Zendesk 集团致力于为企业服务提供强大而全面的安全计划，包括本补充条款中规定的安全措施（以下简称“企业安全措施”）。在订阅期内，这些企业安全措施可能会随着标准的发展、我们认为合理必要的额外控制措施的实施或现有控制措施的修改而更改，且不另行通知。

我们使用的企业安全措施

我们将遵守这些企业安全措施，以保护提供企业服务合理必要的服务数据：

1.安全策略和人员。我们已经并将继续维护托管安全计划，以识别风险并实施适当控制，以及缓解常见攻击的技术和流程。我们会定期审查此计划，以确保其持续有效和准确性。我们已经并将继续维护一个全职信息安全团队，负责监测和审查我们网络、系统和服务的安全基础设施，响应安全事件，以及根据我们的安全政策制定和提供对我们员工的培训。

2.数据传输。我们将采取商业上合理的管理、实体和技术保障措施，以保护服务数据的安全性、机密性和完整性。这些保护措施包括对静态服务数据和通过互联网使用我们的用户界面或 API 传输（使用 TLS 或类似技术）的服务数据进行加密，任何不支持加密的非 Zendesk 服务除外，您可通过 Enterprise服务任您选择。

3.审核和认证。在遵守本协议中规定的保密义务的情况下，Zendesk 将应订阅者的请求，向非 Zendesk 竞争对手的订阅者（或订阅者的非 Zendesk 竞争对手的独立第三方审计员）提供关于 Zendesk 合规的信息。履行本协议中规定的义务，并以 Zendesk 的 ISO 27001 认证和/或 SOC 2（在适当的保密保护下）或 SOC 3 报告的形式体现。

4.事务响应。我们针对可能影响我们系统或数据机密性、完整性或可用性的安全事件制定了事件管理流程，其中包含响应时间。在该时间内，Zendesk 在验证发生影响您服务数据的安全事件后，将联系其订阅者。此流程指定了通知、升级、缓解和记录的操作方案和程序。事务响应计划包括 24 x 7 全天候集中监测系统和待命人员配备，以响应服务事务。除非执法部门或政府机构另有命令，否则您将在发生服务数据泄露四十八 (48) 小时内收到通知。“服务数据泄露”是指经验证已影响您的服务数据的未授权访问或不当披露。

5.访问控制和权限管理。我们将对生产系统的管理访问权限限制在已批准的人员范围内。我们要求此类人员具有唯一 ID 和关联密钥和/或使用复杂的临时密钥。这些密钥和/或密钥用于对我们系统中的每个人的活动进行身份验证和识别，包括对服务数据的访问。我们的已批准人员一经受聘，就会被分配唯一的 ID 和凭证。当人员被终止雇佣关系时，或怀疑此类凭证遭到泄露时，这些凭证将被撤销。访问权限和级别基于员工的工作职能和用户角色，使用最小权限和需要了解的概念，将访问权限与既定职责相匹配。

6.网络管理和安全。我们用于托管服务的子处理者维护行业标准完全冗余和安全的网络架构，具有合理足够的带宽和冗余网络基础设施，以减轻单个组件故障的影响。我们的安全团队使用行业标准实用程序来防御已知的常见未经授权的网络活动，监测安全公告列表中的漏洞，并定期进行外部漏洞扫描和审核。

7.数据中心环境和物理安全。被我们用于托管提供企业服务的子处理者环境，该环境采用以下安全措施：

• 专门负责 24x7x365 全天候物理安全功能的安全组织。
• 通过符合行业标准的安全措施和政策，限制进入数据中心内安装或存储系统或系统组件的区域。
• N+1 不间断电源和 HBA 系统、备用电源生成器架构和高级防火系统。

针对处理服务数据的第三方服务提供商采取的技术和组织企业安全措施

Zendesk 集团使用的任何第三方服务提供商仅可在提供 Enterprise 服务合理必要时访问您的帐户和服务数据。Zendesk 推行供应商安全审查计划，该计划旨在评估和管理因使用可访问服务数据的第三方服务提供商而涉及的任何潜在风险，且此类第三方服务提供商应满足《 主服务协议》中的其他要求。 ，他们实施以下适当技术和组织安全措施并维持合规：

1.物理访问控制。第三方服务提供商应采取合理措施，例如配备安全人员和设置安全建筑物，以防止未经授权的人员实际访问处理服务数据的数据处理系统。

2.系统访问控制。第三方服务提供商应采取合理措施，防止数据处理系统在未经授权的情况下被使用。这些控制措施应根据所进行的处理的性质而有所不同，可包括但不限于通过密码和/或双重身份验证进行的身份验证、记录在案的授权流程、记录的更改管理流程和/或记录多个级别的访问。

3.数据访问控制。第三方服务提供商应采取合理措施，规定服务数据仅可由经适当授权的员工访问和管理，限制直接的数据库查询访问，并建立和执行应用程序访问权限，以确保有权访问服务数据的人员只能访问他们有权访问的服务数据；并规定在处理过程中，未经授权，服务数据不可读取、复制、修改或移除。

4.传输控件。第三方服务提供商应采取合理措施，确保可检查并确定通过数据传输工具将服务数据传输到哪些实体，确保服务数据在未经授权的情况下不会被读取、复制、修改或移除。在电子传输或传输期间。

5.输入控件。第三方服务提供商应采取合理措施，确保可检查并确定服务数据是否以及由何人输入数据处理系统；与第三方服务提供商的任何服务数据传输均通过安全传输进行。

6.数据保护。第三方服务提供商应采取合理措施保护服务数据免受意外破坏或丢失。

7.逻辑分隔。第三方服务提供商应在其系统上将服务数据与其他方的数据逻辑隔离开来，以确保服务数据可以单独处理。

这些条款最近更新于 2022 年 6 月 1 日。