Modelo de responsabilidade compartilhada da Zendesk

Modelo de responsabilidade compartilhada da Zendesk

A Zendesk fornece uma plataforma de atendimento ao cliente altamente configurável e que pode ser dimensionada rapidamente, utilizada por empresas líderes do mercado do mundo todo e em diferentes setores. Ao ajudar nossos assinantes a aproveitar ao máximo nossa plataforma na nuvem para suas necessidades de atendimento ao cliente, possibilitamos a redução da sobrecarga, o dimensionamento para atender à demanda e a facilitamos ter interações fáceis com seus clientes.

Migrar as operações para a nuvem não só oferece os benefícios descritos acima, mas também pode incluir uma ambiguidade com relação às partes e o que controlam. Então, para simplificar, abaixo você encontrará nosso Modelo de responsabilidade compartilhada. Essa estrutura esclarece qual parte fica responsável por qual controle em relação à segurança e privacidade dos seus dados. Seja você um administrador dedicado, um agente de segurança corporativa, conformidade ou privacidade, ou qualquer outro encarregado de configurar os controles apropriados para o uso dos Serviços Zendesk no seu ambiente, este padrão definirá claramente os limites dos quais você precisa estar atento.

Para resumir em uma única frase, “A Zendesk é responsável pela segurança do Serviço, enquanto você é responsável pela segurança de suas instâncias específicas do Serviço”.

Controles de acesso e higiene
Integrações
Dados, privacidade, conformidade e considerações regulamentares
Monitoramento
Incidentes de segurança (funções e responsabilidades)
Links úteis

Observe que termos em maiúsculas devem ser considerados com o significado atribuído a eles no Contrato Principal de Assinatura da Zendesk (“CPA”).

I. Controles de acesso e higiene
O controle do acesso a sistemas sensíveis e aos dados contidos neles é fundamental aos princípios de segurança.

O Assinante é responsável por todos os controles de acesso a suas instâncias do serviço, incluindo:
1. Provisionamento, modificação, higiene contínua, manutenção da precisão dos privilégios e desprovisionamento de todos os usuários, incluindo usuários finais e agentes (sejam eles locais, remotos ou de força de trabalho de terceiros)
2. Escolha e configuração do método de autenticação no serviço a partir de ofertas com suporte (podendo incluir senhas, MFA, SSO, etc.)
3. Configuração e monitoramento dos aspectos do gerenciamento da sessão, tais como desconexões, dispositivos conectados, etc.
4. Permissão ou proibição para que a equipe de suporte entre na sua instância de Support para assistência
5. Configuração do acesso e compreensão das noções básicas sobre as implicações do uso dos serviços REST API da Zendesk (onde aplicável, incluindo integrações, uso do Serviço Zendesk Sunshine, etc.)
6. Configuração de restrição de IP com suporte pelo produto, onde desejado
7. Considerações a respeito de outros controles de acesso não relacionados ao produto, como quais tipos de dispositivo você permite que os agentes usem ao acessar suas instâncias, bem como qualquer tipo de controle físico, lógico ou de política aplicáveis para seus usuários ou dispositivos permitidos
A Zendesk é responsável por todos os controles de acesso aos sistemas que suportam o serviço, incluindo:
1. Políticas e procedimentos de manutenção para fornecer, de modo seguro, provisionamento, modificação, higiene contínua, manutenção da precisão dos privilégios e desprovisionamento de todos os usuários (incluindo locais, remotos ou de força de trabalho de terceiros)
2. Reforço dos controles de acesso baseados em função, “RBAC”, do princípio do menor privilégio, “PLP”, e segurança apropriada de credenciais, incluindo autenticação multifator, “MFA”, ao acesso de todos os funcionários e contratados a sistemas e aplicativos críticos que contenham Dados de Serviço dos assinantes
3. Realização de verificações periódicas dos itens acima

II. Integrações
A utilização de terceiros pode melhorar significativamente a eficiência, mas introduz também considerações de segurança.

O Assinante é responsável por considerar as implicações na segurança ao utilizar todas as integrações de terceiros que faz com o Serviço, incluindo:
1. Integrações feitas pela API
2. Integrações feitas por instalação de aplicativos do Marketplace
3. Integrações com qualquer terceiro que auxilie o assinante, fornecendo equipe, ferramentas, código ou atendimento direto a instâncias do Zendesk
A Zendesk é responsável pela integração cuidadosa de terceiros com boa reputação no serviço, incluindo:
1. Avaliação e exercício contínuos da devida diligência a todos os Sub-processadores
2. Integração de aquisições no Serviço de modo seguro
3. Garantia de que qualquer tipo de parceria de produtos e/ou integração no Serviço com terceiros tem as considerações de segurança apropriadas

III. Dados, privacidade, conformidade e considerações regulamentares
É de suma importância contabilizar os dados em uso, o tratamento adequado dos mesmos, todas as estruturas regulamentares relevantes e a importância da garantia de terceiros.

O Assinante é responsável pelo tratamento adequado dos dados que recebe e usa, incluindo:
1. Noções básicas sobre os tipos de dados envolvidos em seu caso de uso particular
2. Tratamento de tais dados de acordo com a classificação dos dados e políticas de privacidade da empresa, leis aplicáveis relevantes aos dados em si, os usuários que os fornecem, a indústria do assinante e qualquer jurisdição relevante
3. Selecionar quais canais são permitidos para comunicação com as instâncias do serviço
4. Manutenção das instâncias e Dados de serviço de acordo com qualquer conformidade aplicável, estruturas legais ou regulamentares às quais a indústria do assinante, usuário ou caso de uso possam estar no escopo
5. Provisão à Zendesk de certificados TLS alternativos, em que é desejado o mapeamento do host a um domínio pai Não Zendesk para criptografia do tráfego na IU ou API da Zendesk
6. Noções básicas sobre onde os dados podem não estar criptografados em trânsito e tratamento de tais canais ou protocolos adequadamente (principalmente emails, SMS ou integrações de terceiros feitas a critério exclusivo do assinante que não têm suporte para criptografia)
7. Garantia de que os tipos de dados envolvidos na instância do assinante não violam os termos e condições do Contrato Principal de Assinatura da Zendesk (consulte o CPA da Zendesk)
8. Garantia de que o nível de recuperação de desastres e atividade que o assinante escolhe está de acordo com as políticas e regulamentos aos quais os assinantes estão submetidos
A Zendesk é responsável por:
1. Proteger adequadamente todos os Dados de Serviço contra divulgação em nível de Serviço (ou seja, infraestrutura ou código)
2. Criptografia dos dados em trânsito na IU ou API em redes públicas
3. Criptografia de todos os Dados de Serviço em repouso
4. Fornecimento de informações aos assinantes a respeito dos dados coletados pelos cookies nos produtos, assim como o uso padrão dos serviços
5. Descrição precisa sobre como usamos os Dados de Serviço, incluindo Dados pessoais, de modo anônimo ou não anônimo, para fornecer nossos Serviços ou outra atividade.
6. Fornecimento de ferramentas e recursos aos assinantes que os ajudem a cumprir com as próprias obrigações para o devido tratamento dos dados pessoais ou regulamentados.
7. Cumprimento das leis aplicáveis e estruturas regulamentares relevantes para nossas ofertas de serviços e locais de negócios
8. Obtenção e fornecimento de garantias de conformidade de terceiros independentes relevantes para nossas ofertas de serviço

IV. Monitoramento
Uma segurança apropriada necessita de conhecimento sobre os processos e atividades.

O Assinante é responsável pelo monitoramento de todas as atividades dentro de suas instâncias de serviço, incluindo:
1. Monitoramento da atividade do usuário (seja por visualizações de IU ou logs de API)
2. Avaliação da devida diligência nas comunicações com indivíduos desconhecidos ou conteúdo não confiável pelo serviço
3. Manutenção de logs ou dados obtidos pelo Serviço de acordo com qualquer regulamentação aplicável
A Zendesk é responsável pelo monitoramento dos processos e das atividades do serviço em si, incluindo:
1. Atividades e acesso privilegiados dentro da rede de produção
2. Tráfego recebido para alertar ou bloquear envios ou endereços de IP sabidamente ruins
3. Atividade do serviço
4. Comportamento anômalo dentro dos ativos da rede corporativa ou de produção
5. A segurança do código, infraestrutura, tráfego e dos funcionários ou contratados relevantes

V. Incidentes de segurança
Apesar dos maiores esforços, as coisas às vezes podem dar errado.. Como você reconhece, responde e se recupera de um incidente na segurança é crucial para uma mitigação bem-sucedida e para manter a confiança dos clientes. Esta seção apresenta as funções e responsabilidades de cada parte durante os incidentes de segurança.

O Assinante é responsável por qualquer incidente ou violação na segurança dentro de suas instâncias particulares, os quais não foram causados, ou gerados, por vulnerabilidades ou incidentes oriundos do serviço em si, incluindo

Investigação e correção de qualquer violação suspeita ou real dentro de sua instância particular causada por (i) controle de acesso ou higiene insuficiente, (ii) monitoramento insuficiente das atividades do usuário, (iii) falha em realizar a devida diligência nas comunicações ou conteúdo não confiável derivado de interações com usuários, ou (iv) qualquer incidente ou violação provocado por integração com qualquer terceiro, onde tal integração foi feita a critério exclusivo do assinante.
Realização de qualquer notificação necessária ao governo ou agências de aplicação da lei, ou usuários finais relacionados a violações causadas por ações do Assinante, terceiros integrados, ou relacionadas a notificações de Violação de dados de serviço recebidas do Zendesk em relação à instância do Assinante

A Zendesk é responsável pelos controles para investigar incidentes de segurança, bem como pela notificação dos assinantes afetados a respeito das Violações de dados do serviço ocorrendo por meio do próprio serviço, incluindo
1. Dispor de uma Política de resposta a incidentes de segurança, bem como uma equipe com funções de segurança e responsabilidades relevantes
2. Investigação de atividade anômala
3. Contenção de qualquer Violação de dados de serviço
4. Notificação de todos os assinantes afetados ou agências governamentais ou policiais relevantes, quando exigido por lei.
5. Garantia de que processos robustos de backup e recuperação de desastres estão implementados e testados