Servizio clienti sicuro

Adotta precauzioni

Zendesk prende molto sul serio la sicurezza - lo possono testimoniare le aziende Fortune 100 e Fortune 500 che si affidano ai nostri prodotti. Abbiniamo caratteristiche di sicurezza di classe enterprise a funzioni complete per la verifica di applicazioni, sistemi e reti per garantire la protezione costante dei dati dei nostri clienti e, di conseguenza, quelli dei loro clienti.

Certificati di conformità e abbonamenti

Zendesk utilizza le migliori pratiche e gli standard del settore per raggiungere la conformità con i framework di sicurezza e privacy generali accettati dal settore, che a loro volta aiutano i nostri sottoscrittori a soddisfare i propri standard di conformità.

Conformità agli standard e sicurezza
SOC 2 Tipo II

Eseguiamo dei controlli di routine per ricevere delle relazioni SOC 2 tipo II, disponibili su richiesta e previa sottoscrizione di un accordo di non divulgazione (NDA). Richiedere l’ultima relazione SOC 2 tipo II.

ISO 27001:2013

Zendesk detiene la certificazione ISO 27001:2013. Scaricare il certificato.

ISO 27018:2014

Zendesk detiene la certificazione ISO 27018:2014. Il certificato è disponibile per il download qui.

ISO 27701:2019

Zendesk detiene la certificazione ISO 27701:2019. Il certificato è disponibile per il download qui.

FedRAMP LI-SaaS

Zendesk è autorizzato ai sensi del programma federale statunitense di gestione dei rischi e delle autorizzazioni (FedRAMP) con un Software-as-a-Service a basso impatto (LI-SaaS) ed è elencato nel Marketplace FedRAMP. I sottoscrittori dell’agenzia governativa statunitense possono richiedere accesso al pacchetto sicurezza Zendesk FedRAMP compilando un Modulo di richiesta di accesso al pacchetto o inviando una richiesta all’indirizzo fedramp@zendesk.com.

Conformità basata sul settore
Standard di sicurezza dei dati dell’industria delle carte di pagamento (PCI-DSS)

Zendesk Support mette a disposizione un campo carta di credito configurabile conforme allo standard PCI, che oscura tutte le cifre, tranne le ultime quattro. Informazioni sulla Conformità PCI presso Zendesk.

Legge statunitense sulla responsabilità e la portabilità dell’assicurazione sanitaria (HIPAA)
Hosting dei dati sanitari (HDS)
Abbonamenti
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk ha ricevuto il programma McAfee CloudTrust. Il programma garantisce il sigillo McAfee Enterprise-Ready solo a quei servizi che hanno il più alto rating CloudTrust™ possibile. Questi sono tra i servizi che hanno ottenuto CloudTrust™ di McAfee e una valutazione di McAfee Enterprise-Ready in base ai loro attributi nelle categorie di valutazione di dati, utenti e dispositivi, sicurezza, business e legale.

Cloud Security Alliance (CSA)

Zendesk è membro di Cloud Security Alliance (CSA), un'organizzazione no-profit con la missione di promuovere l'uso delle prassi ottimali allo scopo di garantire la sicurezza nel cloud computing. CSA ha lanciato il Security, Trust & Assurance Registry (STAR), un registro accessibile pubblicamente che documenta i controlli di sicurezza forniti da varie offerte di cloud computing. Zendesk ha completato un questionario di valutazione del consenso (CAIQ) pubblicamente disponibile, basato sui risultati della nostra autovalutazione di due diligence.

Il CSA CAIQ è disponibile qui.

Tecnologia dell’informazione - Centro di condivisione e analisi delle informazioni (IT-ISAC)

Zendesk è un membro di IT-ISAC, un gruppo volto a riunire un insieme variegato di società del settore privato per sfruttare una tecnologia in continua evoluzione e condividere l’impegno a favore della sicurezza. IT-ISAC facilita la collaborazione e la condivisione di informazioni pertinenti e fruibili e pratiche di intelligence sulle minacce informatiche. Modera dei gruppi di interesse speciale che si focalizzano su Intelligence, Minacce interne, Sicurezza fisica e altre aree specifiche che contribuiscono ulteriormente alla missione di tutelare Zendesk.

FIRST

Zendesk è un membro di FIRST, una confederazione internazionale di team di risposta agli incidenti che gestisce incidenti di sicurezza informatica in maniera collaborativa e promuove programmi di prevenzione degli stessi. I membri di FIRST sviluppano e condividono informazioni tecniche, strumenti, metodologie, processi e prassi ottimali. In qualità di membro di FIRST, Zendesk Security collabora con altri membri al fine di usare conoscenze, abilità ed esperienze combinate e così promuovere un ambiente elettronico globale più sicuro.

Sistema di qualificazione dei servizi finanziari (FSQS)

Zendesk soddisfa tutti i requisiti (Fase 1 e Fase 2) necessari per la registrazione nel sistema di qualificazione dei fornitori FSQS (Financial Services Qualification System), secondo quanto stabilito dalle organizzazioni partecipanti. Richiedere l’ultimo certificato FSQS qui.

Maggiori dettagli su FSQS https://hellios.com/fsqs/.

Artefatti

Possiamo fornire risorse aggiuntive su richiesta.

Risorse da scaricare direttamente (non NDA)

Certificati ISO 27001:2013

Certificato ISO 27018:2014

Certificato ISO 27701:2019

Relazione SOC 3

Scheda tecnica/White Paper

Attestato di conformità (AoC) PCI e certificato di conformità

Schemi dell'architettura di rete

  • Support/Guide
  • Chat
  • Talk

CSA CAIQ

Libro registro rischi

FSQS (Sistema di qualificazione dei servizi finanziari)

Ottieni le risorse
Risorse NDA

Le seguenti risorse possono richiedere un NDA in archivio. Fare clic sul pulsante per accedere.

Certificato di assicurazione

Relazione SOC 2 tipo II

Riepilogo dei test di penetrazione annuale

Riepilogo dei test di continuità aziendale e di disaster recovery

SIG Lite

VSA

HECVAT Lite

Gli attuali sottoscrittori possono accedere a queste risorse nell’interfaccia utente (UI) dell’Admin:

Sicurezza del cloud

Sicurezza fisica del centro dati
Strutture

Zendesk gestisce i dati in hosting principalmente presso centri dati AWS certificati secondo gli standard ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. Informazioni sulla conformità in AWS.

I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e i relativi dati. Informazioni sui controlli dei centri dati in AWS.

Sicurezza in loco

La sicurezza in loco in AWS include opzioni quali guardie giurate, recinzione, feed di sicurezza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Informazioni sulla sicurezza fisica di AWS.

Posizione di hosting dei dati

Zendesk si avvale di data center AWS negli Stati Uniti, in Europa e nell'area Asia Pacifico. Informazioni sulle sedi di hosting dei dati per i Dati di Servizio Zendesk.

Zendesk offre più scelte di località di dati tra cui Stati Uniti (USA), Australia (AU), Giappone (JP) o Spazio economico europeo (SEE). Per ulteriori informazioni su prodotti, piani e offerte regionali, consultare la nostra Politica regionale sull’hosting dei dati.

Sicurezza dei fornitori

Zendesk riduce al minimo i rischi associati ai fornitori di terze parti eseguendo verifiche di sicurezza su tutti i fornitori con qualsiasi livello di accesso ai nostri sistemi o ai Dati di Servizio.

Sicurezza di rete
Team di sicurezza dedicato

Il nostro team di sicurezza distribuito a livello globale è disponibile 24 ore su 24, 7 giorni su 7, per rispondere agli allarmi e agli eventi di sicurezza.

Protezione

La nostra rete è protetta attraverso l'uso di servizi di sicurezza AWS chiave, l'integrazione con le reti di protezione edge Cloudflare, audit regolari e tecnologie di network intelligence, che monitorano e/o bloccano il traffico dannoso noto e gli attacchi alla rete.

La nostra architettura di sicurezza della rete è costituita da più zone di sicurezza. I sistemi più sensibili come i server di database sono protetti nelle nostre zone più affidabili. Altri sistemi sono alloggiati in zone commisurate alla loro sensibilità, a seconda della funzione, della classificazione delle informazioni e del rischio. A seconda della zona, verranno applicati ulteriori controlli di sicurezza e di accesso. Le DMZ sono utilizzate per Internet, e internamente tra le diverse zone di fiducia.

Scansione delle vulnerabilità di rete

La scansione della sicurezza di rete ci fornisce informazioni approfondite per una rapida identificazione dei sistemi non conformi o potenzialmente vulnerabili.

Test di penetrazione di terze parti

Oltre al nostro vasto programma interno di scansione e analisi, ogni anno Zendesk assume esperti terzi in materia di sicurezza, addetti all’esecuzione di test esaustivi di penetrazione nelle reti aziendali e in quelle di produzione di Zendesk.

Gestione degli incidenti di sicurezza

Il sistema SIEM (Security Incident Event Management) raccoglie registri estesi da importanti dispositivi di rete e sistemi host. Il sistema SIEM avvisa su trigger che notificano il team di sicurezza sulla base di eventi correlati per l'indagine e la risposta.

Rilevamento e prevenzione delle intrusioni

I punti di ingresso e di uscita del servizio sono dotati di strumentazione e monitorati per rilevare comportamenti anomali. Questi sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano soglie predeterminate e utilizzano firme regolarmente aggiornate in base alle nuove minacce. Questo include il monitoraggio del sistema 24/7.

Programma di informazione sulle minacce

Zendesk partecipa a diversi programmi di condivisione delle informazioni sulle minacce. Monitoriamo le minacce pubblicate su queste reti di informazioni sulle minacce e intraprendiamo azioni in base al rischio.

Mitigazione DDoS

Zendesk ha architettato un approccio multilivello alla mitigazione DDoS. Una partnership tecnologica di base con Cloudflare fornisce difese del perimetro della rete, mentre l’utilizzo di strumenti di scalabilità e protezione AWS fornisce una protezione più profonda insieme al nostro utilizzo di servizi specifici AWS DDoS.

Accesso logico

L’accesso alla rete di produzione di Zendesk è limitato in base alla necessità esplicita di sapere, utilizza il privilegio minimo, è frequentemente controllato e monitorato, anche dal nostro team operativo. I dipendenti che accedono alla rete di produzione Zendesk devono utilizzare più fattori di autenticazione.

Risposta agli incidenti di sicurezza

In caso di un allarme di sistema, gli eventi sono portati all'attenzione dei nostri team disponibili 24/7 che forniscono assistenza per operazioni, ingegneria di rete e sicurezza. I dipendenti hanno ricevuto la formazione adeguata sui processi di risposta agli incidenti di sicurezza, compresi i canali di comunicazione e i percorsi di escalation.

Crittografia
Crittografia in transito

Tutte le comunicazioni con interfaccia utente e API Zendesk sono criptate tramite lo standard di settore HTTPS/TLS (TLS 1.2 o superiore) su reti pubbliche. Questo assicura che tutto il traffico tra l'utente e Zendesk sia sicuro durante il transito. Inoltre, per le e-mail, il nostro prodotto sfrutta TLS opportunistico per impostazione predefinita. Transport Layer Security (TLS) cripta e consegna le e-mail in modo sicuro, mitigando le intercettazioni tra i server di posta dove i servizi peer supportano questo protocollo. Le eccezioni per la crittografia possono includere qualsiasi uso della funzionalità SMS del prodotto, qualsiasi altra app di terze parti, integrazione o servizio che gli abbonati possono scegliere di sfruttare a propria discrezione.

Crittografica a riposo

I dati di servizio sono crittografati a riposo in AWS mediante chiave di crittografia AES-256.

Disponibilità e continuità
Tempo di disponibilità al servizio

Zendesk amministra una pagina web sullo stato del sistema disponibile al pubblico, che riporta dati sulla disponibilità, manutenzione programmata, cronologia degli incidenti di servizio ed eventi di sicurezza correlati.

Ridondanza

Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o la nostra offerta di Servizi di Ripristino di emergenza avanzato ci consentono di fornire un elevato livello di disponibilità del servizio, poiché i Dati di Servizio vengono replicati in tutte le zone di disponibilità.

Disaster recovery

Il nostro programma di Ripristino di emergenza (DR) garantisce che i nostri servizi rimangano disponibili e facilmente recuperabili in caso di disastro. Questo risultato si ottiene attraverso lo sviluppo di un ambiente tecnico affidabile, la creazione di piani di disaster recovery e le attività di test.

Disaster recovery avanzato

Il nostro pacchetto di Ripristino di emergenza avanzato aggiunge obiettivi contrattuali per l’obiettivo del tempo di ripristino (RTO) e l’obiettivo del punto di ripristino (RPO). Questi sono supportati attraverso la nostra capacità di dare la priorità alle operazioni di sottoscrittori di Ripristino di emergenza avanzato durante qualsiasi evento di disastro dichiarato.

Ulteriori informazioni sulle garanzie di ripristino di emergenza.

Sicurezza delle applicazioni

Sviluppo della sicurezza (SDLC)
Controlli di sicurezza del framework

Zendesk sfrutta moderni e sicuri framework open-source con controlli di sicurezza per limitare l'esposizione ai 10 principali rischi per la sicurezza OWASP. Questi controlli intrinseci riducono, tra l'altro, l'esposizione a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF).

Assicurazione qualità

Il reparto di assicurazione qualità esamina e testa il nostro codice base. Ingegneri dedicati alla sicurezza delle applicazioni nello staff individuano, testano e risolvono le vulnerabilità di sicurezza nel codice.

Ambienti separati

Gli ambienti di test e di staging sono logicamente separati dall'ambiente di produzione. Nessun dato di servizio viene utilizzato nei nostri ambienti di sviluppo o di test.

Gestione delle vulnerabilità
Scansione dinamica delle vulnerabilità

Utilizziamo strumenti di sicurezza di terze parti per eseguire la scansione continua e dinamica delle nostre applicazioni principali rispetto ai rischi comuni per la sicurezza delle applicazioni Web, tra cui, a titolo esemplificativo ma non esaustivo, i rischi per la sicurezza OWASP Top 10. Ci avvaliamo di un team interno dedicato alla sicurezza dei prodotti per eseguire i test e collaboriamo con i team di progettazione per risolvere qualsiasi problema rilevato.

Analisi della composizione del software

Scansioniamo le librerie e le dipendenze utilizzate nei nostri prodotti per identificare le vulnerabilità e garantire che le stesse siano gestite.

Test di penetrazione di terze parti

Oltre all'ampio programma interno di scansione e test, Zendesk si affida a esperti di sicurezza esterni per eseguire rigorosi test di penetrazione su diverse applicazioni della propria famiglia di prodotti.

Programma Bug Bounty/divulgazione responsabile

Il nostro Programma di divulgazione responsabile offre ai ricercatori sulla sicurezza nonché ai sottoscrittori una sede per eseguire in sicurezza dei test e notificare a Zendesk le vulnerabilità della sicurezza tramite la nostra partnership con HackerOne.

Sicurezza del prodotto

Autenticazione di sicurezza
Opzioni di autenticazione

Zendesk dispone di diverse opzioni di autenticazione: i sottoscrittori possono abilitare l’autenticazione nativa di Zendesk, il Single sign-on (SSO) sui social media (Facebook, Twitter, Google) e/o l’SSO aziendale (SAML, JWT) per l’autenticazione dell’utente finale e/o dell’agente. Informazioni sull’accesso utente.

Politica delle password configurabile

L’autenticazione nativa di Zendesk per prodotti disponibili tramite l’Admin Center fornisce i seguenti livelli di sicurezza della password: basso, medio e alto nonché norme personalizzate per la password per agenti e amministratori. Zendesk consente inoltre diversi livelli di sicurezza della password da applicare a utenti finali piuttosto che ad agenti e amministratori. Solo gli amministratori possono cambiare il livello di sicurezza delle password. Informazioni su politiche di password configurabili.

Autenticazione a 2 fattori (2FA)

L’autenticazione nativa di Zendesk per i prodotti disponibili tramite l’Admin Center offre l’autenticazione 2 fattori (2FA) per agenti e amministratori tramite SMS o un’app di autenticazione. Informazioni su 2FA.

Archiviazione delle credenziali di servizio

Zendesk segue le migliori pratiche di archiviazione delle credenziali sicure non memorizzando mai le password in formato leggibile dall’uomo e solo come risultato di un hash unidirezionale sicuro.

Ulteriori caratteristiche di sicurezza del prodotto
Controlli di accesso basati sui ruoli

L'accesso ai dati all'interno delle applicazioni Zendesk è gestito dal controllo di accesso basato sui ruoli (RBAC) e può essere configurato per definire privilegi di accesso granulari. Zendesk supporta vari livelli di autorizzazione per gli utenti (proprietario, amministratore, agente, utente finale, ecc.).

Informazioni sui ruoli utente:

Dettagli sulla sicurezza globale e sull’accesso degli utenti

Limitazioni IP

Qualsiasi account Zendesk può limitare l’accesso al proprio Zendesk Support per gli utenti all’interno di un intervallo specifico di indirizzi IP. Solo gli utenti dagli indirizzi IP consentiti saranno in grado di accedere al tuo account Zendesk. È possibile consentire ai sottoscrittori (non agli agenti o agli amministratori) di ignorare questa restrizione. Per ulteriori informazioni, consultare Limitazione dell’accesso al Zendesk Support e il proprio Centro assistenza utilizzando le restrizioni IP e Utilizzo delle restrizioni di accesso IP in Chat.

Certificati di crittografia ospitati per il Centro assistenza (TLS)

Zendesk fornisce la crittografia TLS gratuita per i centri assistenza di Guide mappati per gli host. Zendesk utilizza Let’s Encrypt per richiedere certificati e rinnova automaticamente il certificato prima della scadenza.

È possibile anche caricare il proprio certificato, se lo si desidera.

Per ulteriori informazioni sulla configurazione dei certificati di crittografia per un centro assistenza di Guide, vedere Impostazione di un certificato di crittografia TLS ospitato.

Limitazioni file in Chat

Zendesk Chat consente di limitare i tipi di file che vengono inviati agli agenti. In alternativa, è possibile scegliere di disattivare completamente l’invio di file nel prodotto Chat. Per saperne di più su questa funzione, si veda Gestione dell’invio di file in live chat.

Registri di controllo

Zendesk offre Registri di controllo agli account con piani Enterprise/Enterprise Plus. Questi registri includono modifiche dell’account, modifiche dell’utente, modifiche dell’app, regole aziendali, eliminazioni di ticket e impostazioni. Il Registro di controllo è disponibile sia nell’Admin Center che nell’API di Support. Per ulteriori informazioni sui Registri di controllo e per vedere quali informazioni sono disponibili all’interno del registro, vedere Visualizzazione del registro di controllo per le modifiche.

Allegati privati

I sottoscrittori possono configurare la propria istanza in modo che gli utenti siano tenuti ad accedere per visualizzare gli allegati dei ticket. Informazioni sugli allegati privati.

Redazione

Zendesk ha due tipi di redazione per la rimozione di dati sensibili: La redazione manuale consente la redazione o rimozione di dati sensibili in commenti ai ticket di Support nonché l’eliminazione di allegati in maniera sicura, in modo da poter proteggere informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket tramite l'interfaccia utente o l'API per impedirne la memorizzazione in Zendesk. Informazioni sulla redazione tramite l’UI o l’API.

La redazione automatica consente la redazione automatica di numeri di carta di credito dai ticket inviati dal sottoscrittore. Se abilitata, i numeri della carta di credito vengono parzialmente sostituiti con caselle vuote nel biglietto. Vengono inoltre redatti dai registri e dalle voci del database. Per ulteriori informazioni su come abilitare questa funzione e su come identificare i numeri delle carte di credito, si veda Redazione automatica dei numeri delle carte di credito dai ticket e dalle chat.

Filtro antispam per il centro di assistenza di Guide

Il servizio di filtraggio dello spam di Zendesk può essere utilizzato per impedire che i messaggi di spam degli utenti finali vengano pubblicati nel centro di assistenza di Guide. Informazioni sul filtraggio della posta indesiderata in Guide.

Forma delle e-mail (DKIM/DMARC)

Zendesk offre DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma di e-mail in uscita da Zendesk quando l’utente deve impostare un dominio e-mail esterno sul proprio Zendesk. L’utilizzo di un servizio di posta elettronica che supporta queste funzionalità aiuta l’utente a fermare lo spoofing delle e-mail. Ulteriori informazioni sulla firma digitale dell’e-mail.

Tracciamento dei dispositivi

Zendesk tiene traccia dei dispositivi utilizzati per accedere a ciascun account utente. Quando qualcuno accede a un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. L’utente può ricevere un’e-mail di notifica quando viene aggiunto un nuovo dispositivo e deve eseguire il follow-up se l’attività sembra sospetta. Le sessioni sospette possono essere terminate tramite l’UI dell’agente. Ulteriori informazioni sul tracciamento dei dispositivi.

Sicurezza HR

Sensibilizzazione alla sicurezza
Politiche

Zendesk ha sviluppato una serie completa di politiche di sicurezza che coprono svariati argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e collaboratori che hanno accesso alle risorse informative di Zendesk.

Formazione

Tutti i dipendenti partecipano a una formazione di sensibilizzazione alla sicurezza, impartita al momento dell'assunzione e in seguito annualmente. Tutti gli ingegneri ricevono una formazione annuale sul codice sicuro. Il team addetto alla sicurezza fornisce ulteriori aggiornamenti sulla sensibilizzazione alla sicurezza tramite e-mail, post sul blog e nelle presentazioni durante gli eventi interni.

Controllo dei dipendenti
Controlli dei precedenti personali

Zendesk esegue controlli dei precedenti personali di tutti i nuovi dipendenti in conformità alle leggi locali. Tali controlli sono richiesti anche per gli appaltatori. Il controllo dei precedenti personali include la verifica dei reati, dell'istruzione e dell'occupazione. Ciò vale anche per gli addetti alla pulizia.

Accordi di riservatezza

Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza.

Benvenuti al Programma globale sulla privacy

Zendesk ha un programma formale globale per la privacy e la protezione dei dati, che include le principali parti interessate interfunzionali, tra cui i settori Legale, Sicurezza, Prodotto ed Esecutivo dell’azienda. In qualità di sostenitori della privacy, lavoriamo diligentemente per garantire che i nostri Servizi e i membri del team si dedichino alla conformità con i quadri normativi e di settore applicabili.

Conformità

Legge australiana sulla privacy del 1988 e principi sulla privacy

La legge australiana sulla privacy del 1998 (come modificata) fornisce diversi diritti degli interessati e aggiunge la notifica obbligatoria delle violazioni dei dati ammissibili. A differenza del GDPR, non ci sono concetti di titolare del trattamento e responsabile del trattamento. https://www.zendesk.com/company/anz-privacy/

Addendum alla legge brasiliana sulla protezione dei dati (LGPD)

La Legge generale brasiliana sulla protezione dei dati o Lei Geral de Proteção de Dados Pessoais (“LGPD”), è entrata in vigore il 18 settembre 2020. L’LGPD è una legge completa sulla protezione dei dati che copre le attività dei titolari del trattamento e dei responsabili del trattamento e fornisce diritti individuali.

I sottoscrittori di Zendesk che raccolgono e memorizzano dati personali nei Servizi Zendesk possono essere considerati “titolari del trattamento” ai sensi del LGPD. I titolari del trattamento si assumono la responsabilità primaria di assicurare che il trattamento dei dati personali sia conforme alla pertinente legge in materia di protezione dei dati, inclusa la LGPD. Zendesk agisce come un “responsabile del trattamento”, come tale termine è definito nel LGPD, in relazione al trattamento dei dati personali attraverso i nostri Servizi.

I sottoscrittori possono visualizzare le nostre Guide ai prodotti e la Politica di eliminazione dei Dati di Servizio per informazioni più dettagliate su come utilizzare i prodotti di Zendesk e così allinearsi con le iniziative di conformità. L’autorità nazionale per la protezione dei dati (“ANPD”) può emettere ulteriori linee guida per l’LGPD in futuro. Zendesk continuerà a monitorare attivamente la legge e continueremo a tenere aggiornati i nostri sottoscrittori sulle funzionalità e sulle funzionalità che possono utilizzare per supportare i loro sforzi di conformità.

Se si desidera rivedere e/o sottoscrivere l’Addendum a LGPD di Zendesk all’Accordo quadro di sottoscrizione, si può cliccare qui. Il nostro Accordo quadro di sottoscrizione di Zendesk include “Termini specifici per regione”, in particolare una sezione per il Brasile.

Addendum al California Consumer Privacy Act (CCPA)

Il California Consumer Privacy Act, cod. civ. della California, §§ 1798.100 e seg. (“CCPA”) è una legge statunitense emanata nello Stato della California, entrata in vigore il 1° gennaio 2020. Approfondisce i diritti sulla privacy spettanti ad alcuni consumatori della California e impone ad alcune società la conformità con svariati requisiti in materia di protezione dei dati. Si prega inoltre di visitare i regolamenti finali CCPA e il California Privacy Rights Act (“CPRA”). Alcune disposizioni del CPRA sono entrate in vigore il 16 dicembre 2020, mentre le restanti disposizioni del CPRA sono entrate in vigore il 1° gennaio 2023.

I sottoscrittori di Zendesk che raccolgono e memorizzano informazioni personali nei Servizi Zendesk possono essere considerati “Aziende” ai sensi del CCPA. Le Aziende si assumono la responsabilità primaria di assicurare che il trattamento dei dati personali sia conforme alla pertinente legge in materia di protezione dei dati, inclusa la CCPA. Zendesk agisce come un “Fornitore del servizio”, come tale termine è definito nell’attuale versione della CCPA, in relazione al trattamento delle informazioni personali attraverso i nostri Servizi. Pertanto, Zendesk raccoglie, accede, mantiene, usa, tratta e trasferisce le informazioni personali dei propri sottoscrittori e dei relativi utenti finali trattate tramite i Servizi, esclusivamente al fine di adempiere ai propri obblighi imposti da uno o più contratti esistenti con i sottoscrittori; e per nessun altro scopo commerciale diverso da tale adempimento e dal miglioramento dei Servizi che fornisce.

Non “vendiamo” dati personali dei nostri sottoscrittori come definiti ai sensi del CCPA. Possiamo condividere informazioni aggregate e/o anonimizzate relative all’uso del/i Servizio/i, che non sono considerate informazioni personali ai sensi del CCPA, con terze parti. Tale condivisione ci aiuta a sviluppare e migliorare i Servizi nonché a fornire ai nostri sottoscrittori contenuti e offerte di servizi più pertinenti, come indicato nei nostri accordi con i sottoscrittori.

È possibile rivedere e/o sottoscrivere l’Addendum a CCPA di Zendesk all’Accordo quadro di sottoscrizione qui.

Legge canadese sulla protezione dei dati personali e dei documenti elettronici (PIPEDA)

La legge canadese sulla protezione delle informazioni personali e dei documenti elettronici è entrata in vigore nel 2000 ed è incentrata su dieci principi di informazione leale, che costituiscono le regole per la raccolta, l’uso, l’accesso e la divulgazione di informazioni personali. Nell’ottobre del 2021, l’International Technology Association of Canada e Information Technology Industry Council hanno suggerito modifiche a PIPEDA per fornire maggiori diritti di privacy e trasparenza ai cittadini canadesi.

Accordo sul trattamento dei dati (DPA)

È possibile rivedere e/o sottoscrivere il DPA di Zendesk qui. Il DPA di Zendesk copre le specifiche attività di trattamento e le misure di sicurezza applicabili ai nostri Servizi e incorpora la nuova clausola contrattuale tipo prevista dall’Unione europea.

Per aggiornare l’attuale DPA di Zendesk in modo da incorporare la nuova clausola contrattuale dell’Unione Europea e l’Addendum del Regno Unito, senza sottoscrivere un nuovo DPA, puoi esaminare e/o sottoscrivere qui l’Addendum sul trasferimento dei dati di Zendesk.

I sottoscrittori possono leggere le nostre Guide ai prodotti e la Politica di eliminazione dei dati di servizio per informazioni dettagliate su come utilizzare i prodotti Zendesk per fornire assistenza nel rispetto delle leggi sulla protezione dei dati e sulla privacy.

Regolamento generale sulla protezione dei dati (GDPR)

Fin dalla sua nascita, l’approccio di Zendesk è stato ancorato a un forte impegno per la privacy, la sicurezza, la conformità e la trasparenza. In questo approccio rientra il supporto alla conformità dei nostri sottoscrittori ai requisiti di protezione dei dati dell’UE, come quelli stabiliti nel Regolamento generale sulla protezione dei dati (“GDPR”).

Se un sottoscrittore raccoglie, trasmette, ospita o analizza i dati personali dei cittadini dell’UE, il GDPR richiede al sottoscrittore di servirsi di responsabili terzi del trattamento di dati, che garantiscano la loro capacità di implementare i requisiti tecnici e organizzativi del GDPR. Per guadagnare ulteriormente la fiducia dei nostri sottoscrittori, il nostro Accordo sul trattamento dei dati (“DPA”) è stato aggiornato per fornire ai nostri clienti impegni contrattuali in merito alla nostra conformità alla legge UE sulla protezione dei dati applicabile e per implementare ulteriori disposizioni contrattuali richieste dal GDPR.

Norme vincolanti d’impresa (BCR): Le Norme vincolanti d’impresa (BCR) sono politiche di protezione dei dati a livello aziendale approvate dalle autorità europee per la protezione dei dati per facilitare i trasferimenti intragruppo di dati personali dallo Spazio economico europeo (“SEE”) a Paesi al di fuori del SEE. Le BCR si basano su rigorosi principi di privacy stabiliti dai garanti per la protezione dei dati dell’Unione europea e richiedono un’intensa consultazione con tali autorità. I sottoscrittori possono trovare l’elenco completo delle entità approvate nell’elenco delle Norme vincolanti d’impresa approvate qui. Nel 2017 Zendesk ha completato il processo di approvazione dell’UE delle BCR con il Commissario irlandese per la protezione dei dati (“DPC”) (esaminate dall’Ufficio del Commissario per le Informazioni del Regno Unito e dal garante olandese per la protezione dei dati) in qualità di responsabile del trattamento e titolare del trattamento. Questa significativa approvazione normativa ha validato l’introduzione, da parte di Zendesk, dei più elevati standard possibili di protezione dei dati personali a livello globale, così tutelando sia i dati personali dei suoi clienti che dei suoi dipendenti. Zendesk è una delle prime società di software al mondo ad aver ricevuto l’approvazione delle proprie BCR ed è stata la seconda società in assoluto a ricevere l’approvazione del DPC irlandese.

Per accedere alle BCR di Zendesk, visitare:
Norme vincolanti d’impresa per responsabili del trattamento di Zendesk che si applicano quando Zendesk tratta dati personali per conto dei suoi clienti
e
Norme vincolanti d’impresa per responsabili del trattamento di Zendesk che si applicano quando Zendesk tratta dati personali per i quali è un titolare del trattamento.

Richieste di interessati: Una persona fisica che cerca di esercitare i propri diritti di protezione dei dati in relazione ai dati personali da noi memorizzati o trattati per conto di un nostro sottoscrittore all’interno dei Dati di Servizio del sottoscrittore (incluso per cercare di accedere a, o per rettificare, modificare, cancellare, trasmettere o limitare il trattamento di tali dati personali) dovrebbe indirizzare la sua richiesta al nostro sottoscrittore (il titolare del trattamento). Al ricevimento di una richiesta da parte di uno dei nostri sottoscrittori di rimuovere dati personali da Zendesk, risponderemo a tale richiesta entro trenta (30) giorni. Conserveremo i dati personali in nostro possesso che trattiamo per conto dei nostri sottoscrittori per il tempo necessario a fornir loro i Servizi.

Responsabile della protezione dei dati: Il Responsabile della protezione dei dati (“DPO”) di Zendesk può essere contattato all’indirizzo euprivacy@zendesk.com.

Scudo per la privacy: Il Dipartimento del commercio degli Stati Uniti, con la Commissione europea e il governo svizzero, hanno creato gli Scudi per la Privacy UE-USA e Svizzera-USA (“Scudo per la privacy”) per fornire alle aziende un meccanismo per il trasferimento dei dati personali dall’Unione Europea agli Stati Uniti in modo da fornire un livello adeguato di protezione ai fini della legge europea sulla protezione dei dati. Zendesk ha certificato la propria conformità agli Scudi per la privacy UE-USA e Svizzera-USA al Dipartimento del Commercio degli Stati Uniti ed è stata aggiunta all’elenco dei partecipanti autocertificati allo Scudo per la privacy del Dipartimento del Commercio. Le nostre certificazioni confermano che rispettiamo i principi dello Scudo per la privacy per il trasferimento di dati personali europei e svizzeri negli Stati Uniti.

Il 16 luglio 2020 la Corte di giustizia dell’Unione europea (“CGUE”) ha emesso una sentenza che invalida il programma. dello Scudo per la privacy UE-USA. Immaginiamo che possano insorgere domande riguardo all’invalidazione dello Scudo per la privacy e la posizione di Zendesk in merito, pertanto abbiamo pubblicato questo post sul blog che cerca di dare una risposta a tali dubbi.

France Hébergeur de Données de Santé (HDS o Hosting dei dati sanitari)

HDS consente ai fornitori di assistenza sanitaria in Francia di utilizzare la piattaforma di assistenza clienti e coinvolgimento di Zendesk con la certezza che la nostra piattaforma dispone di misure tecniche e di governance adeguate per proteggere e proteggere le informazioni sanitarie personali (PHI). Maggiori informazioni sono disponibili qui.

Il Privacy Act 2020 della Nuova Zelanda e i suoi principi sulla privacy delle informazioni

La legge sulla privacy neozelandese del 2020 è entrata in vigore il 1° dicembre 2020 e si applica alle agenzie e mantiene il quadro basato sui principi della legge del 1993. La legge del 2020 stabilisce che le organizzazioni sono responsabili di garantire che le informazioni personali inviate al di fuori della Nuova Zelanda siano adeguatamente protette e aggiungano requisiti obbligatori di notifica delle violazioni. https://www.zendesk.com/company/anz-privacy/

Legge sulla protezione dei dati personali di Singapore (PDPA)

La legge sulla protezione dei dati personali di Singapore stabilisce le leggi sulla protezione dei dati che disciplinano la raccolta, l’uso e la divulgazione di dati personali a partire dal 2 luglio 2014. Zendesk è un Data Intermediary Infocomm Development Authority of Singapore (Ida) riconosciuto come fornitore di servizi Software-as-a-Service (“SaaS”). Maggiori informazioni sono disponibili qui.

GDPR del Regno Unito e Brexit

Il Regno Unito è uscito dall’Unione europea il 31 gennaio 2020. Il 28 giugno 2021, la Commissione europea ha adottato decisioni di adeguatezza per i trasferimenti di dati personali nel Regno Unito ai sensi del GDPR.

Legge statunitense sulla responsabilità e la portabilità dell’assicurazione sanitaria (HIPAA) e Accordo di associazione aziendale (BAA)

Per ottenere un Account abilitato per HIPAA, è necessario (1) acquistare il Servizio associato alla sicurezza avanzata o il Componente aggiuntivo di servizio associato alla conformità avanzata; (2) abilitare una serie di configurazioni di sicurezza come delineato da Zendesk; e (3) sottoscrivere il nostro Accordo di associazione aziendale (“BAA”). Per ulteriori dettagli, incluso un elenco di quali servizi possono essere abilitati per HIPAA, consultare Conformità avanzata.

Dettagli dei Dati di Servizio del sottoscrittore

Per Dati di Servizio si intendono tutte le informazioni, compresi i dati personali, che sono conservate o trasmesse tramite i Servizi Zendesk da, o per conto di, i nostri sottoscrittori e i loro utenti finali. Ci serviamo dei Dati di Servizio per gestire e migliorare i nostri Servizi, aiutare i clienti ad accedere e usare i Servizi, rispondere alle richieste dei sottoscrittori e inviare comunicazioni relative ai Servizi.

Ulteriori informazioni

Accesso: Zendesk fornisce una serie avanzata di funzioni di accesso e crittografia per aiutare i clienti a proteggere efficacemente le loro informazioni. Non accediamo o utilizziamo i contenuti dei clienti per qualsiasi scopo diverso dalla fornitura, manutenzione e miglioramento dei servizi di Zendesk e come altrimenti richiesto dalla legge. Vedere qui per ulteriori informazioni.

Hosting dei dati: Zendesk utilizza Amazon Web Services per ospitare i Dati di Servizio come descritto qui e nella Politica regionale sull’hosting dei dati. Per ulteriori informazioni, consultate anche la sezione Sicurezza.

Tipi di dati predefiniti raccolti dal Servizio: Zendesk ha creato un elenco di punti dati, classificati per prodotto. Per un quadro completo dei tipi di dati, i sottoscrittori possono servirsi di questo elenco unitamente al relativo caso d’uso specifico e i derivanti tipi di dati.

Richieste legali o governative: Privacy, sicurezza dei dati e fiducia dei sottoscrittori sono le nostre principali priorità. Zendesk non divulga i Dati di Servizio, ad eccezione di quanto necessario per fornire i nostri Servizi e per rispettare le leggi applicabili, come specificato nella nostra Informativa sulla privacy. Per assistere i nostri sottoscrittori nell’esecuzione delle verifiche di conformità, abbiamo risorse aggiuntive: Relazione sulla trasparenza e Politica sulle richieste governative.

Titolarità: Dal punto di vista della privacy, il sottoscrittore è il titolare del trattamento dei Dati di Servizio e Zendesk è un responsabile del trattamento. Ciò significa che per tutto il tempo in cui si è abbonati ai servizi con Zendesk, si mantiene la proprietà e il controllo dei Dati di Servizio nella propria istanza di Zendesk.

Replica: Zendesk replica periodicamente i dati per scopi di archiviazione, backup e registri di controllo. Utilizziamo Amazon Web Services (AWS) per archiviare alcune delle informazioni di cui viene eseguito il backup, come le informazioni del database e i file allegati. Per ulteriori dettagli, consultare la nostra Politica regionale sull’hosting dei dati.

Sicurezza: Zendesk dà priorità alla sicurezza dei dati e combina opzioni di sicurezza di classe enterprise con controlli completi delle proprie applicazioni, sistemi e reti per assicurare la protezione di sottoscrittori e dati aziendali. Vedere ulteriori informazioni qui.

Incidenti di sicurezza: Per ulteriori informazioni sulla gestione degli incidenti di sicurezza, consultare la nostra Risposta agli incidenti di sicurezza.

Sub-responsabili del trattamento: Zendesk può servirsi di sub-responsabili del trattamento, ivi comprese le proprie collegate, nonché di società terze, per la fornitura, la sicurezza o il miglioramento dei Servizi e tali sub-responsabili del trattamento sono autorizzati ad accedere ai Dati di Servizio. La nostra politica sui sub-responsabili del trattamento fornisce un elenco aggiornato dei nomi e delle posizioni di tutti i sub-responsabili del trattamento.

Risoluzione: Zendesk mantiene una Politica di eliminazione dei Dati di Servizio che descrive i suoi processi di eliminazione dei dati alla risoluzione o scadenza dell’abbonamento di Zendesk da parte del sottoscrittore.

Politiche relative alla Privacy

Politiche

Informazioni dettagliate su come e quando utilizziamo i cookie sui Siti web Zendesk.

Fornisce informazioni su come e quando Zendesk utilizza i cookie all’interno dei Servizi Zendesk.

Come vengono eliminati i Dati di Servizio dei nostri sottoscrittori in relazione alla cancellazione, risoluzione o migrazione di un Account all’interno dei Servizi Zendesk.

Questo quadro chiarisce quale parte è responsabile per i controlli relativi alla sicurezza e alla privacy dei tuoi dati.

Caratteristiche dell’applicazione relative alla privacy

Strumenti di protezione della privacy e dei dati

Zendesk dispone di strumenti per ciascuno dei propri prodotti per contribuire alle richieste degli utenti e altri obblighi ai sensi delle leggi e dei regolamenti applicabili sulla privacy e sulla protezione dei dati, come l’accesso ai dati, la rettifica, la portabilità, la cancellazione e l’opposizione al trattamento. Per informazioni sulle caratteristiche e le funzionalità di ciascun prodotto Zendesk, vedere Rispetto della privacy e della protezione dei dati nei prodotti Zendesk.

Gestione dell’accesso

Zendesk fornisce una serie avanzata di funzioni di accesso e crittografia per aiutare i sottoscrittori a proteggere efficacemente le loro informazioni. Non accediamo o utilizziamo i dati dei sottoscrittori per qualsiasi scopo diverso dalla fornitura, manutenzione e miglioramento dei Servizi di Zendesk e come altrimenti richiesto dalla legge applicabile. Maggiori informazioni sono disponibili qui.

Certificazioni

Zendesk ha ottenuto un numero di certificazioni e accreditamenti riconosciuti a livello internazionale a dimostrazione della conformità con regimi di garanzia di terze parti. Le certificazioni di sicurezza sono descritte qui.

Località di hosting dei dati

I sottoscrittori che acquistano il Servizio Associato Distribuito di posizione del centro dati (“Add-on della posizione del centro dati”) o hanno la funzionalità della posizione del centro dati nel loro piano di servizio, hanno la possibilità di selezionare la regione che ospiterà i loro Dati di Servizio da un elenco di regioni disponibili di Zendesk.

Protezione dei dati fin dalla progettazione

Zendesk ha un solido programma globale per la privacy e la protezione dei dati, che adotta un approccio unificato alla privacy e alla governance delle informazioni per offrire ai clienti la flessibilità di gestire i dati personali presenti all’interno dei sistemi di Zendesk. Per ulteriori dettagli, consultare le nostre guide sui prodotti: Rispetto della privacy e della protezione dei dati nei prodotti Zendesk.

Redazione / Minimizzazione dei dati

Zendesk ha due tipi di redazione per la rimozione di dati sensibili:

La redazione manuale consente la redazione o rimozione di dati sensibili in commenti ai ticket di Support nonché l’eliminazione di allegati in maniera sicura, in modo da poter proteggere informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket tramite l'interfaccia utente o l'API per impedirne la memorizzazione in Zendesk. Informazioni sulla redazione tramite l’UI o l’API.

La redazione automatica consente la redazione automatica dei numeri di carta di credito dai ticket inviati dall’agente o dall’utente finale. Se abilitata, i numeri della carta di credito vengono parzialmente sostituiti con caselle vuote nel biglietto. I numeri sono anche redatti dai registri e dalle voci del database. Scoprire come abilitare questa funzione e come vengono identificati i numeri delle carte di credito.

Relazione sulla trasparenza

Divulgazione di Dati di Servizio: Zendesk divulga i Dati di Servizio a terzi solo laddove la divulgazione sia necessaria per fornire o migliorare i servizi o come richiesto per rispondere a richieste legittime da parte di autorità pubbliche. Si prega di consultare la nostra Politica sulle richieste governative di dati, nonché la Relazione sulla trasparenza di Zendesk.