
    • 1. 가입자가 그러한 전송에 PHI가 존재하지 않도록 보장하는 모든 책임을 지는 한 SMS를 사용할 수 있는 능력.
    • 2. 가입자가 그러한 첨부 파일에 PHI가 존재하지 않도록 할 모든 책임이 있는 한 Chat에서 첨부 파일을 사용할 수 있습니다.

2019년 3월 6일 

  • Zendesk Explore 의 설정을 포함하도록 업데이트됨

2019년 1월 17일

  •  Chat에서 첨부 파일을 허용하지 않도록 을(를) 업데이트했습니다.

번역 고지 사항: 본 문서는 콘텐츠에 대한 기본적인 이해를 제공하기 위해 자동 번역 소프트웨어를 사용하여 번역되었습니다. 정확한 번역을 제공하고자 합당한 노력을 기울였으나 Zendesk는 번역의 정확성을 보장하지 않습니다.

번역된 문서에 포함된 정보의 정확성과 관련하여 질문이 있으시면 문서의 공식 버전인 영문 버전을 참조하시기 바랍니다.

2025년 1월 28일에 편집됨 · Craig Lima

0

팔로워

1

투표

0

댓글


Craig Lima님이 에 댓글을 입력함

댓글Zendesk policies and agreements

July 9th 2021 edit:

1. Adds point 3. under Chat section for responsibilities around Agent Workspace usage.

댓글 보기 · 2021년 7월 09일에 게시됨 · Craig Lima

0

팔로워

0

투표 수

0

댓글


Craig Lima님이 에 댓글을 입력함

댓글Zendesk policies and agreements

January 21st, 2021

Addition of number 1.11 disallows CSAT unless Subscriber assumes responsibility of data sent via email as part of the survey. 

Caveat in number 1.7 to make allowances for Subscribers altering viewing permissions due to users already having approval to access such data on their ends.

Updated entire document to match company stle of embedded links within text as opposed to inline URLs (no impact to configuration content). 

댓글 보기 · 2021년 1월 21일에 게시됨 · Craig Lima

0

팔로워

0

투표 수

0

댓글