O Grupo Zendesk está empenhado em fornecer um programa de segurança robusto e abrangente para os Serviços de Inovação, incluindo as medidas de segurança estabelecidas nesses Termos Adicionais ("Medidas de Segurança de Inovação"). Durante o Período de Assinatura, estas Medidas de Segurança de Inovação podem ser alteradas sem aviso prévio, à medida que os padrões evoluem ou à medida que os controles adicionais são implementados ou controles existentes são modificados conforme julgarmos devidamente necessário. As Medidas de Segurança para Empresas e demais disposições de segurança negociadas antes de 2 de dezembro de 2019 não se aplicam aos Serviços de Inovação.

As Medidas de Segurança de Inovação utilizadas por Nós

Cumpriremos estas Medidas de Segurança de Inovação para proteger os Dados do Serviço conforme julgar devidamente necessário para fornecer os Serviços de Inovação:

1. Equipe e políticas de segurança Nós possuímos e manteremos um programa gerenciado de segurança para identificar riscos e implementar controles adequados, bem como tecnologia e processos para atenuar ataques comuns. Nós possuímos e manteremos uma equipe de segurança da informação em tempo integral responsável por proteger as Nossas redes, sistemas e serviços, responder a incidentes de segurança, bem como desenvolver e capacitar os Nossos funcionários de acordo com as Nossas políticas de segurança.

2. Transmissão de dados. Manteremos comercialmente as devidas salvaguardas administrativas, físicas e técnicas para garantir a disponibilidade, confidencialidade e integridade dos Dados de Serviço.

3. Resposta a incidentes. Temos um processo de gerenciamento de incidentes para eventos de segurança que pode afetar a confidencialidade, integridade ou disponibilidade de nossos sistemas ou dados, que inclui um tempo de reação no qual a Zendesk entrará em contato com seus assinantes após a verificação de um incidente de segurança que afeta os seus Dados de Serviço. Esse processo especifica os cursos de ação, os procedimentos para notificação, escalonamento, mitigação e documentação. A menos que seja ordenado de outra forma pela polícia ou agência governamental, você será notificado dentro de 48 (quarenta e oito) horas de uma Violação de Dados de Serviço. "Violação de Dados de Serviço" significa um acesso não autorizado ou uma divulgação imprópria que, comprovadamente que afete Seus Dados de Serviço.

4. Gerenciamento do controle de acesso e privilégio. Limitamos o acesso administrativo aos sistemas de produção ao pessoal aprovado.

5. Gerenciamento e segurança da rede. Os data centers utilizados por Nós mantêm uma arquitetura de rede padrão do setor totalmente redundante e segura com uma largura de banda razoavelmente suficiente. Nossa equipe de segurança utiliza ferramentas e métodos padrão do setor para fornecer proteção contra atividades comuns não autorizadas de rede e realiza auditorias e verificações externas de vulnerabilidade.

6. Ambiente e segurança física de data centers. Os ambientes de data center que são utilizados por Nós em conexão com a Nossa prestação dos Serviços de Inovação empregam as seguintes medidas de segurança:

• Uma organização de segurança responsável pelas funções de segurança física.
• O acesso às áreas onde os sistemas ou componentes de sistemas estão instalados ou armazenados em data centers é restrito por meio de medidas de segurança e políticas consistentes com os padrões da indústria.

Medidas de segurança técnica e organizacional de inovação para prestadores de serviço terceirizados

A Zendesk pode usar prestadores de serviços terceirizados para fornecer os Serviços de Inovação, bem como acesso à Sua conta e aos Dados de Serviço, conforme julgar devidamente necessário para fornecer os Serviços de Inovação. A Zendesk mantém um programa de segurança de fornecedores para avaliar e gerenciar potenciais riscos envolvidos com o uso desses prestadores de serviços terceirizados que têm acesso aos Dados de Serviço.

Os prestadores de serviços terceirizados usados para hospedar os Dados de Serviço a longo prazo (identificados como Subprocessadores de infraestrutura aqui) estarão sujeitos, entre outras obrigações previstas no Contrato Principal de Serviços, a implementar e cumprir as medidas de segurança técnica e organizacional adequadas a seguir:

1. Controles de acesso físicos. Os prestadores de serviços terceirizados devem tomar as devidas medidas para impedir que pessoas não autorizadas obtenham acesso físico aos sistemas de processamento de dados em que os Dados de Serviço são Processados.

2. Controles de acesso ao sistema. Prestadores de serviços terceirizados devem adotar medidas razoáveis para impedir que os sistemas de processamento de dados sejam usados sem autorização.

3. Controles de acesso aos dados. Os prestadores de serviços terceirizados devem tomar medidas razoáveis para garantir que os Dados do Serviço possam ser acessados ou gerenciados apenas por uma equipe devidamente autorizada.

4. Controles de transmissão. Os prestadores de serviços terceirizados devem tomar as devidas medidas para assegurar a possibilidade de se verificar e estabelecer para quais entidades a transferência de Dados de Serviço está prevista, por meio de instalações de transmissão de dados, para que os Dados de Serviço não possam ser lidos, copiados, alterados ou removidos sem autorização, durante um transporte ou transmissão eletrônica.

5. Controles de entrada. Os prestadores de serviços terceirizados devem tomar medidas razoáveis para garantir que seja possível verificar e determinar se e por quem os Dados de Serviço foram inseridos, em sistemas de processamento de dados, modificados ou removidos; e se qualquer transferência de Dados de Serviço para um prestador de serviços terceirizados é feita através de uma transmissão segura.

6. Separação lógica. Os prestadores de serviços terceirizados devem separar os Dados de Serviço dos dados de outras partes em seus sistemas, de maneira lógica, a fim de garantir que os Dados de Serviço possam ser Processados separadamente.

Subprocessadores específicos do Serviço de Inovação

Prestadores de serviços terceirizados que acessarem acidentalmente os Seus Dados nos Serviços de Inovação, mas que sejam contratados para fornecer recursos ou componentes específicos do produto fora da hospedagem principal dos Dados do Serviço (“Subprocessadores Específicos do Serviço de Inovação”), são avaliados regularmente pela Zendesk para garantir que eles implementem todos os critérios aplicáveis a Subprocessadores de Infraestrutura. Uma lista de prestadores de serviços terceirizados está disponível aqui. Esses provedores são designados como Subprocessadores Específicos de Serviços de Inovação.

A última atualização destes termos é de 1º de junho de 2022.