Zend亚博esk集团致力于为企业服务提供强大而全面的安全方案,包括本补充条款中规定的安全措施(“企业安全措施”)。在“订阅期限”内,我们认为合理必要的情况下,随着标准的发展、实施额外控制或修改现有控制,“企业安全措施”可能会发生变更,恕不另行通知。
我们采用的企业安全措施
我们将遵守这些企业安全措施,在提供企业服务的合理必要情况下保护服务数据:
1.安全政策和人员。我们拥有并将维持一个受管理的安全计划,以识别风险并实施适当的控制,以及用于常见攻击缓解的技术和流程。本计划将定期进行审查,以确保持续的有效性和准确性。我们拥有并将维持一个全职信息安全团队,负责监控和审查我们的网络、系统和服务的安全基础设施,响应安全事件,并根据我们的安全政策为我们的员工制定和提供培训。
2.数据传输。我们将维持商业上合理的行政、物理和技术保障措施,以保护“服务数据”的安全性、保密性和完整性。这些保障措施包括对静止的服务数据以及通过我们的用户界面或api(使用TLS或类似技术)在互联网上传输的服务数据进行加密,但不支持加密的任何非zendesk服务除外,您可以自行选择通过企业服务链接到该服务。亚博
3.审计和认证。应认购人要求,并在遵守本协议中规定的保密义务的前提下,Zendesk应以Zendesk ISO 27001认证和/或SOC 2(在适当的保密保护下)或SOC 3报告的形式,向非Zendesk竞争对手的认购人亚博(或非Zendesk竞争对手的认购人的独立第三方审计师)提供有关Zendesk遵守本协议中规定义务的信息。
4.事件反应。对于可能影响我们系统或数据的机密性、完整性或可用性的安全事件,我们有一个事件管理流程,其中包括Zendesk在核实影响您的服务数据的安全事件后将联系其订阅者的响应时间。亚博本程序规定了行动方针、通知、升级、缓解和文件编制程序。事件响应计划包括24×7集中监控系统和随叫随到人员,以响应服务事件。除非执法部门或政府机构另有命令,否则我们将在发生服务数据泄露事件的48(48)小时内通知您。“服务数据泄露”指未经授权的访问或不当披露,经核实已影响到您的服务数据。
5.访问控制和权限管理。我们将对生产系统的管理访问权限限制为经过批准的人员。我们要求这些人员拥有唯一的id和相关的加密密钥和/或使用复杂的临时令牌。这些密钥和/或令牌用于验证和识别每个人在我们系统上的活动,包括对服务数据的访问。一经录用,我们将为经批准的人员分配唯一的id和证书。在人员被解雇时,或在怀疑此类证书被泄露时,这些证书将被撤销。访问权限和级别基于我们员工的工作职能和角色,使用最小权限和需要知道基础的概念将访问权限与定义的职责相匹配。
6.网络管理与安全“,”我们用于托管服务的子处理器维护行业标准的完全冗余和安全的网络架构,具有合理足够的带宽以及冗余的网络基础设施,以减轻单个组件故障的影响。我们的安全团队使用行业标准实用程序来防御已知的常见未经授权的网络活动,监控安全咨询列表中的漏洞,并定期进行外部漏洞扫描和审计。
7.数据中心环境与物理安全。我们用于托管与我们提供企业服务相关的服务的子处理器环境采用了以下安全措施:
- 负责24x7x365物理安全功能的安全组织。
- 通过符合行业标准的安全措施和策略,限制访问数据中心内安装或存储系统或系统组件的区域。
- N+1不间断电源和暖通空调系统,备用发电机架构和先进的灭火。
处理业务数据的第三方服务提供商的技术和组织企业安全措施
Zendesk集团所使用的任何第三方服务提供商仅可在提供企业服务的合理必要情况下访问您的帐户和服务数据。亚博亚博Zendesk维护一个供应商安全审查程序,用于评估和管理使用这些有权访问服务数据的第三方服务提供商所涉及的任何潜在风险,该第三方服务提供商将遵守主订阅协议中的其他要求,并实施和保持遵守以下适当的技术和组织安全措施:
1.物理访问控制。第三方服务提供商应采取合理措施,如安全人员、安全建筑物等,防止未经授权的人员物理访问处理服务数据的数据处理系统。
2.系统访问控制。第三方服务提供者应当采取合理措施,防止未经授权使用数据处理系统。这些控制应根据所进行处理的性质而有所不同,在其他控制中,可能包括通过密码进行身份验证和/或双因素身份验证、文件化的授权过程、文件化的变更管理过程和/或多个级别的访问记录。
3.数据访问控制。第三方服务提供商应采取合理措施,确保只有经过适当授权的工作人员才能访问和管理服务数据,限制直接访问数据库查询,并建立和实施应用程序访问权,以确保有权访问服务数据的人只能访问他们有访问权限的服务数据;并且,在处理过程中,未经授权不得读取、复制、修改或删除服务数据。
4.传输控制。第三方服务提供商应采取合理措施,确保能够检查并确定通过数据传输设施传输服务数据的目标是哪些实体,从而使服务数据不能在电子传输或传输过程中未经授权被读取、复制、修改或删除。
5.输入控件。第三方服务提供商应采取合理措施,确保能够检查和确定服务数据是否已被何人输入数据处理系统、修改或删除;并且,任何向第三方服务提供商的服务数据传输都是通过安全传输进行的。
6.数据保护。第三方服务提供商应采取合理措施确保服务数据安全,防止意外破坏或丢失。
7.逻辑分离。第三方服务提供商应在其系统上对服务数据与其他方的数据进行逻辑隔离,以确保服务数据可以单独处理。
这些条款最后更新于2022年6月1日。
0评论
文章已停止评论。