Säker kundservice
Skydd från grunden
Zendesk tar säkerhet på stort allvar—bara fråga antalet Fortune 100 och Fortune 500 företag som litar på oss med sina data. Vi använder en kombination av säkerhetsfunktioner i storföretagsklass och omfattande granskningar av våra program, system och nätverk för att se till att dina data alltid är skyddade, vilket betyder att alla kunder kan ta det lugnt – även våra egna.
Efterlevnadscertifieringar och medlemskap
Zendesk använder best practice och branschstandarder för att uppfylla de de allmänna ramverk för säkerhet och sekretess som är accepterade i branschen, vilket i sin tur hjälper våra kunder att följa deras egna efterlevnadsstandarder.
SOC 2 Typ II
Vi genomgår rutinmässiga granskningar för att få uppdaterade SOC 2 Typ II-rapporter som finns tillgängliga på begäran och enligt sekretessavtal. Begär den senaste SOC 2 Type II-rapporten.
ISO 27001:2022
Zendesk är ISO 27001:2022-certifierat. Hämta certifikatet.
ISO 27018:2019
Zendesk är ISO 27018:2019-certifierat. Du kan ladda ner certifieringen här.
ISO 27701:2019
Zendesk är ISO 27701:2019-certifierat. Du kan hämta certifieringen här.
ISO 27017:2015
Zendesk är ISO 27017:2015-certifierat. Du kan hämta certifieringen här.
FedRAMP LI-SaaS
Zendesk är FedRAMP-auktoriserat hos LI-SaaS (Low Impact Software-as-a-Service) och listat på FedRAMP Marketplace. Amerikanska myndighetskunder kan begära åtkomst till Zendesk FedRAMP Security Package genom att fylla i en begäran om åtkomst till säkerhetspaketet eller skicka en begäran till fedramp@zendesk.com.
PCI-DSS
Vi erbjuder flera olika sätt att förhindra PCI-data från att lagras i era Zendesk-tjänster eller elimineras helt. Läs den här artikeln för mer information om Zendesk och kortuppgifter
McAfee Cloud Trust - McAfee Enterprise Ready
Zendesk har tilldelats McAfee CloudTrust Program. Programmet tilldelar bara sigillet McAfee Enterprise-Ready till tjänster som har fått högsta möjliga CloudTrust™-betyg. De tillhör tjänsterna som har tilldelats McAfee's CloudTrust™ och sigillet McAfee Enterprise-Ready baserat på attribut i kategorierna data, användare och enhet, säkerhet, verksamhet och juridisk utvärdering.
Cloud Security Alliance (CSA)
Zendesk är medlem i Cloud Security Alliance (CSA), en ideell organisation med målet att främja användningen av best practice för att ge säkerhetsgarantier inom molnbaserad databehandling. CSA har lanserat STAR (Security, Trust & Assurance Registry), ett offentligt register som dokumenterar de säkerhetskontroller som tillhandahålls av olika molnbaserade databehandlingsprodukter. Zendesk har fyllt i ett offentligt tillgängligt CAI-frågeformulär (Consensus Assessment Initiative) utifrån resultatet av vår självutvärdering för due diligence.
CSA:s CAI-frågeformulär är tillgängligt här.
IT-ISAC
Zendesk är medlem i IT-ISAC, en grupp som fokuserar på att samla olika företag inom den privata sektorn för att utnyttja ny teknik och få ett gemensamt åtagande för säkerhet. IT-ISAC gör det möjligt att samarbeta och dela relevant, användbar information om och praxis för hot. De modererar grupper med specialintressen som fokuserar på information, insiderhot, fysisk säkerhet och andra fokusområden som bidrar till vårt arbete med att skydda Zendesk.
FIRST
Zendesk är medlem i FIRST, en internationell sammanslutning av incidenthanteringsteam som tillsammans hanterar datorsäkerhetsincidenter och främjar program för incidentprevention. FIRST-medlemmar tar fram och delar teknisk information, verktyg, metoder, processer och best practices. Som medlem i FIRST samarbetar Zendesk Security med andra medlemmar och använder den kombinerade kunskapen för att skapa en säkrare och mer skyddad global elektronisk miljö.
Financial Services Qualifications System (FSQS)
Zendesk har uppfyllt alla krav (stadium 1 och stadium 2) för att bli fullt registrerade i FSQS (Financial Services Qualification System) system för leverantörskvalificering enligt vad som anges av de deltagande inköpsorganisationerna. Begär det senaste FSQS-certifikatet här.
Läs mer om FSQS https://hellios.com/fsqs/.
Artefakter
Vi kan tillhandahålla ytterligare resurser på begäran.
ISO 27001:2022-intyg
ISO 27018:2019-intyg
ISO 27701:2019-intyg
ISO 27017:2015-intyg
SOC 3-rapport
Datablad/vitbokPCI-bevis på överensstämmelse (AoC) och intyg om överensstämmelse
Diagram över nätverksarkitektur
Support/Guide
Chatt
Talk
CSA CAIQ
Risk Ledger
FSQS (Financial Services Qualification System)
SIG Lite
VSA
HECVAT Lite
Följande resurser kan kräva att vi har ett registrerat sekretessavtal. Klicka på knappen för att få åtkomst.
Försäkringsbevis
SOC 2 Typ II-rapport
Sammanfattning av årligt penetrationstest
Molnsäkerhet
Fastigheter
Zendesk placerar tjänstdata huvudsakligen i AWS-datacenter som har certifierats enligt ISO 27001, PCI DSS Service Provider Level 1 och/eller SOC 2. Läs mer om efterlevnad på AWS.
AWS infrastrukturtjänster är exempelvis reservkraft, VVS-system och brandsläckningsutrustning som skyddar servrarna och i slutänden dina data. Läs mer om datacenterkontroller på AWS.
Lokal säkerhet
I AWS lokala säkerhet ingår ett antal funktioner som säkerhetsvakter, avgränsningar, säkerhetsfeeds, intrångsidentifieringsteknik och andra säkerhetsåtgärder. Läs mer om AWS fysiska säkerhet.
Värdplats för data
Zendesk använder AWS-datacenter i USA, Europa och Asien och Stillahavsområdet. Läs mer om värdplatser för Zendesk-tjänsters data.
Zendesk erbjuder flera alternativ för datalagring, bland annat USA (US), Australien (AU), Japan (JP) eller Europeiska ekonomiska samarbetsområdet (EEA). För mer information om produkter, planer och regionala erbjudanden se vår policy om regionala värdplatser.
Zendesk minimerar risker förknippade med tredjepartsleverantörer genom att utgöra säkerhetskontroller av samtliga leverantörer med någon form av tillgång till våra system eller tjänstedata.
Dedikerat säkerhetsteam
Vårt globalt distribuerade säkerhetsteam är tillgängligt dygnet runt, alla dagar för att hantera varningar och händelser som rör säkerheten.
Skydd
Vårt nätverk är skyddat genom användningen av AWS-säkerhetstjänster, integration med våra kantskyddsnätverkt Cloudflare, regelbundna granskningar och nätverksintelligenstekniker som övervakar och blockerar känd skadlig trafik och nätverksattacker.
Vår arkitektur för nätverkssäkerhet består av flera säkerhetszoner. Känsligare system som databasservrar skyddas i våra mest betrodda zoner. Andra system är placerade i zoner som står i proportion till deras känslighet, beroende på funktion, informationsklassificering och risk. Beroende på zon används ytterligare säkerhetsövervakning och åtkomstkontroller. DMZ används mellan internet och internt mellan de olika tillförlitlighetszonerna.
Skanning av nätverkssårbarhet
Skanning av nätverkssäkerheten ger oss omfattande insikter för snabb identifiering av system som saknar efterlevnad eller är potentiellt sårbara.
Tredjeparts penetrationstester
Utöver omfattande interna skanningar och testprogram anlitar Zendesk varje år säkerhetsexperter från tredje part för att genomföra ett brett penetrationstest i Zendesks produktions- och företagsnätverk.
Hantering av säkerhetsincidenter
Vårt SIEM-system (Security Incident Event Management) samlar in omfattande loggar från viktiga nätverksenheter och vårdsystem. SIEM varnar vid utlösare baserade på korrelerade händelser och meddelar säkerhetsteamet för undersökning och åtgärder.
Identifiering och förebyggande av intrång
In- och utgångspunkterna till tjänsten är utrustade med mätinstrument och övervakas för att identifiera onormalt beteende. Systemen är konfigurerade för att generera varningar när incidenter och värden överstiger förutbestämda tröskar och använder regelbundet uppdaterade signaturer baserade på nya hot. Här ingår också systemövervakning dygnet runt, alla dagar.
Hotinformationsprogram
Zendesk deltar i flera program för delning av hotinformation. Vi övervakar hot som publiceras i de här hotinformationsnätverken och vidtar åtgärder baserat på risk.
DDoS-reducering
Zendesk har utformat en flerskiktad metod för DDoS-reducering. Ett teknikpartnerskap med Cloudflare ger skydd för nätverkskanterna och användningen AWS verktyg för skalning och skydd ger ett djupare skydd tillsammans med användningen av AWS DDoS-specifika tjänster.
Logisk åtkomst
Åtkomsten till Zendesks produktionsnätverk är uttryckligen begränsad till need-to-know, använder lägsta behörighet, granskas och övervakas ofta och kontrolleras av vårt Operations Team. Medarbetare som använder Zendesks produktionsnätverk måste använda flera autentiseringsfaktorer.
Respons på säkerhetsincidenter
Vid systemvarningar eskaleras händelserna till våra drift-, nätverksteknik- och säkerhetsteam som arbetar dygnet runt, alla dagar. Medarbetarna är utbildade i processerna för säkerhetsincidentrespons, inklusive kommunikationskanaler och eskaleringsvägar.
Kryptering under transitering
All kommunikation med Zendesks användargränssnitt och API:er krypteras enligt branschsstandarden HTTPS/TLS (TLS 1.2 eller senare) via publika nätverk. På så sätt säkerställs att all trafik mellan dig och Zendesk är säker under transit. För e-post använder vår produkt opportunistisk TLS som standard. TLS (Transport Layer Security) krypterar och levererar e-post säkert och reducerar tjuvlyssning mellan e-postservrar där peer-tjänster stöder det här protokollet. Undantag från kryptering kan vara användning av sms-funktionen i en produkt, tredjpartsappar, integration och tjänster som abonnenter kan välja att använda på egen risk.
Kryptering i vila
Tjänstdata krypteras i vila i AWS med AES-256-kryptering.
Drifttid
Zendesk har en offentligt tillgänglig webbsida med systemstatus med bland annat information om systemtillgänglighet, planerat underhåll, historik över serviceincidenter och relevanta säkerhetshändelser.
Redundans
Zendesk använder tjänstkluster och nätverksredundans för att undvika systemkritiska felpunkter. Vår strikta säkerhetskopiering och/eller vår tjänst Förbättrad katastrofåterställning gör att vi kan erbjuda mycket tillgängliga tjänster, eftersom tjänstdata replikeras i flera tillgänglighetszoner.
Katastrofåterställning
Vårt program för katastrofåterställning (DR, Disaster Recovery) säkerställer att våra tjänster förblir tillgängliga och är enkla att återställa i händelse av en katastrof.
Vi uppnår det genom att bygga en robust teknisk miljö, utforma katastrofåterställningsplaner och testa aktiviteter.
Förbättrad katastrofåterställning
Med vårt paket Förbättrad katastrofåterställning får man avtalade mål för längsta tid för återställning (RTO) och längsta tid för dataförlust (RPO). Målen stöds genom att vi prioriterar driften för Förbättrad katastrofåterställning-kunder under en katastrofhändelse.
Få mer information om garantier vid katastrofåterställning.Programsäkerhet
Utbildning i säker kod
Säkerhetskontroller för ramverket
Zendesk använder moderna och säkra ramverk med öppen källkod och säkerhetskontroller för att begränsa exponeringen för OWASP Top 10-säkerhetsriskerna. De inbyggda kontrollerna minskar exponeringen för bland annat SQL Injection (SQLi), Cross Site Scripting (XSS) och Cross Site Request Forgery (CSRF).
Kvalitetssäkring
Vår kvalitetssäkringsavdelning (QA) granskar och testar vår kodbas. Särskilda programsäkerhetstekniker identifierar, testar och sorterar sårbarheter i koden.
Separata miljöer
Test- och stagingmiljöer är logiskt separerade från produktionsmiljön. Inga tjänstdata används i våra utvecklings- eller testmiljöer.
Dynamisk skanning av sårbarheter
Vi använder tredjeparts säkerhetsverktyg för att kontinuerligt och dynamiskt söka igenom våra centrala program på jakt efter vanliga säkerhetsrisker för webbprogram, inklusive men inte begränsat till de tio främsta säkerhetsriskerna på OWASP-listan. Vi har ett dedikerat internt produktsäkerhetsteam som testar och samarbetar med teknikteamen för att åtgärda alla problem som upptäcks.
Analys av programsammansättning
Vi söker igenom de bibliotek och beroenden som används i våra produkter för att upptäcka sårbarheter och se till att sårbarheterna hanteras.
Tredjeparts penetrationstestning
Utöver de interna skannings- och testningsprogrammen anlitar Zendesk säkerhetsexperter från tredje part för att utföra detaljerade penetrationstester på olika program i vår produktfamilj.
Ansvarsfullt avslöjande/Bug Bounty-program
Med vårt program för ansvarsfullt avslöjande kan säkerhetsforskare och kunder på ett säkert sätt testa och meddela Zendesk om sårbarheter via vårt partnerskap med HackerOne.
Produktsäkerhet
Autentiseringsalternativ
Zendesk erbjuder flera autentiseringsalternativ: Kunder kan aktivera Zendesks inbyggda autentisering, använda enkel inloggning via sociala medier (SSO), (Facebook, Twitter, Google) och eller enkel företagsinloggning (SSO) (SAML, JWT) för autentisering av slutanvändare och/eller medarbetare. Läs mer om användaråtkomst.
Policy för konfigurerbara lösenord
Zendesks inbyggda autentisering för produkter är tillgänglig via administratörscentret och har följande nivåer av lösenordssäkerhet: låg, medium och hög. Den har även lösenordsregler för medarbetare och administratörer. Zendesk erbjuder också olika nivåer av lösenordssäkerhet för slutanvändare respektive medarbetare och administratörer. Bara administratörer kan ändra lösenordets säkerhetsnivå. Läs mer om konfigurerbara lösenordspolicyer.
Tvåfaktorsautentisering (2FA)
Zendesks inbyggda autentisering för produkter, som är tillgänglig via administratörscentret, erbjuder tvåfaktorsautentisering (2FA) för medarbetare och administratörer via SMS eller en autentiseringsapp. Läs mer om 2FA.
Lagring av inloggningsuppgifter till tjänst
Zendesk följer säker best practice för lagring av inloggningsuppgifter genom att aldrig lagra lösenord i format som kan läsas av människor, och bara som resultatet av en säker, saltad enkelriktad hash-funktion.
Avancerad dataintegritet och avancerat dataskydd
För företag som behöver en högre nivå av datasekretess och säkerhet erbjuder Zendesk tillägg för avancerad dataintegritet och avancerat dataskydd. Tillägget ger möjlighet till BYOK-kryptering, anpassningsbara datalagringspolicyer, datamaskering, PII-bortredigering och åtkomstloggar.
Rollbaserade åtkomstkontroller
Åtkomsten till data i Zendesk-program styrs av rollbaserad åtkomstkontroll (RBAC) och man kan definiera detaljerade åtkomstprivilegier. Zendesk har olika behörighetsnivåer för olika användare (ägare, administratör, medarbetare, slutanvändare osv.).
Läs mer om användarroller:
- Standardroller för Support
- Anpassade roller Support * Endast Enterprise
- Standardroller för Chat
- Anpassade roller Chat * Endast Enterprise
- Utforska standardroller
- Standardroller för Guide
- Standardroller för Talk
- Sessionstid
IP-begränsningar
I alla Zendesk-konton går det att begränsa åtkomsten till Zendesk Support till användare inom ett visst IP-adressintervall. Då kan bara användare med tillåtna IP-adresser logga in på ditt Zendesk-konto. Du kan ge abonnenter möjlighet att kringgå den här restriktionen. För mer information se Begränsa åtkomst till Zendesk Support och ditt hjälpcenter med hjälp av IP-restriktioner och Använda IP-åtkomstbegränsning i Chatt.
Värdbaserade krypteringscertifikat för hjälpcenter (TLS)
Zendesk erbjuder kostnadsfri TLS-kryptering för värdmappade Guide-hjälpcenter. Zendesk använder Let’s Encrypt för att begära certifikat och förnyar automatiskt certifikatet innan det löper ut.
Du kan också överföra ditt eget certifikat, om du vill.
Läs mer om hur du konfigurerar krypteringscertifikat för Guide-hjälpcenter i Konfigurera ett värdbaserat certifikat för TLS-kryptering.
Filrestriktioner i Chat
I Zendesk Chat kan du begränsa vilka filtyper som får skickas till medarbetare. Du kan även välja att helt stänga av möjligheten att skicka filer i Chat-produkten. Lär dig mer om den här funktionen i Hantera filöverföring i livechattar.
Granskningsloggar
Zendesk erbjuder granskningsloggar till konton med planerna Enterprise/Enterprise Plus. Loggarna innehåller bland annat kontoändringar, användarändringar, appändringar, affärsregler, borttagna ärenden och inställningar. Granskningsloggen är tillgänglig i både administrationscentret och Support-API:n. Läs mer om granskningsloggar och se vilken information som är tillgänglig i loggen i Visa granskningsloggen för ändringar.
Privata bilagor
Abonnenter kan konfigurera sin instans, så att användarna måste logga in för att visa ärendebilagor. Läs mer om privata bilagor.
Redaktion
Zendesk erbjuder två funktioner för bortredigering av känsliga uppgifter: Med manuell bortredigering kan du ta bort känsliga uppgifter från kommentarer till supportärenden och på ett säkert sätt ta bort bilagor för att skydda konfidentiell information. Data bortredigeras från ärenden via användargränssnittet eller API:et för att förhindra att känslig information lagras i Zendesk. Läs mer om bortredigering via användargränssnittet eller API:t.
Automatisk bortredigering gör det möjligt att automatiskt bortredigera kreditkortsnummer i ärenden som skickas in av abonnenter. Om funktionen är aktiverad ersätts kreditkortsnummer delvis av tomma rutor i ärendet. De redigeras även bort från loggar och databasposter. Läs mer om hur du aktiverar funktionen och hur kreditkortsnummer identifieras i Automatiskt bortredigera kreditkortsnummer från ärenden och från chattar.
Spamfilter för Guide-hjälpcenter
Zendesks spamfiltreringstjänst används för att förhindra att slutanvändares spaminlägg publiceras i ditt Guide-hjälpcenter. Läs mer om hur du filtrerar spam i Guide.
E-postsignering (DKIM/DMARC)
Zendesk erbjuder DKIM (Domain Keys Identified Mail) och DMARC (Domain-based Message Authentication, Reporting & Conformance) för signering av utgående e-post från Zendesk när du har konfigurerat en extern e-postdomän i Zendesk. Genom att använda en e-posttjänst som stöder de här funktionerna kan du stoppa förfalskade e-postmeddelanden. Läs mer om att signera e-post digitalt.
Uppföljning av enheter
Zendesk följer upp de enheter som används för att logga in på användarkonton. När någon loggar in på ett konto från en ny enhet läggs den till i enhetslistan i användarens profil. Användaren får en e-postavisering när en ny enhet läggs till och bör kontrollera om aktiviteten verkar misstänkt. Misstänkta sessioner kan avslutas från medarbetarens användargränssnitt. Läs mer om uppföljning av enheter.
HR-säkerhet
Policyer
Zendesk har tagit fram en uppsättning säkerhetspolicies som täcker ett antal områden. Dessa policyer delas med och görs tillgängliga för alla medarbetare och leverantörer som har åtkomst till Zendesks informationstillgångar.
Utbildning
Alla medarbetare genomgår en utbildning i säkerhetsmedvetande när de anställs och därefter en gång om året. Allt tekniker får en årlig utbildning i säker kod. Säkerhetsteamet bidrar till säkerhetsmedvetandet genom uppdateringar via e-post, blogginlägg och presentationer under interna evenemang.
Bakgrundskontroller
Zendesk gör bakgrundskontroller av alla nya medarbetare i enlighet med lokal lagstiftning. De här kontrollerna krävs även för underleverantörer. Under bakgrundskontrollerna kontrollerar man brottsregister, utbildning och anställningar. Även städpersonal kontrolleras.
Sekretessavtal
Alla nyanställda måste underteckna sekretessavtal.
Välkommen till Zendesks globala dataskyddsprogram
Zendesk har ett formellt globalt sekretess- och dataskyddsprogram som omfattar viktiga intressenter inom olika funktioner, bland annat avdelningarna för juridik, säkerhet, produkt och ledning inom företaget. Vi gör vårt yttersta för att värna om integriteten och se till att våra tjänster och teammedlemmar alltid följande tillämpliga regulatoriska bestämmelser och branschramverk.
Efterlevnad
Australian Privacy Act of 1998 (med tillägg) definierar flera rättigheter för registrerade och har ett tillägg med krav att informera om det föreligger risk för dataintrång. Till skillnad från i EU:s GDPR-förordning använder man inte begreppen personuppgiftsansvarig och personuppgiftsbiträde. https://www.zendesk.com/company/anz-privacy/
Brasiliens allmänna dataskyddslag (Lei Geral de Proteção de Dados Pessoais, LGPD), trädde i kraft den 18 september 2020. LGPD är en omfattande dataskyddslag som definierar aktiviteter som rör personuppgiftsansvariga och personuppgiftsbiträden, liksom registrerades rättigheter.
Zendesk-abonnenter som samlar in och lagrar personuppgifter i Zendesk Services kan betraktas som ”personuppgiftsansvariga” enligt LGPD. Personuppgiftsansvariga bär det huvudsakliga ansvaret för att se till att deras behandling av personuppgifter sker i enlighet med relevanta dataskyddslagar, inklusive LGPD. Zendesk fungerar som ”personuppgiftsbiträde” enligt definitionen av detta i LGPD genom behandlingen av personuppgifter via våra tjänster.
Abonnenter kan läsa våra Produktguider och vår Policy om dataradering i tjänster för att få mer information om hur man använder Zendesks produkter i enlighet med gällande efterlevnadskrav. Brasiliens dataskyddsmyndigheter (ANPD) kan komma att publicera ytterligare vägledning om LGPD i framtiden. Zendesk kommer även i fortsättningen att följa lagen och hålla våra abonnenter uppdaterade om funktioner och inställningar som de kan använda för att uppnå regelefterlevnad.
Zendesk:s LGPD-tillägg har införlivats i Zendesk:s databehandlingsavtal. Klicka här om du vill läsa igenom och/eller skriva under Zendesks databehandlingsavtal.
California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (”CCPA”) är en amerikansk lag instiftad i delstaten Kalifornien. Den trädde i kraft den 1 januari 2020. Det utökad de integritetsrättigheter som är tillgängliga för vissa konsumenter i Kalifornien och ställer krav på vissa företag att uppfylla olika dataskyddskrav. För mer information se de slutgiltiga CCPA-bestämmelserna och California Privacy Rights Act (”CPRA”). Ett fåtal CPRA-bestämmelser trädde i kraft den 16 december 2020, medan återställde bestämmelser i CPRA kommer att träda i kraft den 1 januari 2023.
Zendesk-abonnenter som samlar in och lagrar personuppgifter i Zendesk Services kan betraktas som ”Företag” enligt CCPA. Företag bär det huvudsakliga ansvaret för att se till att deras behandling av personuppgifter uppfyller kraven i relevanta dataskyddslagar, inklusive CCPA. Zendesk agerar som ”tjänsteleverantör” enligt definitionen av detta begrepp i den aktuella versionen av CCPA beträffande behandling av personuppgifter genom våra tjänster. Det innebär att Zendesk samlar in, analyserar, underhåller, använder, behandlar och överför personliguppgifter om våra abonnenter och våra abonnenter slutanvändare som behandlas via tjänsterna uteslutande i syfte att fullgöra våra åtaganden enligt vårt/våra gällande avtal med våra abonnenter och inte i något annat kommersiellt syfte än för att fullgöra sådana åtaganden och förbättra de tjänster som vi tillhandahåller.
Vi ”säljer” inte våra abonnenters personuppgifter enligt definitionen i CCPA. Vi kan komma att dela information i sammanställd och/eller anonymiserad form beträffande användningen av tjänsten/tjänster, vilket inte betraktas som personuppgifter enligt CCPA, med tredje parter som hjälper oss att utveckla och förbättra tjänsterna och förse våra abonnenter med mer relevant innehåll och tjänsteerbjudanden enligt beskrivningen i våra abonnentavtal.
Zendesk:s CCPA-tillägg har införlivats i Zendesk:s databehandlingsavtal. Klicka här om du vill läsa igenom och/eller skriva under Zendesk:s databehandlingsavtal.
Om du vill granska och/eller använda Zendesks tillägg för amerikanska delstater till Avtalet om huvudtjänster, ber vi dig vänligen klicka här.
Kanadas Personal Information Protection and Electronic Documents Act trädde i kraft år 2000 och utgår från tio principer om rättvis information, som utgör regler för insamling, användning och spridning av personuppgifter. I oktober 2021 föreslog International Technology Association of Canada och Information Technology Industry Council ändringar i PIPEDA för att öka integritetsskyddet och rätten till insyn för kanadensiska medborgare.
Du kan läsa och/eller använda Zendesks databehandlingsavtal här. Zendesks databehandlingsavtal (DPA) definierar de specifika behandlingsaktiviteter och säkerhetsåtgärder som är tillämpliga för våra tjänster och omfattar EU:s nya standardavtalsklausuler (”EU SCCs”).
Abonnenter kan läsa våra produktguider och vår policy om radering av tjänstdata för mer information om hur Zendesks produkter kan användas för att uppfylla gällande dataskydds- och integritetslagar.
Ända sedan Zendesk grundades har vårt arbetssätt utgått från en tydlig strävan att värna om integritet, säkerhet, efterlevnad och transparens. I arbetssättet ingår att stödja våra abonnenters efterlevnad av EU:s dataskyddskrav, exempelvis dem som definieras i den allmänna dataskyddsförordningen (”GDPR”).
Om en abonnent samlar in, överför, agerar värd för eller analyserar personuppgifter om EU-medborgare kräver GDPR att abonnenten använder tredjeparts personuppgiftsbiträden med garanterad förmåga att införa de tekniska och organisatoriska skyddsåtgärder som definieras i GDPR. För att ytterligare förstärka vårt förtroende från abonnenterna har vårt databehandlingsavtal (”DPA”) uppdaterats för att ge våra kunder avtalade löften beträffande vår efterlevnad av tillämpliga dataskyddslagar i EU och införa ytterligare avtalsbestämmelser som krävs enligt GDPR.
Bindande företagsregler: Bindande företagsregler (”BCR”) är företagstäckande dataskyddspolicyer som har godkänts av europeiska dataskyddsmyndigheter för att underlätta överföringen av personuppgifter inom koncerner från Europeiska ekonomiska samarbetsområdet (”EEA”) till länder utanför EEA. BCR-reglerna är baserade på strikta sekretessprinciper som har definierats av europeiska dataskyddsmyndigheter och kräver omfattande konsultation med dessa myndigheter. Abonnenter kan läsa hela listan med godkända enheter på den BCR-godkända listan här. År 2017 genomförde Zendesk EU:s godkännandeprocess med Dataskyddsmyndigheten i Irland (”DPC”) (referentgranskad av både informationsdepartementet i Storbritannien och Dataskyddsmyndigheten i Nederländerna) och godkändes som både personuppgiftsbiträde och personuppgiftsansvarig enligt BCR-reglerna. Genom det här viktiga regulatoriska godkännandet validerades Zendesks implementering av högsta möjliga standard för att skydda personuppgifter globalt genom åtgärder som omfattar både företagets kunder och medarbetare. Zendesk är ett av världens första programvaruföretag att ha fått godkännande för sina BCR-regler och var det andra företaget någonsin som godkändes av Dataskyddsmyndigheten i Irland.
För att läsa Zendesks BCR-regler för EU kan du besöka:
- Zendesks bindande företagsregler för personuppgiftsbiträden i EU
- Zendesks bindande företagsregler för personuppgiftsansvariga i EU
För att läsa Zendesks BCR-regler för Storbritannien kan du besöka:
- Zendesks bindande företagsregler för personuppgiftsbiträden i Storbritannien
- Zendesks bindande företagsregler för personuppgiftsansvariga i Storbritannien
Förfrågningar från registrerade: En person som försöker utöva sina dataskyddsrättigheter med avseende på personuppgifter som lagras eller behandlas av oss för en abonnents räkning inom abonnentens tjänstedata (inklusive för att söka åtkomst till eller rätta, ändra, radera, portera eller begränsa behandling av sådana personuppgifter) bör rikta sin förfrågan till vår abonnent (personuppgiftsansvarig). När vi får en begäran från en av våra abonnenter om att ta bort personuppgifter från Zendesk kommer vi att besvara deras begäran inom trettio (30) dagar. Vi kommer att behålla personuppgifter som vi behandlar och lagrar på uppdrag av våra abonnenter så länge det behövs för att tillhandahålla tjänsterna till våra abonnenter.
Dataskyddsombud: Zendesks dataskyddsombud (”DPO”) kan nås på euprivacy@zendesk.com.
HDS ger vårdgivare i Frankrike tillåtelse att använda Zendesks plattform för kundtjänst och engagemang i förvissning om att vår plattform har infört lämpliga tekniska och kontrollmässiga åtgärder för att skydda och värna om personlig hälsoinformation (PHI). Mer information hittar du här.
Nya Zeelands Privacy Act från 2020 trädde i kraft den 1 december 2020. Den gäller för myndigheter och bibehåller det principbaserade ramverket i lagen från 1993. I lagen från 2020 fastställs att organisationer ansvarar för att se till att personuppgifter som skickas utanför Nya Zeeland är tillräckligt skyddade och lagen har också kompletterats med krav på obligatorisk underrättelse i händelse av intrång eller spridning. https://www.zendesk.com/company/anz-privacy/
Singapores Personal Data Protection Act fastställer dataskyddslagar som reglerar insamling, användning och spridning av personuppgifter från och med den 2 juli 2014. Zendesk har godkänts som datamellanhand av Infocomm Development Authority of Singapore (IDA) i egenskap av SaaS-leverantör (programvara som tjänst). Mer information hittar du här.
Storbritannien lämnade Europeiska unionen den 31 januari 2020. Den 28 juni 2021 antog EU-kommissionen beslut om adekvat skydd vid överföring av personuppgifter till Storbritannien inom ramen för GDPR.
För att tilldelas ett HIPAA-godkänt konto behöver du (1) köpa till tilläggstjänsten Advanced Security Deployed Associated Service eller Advanced Compliance Deployed Associated Service, (2) möjliggöra en uppsättning säkerhetskonfigurationer som definieras av Zendesk, och (3) tillämpa vårt affärspartneravtal (”BAA”). För mer information, inklusive en lista över vilka tjänster som kan godkännas enligt HIPAA, se Advanced Compliance.
Information om abonnenters tjänstdata
Tjänstdata är all information, inklusive personuppgifter, som lagras i eller överförs via Zendesk Services av, eller på uppdrag av, våra abonnenter och deras slutanvändare. Vi använder tjänstdata för att leverera och förbättra våra tjänster, hjälpa kunder att komma åt och använda tjänsterna, besvara förfrågningar från abonnenter samt skicka kommunikation relaterad till tjänsterna.
Åtkomst: Zendesk tillhandahåller en avancerad uppsättning åtkomst- och krypteringsfunktioner för att hjälpa kunder att effektivt skydda sin information. Vi använder inte kundinnehåll för något ändamål annat än att tillhandahålla, underhålla och förbättra Zendesks tjänster eller på andra sätt som lagen kräver. Mer information finns här.
Datavärdskap: Zendesk använder Amazon Web Services för att erbjuda värdskap för tjänstdata enligt beskrivningen här och i policyn om regionala datavärdskap. För mer information se även avsnittet Säkerhet.
Standarddatatyper som samlas in genom tjänsten: Zendesk har skapat en lista med datapunkter, kategoriserad per produkt. För att få en fullständig bild av olika datatyper kan abonnenter använda den här listan tillsammans med sitt specifika avsedda användningsområde och resulterande datatyper.
Förfrågningar från rättsväsenden och myndigheter: Integritet, dataskydd och abonnenternas förtroende har högsta prioritet för oss. Zendesk sprider inte Tjänstdata med undantag för när så är nödvändigt för att tillhandahålla våra Tjänster och följande gällande lag, enligt beskrivningen i vårt Integritetsmeddelande. För att hjälpa våra abonnenter att genomföra efterlevnadsgranskningar erbjuder vi ytterligare resurser: Transparensrapport och Policy för förfrågningar från myndigheter.
Ägarskap: Ur ett dataskyddsperspektiv betraktas abonnenten som personuppgiftsansvarig för tjänstdata och Zendesk som personuppgiftsbiträde. Det innebär att under hela den period som prenumererar på tjänster från Zendesk är du ägare till och har kontrollen över tjänstdata i din Zendesk-instans.
Replikering: Zendesk replikerar med jämna mellanrum data i arkiveringssyfte och för att genomföra säkerhetskopiering och skapa granskningsloggar. Vi använder Amazon Web Services (AWS) för att lagra en del av den information som säkerhetskopieras, exempelvis databasinformation och bifogade filer. Du hittar mer information i vår policy om regionala datavärdskap.
Säkerhet: Zendesk prioriterar dataskydd och kombinerar säkerhetsfunktioner i företagsklass med omfattande granskning av våra program, appar, system och nätverk för att säkerställa att abonnenternas data och affärsdata är skyddade. För mer information se här.
Säkerhetsincidenter: För mer information om hur vi hanterar säkerhetsincidenter se vår respons vid säkerhetsincidenter.
Underbiträden: Zendesk kan komma att använda underbiträden, inklusive närstående bolag till Zendesk, samt tredjepartsföretag för att tillhandahålla, skydda eller förbättra tjänsterna och sådana underbiträden kan ha tillgång till tjänstdata. Vår policy om underbiträden innehåller en uppdaterad lista med namn och adresser till samtliga underbiträden.
Uppsägning: Zendesk har en policy om radering av tjänstdata som beskriver Zendesks processer för dataradering i samband med att abonnenten säger upp tjänsten eller abonnemanget löper ut.
Policyer relaterade till dataskydd
Detaljerad information om hur och när vi använder cookies på Zendesks webbplatser.
Innehåller information om hur och när Zendesk använder cookies i Zendesks tjänster.
Hur våra abonnenters tjänstdata tas bort i samband med att tjänsten sägs upp eller avslutas eller ett konto migreras inom Zendesks tjänster.
Ramverket förtydligar vilken part som ansvarar för vilka kontroller relaterade till skydd av och säkerhet för dina data.
Programfunktioner kopplade till dataskydd
Zendesk erbjuder verktyg för var och en av företagets produkter för att hjälpa till med användarförfrågningar och andra åtaganden enligt tillämpliga integritets- och dataskyddslagar och bestämmelser, exempelvis rätten till dataåtkomst, ändring, flyttning, borttagning och invändning. Du kan läsa mer om funktioner och verktyg i olika Zendesk-produkter under Uppfyllelse av integritets- och dataskydd i Zendesks produkter.
Zendesk tillhandahåller en avancerad uppsättning åtkomst- och krypteringsfunktioner för att hjälpa abonnenter att effektivt skydda sin information. Vi använder inte abonnenters data för något annat ändamål än att tillhandahålla, underhålla och förbättra Zendesk Services eller som i övrigt krävs enligt tillämplig lag. Mer information hittar du här.
Zendesk har erhållit ett antal internationellt erkända certifieringar och ackrediteringar som visar att vi uppfyller kraven i tredjepartsramverk om dataskydd. Säkerhetscertifieringarna beskrivs här.
Abonnenter som köper till tilläggstjänsten Data Center Location Deployed Associated Service (”Data Center Location Add-on”) eller har funktionen Placering av datatjänster som en del av sin serviceplan, har möjlighet att välja i vilken region de vill lagra sina tjänstdata i en lista med Zendesks tillgängliga regioner.
Zendesk har ett robust globalt integritets- och dataskyddsprogram som tar ett helhetsgrepp kring integritetsskydd och informationsstyrning för att ge kunderna flexibilitet att hantera personuppgifter som lagras i Zendesks system. För mer information, se våra produktguider: Uppfylla integritets- och dataskydd i Zendesks produkter.
Zendesk erbjuder två funktioner för bortredigering av känsliga uppgifter:
Med manuell bortredigering kan du ta bort känsliga data från kommentarer i supportärenden och på ett säkert sätt ta bort bilagor för att skydda konfidentiell information. Data bortredigeras från ärenden via användargränssnittet eller API:et för att förhindra att känslig information lagras i Zendesk. Läs mer om bortredigering via användargränssnittet eller API:et.
Med funktionen Automatisk bortredigering kan du automatiskt redigera bort kreditkortsnummer i ärenden som har skickats in av medarbetare eller slutanvändare. Om funktionen är aktiverad ersätts kreditkortsnummer delvis av tomma rutor i ärendet. Siffrorna redigeras också bort från loggar och databasposter. Läs mer om hur du aktiverar den här funktionen och hur kreditkortsnummer identifieras.
Zendesk AI
Zendesk AI bygger på de grundläggande principerna för integritet, säkerhet och efterlevnad, genom design. Vårt åtagande att tillhandahålla företag med säkra, tillförlitliga produkter och lösningar är inbäddat i vårt DNA. Som en del av detta använder Zendesk vissa designprinciper som inte bara sätter standarden för hur vi designar, utvecklar och bygger allt vi gör utan även skapar en tydlig grund för vår användning av AI för kundupplevelser (CX och medarbetarupplevelse (EX)).
Tjänstedata som behandlas av Zendesk AI är föremål för alla säkerhetsstandarder och åtaganden, inklusive efterlevnad av Zendesks robusta företagssäkerhetsåtgärder och lagring inom Zendesks SOC 2-kompatibla miljö. Tjänstedata kommer inte att delas med någon annan kund.
Generativa AI-funktioner drivs för närvarande av OpenAI. OpenAI raderar all data efter att ha skapat resultaten utan någon lagring. OpenAI:s datasäkerhetspraxis finns tillgänglig här.
Alla modeller som utvecklats av Zendesk är klassificeringsmodeller - det innebär att de är utbildade för att läsa och klassificera inmatningar till en av ett antal kategorier som skapats av Zendesk. Eftersom dessa modeller inte är generativa skapas inget innehåll av modellen och det är inte möjligt för data att återskapas av modellen.
Använder Zendesk kunders tjänstedata för att utbilda maskininlärningsmodeller?
Zendesk erbjuder tre olika maskininlärningsfunktioner:
1. Kontospecifik ML-funktionalitet: Zendesk skapar maskininlärningsmodeller som är anpassade till kundens konto endast med data som finns i kontot. Kontospecifika modeller kommer inte att användas av någon annan kund.
2. Allmän ML-funktionalitet: Zendesk använder tjänstedata för att utbilda sina allmänna maskininlärningsmodeller över flera konton till att vara prediktiva och användbara för flertalet Zendesk-kunder. Dessa inkluderar globala och branschmodeller. Dessa modeller avslöjar aldrig en kunds tjänstedata till en annan kund eftersom de inte är ”generativa” (dvs. de skapar inte text).
3. Generativ ML-funktionalitet som stöds av OpenAI: OpenAI-modeller är förutbildade och Zendesks kunddata kommer aldrig att användas av OpenAI (eller annan tredje part) för att utbilda deras modell(er).
Hur skyddar Zendesk tjänstedata när de används för modellutbildning? Innan Tjänstedata används för att utbilda en allmänt tillgänglig modell tillämpar Zendesk aggregerings- och saneringsprocesser efter behov. Fält som är utformade för att ta emot personuppgifter eller biljettbilagor används inte för modellträning. Zendesk har åtagit sig att säkerställa att inga tjänstedata återskapas av modellen. Det finns ingen risk att en kunds uppgifter kommer att exponeras för en annan kund genom modellens resultat. Se Användningsinformation för AI-data.
Hallucinationer är en inneboende risk för generativa AI-funktioner. Zendesk gör två saker för att minska denna risk:
Zendesk använder tekniken för hämtning av utökad generation (RAG) för att säkerställa att genererade svar eller sökresultat är grundade i specifikt kunskapsbasinnehåll
Zendesks utvecklingsteam inspekterar regelbundet svar med negativ feedback från slutanvändare för hallucinationer för att utveckla verktyg som automatiskt kan upptäcka och förhindra sådana scenarier.
Alla tjänstedata förvaras i Zendesks befintliga AWS-regioner.
Användning av Zendesk AI påverkar inte abonnentens åtaganden avseende datalokalisering, inklusive de som finns tillgängliga i Datacentrets platstillägg. Tjänstedata för berättigade abonnenter kommer även fortsättningsvis att förvaras i den valda regionen.
Obs! Zendesk WFM (Tymeshift), Zendesk QA (Klaus) och Ultimate Service-data lagras i Google:s molnplattform i regionerna som anges nedan:
| Produkt | Tjänstedatavärdplats(er) |
|---|---|
| Zendesk WFM (Tymeshift) | USA, Tyskland |
| Zendesk QA (Klaus) | Tyskland |
| Ultimate | Belgien |
Alla Zendesk-produkter och funktioner är utformade med integritet i åtanke och Zendesk AI är inget undantag.
Abonnenter kan uppfylla olika sekretesslagar (inklusive GDPR och CCPA) när de använder Zendesk, inklusive Zendesk AI-funktioner.
Zendesk AI är berättigat till täckning enligt Zendesks affärspartneravtal (BAA).
Abonnenter som är intresserade av att ingå ett BAA med Zendesk måste ha tillgång till det Avancerade efterlevnadstillägget.
Datasäkerhet
OpenAI:s datasäkerhetspraxis finns tillgänglig här.
Modellsäkerhet
Zendesk använder förutbildade OpenAI-modeller och Tjänstedata kommer aldrig att användas av OpenAI för något annat syfte än att tillhandahålla och säkra sin tjänst till Abonnenten. När produkten har levererats raderas tjänsteuppgifterna.
Modellutbildning
OpenAI kommer aldrig att använda tjänstedata för modellutbildning eller någon annan form av tjänsteförbättring.
Datavärdskap och plats
OpenAI behandlar för närvarande tjänstedata i USA. OpenAI varken lagrar eller förvarar inte tjänstedata eftersom de raderas omedelbart efter att de har tillhandahållits.
Dataintegritet
Zendesk använder OpenAI:s policy "Noll Dataretention" så att inga tjänstedata lagras eller förvaras av OpenAI efter att resultatet har levererats. Användningen av OpenAI påverkar därför inte abonnenternas möjlighet att följa olika sekretesslagar (inklusive GDPR och CCPA) när de använder Zendesk.
Alla OpenAI-funktioner inom Zendesk är valfria. Abonnenter som inte vill använda dessa funktioner behöver inte aktivera dem och kan alltid inaktivera dem via Admin Center.
HIPAA
Vissa OpenAI-drivna funktioner är tillgängliga för användning med HIPAA-aktiverade konton. Mer information finns på sidan Avancerad efterlevnad.
Du kan läsa mer om Ultimates AI-agent Säkerhet och Integritet här.
Juridik
Våra avtal och policyer skapar transparens för våra abonnenter och ger detaljerad information om Zendesks tjänster, så att våra abonnenter i sin tur kan uppfylla sina egna juridiska krav och efterlevnadskrav.
Zendesk erbjuder flera databehandlingsavtal och andra tillägg för att hjälpa abonnenter att uppfylla dataskyddslagar. Om du vill använda dem, se här. De omfattar:
Databehandlingsavtal (DPA)
USA:s HIPAA Business Associate Agreement (BAA)
Avtal om huvudtjänster (Avtal om huvudtjänster) (MSA)
Abonnenter kan använda vår frivilliga mall för produkttillgänglighet för att göra preliminära bedömningar.
Den lägstastandard som vi förväntar oss av vår ledning, våra chefer, medarbetare och visstidsanställda när de agerar i vårt namn.
Detaljerad information om hur och när vi använder cookies på Zendesks webbplatser.
Innehåller information om hur och när Zendesk använder cookies i Zendesks tjänster.
Så hanterar Zendesks meddelanden om intrång i upphovsrättigheter.
Hur våra abonnenters tjänstdata tas bort i samband med att tjänsten sägs upp eller avslutas eller ett konto migreras inom Zendesks tjänster.
Beskriver Zendesks procedur för att besvara en förfrågan från ett rättsväsende eller en annan offentlig myndighet.
Beskriver hur Zendesk samlar in, använder, delar och skyddar personuppgifter.
De platser där Zendesks tjänstdata kan lagras om en abonnent köper till eller aktiverar tillägget Placering av datacenter.
Program för säkerhetsanalytiker för att rapportera upptäckta säkerhetssårbarheter inom Zendesks tjänster.
Du hittar ytterligare Zendesk-policyer här.
Transparensrapport
Spridning av tjänstdata: Zendesk sprider bara tjänstdata till tredje part när spridningen är nödvändig för att tillhandahålla eller förbättra tjänsterna eller i den omfattning så krävs utifrån lagliga förfrågningar från offentliga myndigheter. För mer information se vår policy om förfrågningar från myndigheter samt Zendesks transparensrapport.