O Grupo Zendesk está empenhado em fornecer um programa de segurança robusto e abrangente, incluindo as medidas de segurança estabelecidas nesses Termos Adicionais ("Medidas de Segurança para Empresas"). Durante o Período de Assinatura, estas Medidas de Segurança para Empresas podem ser alteradas sem aviso prévio, à medida que os padrões evoluem ou à medida que os controles adicionais são implementados ou controles existentes são modificados conforme julgarmos devidamente necessário.

As Medidas de Segurança para Empresas utilizadas por Nós

Cumpriremos estas Medidas de Segurança para Empresas para proteger os Dados do Serviço conforme julgar devidamente necessário para fornecer os Serviços para Empresas:

1. Equipe e políticas de segurança. Nós possuímos e manteremos um programa gerenciado de segurança para identificar riscos e implementar controles adequados, bem como tecnologia e processos para atenuar ataques comuns. Esse programa é e será revisado regularmente a fim de manter uma eficácia e precisão contínuas. Nós possuímos e manteremos uma equipe de segurança da informação em tempo integral responsável por monitorar e revisar a infraestrutura de segurança das Nossas redes, sistemas e serviços, responder a incidentes de segurança, bem como desenvolver e capacitar os Nossos funcionários de acordo com as Nossas políticas de segurança.

2. Transmissão de dados. Manteremos comercialmente as devidas salvaguardas administrativas, físicas e técnicas para proteger a segurança, confidencialidade e integridade dos Dados de Serviço. Essas salvaguardas incluem criptografia de Dados de Serviço em repouso e transmissão com Nossas interfaces do usuário ou APIs (usando TLS ou tecnologias similares) pela internet, com exceção de quaisquer Serviços Não Zendesk que não ofereçam suporte à criptografia, ao qual Você pode vincular através dos Serviços para Empresas em Sua escolha.

3. Auditorias e certificações. Quando solicitado pelo Assinante, e sujeito a obrigações de confidencialidade estabelecidas neste Contrato, a Zendesk disponibilizará informações a um Assinante que não seja concorrente da Zendesk (nem a um auditor terceirizado independente concorrente da Zendesk) relacionadas ao cumprimento pela Zendesk das obrigações estabelecidas neste Contrato na forma de certificação ISO 27001 e/ou relatórios SOC 2 (com a devida proteção contra divulgação) ou SOC 3.

4. Resposta a incidentes. Temos um processo de gerenciamento de incidentes para eventos de segurança que pode afetar a confidencialidade, integridade ou disponibilidade de nossos sistemas ou dados, que inclui um tempo de reação no qual a Zendesk entrará em contato com seus assinantes após a verificação de um incidente de segurança que afeta os seus Dados de Serviço. Esse processo especifica os cursos de ação, os procedimentos para notificação, escalonamento, mitigação e documentação. O programa de resposta a incidentes inclui sistemas de monitoramento centralizado 24 horas por dia, 7 dias por semana e equipe disponível para responder a incidentes de serviço. A menos que seja ordenado de outra forma por agentes de aplicação da lei ou por uma agência governamental, você será notificado dentro de 48 (quarenta e oito) horas de uma Violação de Dados de Serviço. "Violação de Dados de Serviço" significa um acesso não autorizado ou uma divulgação imprópria que, comprovadamente que afete Seus Dados de Serviço.

5. Gerenciamento do controle de acesso e privilégio. Limitamos o acesso administrativo aos sistemas de produção ao pessoal aprovado. Exigimos que esse pessoal possua IDs exclusivos e chaves criptográficas associadas e/ou use tokens temporários complexos. Essas chaves e/ou tokens são utilizados para autenticar e identificar as atividades de cada funcionário em Nossos sistemas, incluindo o acesso a Dados de Serviço. Ao serem contratados, Nosso pessoal aprovado recebe IDs ou credenciais exclusivas. As credenciais são canceladas em caso de suspeita de comprometimento ou rescisão do pessoal. Os direitos de acesso e os níveis são baseados no papel e função de trabalho de Nossos funcionários, utilizando os conceitos de privilégio e a necessidade de conhecimento mínimos para combinar privilégios de acesso com responsabilidades definidas.

6. Gerenciamento e segurança da rede. Os Subprocessadores utilizados por Nós para hospedar serviços mantêm uma arquitetura de rede padrão do setor totalmente redundante e segura com largura de banda razoavelmente suficiente, assim como uma infraestrutura de rede redundante para atenuar o impacto de falhas em componentes específicos. Nossa equipe de segurança utiliza instalações padrão do setor para fornecer proteção contra atividades comuns não autorizadas de rede, monitora vulnerabilidades em listas de consulta de segurança e realiza auditorias e verificações externas de vulnerabilidade.

7. Ambiente e segurança física de data centers. Os ambientes de Subprocessadores utilizados por Nós para hospedar serviços em conexão com a Nossa prestação dos Serviços para Empresas empregam as seguintes medidas de segurança:

• Uma organização de segurança responsável pelas funções de segurança física 24 horas por dia, 7 dias por semana, 365 dias no ano.
• O acesso às áreas onde os sistemas ou componentes de sistemas estão instalados ou armazenados em data centers é restrito por meio de medidas de segurança e políticas consistentes com os padrões da indústria.
• Sistemas de N+1 de fornecimento de energia ininterrupto e de HVAC, arquitetura de geração de energia de backup e supressão de fogo avançada.

Medidas de segurança técnica e organizacional para Empresas para prestadores de serviço terceirizados que processam Dados de Serviço

Qualquer prestador de serviço terceirizado utilizado pelo Grupo Zendesk somente obterá acesso à Sua Conta e aos Dados de Serviço quando devidamente necessário para prestar os Serviços para Empresas. A Zendesk mantém um programa de segurança para analisar e gerenciar possíveis riscos envolvidos com o uso de prestadores de serviços terceirizados que tenham acesso aos Dados do Serviço. Tais prestadores de serviços terceirizados estão sujeitos, entre outras obrigações previstas no Contrato Principal de Serviços, a implementar e cumprir as medidas de segurança técnica e organizacional adequadas a seguir:

1. Controles de acesso físicos. Os prestadores de serviços terceirizados devem tomar as devidas medidas, como de segurança pessoal e proteção de edifícios, para impedir que pessoas não autorizadas obtenham acesso físico aos sistemas de processamento de dados em que os Dados de Serviço são Processados.

2. Controles de acesso ao sistema. Prestadores de serviços terceirizados devem adotar medidas razoáveis para impedir que os sistemas de processamento de dados sejam usados sem autorização. Esses controles devem variar com base na natureza do Processamento efetuado e podem incluir, entre outros controles, a autenticação através de senhas e/ou autenticação de dois fatores, processos de autorização documentados, processos de gestão de alterações documentados e/ou registro de acesso em diversos níveis.

3. Controles de acesso aos dados. Os prestadores de serviços terceirizados devem tomar as devidas medidas para garantir que os Dados de Serviço sejam acessíveis e gerenciáveis apenas por equipe devidamente autorizada, o acesso direto à consulta da base de dados é restrito e os direitos de acesso a aplicativos são estabelecidos e aplicados para garantir que as pessoas autorizadas a acessar os Dados de Serviço tenham acesso somente àqueles Dados de Serviço aos quais têm privilégio de acesso e que os Dados de Serviço não podem ser lidos, copiados, modificados ou removidos sem autorização durante o Processamento.

4. Controles de transmissão. Os prestadores de serviços terceirizados devem tomar as devidas medidas para assegurar a possibilidade de se verificar e estabelecer para quais entidades a transferência de Dados de Serviço está prevista, por meio de instalações de transmissão de dados, para que os Dados de Serviço não possam ser lidos, copiados, alterados ou removidos sem autorização, durante um transporte ou transmissão eletrônica.

5. Controles de entrada. Os prestadores de serviços terceirizados devem tomar medidas razoáveis destinadas a garantir que seja possível verificar e determinar se e por quem os Dados de Serviço foram inseridos em sistemas de processamento de dados, modificados ou removidos; e qualquer transferência de Dados de Serviço para um provedor de serviços de terceiros é feita através de uma transmissão segura.

6. Proteção de dados. Os prestadores de serviços terceirizados devem tomar medidas razoáveis para garantir que os Dados de Serviço sejam protegidos contra destruição ou perda acidental.

7. Separação lógica. Os prestadores de serviços terceirizados devem separar os Dados de Serviço dos dados de outras partes em seus sistemas, de maneira lógica, a fim de garantir que os Dados de Serviço possam ser Processados separadamente.

A última atualização destes termos é de 1º de junho de 2022.