Säker kundservice

Skydd från grunden

Zendesk tar säkerhet på stort allvar. Vi använder en kombination av säkerhetsfunktioner i storföretagsklass och omfattande granskningar av våra program, system och nätverk för att se till att dina data alltid är skyddade, vilket betyder att alla kunder kan ta det lugnt – även våra egna.

Efterlevnadscertifieringar och medlemskap

Zendesk använder best practice och branschstandarder för att uppfylla de de allmänna ramverk för säkerhet och sekretess som är accepterade i branschen, vilket i sin tur hjälper våra kunder att följa deras egna efterlevnadsstandarder.

Säkerhetsefterlevnad
SOC 2 Typ II

Vi genomgår rutinmässiga granskningar för att få uppdaterade SOC 2 Typ II-rapporter som finns tillgängliga på begäran och enligt sekretessavtal. Begär den senaste SOC 2 Type II-rapporten.

ISO 27001:2013

Zendesk är ISO 27001:2013-certifierat. Hämta certifikatet.

ISO 27018:2014

Zendesk är ISO 27018:2014-certifierat. Du kan ladda ner certifieringen här.

ISO 27701:2019

Zendesk är ISO 27701:2019-certifierat. Du kan ladda ner certifieringen här.

FedRAMP LI-SaaS

Zendesk är FedRAMP-auktoriserat hos LI-SaaS (Low Impact Software-as-a-Service) och listat på FedRAMP Marketplace. Amerikanska myndighetskunder kan begära åtkomst till Zendesk FedRAMP Security Package genom att fylla i en begäran om åtkomst till säkerhetspaketet eller skicka en begäran till fedramp@zendesk.com.

Branschbaserad efterlevnad
PCI-DSS

Zendesk Support har ett konfigurerbart PCI-kompatibelt kreditkortsfält som redigerar bort allt utom de fyra sista siffrorna. Läs mer om PCI-kompatibilitet på Zendesk.

Medlemskap
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk har tilldelats McAfee CloudTrust Program. Programmet tilldelar bara sigillet McAfee Enterprise-Ready till tjänster som har fått högsta möjliga CloudTrust™-betyg. De tillhör tjänsterna som har tilldelats McAfee's CloudTrust™ och sigillet McAfee Enterprise-Ready baserat på attribut i kategorierna data, användare och enhet, säkerhet, verksamhet och juridisk utvärdering.

Cloud Security Alliance (CSA)

Zendesk är medlem i Cloud Security Alliance (CSA), en ideell organisation med målet att främja användningen av best practice för att ge säkerhetsgarantier inom molnbaserad databehandling. CSA har lanserat STAR (Security, Trust & Assurance Registry), ett offentligt register som dokumenterar de säkerhetskontroller som tillhandahålls av olika molnbaserade databehandlingsprodukter. Zendesk har fyllt i ett offentligt tillgängligt CAI-frågeformulär (Consensus Assessment Initiative) utifrån resultatet av vår självutvärdering för due diligence.

CSA:s CAI-frågeformulär är tillgängligt här.

IT-ISAC

Zendesk är medlem i IT-ISAC, en grupp som fokuserar på att samla olika företag inom den privata sektorn för att utnyttja ny teknik och få ett gemensamt åtagande för säkerhet. IT-ISAC gör det möjligt att samarbeta och dela relevant, användbar information om och praxis för hot. De modererar grupper med specialintressen som fokuserar på information, insiderhot, fysisk säkerhet och andra fokusområden som bidrar till vårt arbete med att skydda Zendesk.

FIRST

Zendesk är medlem i FIRST, en internationell sammanslutning av incidenthanteringsteam som tillsammans hanterar datorsäkerhetsincidenter och främjar program för incidentprevention. FIRST-medlemmar tar fram och delar teknisk information, verktyg, metoder, processer och best practices. Som medlem i FIRST samarbetar Zendesk Security med andra medlemmar och använder den kombinerade kunskapen för att skapa en säkrare och mer skyddad global elektronisk miljö.

Financial Services Qualifications System (FSQS)

Zendesk har uppfyllt alla krav (stadium 1 och stadium 2) för att bli fullt registrerade i FSQS (Financial Services Qualification System) system för leverantörskvalificering enligt vad som anges av de deltagande inköpsorganisationerna. Begär det senaste FSQS-certifikatet här.

Läs mer om FSQS https://hellios.com/fsqs/.

Artefakter

Vi kan tillhandahålla ytterligare resurser på begäran.

Resurser för direkt nedladdning (ej sekretessavtal)

ISO 27001:2013-intyg

ISO 27018:2014-intyg

ISO 27701:2019-intyg

SOC 3-rapport

Datablad/vitbok

PCI-bevis på överensstämmelse (AoC) och intyg om överensstämmelse

Diagram över nätverksarkitektur

  • Support/Guide
  • Chat
  • Talk

CSA CAIQ

Risk Ledger

FSQS (Financial Services Qualification System)

Hämta resurser
Sekretessavtalsresurser

Följande resurser kan kräva att vi har ett registrerat sekretessavtal. Klicka på knappen för att få åtkomst.

Försäkringsbevis

SOC 2 Typ II-rapport

Sammanfattning av årligt penetrationstest

Sammanfattning av affärskontinuitets- och katastrofåterställningstest

SIG Lite

VSA

HECVAT Lite

Nuvarande abonnenter kommer åt det här resurserna via administratörsgränssnittet:

Molnsäkerhet

Fysisk säkerhet för datacenter
Anläggningar

Zendesk placerar tjänstdata huvudsakligen i AWS-datacenter som har certifierats enligt ISO 27001, PCI DSS Service Provider Level 1 och/eller SOC 2. Läs mer om efterlevnad på AWS.

AWS infrastrukturtjänster är exempelvis reservkraft, VVS-system och brandsläckningsutrustning som skyddar servrarna och i slutänden dina data. Läs mer om datacenterkontroller på AWS.

Lokal säkerhet

I AWS lokala säkerhet ingår ett antal funktioner som säkerhetsvakter, avgränsningar, säkerhetsfeeds, intrångsidentifieringsteknik och andra säkerhetsåtgärder. Läs mer om AWS fysiska säkerhet.

Värdplats för data

Zendesk använder AWS-datacenter i USA, Europa och Asien och Stillahavsområdet. Läs mer om värdplatser för Zendesk-tjänsters data.

Zendesk erbjuder flera alternativ för datalagring, bland annat USA (US), Australien (AU), Japan (JP) eller Europeiska ekonomiska samarbetsområdet (EEA). För mer information om produkter, planer och regionala erbjudanden se vår policy om regionala värdplatser.

Leverantörssäkerhet

Zendesk minimerar risker förknippade med tredjepartsleverantörer genom att utgöra säkerhetskontroller av samtliga leverantörer med någon form av tillgång till våra system eller tjänstedata.

Nätverkssäkerhet
Dedikerat säkerhetsteam

Vårt globalt distribuerade säkerhetsteam är tillgängligt dygnet runt, alla dagar för att hantera varningar och händelser som rör säkerheten.

Skydd

Vårt nätverk är skyddat genom användningen av AWS-säkerhetstjänster, integration med våra kantskyddsnätverkt Cloudflare, regelbundna granskningar och nätverksintelligenstekniker som övervakar och blockerar känd skadlig trafik och nätverksattacker.

Vår arkitektur för nätverkssäkerhet består av flera säkerhetszoner. Känsligare system som databasservrar skyddas i våra mest betrodda zoner. Andra system är placerade i zoner som står i proportion till deras känslighet, beroende på funktion, informationsklassificering och risk. Beroende på zon används ytterligare säkerhetsövervakning och åtkomstkontroller. DMZ används mellan internet och internt mellan de olika tillförlitlighetszonerna.

Skanning av nätverkssårbarhet

Skanning av nätverkssäkerheten ger oss omfattande insikter för snabb identifiering av system som saknar efterlevnad eller är potentiellt sårbara.

Tredjeparts penetrationstester

Utöver omfattande interna skanningar och testprogram anlitar Zendesk varje år säkerhetsexperter från tredje part för att genomföra ett brett penetrationstest i Zendesks produktions- och företagsnätverk.

Hantering av säkerhetsincidenter

Vårt SIEM-system (Security Incident Event Management) samlar in omfattande loggar från viktiga nätverksenheter och vårdsystem. SIEM varnar vid utlösare baserade på korrelerade händelser och meddelar säkerhetsteamet för undersökning och åtgärder.

Identifiering och förebyggande av intrång

In- och utgångspunkterna till tjänsten är utrustade med mätinstrument och övervakas för att identifiera onormalt beteende. Systemen är konfigurerade för att generera varningar när incidenter och värden överstiger förutbestämda tröskar och använder regelbundet uppdaterade signaturer baserade på nya hot. Här ingår också systemövervakning dygnet runt, alla dagar.

Hotinformationsprogram

Zendesk deltar i flera program för delning av hotinformation. Vi övervakar hot som publiceras i de här hotinformationsnätverken och vidtar åtgärder baserat på risk.

DDoS-reducering

Zendesk har utformat en flerskiktad metod för DDoS-reducering. Ett teknikpartnerskap med Cloudflare ger skydd för nätverkskanterna och användningen AWS verktyg för skalning och skydd ger ett djupare skydd tillsammans med användningen av AWS DDoS-specifika tjänster.

Logisk åtkomst

Åtkomsten till Zendesks produktionsnätverk är uttryckligen begränsad till need-to-know, använder lägsta behörighet, granskas och övervakas ofta och kontrolleras av vårt Operations Team. Medarbetare som använder Zendesks produktionsnätverk måste använda flera autentiseringsfaktorer.

Respons på säkerhetsincidenter

Vid systemvarningar eskaleras händelserna till våra drift-, nätverksteknik- och säkerhetsteam som arbetar dygnet runt, alla dagar. Medarbetarna är utbildade i processerna för säkerhetsincidentrespons, inklusive kommunikationskanaler och eskaleringsvägar.

Kryptering
Kryptering under transitering

All kommunikation med Zendesks användargränssnitt och API:er krypteras enligt branschsstandarden HTTPS/TLS (TLS 1.2 eller senare) via publika nätverk. På så sätt säkerställs att all trafik mellan dig och Zendesk är säker under transit. För e-post använder vår produkt opportunistisk TLS som standard. TLS (Transport Layer Security) krypterar och levererar e-post säkert och reducerar tjuvlyssning mellan e-postservrar där peer-tjänster stöder det här protokollet. Undantag från kryptering kan vara användning av sms-funktionen i en produkt, tredjpartsappar, integration och tjänster som abonnenter kan välja att använda på egen risk.

Kryptering i vila

Tjänstdata krypteras i vila i AWS med AES-256-kryptering.

Tillgänglighet och kontinuitet
Drifttid

Zendesk har en offentligt tillgänglig webbsida med systemstatus med bland annat information om systemtillgänglighet, planerat underhåll, historik över serviceincidenter och relevanta säkerhetshändelser.

Redundans

Zendesk använder tjänstkluster och nätverksredundans för att undvika systemkritiska felpunkter. Vår strikta säkerhetskopiering och/eller vår tjänst Förbättrad katastrofåterställning gör att vi kan erbjuda mycket tillgängliga tjänster, eftersom tjänstdata replikeras i flera tillgänglighetszoner.

Katastrofåterställning

Vårt program för katastrofåterställning (DR, Disaster Recovery) säkerställer att våra tjänster förblir tillgängliga och är enkla att återställa i händelse av katastrof. Vi uppnår det genom att bygga en robust teknisk miljö, utforma katastrofåterställningsplaner och testa aktiviteter.

Förbättrad katastrofåterställning

Med vårt paket Förbättrad katastrofåterställning får man avtalade mål för längsta tid för återställning (RTO) och längsta tid för dataförlust (RPO). Målen stöds genom att vi prioriterar driften för Förbättrad katastrofåterställning-kunder under en katastrofhändelse.

Få mer information om garantier vid katastrofåterställning.

Programsäkerhet

Säkerhetsutveckling (SDLC)
Säkerhetskontroller för ramverket

Zendesk använder moderna och säkra ramverk med öppen källkod och säkerhetskontroller för att begränsa exponeringen för OWASP Top 10-säkerhetsriskerna. De inbyggda kontrollerna minskar exponeringen för bland annat SQL Injection (SQLi), Cross Site Scripting (XSS) och Cross Site Request Forgery (CSRF).

Kvalitetssäkring

Vår kvalitetssäkringsavdelning (QA) granskar och testar vår kodbas. Särskilda programsäkerhetstekniker identifierar, testar och sorterar sårbarheter i koden.

Separata miljöer

Test- och stagingmiljöer är logiskt separerade från produktionsmiljön. Inga tjänstdata används i våra utvecklings- eller testmiljöer.

Hantering av sårbarheter
Dynamisk skanning av sårbarheter

Vi använder tredjeparts säkerhetsverktyg för att kontinuerligt och dynamiskt söka igenom våra centrala program på jakt efter vanliga säkerhetsrisker för webbprogram, inklusive men inte begränsat till de tio främsta säkerhetsriskerna på OWASP-listan. Vi har ett dedikerat internt produktsäkerhetsteam som testar och samarbetar med teknikteamen för att åtgärda alla problem som upptäcks.

Analys av programsammansättning

Vi söker igenom de bibliotek och beroenden som används i våra produkter för att upptäcka sårbarheter och se till att sårbarheterna hanteras.

Tredjeparts penetrationstestning

Utöver de interna skannings- och testningsprogrammen anlitar Zendesk säkerhetsexperter från tredje part för att utföra detaljerade penetrationstester på olika program i vår produktfamilj.

Ansvarsfullt avslöjande/Bug Bounty-program

Med vårt program för ansvarsfullt avslöjande kan säkerhetsforskare och kunder på ett säkert sätt testa och meddela Zendesk om sårbarheter via vårt partnerskap med HackerOne.

Produktsäkerhet

Autentiseringssäkerhet
Autentiseringsalternativ

Zendesk erbjuder flera autentiseringsalternativ: Kunder kan aktivera Zendesks inbyggda autentisering, använda enkel inloggning via sociala medier (SSO), (Facebook, Twitter, Google) och eller enkel företagsinloggning (SSO) (SAML, JWT) för autentisering av slutanvändare och/eller medarbetare. Läs mer om användaråtkomst.

Policy för konfigurerbara lösenord

Zendesks inbyggda autentisering för produkter är tillgänglig via administratörscentret och har följande nivåer av lösenordssäkerhet: låg, medium och hög. Den har även lösenordsregler för medarbetare och administratörer. Zendesk erbjuder också olika nivåer av lösenordssäkerhet för slutanvändare respektive medarbetare och administratörer. Bara administratörer kan ändra lösenordets säkerhetsnivå. Läs mer om konfigurerbara lösenordspolicyer.

Tvåfaktorsautentisering (2FA)

Zendesks inbyggda autentisering för produkter, som är tillgänglig via administratörscentret, erbjuder tvåfaktorsautentisering (2FA) för medarbetare och administratörer via SMS eller en autentiseringsapp. Läs mer om 2FA.

Lagring av inloggningsuppgifter till tjänst

Zendesk följer säker best practice för lagring av inloggningsuppgifter genom att aldrig lagra lösenord i format som kan läsas av människor, och bara som resultatet av en säker, saltad enkelriktad hash-funktion.

Ytterligare produktsäkerhetsfunktioner
Rollbaserade åtkomstkontroller

Åtkomsten till data i Zendesk-program styrs av rollbaserad åtkomstkontroll (RBAC) och man kan definiera detaljerade åtkomstprivilegier. Zendesk har olika behörighetsnivåer för olika användare (ägare, administratör, medarbetare, slutanvändare osv.).

Läs mer om användarroller:

Information om global säkerhet och användaråtkomst

IP-begränsningar

I alla Zendesk-konton går det att begränsa åtkomsten till Zendesk Support till användare inom ett visst IP-adressintervall. Då kan bara användare med tillåtna IP-adresser logga in på ditt Zendesk-konto. Du kan ge abonnenter möjlighet att kringgå den här restriktionen. För mer information se Begränsa åtkomst till Zendesk Support och ditt hjälpcenter med hjälp av IP-restriktioner och Använda IP-åtkomstbegränsning i Chatt.

Värdbaserade krypteringscertifikat för hjälpcenter (TLS)

Zendesk erbjuder kostnadsfri TLS-kryptering för värdmappade Guide-hjälpcenter. Zendesk använder Let’s Encrypt för att begära certifikat och förnyar automatiskt certifikatet innan det löper ut.

Du kan också överföra ditt eget certifikat, om du vill.

Läs mer om hur du konfigurerar krypteringscertifikat för Guide-hjälpcenter i Konfigurera ett värdbaserat certifikat för TLS-kryptering.

Filrestriktioner i Chat

I Zendesk Chat kan du begränsa vilka filtyper som får skickas till medarbetare. Du kan även välja att helt stänga av möjligheten att skicka filer i Chat-produkten. Lär dig mer om den här funktionen i Hantera filöverföring i livechattar.

Granskningsloggar

Zendesk erbjuder granskningsloggar till konton med planerna Enterprise/Enterprise Plus. Loggarna innehåller bland annat kontoändringar, användarändringar, appändringar, affärsregler, borttagna ärenden och inställningar. Granskningsloggen är tillgänglig i både administrationscentret och Support-API:n. Läs mer om granskningsloggar och se vilken information som är tillgänglig i loggen i Visa granskningsloggen för ändringar.

Privata bilagor

Abonnenter kan konfigurera sin instans, så att användarna måste logga in för att visa ärendebilagor. Läs mer om privata bilagor.

Bortredigering

Zendesk erbjuder två funktioner för bortredigering av känsliga uppgifter: Med manuell bortredigering kan du ta bort känsliga uppgifter från kommentarer till supportärenden och på ett säkert sätt ta bort bilagor för att skydda konfidentiell information. Data bortredigeras från ärenden via användargränssnittet eller API:et för att förhindra att känslig information lagras i Zendesk. Läs mer om bortredigering via användargränssnittet eller API:t.

Automatisk bortredigering gör det möjligt att automatiskt bortredigera kreditkortsnummer i ärenden som skickas in av abonnenter. Om funktionen är aktiverad ersätts kreditkortsnummer delvis av tomma rutor i ärendet. De redigeras även bort från loggar och databasposter. Läs mer om hur du aktiverar funktionen och hur kreditkortsnummer identifieras i Automatiskt bortredigera kreditkortsnummer från ärenden och från chattar.

Spamfilter för Guide-hjälpcenter

Zendesks spamfiltreringstjänst används för att förhindra att slutanvändares spaminlägg publiceras i ditt Guide-hjälpcenter. Läs mer om hur du filtrerar spam i Guide.

E-postsignering (DKIM/DMARC)

Zendesk erbjuder DKIM (Domain Keys Identified Mail) och DMARC (Domain-based Message Authentication, Reporting & Conformance) för signering av utgående e-post från Zendesk när du har konfigurerat en extern e-postdomän i Zendesk. Genom att använda en e-posttjänst som stöder de här funktionerna kan du stoppa förfalskade e-postmeddelanden. Läs mer om att signera e-post digitalt.

Uppföljning av enheter

Zendesk följer upp de enheter som används för att logga in på användarkonton. När någon loggar in på ett konto från en ny enhet läggs den till i enhetslistan i användarens profil. Användaren får en e-postavisering när en ny enhet läggs till och bör kontrollera om aktiviteten verkar misstänkt. Misstänkta sessioner kan avslutas från medarbetarens användargränssnitt. Läs mer om uppföljning av enheter.

HR-säkerhet

Säkerhetsmedvetande
Policyer

Zendesk har tagit fram en uppsättning säkerhetspolicies som täcker ett antal områden. Dessa policyer delas med och görs tillgängliga för alla medarbetare och leverantörer som har åtkomst till Zendesks informationstillgångar.

Utbildning

Alla medarbetare genomgår en utbildning i säkerhetsmedvetande när de anställs och därefter en gång om året. Allt tekniker får en årlig utbildning i säker kod. Säkerhetsteamet bidrar till säkerhetsmedvetandet genom uppdateringar via e-post, blogginlägg och presentationer under interna evenemang.

Bakgrundskontroll av medarbetare
Bakgrundskontroller

Zendesk gör bakgrundskontroller av alla nya medarbetare i enlighet med lokal lagstiftning. De här kontrollerna krävs även för underleverantörer. Under bakgrundskontrollerna kontrollerar man brottsregister, utbildning och anställningar. Även städpersonal kontrolleras.

Sekretessavtal

Alla nyanställda måste underteckna sekretessavtal.

Välkommen till Zendesks globala dataskyddsprogram

Zendesk har ett formellt globalt sekretess- och dataskyddsprogram som omfattar viktiga intressenter inom olika funktioner, bland annat avdelningarna för juridik, säkerhet, produkt och ledning inom företaget. Vi gör vårt yttersta för att värna om integriteten och se till att våra tjänster och teammedlemmar alltid följande tillämpliga regulatoriska bestämmelser och branschramverk.

Efterlevnad

Australian Privacy Act of 1988 och dataskyddsregler

Australian Privacy Act of 1998 (med tillägg) definierar flera rättigheter för registrerade och har ett tillägg med krav att informera om det föreligger risk för dataintrång. Till skillnad från i EU:s GDPR-förordning använder man inte begreppen personuppgiftsansvarig och personuppgiftsbiträde. https://www.zendesk.com/company/anz-privacy/

Tillägget Brasiliens Lei Geral de Proteção de Dados Pessoais (LGPD)

Brasiliens allmänna dataskyddslag (Lei Geral de Proteção de Dados Pessoais, LGPD), trädde i kraft den 18 september 2020. LGPD är en omfattande dataskyddslag som definierar aktiviteter som rör personuppgiftsansvariga och personuppgiftsbiträden, liksom registrerades rättigheter.

Zendesk-abonnenter som samlar in och lagrar personuppgifter i Zendesk Services kan betraktas som ”personuppgiftsansvariga” enligt LGPD. Personuppgiftsansvariga bär det huvudsakliga ansvaret för att se till att deras behandling av personuppgifter sker i enlighet med relevanta dataskyddslagar, inklusive LGPD. Zendesk fungerar som ”personuppgiftsbiträde” enligt definitionen av detta i LGPD genom behandlingen av personuppgifter via våra tjänster.

Abonnenter kan läsa våra Produktguider och vår Policy om dataradering i tjänster för att få mer information om hur man använder Zendesks produkter i enlighet med gällande efterlevnadskrav. Brasiliens dataskyddsmyndigheter (ANPD) kan komma att publicera ytterligare vägledning om LGPD i framtiden. Zendesk kommer även i fortsättningen att följa lagen och hålla våra abonnenter uppdaterade om funktioner och inställningar som de kan använda för att uppnå regelefterlevnad.

Om du vill läsa och/eller använda Zendesks LGPD-tillägg till Master Subscription Agreement (Huvudavtal om abonnemang), klicka här. I Zendesks Master Subscription Agreement ingår regionala villkor, närmare bestämt ett avsnitt om Brasilien.

Tillägg för California Consumer Privacy Act (CCPA)

California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (”CCPA”) är en amerikansk lag instiftad i delstaten Kalifornien. Den trädde i kraft den 1 januari 2020. Det utökad de integritetsrättigheter som är tillgängliga för vissa konsumenter i Kalifornien och ställer krav på vissa företag att uppfylla olika dataskyddskrav. För mer information se de slutgiltiga CCPA-bestämmelserna och California Privacy Rights Act (”CPRA”). Ett fåtal CPRA-bestämmelser trädde i kraft den 16 december 2020, medan återställde bestämmelser i CPRA kommer att träda i kraft den 1 januari 2023.

Zendesk-abonnenter som samlar in och lagrar personuppgifter i Zendesk Services kan betraktas som ”Företag” enligt CCPA. Företag bär det huvudsakliga ansvaret för att se till att deras behandling av personuppgifter uppfyller kraven i relevanta dataskyddslagar, inklusive CCPA. Zendesk agerar som ”tjänsteleverantör” enligt definitionen av detta begrepp i den aktuella versionen av CCPA beträffande behandling av personuppgifter genom våra tjänster. Det innebär att Zendesk samlar in, analyserar, underhåller, använder, behandlar och överför personliguppgifter om våra abonnenter och våra abonnenter slutanvändare som behandlas via tjänsterna uteslutande i syfte att fullgöra våra åtaganden enligt vårt/våra gällande avtal med våra abonnenter och inte i något annat kommersiellt syfte än för att fullgöra sådana åtaganden och förbättra de tjänster som vi tillhandahåller.

Vi ”säljer” inte våra abonnenters personuppgifter enligt definitionen i CCPA. Vi kan komma att dela information i sammanställd och/eller anonymiserad form beträffande användningen av tjänsten/tjänster, vilket inte betraktas som personuppgifter enligt CCPA, med tredje parter som hjälper oss att utveckla och förbättra tjänsterna och förse våra abonnenter med mer relevant innehåll och tjänsteerbjudanden enligt beskrivningen i våra abonnentavtal.

Du kan läsa igenom och använda Zendesks CCPA-tillägg till huvudabonnemangsavtalet här.

Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA)

Kanadas Personal Information Protection and Electronic Documents Act trädde i kraft år 2000 och utgår från tio principer om rättvis information, som utgör regler för insamling, användning och spridning av personuppgifter. I oktober 2021 föreslog International Technology Association of Canada och Information Technology Industry Council ändringar i PIPEDA för att öka integritetsskyddet och rätten till insyn för kanadensiska medborgare.

Databehandlingsavtal (DPA)

Du kan läsa och/eller använda Zendesks databehandlingsavtal här. Zendesks databehandlingsavtal (DPA) definierar de specifika behandlingsaktiviteter och säkerhetsåtgärder som är tillämpliga för våra tjänster och omfattar EU:s nya standardavtalsklausuler (”EU SCCs”).

Om du vill att ditt befintliga DPA-avtal med Zendesk ska uppdateras för att omfatta EU:s standardavtalsklausuler och tillägget för Storbritannien, men inte vill ingå ett nytt DPA, kan du granska och/eller tillämpa Zendesks tillägg för dataöverföring här.

Abonnenter kan läsa våra produktguider och vår policy om radering av tjänstdata för mer information om hur Zendesks produkter kan användas för att uppfylla gällande dataskydds- och integritetslagar.

EU:s allmänna dataskyddsförordning (GDPR)

Ända sedan Zendesk grundades har vårt arbetssätt utgått från en tydlig strävan att värna om integritet, säkerhet, efterlevnad och transparens. I arbetssättet ingår att stödja våra abonnenters efterlevnad av EU:s dataskyddskrav, exempelvis dem som definieras i den allmänna dataskyddsförordningen (”GDPR”).

Om en abonnent samlar in, överför, agerar värd för eller analyserar personuppgifter om EU-medborgare kräver GDPR att abonnenten använder tredjeparts personuppgiftsbiträden med garanterad förmåga att införa de tekniska och organisatoriska skyddsåtgärder som definieras i GDPR. För att ytterligare förstärka vårt förtroende från abonnenterna har vårt databehandlingsavtal (”DPA”) uppdaterats för att ge våra kunder avtalade löften beträffande vår efterlevnad av tillämpliga dataskyddslagar i EU och införa ytterligare avtalsbestämmelser som krävs enligt GDPR.

Bindande företagsregler: Bindande företagsregler (”BCR”) är företagstäckande dataskyddspolicyer som har godkänts av europeiska dataskyddsmyndigheter för att underlätta överföringen av personuppgifter inom koncerner från Europeiska ekonomiska samarbetsområdet (”EEA”) till länder utanför EEA. BCR-reglerna är baserade på strikta sekretessprinciper som har definierats av europeiska dataskyddsmyndigheter och kräver omfattande konsultation med dessa myndigheter. Abonnenter kan läsa hela listan med godkända enheter på den BCR-godkända listan här. År 2017 genomförde Zendesk EU:s godkännandeprocess med Dataskyddsmyndigheten i Irland (”DPC”) (referentgranskad av både informationsdepartementet i Storbritannien och Dataskyddsmyndigheten i Nederländerna) och godkändes som både personuppgiftsbiträde och personuppgiftsansvarig enligt BCR-reglerna. Genom det här viktiga regulatoriska godkännandet validerades Zendesks implementering av högsta möjliga standard för att skydda personuppgifter globalt genom åtgärder som omfattar både företagets kunder och medarbetare. Zendesk är ett av världens första programvaruföretag att ha fått godkännande för sina BCR-regler och var det andra företaget någonsin som godkändes av Dataskyddsmyndigheten i Irland.

För att läsa Zendesks BCR-regler gå in på:
Zendesks bindande företagsregler för personuppgiftsbiträden som gäller när Zendesk behandlar personuppgifter på uppdrag av sina kunder
och
Zendesks bindande företagsregler för personuppgiftsansvariga som gäller när Zendesk behandlar personuppgifter för vilka företaget är personuppgiftsansvarigt.

Förfrågningar från registrerade: En person som försöker utöva sina dataskyddsrättigheter med avseende på personuppgifter som lagras eller behandlas av oss för en abonnents räkning inom abonnentens tjänstedata (inklusive för att söka åtkomst till eller rätta, ändra, radera, portera eller begränsa behandling av sådana personuppgifter) bör rikta sin förfrågan till vår abonnent (personuppgiftsansvarig). När vi får en begäran från en av våra abonnenter om att ta bort personuppgifter från Zendesk kommer vi att besvara deras begäran inom trettio (30) dagar. Vi kommer att behålla personuppgifter som vi behandlar och lagrar på uppdrag av våra abonnenter så länge det behövs för att tillhandahålla tjänsterna till våra abonnenter.

Dataskyddsombud: Zendesks dataskyddsombud (”DPO”) kan nås på euprivacy@zendesk.com.

Privacy Shield: USA:s handelsdepartement har tillsammans med EU-kommissionen och de schweiziska myndigheterna skapat Privacy Shield-ramverken (”Privacy Shield”) mellan EU och USA respektive mellan Schweiz och USA i syfte att förse företag med en mekanism för överföring av personuppgifter från Europeiska unionen till USA på ett sätt som skapar ett tillräckligt skydd enligt syftena i den europeiska dataskyddslagen. Zendesk har certifierad sin efterlevnad av Privacy Shield-ramverket mellan EU och USA och Schweiz och USA till det amerikanska handelsdepartementet och har lagts till på Department of Commerce lista över självcertifierade Privacy Shield-deltagare. Våra certifieringar bekräftar att vi uppfyller principerna i Privacy Shield-ramverken beträffande överföring av personuppgifter från Europa och Schweiz till USA.

Den 16 juli 2020 fattade EU-domstolen (”CJEU”) ett beslut som innebar att Privacy Shield-programmet mellan EU och USA ogiltigförklarades. Vi är medvetna om att du kan ha frågor som rör ogiltigförklarandet av Privacy Shield och Zendesks position i förhållande till detsamma. Därför har vi publicerat det här blogginlägget för att besvara vanliga frågor.

Frankrikes Hébergeur de Données de Santé (HDS eller Health Data Hosting)

HDS ger vårdgivare i Frankrike tillåtelse att använda Zendesks plattform för kundtjänst och engagemang i förvissning om att vår plattform har infört lämpliga tekniska och kontrollmässiga åtgärder för att skydda och värna om personlig hälsoinformation (PHI). Mer information hittar du här.

Nya Zeelands Privacy Act 2020 och landets regler om informationsskydd

Nya Zeelands Privacy Act från 2020 trädde i kraft den 1 december 2020. Den gäller för myndigheter och bibehåller det principbaserade ramverket i lagen från 1993. I lagen från 2020 fastställs att organisationer ansvarar för att se till att personuppgifter som skickas utanför Nya Zeeland är tillräckligt skyddade och lagen har också kompletterats med krav på obligatorisk underrättelse i händelse av intrång eller spridning. https://www.zendesk.com/company/anz-privacy/

Singapores Personal Data Protection Act (PDPA)

Singapores Personal Data Protection Act fastställer dataskyddslagar som reglerar insamling, användning och spridning av personuppgifter från och med den 2 juli 2014. Zendesk har godkänts som datamellanhand av Infocomm Development Authority of Singapore (IDA) i egenskap av SaaS-leverantör (programvara som tjänst). Mer information hittar du här.

Storbritannien: GDPR och Brexit

Storbritannien lämnade Europeiska unionen den 31 januari 2020. Den 28 juni 2021 antog EU-kommissionen beslut om adekvat skydd vid överföring av personuppgifter till Storbritannien inom ramen för GDPR.

USA:s Health Insurance Portability and Accountability Act (HIPAA) och Business Associate Agreement (BAA)

För att tilldelas ett HIPAA-godkänt konto behöver du (1) köpa till tilläggstjänsten Advanced Security Deployed Associated Service eller Advanced Compliance Deployed Associated Service, (2) möjliggöra en uppsättning säkerhetskonfigurationer som definieras av Zendesk, och (3) tillämpa vårt affärspartneravtal (”BAA”). För mer information, inklusive en lista över vilka tjänster som kan godkännas enligt HIPAA, se Advanced Compliance.

Information om abonnenters tjänstdata

Tjänstdata är all information, inklusive personuppgifter, som lagras i eller överförs via Zendesk Services av, eller på uppdrag av, våra abonnenter och deras slutanvändare. Vi använder tjänstdata för att leverera och förbättra våra tjänster, hjälpa kunder att komma åt och använda tjänsterna, besvara förfrågningar från abonnenter samt skicka kommunikation relaterad till tjänsterna.

Ytterligare information

Åtkomst: Zendesk tillhandahåller en avancerad uppsättning åtkomst- och krypteringsfunktioner för att hjälpa kunder att effektivt skydda sin information. Vi använder inte kundinnehåll för något ändamål annat än att tillhandahålla, underhålla och förbättra Zendesks tjänster eller på andra sätt som lagen kräver. Mer information finns här.

Datavärdskap: Zendesk använder Amazon Web Services för att erbjuda värdskap för tjänstdata enligt beskrivningen här och i policyn om regionala datavärdskap. För mer information se även avsnittet Säkerhet.

Standarddatatyper som samlas in genom tjänsten: Zendesk har skapat en lista med datapunkter, kategoriserad per produkt. För att få en fullständig bild av olika datatyper kan abonnenter använda den här listan tillsammans med sitt specifika avsedda användningsområde och resulterande datatyper.

Förfrågningar från rättsväsenden och myndigheter: Integritet, dataskydd och abonnenternas förtroende har högsta prioritet för oss. Zendesk sprider inte tjänstdata med undantag för när så är nödvändigt för att tillhandahålla våra tjänster och följande gällande lag, enligt beskrivningen i vår dataskyddspolicy. För att hjälpa våra abonnenter att genomföra efterlevnadsgranskningar erbjuder vi ytterligare resurser: Transparensrapport och Policy för förfrågningar från myndigheter.

Ägarskap: Ur ett dataskyddsperspektiv betraktas abonnenten som personuppgiftsansvarig för tjänstdata och Zendesk som personuppgiftsbiträde. Det innebär att under hela den period som prenumererar på tjänster från Zendesk är du ägare till och har kontrollen över tjänstdata i din Zendesk-instans.

Replikering: Zendesk replikerar med jämna mellanrum data i arkiveringssyfte och för att genomföra säkerhetskopiering och skapa granskningsloggar. Vi använder Amazon Web Services (AWS) för att lagra en del av den information som säkerhetskopieras, exempelvis databasinformation och bifogade filer. Du hittar mer information i vår policy om regionala datavärdskap.

Säkerhet: Zendesk prioriterar dataskydd och kombinerar säkerhetsfunktioner i företagsklass med omfattande granskning av våra program, appar, system och nätverk för att säkerställa att abonnenternas data och affärsdata är skyddade. För mer information se här.

Säkerhetsincidenter: För mer information om hur vi hanterar säkerhetsincidenter se vår respons vid säkerhetsincidenter.

Underbiträden: Zendesk kan komma att använda underbiträden, inklusive närstående bolag till Zendesk, samt tredjepartsföretag för att tillhandahålla, skydda eller förbättra tjänsterna och sådana underbiträden kan ha tillgång till tjänstdata. Vår policy om underbiträden innehåller en uppdaterad lista med namn och adresser till samtliga underbiträden.

Uppsägning: Zendesk har en policy om radering av tjänstdata som beskriver Zendesks processer för dataradering i samband med att abonnenten säger upp tjänsten eller abonnemanget löper ut.

Policyer relaterade till dataskydd

Policyer

Detaljerad information om hur och när vi använder cookies på Zendesks webbplatser.

Innehåller information om hur och när Zendesk använder cookies i Zendesks tjänster.

Hur våra abonnenters tjänstdata tas bort i samband med att tjänsten sägs upp eller avslutas eller ett konto migreras inom Zendesks tjänster.

Ramverket förtydligar vilken part som ansvarar för vilka kontroller relaterade till skydd av och säkerhet för dina data.

Programfunktioner kopplade till dataskydd

Integritets- och dataskyddsverktyg

Zendesk erbjuder verktyg för var och en av företagets produkter för att hjälpa till med användarförfrågningar och andra åtaganden enligt tillämpliga integritets- och dataskyddslagar och bestämmelser, exempelvis rätten till dataåtkomst, ändring, flyttning, borttagning och invändning. Du kan läsa mer om funktioner och verktyg i olika Zendesk-produkter under Uppfyllelse av integritets- och dataskydd i Zendesks produkter.

Åtkomsthantering

Zendesk tillhandahåller en avancerad uppsättning åtkomst- och krypteringsfunktioner för att hjälpa abonnenter att effektivt skydda sin information. Vi använder inte abonnenters data för något annat ändamål än att tillhandahålla, underhålla och förbättra Zendesk Services eller som i övrigt krävs enligt tillämplig lag. Mer information hittar du här.

Certifieringar

Zendesk har erhållit ett antal internationellt erkända certifieringar och ackrediteringar som visar att vi uppfyller kraven i tredjepartsramverk om dataskydd. Säkerhetscertifieringarna beskrivs här.

Placering av datacenter

Abonnenter som köper till tilläggstjänsten Data Center Location Deployed Associated Service (”Data Center Location Add-on”) eller har funktionen Placering av datatjänster som en del av sin serviceplan, har möjlighet att välja i vilken region de vill lagra sina tjänstdata i en lista med Zendesks tillgängliga regioner.

Inbyggt integritetsskydd

Zendesk har ett robust globalt integritets- och dataskyddsprogram som tar ett helhetsgrepp kring integritetsskydd och informationsstyrning för att ge kunderna flexibilitet att hantera personuppgifter som lagras i Zendesks system. För mer information, se våra produktguider: Uppfylla integritets- och dataskydd i Zendesks produkter.

Bortredigering/Dataminimering

Zendesk erbjuder två funktioner för bortredigering av känsliga uppgifter:

Med manuell bortredigering kan du ta bort känsliga data från kommentarer i supportärenden och på ett säkert sätt ta bort bilagor för att skydda konfidentiell information. Data bortredigeras från ärenden via användargränssnittet eller API:et för att förhindra att känslig information lagras i Zendesk. Läs mer om bortredigering via användargränssnittet eller API:et.

Med funktionen Automatisk bortredigering kan du automatiskt redigera bort kreditkortsnummer i ärenden som har skickats in av medarbetare eller slutanvändare. Om funktionen är aktiverad ersätts kreditkortsnummer delvis av tomma rutor i ärendet. Siffrorna redigeras också bort från loggar och databasposter. Läs mer om hur du aktiverar den här funktionen och hur kreditkortsnummer identifieras.

Transparensrapport

Spridning av tjänstdata: Zendesk sprider bara tjänstdata till tredje part när spridningen är nödvändig för att tillhandahålla eller förbättra tjänsterna eller i den omfattning så krävs utifrån lagliga förfrågningar från offentliga myndigheter. För mer information se vår policy om förfrågningar från myndigheter samt Zendesks transparensrapport.