Zendesk 责任共担模式

Zendesk 责任共担模式

Zendesk 为各行各业的许多全球领先公司提供一个高度可配置、可快速扩展的客户服务平台。通过帮助订阅者利用我们的云平台满足其客户服务需求，他们可以减少管理费用，进行扩展以满足需求，并提供与客户的精美而简单的互动。

将业务迁移到云端不仅可以带来上述好处，还可以明确谁负责谁控制。别担心，我们的责任共担模式如下所示。此框架明确了数据安全和隐私相关控制措施的负责方。无论您是尽职尽责的管理员、公司安全、合规或隐私专员，还是负责为在您环境中使用 Zendesk 服务的情况设置适当控制措施的其他人员，此标准都应清楚划清界限。

简而言之，“Zendesk 负责服务本身的安全，而您负责特定服务实例的安全”。

访问控制和卫生
整合
数据、隐私、合规和法规注意事项
监测
维护
安全事务（用户角色和职责）
有用的链接
更改日志

请注意，大写术语应具有 Zendesk 主服务协议（“MSA”）中所述含义。

I.访问控制和卫生
控制对敏感系统及其数据的访问是安全原则的核心。

订阅者负责对其服务实例的所有访问控制，包括：
1. 对包括终端用户和专员在内的所有用户（无论是本地、远程还是第三方劳动力）进行配置、修改、持续清理、维护权限准确性以及取消配置
2. 从受支持的产品中选择和配置服务的身份验证方法（可能包括密码、MFA、SSO 等）
3. 配置和监测会话处理的各个方面，例如退出、登录设备等。
4. 允许或禁止我们的支持员工输入您的 Support 实例以获得帮助
5. 配置对 Zendesk REST API 服务的访问并了解使用的含义（如适用，包括整合、Zendesk Sunshine 服务的使用等）
6. 根据需要配置任何产品支持的 IP 限制
7. 考虑其他与产品无关的访问控制，例如您允许专员在访问您的实例时使用的设备类型，以及对您的用户或允许的设备进行任何适用的物理、逻辑或政策控制。
Zendesk 负责对支持服务的系统进行所有访问控制，包括：
1. 维护安全配置、修改、持续清理、维护权限准确性和取消配置所有用户（包括内部部署、远程和第三方劳动力）的政策和程序
2. 针对所有员工和承包商对包含订阅者服务数据的关键系统和应用程序的访问，执行基于用户角色的访问控制“rbac”、最小权限原则“plp”、适当的凭证安全性，包括多重身份验证“MFA”
3. 对上述进行定期检查

II.整合
借助第三方可大幅提高效率，但同时也带来了安全注意事项。

订阅者有责任考虑利用其与服务进行的所有第三方整合的安全影响，包括：
1. 通过 API 和/或 SDK 进行的整合
2. 通过安装市场应用或启用第三方渠道进行的整合
3. 通过提供工作人员、工具、代码或直接为 Zendesk 实例提供服务，与任何支持订阅者的第三方进行整合
Zendesk 负责谨慎将声誉良好的第三方整合到服务中，包括：
1. 对所有子处理者的审查和持续尽职调查
2. 以安全的方式将收购整合到服务中
3. 确保与第三方的任何产品合作伙伴关系和/或服务整合都具有适当的安全注意事项

三、数据、隐私、合规和法规注意事项
必须考虑正在使用的数据及其适当处理方式，任何相关监管框架，以及第三方鉴证的重要性。

订阅者有责任妥善处理其获取和使用的数据，包括：
1. 了解特定用例中涉及的数据类型
2. 根据其公司的数据分类和隐私政策、与数据本身、提供数据的用户、订阅者行业以及任何相关司法管辖区相关的适用法律处理此类数据
3. 选择他们允许与其服务实例通信的渠道
4. 根据订阅者行业、用户或用例可能在范围内的任何适用的合规、法律或监管框架维护实例和服务数据
5. 如果需要将主机映射到非 Zendesk 父域名，以加密进出 Zendesk UI 或 API 的流量，则为 Zendesk 提供备用 TLS 证书
6. 了解哪些数据在传输过程中可能未加密，并相应处理此类渠道或协议（主要是电邮、短信或订阅者自行决定不支持加密的第三方整合）
7. 确保订阅者实例中涉及的数据类型不违反 Zendesk 主要服务协议（请参阅 Zendesk MSA）的条款和条件
8. 确保订阅者选择的正常运行时间和灾难恢复级别符合其应遵守的任何政策或法规
Zendesk 负责：
1. 在一个服务级别（即基础设施或代码）适当保护所有服务数据免遭泄露
2. 加密通过公共网络传入或传出我们的 UI 或 API 的数据传输过程
3. 加密所有静态服务数据
4. 为订阅者提供关于产品内 Cookie 收集的数据以及服务默认使用的信息
5. 准确描述我们如何以匿名和非匿名方式使用服务数据（包括个人数据）来提供我们的服务或其他。
6. 为订阅者提供工具和功能，帮助他们履行适当处理个人或受监管数据的义务。
7. 遵守与我们提供的服务和营业地点相关的适用法律和监管框架
8. 获取并提供与我们的服务相关的独立第三方合规保证

四.监测
适当的安全保护需要深入了解流程和活动。

订阅者有责任监测其服务实例中的所有活动，包括：
1. 监测用户活动（通过 UI 视图或 API 日志）
2. 对与未知个人的通讯或通过服务获取的不受信任的内容进行尽职调查
3. 根据任何适用法规维护从服务中提取的日志或数据
Zendesk 负责监测服务本身的流程和活动，包括：
1. 生产网络中的特权访问和活动
2. 需要对新到的流量发出警报，或阻止已知的不良提交或 IP 地址
3. 服务正常运行时间
4. 公司或生产网络资产中的异常行为
5. 代码、基础设施、流量以及相关员工或承包商人员的安全

V.维护
及时更新系统和代码并打上补丁可以避免许多安全问题。

订阅者负责对超出 Zendesk 架构和/或合同范围*的任何系统或代码进行维护和安装补丁，包括：
1. 其自己的基础设施，包括员工端点、网络、自定义基础设施或第三方中间件，用于在进入 Zendesk 系统之前或离开时用于访问 Zendesk 服务和/或进一步处理其服务数据
2. 利用其自己的非标准代码，为 Zendesk 服务提供额外功能，包括订阅者自行开发或购买用于 Zendesk 服务的内部或第三方开发的代码。这也包括 Zendesk 专业服务部应订阅者请求开发的任何自定义代码，前提是作为自定义互动的一部分，此类代码的责任及其维护已移交给订阅者。
Zendesk 负责在其架构和/或合同范围内，对所有系统和代码进行维护和修复，包括：
1. 其在托管提供商设施中自己逻辑管理的基础设施，用于提供服务，包括其直接控制下的操作系统、安全基础设施和系统、容器和协作系统等。
2. 其在 Zendesk 企业环境中使用的自己的物理和/或逻辑托管基础设施，例如员工端点、公司网络基础设施等。
3. 支持 Zendesk 服务的专有代码库。

* 请注意，虽然市场应用在 Zendesk 架构范围内运行，但它们不在 Zendesk 的标准 Master Services Agreement（主服务协议）范围内，而是受到订阅者和应用开发者之间特定条款的约束（详见我们的市场应用使用条款）。维护市场应用是市场应用的第三方开发者的责任。

六.安全事务
尽管已尽力，有时仍会出错。如何识别、响应安全事件并从中恢复是成功缓解并保持客户信任的关键。本节阐述了安全事件中各方的角色和责任。

订阅者应对其特定实例中的任何并非由服务本身的漏洞或事件引起或造成的安全事件或违规负责，包括

调查并修复特定实例中由于以下原因造成的任何疑似或实际违规行为：(i) 访问控制或卫生不足（包括使用较弱或可被利用的公共凭证），(2) 对用户活动监测不充分，(3) 未能履行应有义务对因与用户互动而产生的通讯或不可信内容的尽职调查，或 (iv) 因与任何第三方整合而产生的任何事件或违规（该等整合由订阅者自行决定）。
向政府或执法机构或终端用户发出与由订阅者操作、整合第三方造成的违规相关的任何必要通知，或与从 Zendesk 收到的关于订阅者实例的服务数据违规通知相关的通知

Zendesk 负责调查安全事件的控制措施，并通过服务本身通知受影响的订阅者发生的服务数据泄露，包括
1. 制定书面的安全事件响应政策，并为员工分配相关安全用户角色和职责
2. 调查异常活动
3. 包含任何已确认的服务数据泄露
4. 根据法律要求，通知任何受影响的订阅者或相关政府或执法机构。
5. 确保强大的备份和灾难恢复流程就位并经过测试