為客戶服務提供保護

為您保駕護航

Zendesk 非常重視安全性 —— 只需問詢將其資料信任地託付給我們的眾多財星雜誌 100 大企業與 500 大企業 便可知曉。 我們將企業級的安全功能與對我們應用程式、系統和網路的全面審計相結合,以確保您的資料始終得到保護,這意味著每個客戶皆可放心無虞 —— 其中亦包括我們自己的客戶。

法規遵循憑證和會員資格

Zendesk 運用最佳實務與行業標準來實現對行業公認一般安全性與隱私權架構的遵循,進而幫助我們的訂閱者滿足其自己的法規遵循標準。

安全性法規遵循
SOC 2 II 型

我們接受例行審核,具有最新的 SOC 2 II 型報告,該報告可根據需要在簽署保密協議的情況下提供。 請求查閱最新 SOC 2 II 型報告

ISO 27001:2013

Zendesk 已通過 ISO 27001:2013 認證。 下載憑證

ISO 27018:2014

Zendesk 已通過 ISO 27018:2014 認證。 該憑證可在此處下載。

FedRAMP LI-SaaS

Zendesk 已得到 FedRAMP 低度影響軟體即服務(LI-SaaS)授權,並已列於FedRAMP Marketplace。 美國政府機構訂閱者可填寫封裝存取請求表單 ,或提交請求至fedramp@zendesk.com,以請求存取 Zendesk FedRAMP 安全性封裝。

基於產業的合規
PCI-DSS

Zendesk Support 提供一個可設定的遵循 PCI 規定的信用卡欄位,可對除最後四位以外的所有數字進行編輯。 瞭解關於 Zendesk PCI 法規遵循的資訊

會員資格
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk 獲得McAfee CloudTrust計畫。 該計畫僅向可能獲得 CloudTrust™ 計畫最高評級的服務提供 McAfee Enterprise-Ready 標章。 基於資料、使用者和裝置、安全性、商業和法律評估類別的屬性,該等服務已獲得 McAfee's CloudTrust™ 和 McAfee Enterprise-Ready 評級。

雲端安全聯盟(簡稱 CSA)

Zendesk 為雲端安全聯盟(簡稱 CSA)會員,此聯盟為非營利組織,使命是推廣採用最佳實務,以在雲端運算領域提供安全性保障。 CSA 推出安全、信任及保證註冊(簡稱 STAR),此為可公開取得的註冊表,記錄各種雲端運算產品提供的安全性控制措施。 Zendesk 根據我們的盡職調查自我評估結果,填寫可公開查詢的共識評估倡議(簡稱:CAI)調查表。

CSA CAIQ 可於此處查閲。

IT-ISAC

Zendesk 為IT-ISAC成員,這是一間致力於將各種不同的私營公司團結一致,充分利用不斷發展的技術,對安全性有共同承諾的組織。 IT-ISAC 促進協作與共用相關、可採取動作的威脅情報資訊與做法。 他們主持針對情報、內部威脅、實體安全性以及其他特定領域的特別興趣群,有助於進一步推動我們保證 Zendesk 安全性的任務。

FIRST

Zendesk 為FIRST成員,這是一個事件回應團隊的國際聯盟,共同處理電腦安全性事件,並推廣事件預防計畫。 FIRST 成員開發並共用技術資訊、工具、方法、流程與最佳實務。 作為 FIRST 成員,Zendesk Security 與其他成員合作,運用其共同的知識、技能與經驗,以促進一個更安全的全球電子環境。

金融服務資格系統(簡稱FSQS)

Zendesk 符合參與採購組織制定的所有要求 (第 1 階段和第 2 階段),可在 FSQS (金融服務資格系統) 供應商資格審查系統中完成註冊。 可於此處申請最新FSQS證書。

更多FSQS資料可於https://hellios.com/fsqs/查閱。

人工製品

我們可根據要求提供額外資源。

直接下載資源(非保密協議)

ISO 27001:2013 認證

ISO 27018:2014 認證

SOC 3 報告

資料工作表/白皮書

PCI 法規遵循證明(簡稱 AoC)及法規遵循憑證

網路架構圖表

  • 支援/指南
  • 聊天
  • 對話

CSA CAIQ

風險分類

FSQS(金融服務資格系統)

取得資源
NDA 資源

以下資源可能需要 NDA 存檔。 請按一下按鈕以取得存取權限。

保險憑證

SOC 2 II 型報告

年度滲透測試摘要

商務連續性及嚴重損壞修復測試摘要

SIG Lite

VSA

HECVAT Lite

當前訂閱者可於 Admin UI 中存取這些資源:

雲端安全性

資料中心實體安全性
設施

Zendesk 主要將服務資料託管於已通過 ISO 27001、PCI DSS 服務提供者層級 1 以及/或者 SOC 2 認證的 AWS 資料中心。 瞭解關於AWS 法規遵循的資訊

AWS 基礎結構服務包括備用電源、HVAC 系統,以及滅火裝置,有助於保護伺服器,最終保護您的資料安全。 瞭解關於 AWS 資料中心控制的資訊

現場安全性

AWS 現場安全性包括多种功能,例如保全防護、圍牆保护、安全摘要、入侵偵測技術以及其他安全措施。 瞭解關於 AWS 實體安全性的資訊

資料託管位置

Zendesk 使用位於美國、歐洲和亚太的 AWS 資料中心。 瞭解關於您的 Zendesk 服務資料的資料託管位置的資訊

Zendesk 提供多個資料位置選擇,包括美國(簡稱 US)、澳洲(簡稱AU)、日本(簡稱JP)或歐洲經濟區(簡稱EEA)。 關於更多產品、計畫及區域產品資訊,請參閱 區域資料託管政策

廠商安全性

Zendesk 透過對所有有權存取我們系統或服務資料之廠商執行安全性審查,將與第三方廠商相關之風險降至最低。

網路安全性
專門的安全性團隊

我們遍佈全球的安全性團隊 24/7 隨叫隨到,以回應安全性警示和事件。

保護

我們的網路透過使用關鍵 AWS 安全性服務、與我們的 Cloudflare 邊緣防護網路整合、定期審核,以及監控並/或封鎖已知惡意流量和網路攻擊的網路智慧技術而受到保護。

我們的網路安全性架構由多個安全區域組成。 而更敏感的系統,如資料庫伺服器,在我們最受信任的安全區域中得到保護。 其他系統根據其功能、資訊分類和風險,安置在與其敏感度相適應的區域中。 根據區域的不同,將採用其他的安全性監控和存取控制。 您可在網際網路之間,以及在您內部網路的不同受信任安全區域之間設定 DMZ。

網路漏洞掃描

網路安全性掃描使我們能夠深入瞭解並快速識別不符合要求或可能存在漏洞的系統。

第三方滲透測試

除了全面的內部掃描和測試計畫之外,每年,Zendesk 都會透過第三方安全專家來對整個 Zendesk 生產與企業網路進行廣泛的滲透測試。

安全事故事件管理

我們的安全事故事件管理(簡稱 SIEM)系統從重要的網路裝置和主機系統蒐集大量紀錄檔。 SIEM 可就根據相關事件通知安全性團隊的觸發程式發出警示,以便於調查與回應。

入侵偵測與防禦

服務進出點皆設有檢測程式並受監控,以偵測異常行為。 這些系統經設定,可於事件和數值超過預定的臨界值時,發出警示,並根據新的威脅,採用定期更新的簽章。 這包括 24/7 的系統監控。

威脅情報計畫

Zendesk 參與多項威脅情資共用計畫。 我們監控發佈於這些威脅情報網路的威脅,並依風險程度採取行動。

降低 DDoS 攻擊

Zendesk 已構建一個多層方法來降低分散式阻斷服務(簡稱 DDoS)的損失。 與 Cloudflare 建立核心技術合作關係來提供網路邊緣防禦,而AWS 擴容與防護工具的使用,以及我們對 AWS DDoS 特定服務的使用則提供了更深層的防護。

邏輯存取

將對 Zendesk 生產網路的存取限制在明確「需要瞭解」的基礎上,使用最少的特權,定期進行審核和監控,並由我們的運營團隊進行控制。 存取 Zendesk 生產網路的僱員必須使用多因素驗證。

安全性事件回應

如系統發生警示,事件將上報給我們的 24/7 團隊,以保障作業、網路工程和安全性。 僱員會進行安全性事件回應流程方面的培訓,包括溝通管道和上報途徑。

加密
傳輸時加密

與 Zendesk UI 及 API 的所有通訊均透過行業標準 HTTPS/TLS(TLS 1.2 或更高)在公共網路上加密。 這樣可以確保您與 Zendesk之間的所有通訊在傳輸過程中都是安全的。 此外,針對電子郵件,我們的產品預設使用隨機 TLS。 傳輸層安全性(簡稱 TLS)對電子郵件加密並保證電子郵件安全傳送,當對等服務支援此協定時,可減少郵件伺服器間的竊聽。 加密之例外狀況可能包括使用產品內簡訊功能、任何其他第三方應用程式、整合,或訂閱者可能自行選擇使用之服務。

待用加密

服務資料在 AWS 中使用 AES-256 金鑰加密進行待用加密。

可用性及連續性
運作時間

Zendesk 維護一個公開的系統狀態網頁,其中包括系統可用性的詳細資訊、定期維護、服務事故記錄,以及相關的安全事件。

冗餘

Zendesk 使用服務群集和網路冗余以避免單點故障。 我們嚴格的備份制度和/或增強型嚴重損壞修復服務使我們得以提供高水準的服務可用性,這是因為服務資料將在可用性區域之間進行複製。

嚴重損壞修復

我們的嚴重損壞修復(簡稱DR)計畫確保在發生嚴重損壞的情況下,我們的服務仍然可用且易於還原。 這是透過構建一個穩健的技術環境,建立嚴重損壞修復計畫,以及測試活動來實現的。

增強型嚴重損壞修復

我們的增強型嚴重損壞修復套餐為復原時間目標(簡稱RTO)與復原點目標(簡稱RPO)加入了契約式目標。 在任何已宣告的嚴重損壞事件期間,我們能夠優先處理具備增強型嚴重損壞修復功能的訂閱者的運營業務,從而為這些目標提供了支援。

瞭解關於嚴重損壞修復保證的更多資訊。

應用程式安全性

安全性開發(簡稱SDLC)
架構安全性控制

Zendesk 使用具有安全性控制的現代、安全開放原始碼架構來限制受到 OWASP前 10 大安全性風險的影響。 這些固有控制減少了受 SQL 插入(簡稱 SQLi)、跨網站指令碼(簡稱 XSS)與跨網站偽造要求(簡稱 CSRF)等等攻擊的影響。

品質保證

我們的品質保證(簡稱 QA)部門審查並測試我們的程式碼庫。 專職應用程式安全性工程師負責識別、測試並對程式碼中的安全性漏洞分級。

獨立的環境

測試和預備環境邏輯上與生產環境分離。 我們的開發或測試環境未使用服務資料。

漏洞管理
漏洞動態掃描

我們採用第三方安全性工具,針對常見的網路應用程式安全性風險(包括但不限於 OWASP 前 10 大安全性風險),持續和動態掃描我們的核心應用程式。 我們擁有專門的內部產品安全性團隊,負責測試和與工程師團隊合作,以糾正任何發現的問題。

軟體組合分析

我們掃描用於產品的程式庫和依賴項,以識別漏洞並確保漏洞得到管理。

第三方滲透測試

除我們廣泛的內部掃描和測試計畫外,Zendesk 聘請第三方安全性專家對我們產品系列中的不同應用程式進行詳細的滲透測試。

負責任的揭露/Bug Bounty 計畫

我們的負責任揭露計畫為安全研究人員以及訂閱者提供了一個途徑,以便安全地進行測試並將安全性漏洞通知給 Zendesk,這是透過我們與HackerOne的合作實現的。

產品安全性

驗證安全性
驗證選項

Zendesk 有幾個不同的驗證選項:訂閱者可啟用原生 Zendesk 驗證、社交媒體單一登入(簡稱SSO)(Facebook、Twitter、Google)和/或企業單一登入(SAML、JWT),以進行最終使用者和/或代理人驗證。 瞭解使用者存取相關資訊

可設定密碼政策

Zendesk 針對透過管理中心提供的產品的原始驗證提供以下三種密碼安全性層級:低、中、高,並可為代理和管理員設定自訂密碼規則。 Zendesk 也允許針對最終使用者與代理和管理員設定不同密碼安全性層級。 只有管理員可以變更密碼安全性層級。 瞭解可設定密碼政策相關資訊

雙因素驗證(簡稱2FA)

管理中心提供的 Zendesk 產品原生驗證,可讓代理人和管理員透過簡訊或驗證器應用程式來完成雙因素驗證(簡稱2FA)。 瞭解雙因素驗證(簡稱2FA)相關資訊

服務憑證儲存

Zendesk 遵循安全憑證儲存最佳實務,從不以人類看得懂之格式儲存密碼,並僅作為安全、有經驗和單向雜湊結果。

其他產品安全性功能
角色型存取控制

於 Zendesk 應用程式內存取資料受制於角色型存取控制(簡稱RBAC)並可對其進行設定,以定義細微存取權限。 Zendesk 為各種用戶(所有者、管理員、代理人、最終使用者等)權限等級提供支援。

瞭解使用者角色:

全球安全性及使用者存取詳細資料

IP 限制措施

任何 Zendesk 帳戶均可限制特定 IP 位址範圍內的使用者對其 Zendesk 支援的存取。 只有來自允許的 IP 位址的使用者能夠登入您的 Zendesk 帳戶。 您可允許訂閱者(非代理人或管理員)繞過此限制。 更多資訊,請參閱使用 IP 限制措施限制對 Zendesk 支援及您的說明中心的存取以及在聊天中使用 IP 存取限制

為說明中心代管的加密憑證(TLS)

Zendesk 為主機對應的指南說明中心提供免費 TLS 加密。 Zendesk 利用 Let’s Encrypt 請求憑證並在憑證到期前自動更新憑證。

如果您願意,也可上傳自己的憑證。

欲瞭解有關為指南說明中心設定加密憑證的更多資料,請參閱設定代管的 TLS 加密憑證

聊天中的檔案限制

Zendesk Chat 允許限制發送代理人的檔案類型。 或者,您可以選擇在 Chat 產品中完全關閉檔案傳送功能。 為瞭解此功能,可查看管理即時聊天中的檔案傳送

稽核記錄

Zendesk 為 Enterprise/Enterprise Plus 計畫帳戶提供稽核記錄。 這些記錄包括帳戶變更、使用者變更、應用程式變更、商務規則、票證刪除和設定。 稽核記錄可於Admin CenterSupport API查閲。 為瞭解更多有關稽核記錄的資訊和查看記錄中可用的資料,請查看檢視稽核記錄中的資料變更

私密附件

訂閱者可以配置他們的實例,以要求使用者登入以檢視票證附件。 瞭解私密附件

編輯功能

Zendesk 有兩種移除敏感資料的編輯方式: 手動編輯功能可以編輯或移除 Support 票證評論中的敏感資料,並安全地刪除附件,以便保護機密資訊。 票證中的資料將透過 UI 或 API 予以編輯,以防止敏感資訊被儲存在 Zendesk 中。 透過UIAPI瞭解編輯功能。

自動編輯功能允許從訂閱者提交的票證中自動編輯信用卡號碼。 啓用該功能時,票證中的信用卡號碼部分更換為空白方塊。 也能從記錄和資料庫項目中編輯號碼。 為瞭解更多有關如何啓用此功能和識別信用卡號碼的資訊,可查看自動編輯票證聊天中的信用卡號碼。

指南說明中心的垃圾郵件篩選

Zendesk的垃圾郵件篩選服務可用於防止最終使用者的貼文發佈到您的指南說明中心。 在指南中瞭解如何篩選垃圾郵件

電子郵件簽章(DKIM/DMARC)

當您需要在 Zendesk 中設定外部電子郵件網域時,Zendesk 提供DKIM (網域金鑰識別郵件)和 DMARC(網域型訊息驗證、報告和一致性),用於簽署從 Zendesk 寄出的電子郵件。 使用支援這些功能的電子郵件服務可使您避免電子郵件欺騙。 瞭解關於電子郵件數位簽章的資訊

裝置追蹤

Zendesk 追蹤用於登入每個使用者帳戶的裝置。 當使用者從一個新裝置登入帳戶時,它會被新增到該使用者個人檔案的裝置清單中。 使用者可收到新增裝置的電子郵件通知,並且如果該活動可疑,則應後續跟進。 可疑活動可在代理 UI 予以終止。 瞭解裝置追蹤功能

人力資源安全性

安全性意識
政策

Zendesk 開發出涵蓋一系列主題的全面安全性政策。 這些政策與所有具備 Zendesk 資訊資產存取權限的僱員和承包商共用。

培訓

所有僱員皆參與安全性意識培訓,入職時進行一次培訓,爾後每年進行一次。 所有工程師每年進行一次安全程式碼培訓。 安全性團隊透過電子郵件、部落格文章和內部活動期間的報告來提供額外的安全性意識更新資訊。

僱員審核
背景調查

Zendesk 根據當地法律對所有新進僱員進行背景調查。 承包商也必須完成這些調查。 背景調查包括犯罪、教育和就職紀錄驗證。 清潔人員包括在內。

保密協議

所有新入職的僱員必須簽署不揭露及保密協議。

歡迎參與 Zendesk 全球隱私權計畫

Zendesk 制定了正式的全球隱私權與資料保護計畫,其中包含重要的跨職能利害關係人,涉及公司的法務、安全性、產品和執行部門。 如隱私權所稱,我們努力確保我們的服務和團隊成員致力於遵循相關監管及行業框架。

法規遵循

1988年澳洲隱私權法及隱私權原則

1998年澳洲隱私權法及其修正案規定了若干資料主體權利及增加對合乎要求的資料外洩的強制性通報。 不同於通用資料保護規則(簡稱GDPR),不存在資料控制方和資料處理方的概念。https://www.zendesk.com/company/anz-privacy/

巴西《通用資料保護法》(簡稱LGPD)增補合約

巴西《通用資料保護法》(簡稱「LGPD」)於2020年9月18日生效。 LGPD 係一項全面的資料保護法,涵蓋資料控制者和處理者的行動,並提供個人權利。

於 Zendesk 服務中蒐集和儲存個人資料的 Zendesk 訂閱者可視為 LGPD 項下的「控制者」。 控制者承擔確保其對個人資料的處理符合相關資料保護法(包括LGPD)的主要職責。 就透過我們的服務處理個人資料,Zendesk 擔任「處理者」的角色,其定義見LGPD。

訂閱者可檢視我們的 產品指南服務資料刪除政策,獲取更多有關如何使用 Zendesk 的產品以與合規舉措保持一致的詳細資訊。全國資料保護機構(簡稱「ANPD」)今後或會發佈有關 LGPD 的其他指南。 Zendesk 將繼續積極追蹤法律,我們也將繼續向訂閱者報告其可用的最新功能,以支援他們的合規工作。

如果您想審閱並/或簽署 Zendesk 的主訂閱協議 LGPD 增補合約,請按一下此處。 我們的 Zendesk 主訂閱協議中包含「特定地區條款」,具體為巴西章節。

加州消費者隱私保護法(簡稱CCPA)增補合約

加州消費者隱私保護法(加州 民 法典第1798.100節等,簡稱「CCPA」)是加利福尼亞州頒布的美國法律,於2020年1月1日起生效。 它擴大了某些加州消費者可擁有的隱私權的範圍,並要求某些公司符合各項資料保護要求。 請同時造訪最終的 CCPA 規則以及加州隱私權法(簡稱「CPRA」)。 一些 CPRA 條款已於2020年12月16日生效,剩餘的 CPRA 條款將於2023年1月1日生效。

於 Zendesk服務中蒐集並儲存個人資訊的 Zendesk 訂閱者可被視為加州消費者隱私保護法(簡稱CCPA)中之「企業」。 企業承擔確保其對個人資料的處理符合相關資料保護法(包括CCPA)的主要職責。 就透過我們的服務處理個人資訊,Zendesk 擔任「服務提供者」的角色,其定義採用 CCPA 現時版本。 因此,Zendesk 蒐集、存取、維護、使用、處理並傳輸透過標的服務處理的我們訂閱者及我們訂閱者的最終使用者之個人資訊,僅為履行與我們的訂閱者訂立之現時合約項下我們的義務之目的,而非除履行此等義務和改進我們所提供的標的服務以外的其他商業目的。

我們不會「出售」CCPA 中定義的我們的訂閱者之個人資訊。 我們可與第三方共用有關標的服務使用的彙總及/或匿名資訊,此等資訊不被視為 CCPA 項下的個人資訊,以協助我們開發並改進標的服務,及向我們的訂閱者提供更多相關內容和服務項目,詳見我們的訂閱者協議。

您可於此處審閱及/或簽署 Zendesk 的主訂閱協議 CCPA 增補合約。

加拿大個人資料保護及電子文件法(簡稱PIPEDA)

加拿大的個人資料保護及電子文件法於 2000 年生效,主要包括十項公平資訊原則,它們構成關於個人資訊蒐集、使用、存取和揭露的規則。 2021年10月,加拿大國際技術協會(International Technology Association)和資訊科技產業協會(Information Technology Industry Council)建議變更加拿大的個人資料保護及電子文件法(簡稱PIPEDA),以為加拿大公民提供更大的隱私權和透明度權。

資料處理協議(簡稱DPA)

您可在 此處查閱及/或簽署 Zendesk 的 DPA。 Zendesk 的 DPA 涵蓋針對我們標的服務的特定處理活動及安全性措施。

訂閱者可閱讀我們的產品指南服務資料刪除政策,瞭解如何使用 Zendesk 產品的詳細資訊,以協助遵守隱私權及資料保護法律。

歐洲通用資料保護規則(簡稱 GDPR)

Zendesk 自成立伊始始終堅守對隱私權、安全性、法規遵循和透明度之承諾。 此做法包含支援訂閱者遵守歐盟資料保護之規定,如通用資料保護規則 (簡稱「GDPR」)。

如果訂閱者蒐集、傳輸、託管或分析歐盟公民之個人資料,GDPR 要求該訂閱者使用的第三方資料處理方保證其可以履行 GDPR 之技術及組織要求。 為了進一步贏得訂閱者信任,我們的資料處理協議(簡稱「DPA」)已作更新,向客戶提供有關我們遵守相關歐盟資料保護法律之契約承諾以及實施 GDPR 所要求之其他契約條款。

拘束性企業規則(簡稱 BCR): 拘束性企業規則(簡稱「BCR」)係經歐洲資料保護主管機關核准之公司資料保護政策,目的係為在集團內部從歐洲經濟區(簡稱「EEA」)向 EEA 以外國家傳輸個人資料提供便利。 BCR 係基於歐盟資料保護主管機關確立的嚴格隱私權原則訂立,需要充分諮詢這些主管機關意見。 訂閱者可在此處的拘束性企業規則核准清單中查找到全部獲准實體。 2017年,作為處理方和控制方,Zendesk 在愛爾蘭資料保護委員會(Data Protection Commissioner;簡稱「DPC」)完成了 BCR的歐盟核准流程(經英國資訊專員辦公室和荷蘭資料保護局之同行評審)。 此項重大監管審批確認 Zendesk 在全球實施個人資料保護之最高標準,覆蓋其客戶及僱員的個人資料。 Zendesk 係全球首批獲得 BCR 核准的軟體公司之一,亦係獲得愛爾蘭 DPC 核准的第二家公司。

欲存取 Zendesk 之 BCR,請造訪:
Zendesk 的處理方拘束性企業規則 ,適用於 Zendesk 代表其客戶處理個人資料之情形;
Zendesk 的控制方拘束性企業規則
,適用於 Zendesk 作為資料控制方處理個人資料之情形。

資料主體請求: 對於由我們代表訂閱者在訂閱者的服務資料內儲存或處理的個人資料,該等個人資料所涉之個人如欲行使其資料保護權利(包括要求存取、更正、修改、刪除、攜取或限制處理該等個人資料),應直接向我們的訂閱者(資料控制方)提出其相關要求。 在收到訂閱者要求從 Zendesk 移除個人資料的請求後,我們會在三十 (30) 日內對其請求做出回應。 在我們有需要向訂閱者提供標的服務的情況下,我們會保留我們代表訂閱者處理及儲存之個人資料。

資料保護長: Zendesk 資料保護長(簡稱「DPO」)之聯絡方式為euprivacy@zendesk.com

隱私盾: 美國 商務部與歐洲委員會及瑞士政府共同訂立了歐盟-美國及瑞士-美國 隱私盾框架(簡稱「隱私盾」),以為企業提供在具充分保護之下從歐盟向美國傳輸個人資料之機制,從而達到歐洲資料保護法律之目的。 Zendesk 已向美國商務部認證自身符合歐盟-美國及瑞士-美國 隱私盾框架, 並且已被納入商務部之隱私盾自行認證參與者名單。 該等認證表明,我們遵守隱私盾原則向美國傳輸歐洲及瑞士個人資料。

2020 年 7 月 16 日,歐盟法院(簡稱「CJEU」)簽發一項廢除歐盟-美國 隱私盾計畫的裁定。 我們理解,您可能對隱私盾失效及 Zendesk 的相關立場有疑問,所以我們特此發佈 此篇部落格,為您答疑。

法國 Hébergeur de Données de Santé (簡稱 HDS 或健康資料代管)

HDS 允許法國的醫療保健提供者使用 Zendesk 的客戶服務及參與平台,相信我們的平台擁有適當的技術及管理措施來妥善保護個人健康資訊(簡稱PHI)。 可於此處獲取其他資訊。

紐西蘭 2020 年隱私法及其資訊隱私原則

紐西蘭 2020 年隱私法於 2020 年 12 月 1 日生效,適用於各機構並延續了 1993 年法案基於原則的框架。 2020 年隱私法規定組織有責任確保在紐西蘭境外傳送之個人資訊得到充分保護並新增強制性違規通知要求。https://www.zendesk.com/company/anz-privacy/

新加坡個人資料保護法(簡稱 PDPA)

新加坡個人資料保護法制定資料保護法律,規範個人資料的蒐集、使用及揭露,自2014 年 7 月 2 日起生效。 Zendesk 係新加坡資通訊發展局(簡稱 IDA)認可的資料中介機構,係軟體即服務(簡稱 「SaaS」)之服務供應商。 可於此處獲取其他資訊。

英國 GDPR 及 脫歐

英國於 2020 年 1 月 31 日退出歐盟。 2021 年 6 月 28 日,歐洲委員會通過關於根據 GDPR 向英國傳輸個人資料的適當性決定

美國健康保險便利及責任法案(簡稱 HIPAA)及商業夥伴協議(簡稱 BAA)。

為建立啟用HIPAA的帳戶,您將需要 (1) 購買啟用高級安全性的相關服務或啟用高級法規遵循的相關服務附加元件;(2) 啟用 Zendesk 列出的一套安全性設定;及 (3) 簽署我們的商業夥伴協議 (簡稱 「BAA」)。 如需瞭解啟用 HIPAA 之標的服務列表等更多詳細資料,請參閱高級法規遵循

訂閱者服務資料詳情

服務資料係包括個人資料在內之任何資訊,係我們的訂閱者及其最終使用者或其代表儲存於 Zendesk 服務中或透過該等服務傳輸之資訊。 我們使用服務資料運作並改善標的服務,幫助客戶存取及使用標的服務,回應訂閱者查詢並傳送標的服務相關通訊。

其他資訊

存取: Zendesk 提供一套高級存取及加密功能,幫助客戶有效保護其資訊。 除用於提供、維護及改善 Zendesk 服務之外,我們不會出於任何其他目的存取或使用客戶之資料內容,除非係法律要求。 查閱此處之其他資訊。

資料託管: Zendesk 使用亞馬遜網路服務系統 (Amazon Web Services) 託管服務資料,詳情請參閱此處區域資料託管政策。 關於其他資訊,亦請參閱安全性一節

標的服務蒐集之預設資料類型: Zendesk 已建立一個按產品分類的資料點清單。 訂閱者可結合此清單與其特定的預期使用用例及對應資料類型,瞭解全部資料類型。

法律或政府要求: 保護隱私權、資料安全性及維繫訂閱者信任係我們的首要任務。 Zendesk 不揭露服務資料,除非係提供標的服務以及遵守相關法律要求而有必要者,詳細資訊請參閱我們的隱私權政策。 為幫助訂閱者執行法規遵循審查,我們還提供其他資源: 公開報告政府資料請求政策

所有權: 就隱私權而言,訂閱者係服務資料之控制方,Zendesk 係處理方。 這意味著在您訂閱 Zendesk 服務的整個期間,您將對 Zendesk 實例中之服務資料擁有所有權及控制權。

複寫: Zendesk 定期複寫資料以封存、備份及稽核紀錄檔。 我們使用亞馬遜網路服務系統(簡稱 AWS)儲存部分備份資訊,如資料庫資訊及附件檔案。 請參閱我們的區域資料託管政策瞭解詳細資訊。

安全性: Zendesk 非常重視資料安全性,將企業級安全性功能與我們應用程式、系統和網路的全面稽核相結合,以確保訂閱者及企業資料得到保護。 請在此處參閱其他資訊。

安全性事件: 關於安全性事件管理之更多詳情,請參閱 安全性事件回應

子處理方: Zendesk 可使用包括自身關係企業以及第三方公司在內的子處理方來提供、改善標的服務或保護標的服務之安全,並且該子處理方可存取服務資料。 我們的子處理方政策載有所有子處理方名稱及地點的最新清單。

終止: Zendesk 實施服務資料刪除政策,其中規定在訂閱者終止 Zendesk 訂閱或訂閱屆滿時 Zendesk 之資料刪除程序。

隱私權相關政策

政策

我們在 Zendesk 網站上使用 cookie 的方式及時間的相關詳細資料。

提供有關 Zendesk 在 Zendesk 服務中使用 cookie 的方式及時間的資料。

如何刪除與 Zendesk 服務中帳戶的取消、終止或移轉相關的訂閱者服務資料。

This framework clarifies which party is responsible for which controls related to the security and privacy of your data.

隱私權相關應用程式功能

隱私權及資料保護工具

Zendesk 為每種產品提供工具,協助滿足使用者請求及相關隱私權及資料保護法律及法規規定的其他義務,如資料存取、修正、可攜性、刪除及異議。 如欲瞭解關於 Zendesk 各種產品特徵及功能的資訊,請參閱遵守 Zendesk 產品中的隱私權及資料保護

存取管理

Zendesk 提供一套高級存取及加密功能,幫助訂閱者有效保護其資訊。 除用於提供、維護及改善 Zendesk 服務之外,我們不會出於任何其他目的存取或使用訂閱者資料,除非係法律要求。 可於此處獲取其他資訊。

認證

Zendesk 已獲得許多國際認可的認證及鑑定,證明其遵守第三方保證框架。 此處係安全性認證的詳細資料。

資料託管位置

購買啟用資料中心位置的相關服務 (「資料中心位置附加元件」)之訂閱者,或者服務計畫具有資料中心位置功能之訂閱者,能夠從 Zendesk 可用區域清單中選擇託管其服務資料的區域。

隱私權始於設計

Zendesk 實施強大的全球隱私權及資料保護計畫,採用統一方法管理隱私權及資訊,為客戶提供管理 Zendesk 系統內個人資料的靈活性。 瞭解詳細資訊,請參閱我們的產品指南: 遵守 Zendesk 產品中的隱私權及資料保護

編輯/資料最小化

Zendesk 有兩種移除敏感資料的編輯方式:

手動編輯功能可以編輯或移除 Support 票證評論中的敏感資料,並安全地刪除附件,以便保護機密資訊。 票證中的資料將透過 UI 或 API 予以編輯,以防止敏感資訊被儲存在 Zendesk 中。 透過UI或API瞭解更多編輯功能

自動編輯功能可實現對代理人或最終使用者所提交票證之信用卡號碼的自動編輯。 啓用該功能時,票證中的信用卡號碼部分更換為空白方塊。 也能從記錄和資料庫項目中編輯號碼。 瞭解如何啟用該功能及如何識別信用卡號碼

公開報告

服務資料的揭露: Zendesk 僅向第三方揭露服務資料,這些資料為提供或改進服務或回應政府當局的合法請求所需。 請查看我們的政府資料請求政策Zendesk 公開報告

公開報告

截至目前: 2021年9月24日。

關於公開報告

與許多技術公司一樣,Zendesk 偶爾會收到美國和其他地方執法機構的請求,要求 Zendesk 代表客戶處理個人資料。 此類請求可採取傳票、法院命令、搜查證、國家安全信函或根據外國情報監視法案發出的命令的形式。 Zendesk 需遵循政府對個人資料的有效請求。

同時,Zendesk 注重維護客戶的信任。 其中一種維護信任的方式係告知 Zendesk 客戶和公眾政府的有效請求。 為此,我們已編製該公開報告。

公開報告提供與我們在2021年上半年(2021年1月1日至2021年6月30日)收到的執法機關個人資料請求有關的資訊。 Zendesk 將大約每六個月提供前六個月期間的更新報告。

更多關於 Zendesk 回應執法機關資料請求的方法的資訊,請於此處查看政府資料請求政策。

美國執法機構的請求:

更多關於Zendesk 回應執法機構的個人資料請求的方法的資料

請求種類請求數量內容資料揭露非內容資料揭露
傳票404
法院命令101
搜查證220
非美國執法機構的請求:

雖然 Zendesk 位於美國,但我們在其他一些國家也擁有公司。 當我們收到來自非美國政府的請求時,我們與美國和非美國法律顧問合作,以確定請求的有效性及我們根據美國和其他適用法律作出回應的能力

請求種類請求數量資料提供次數
非正式請求80
根據 MLAT 的非美國政府請求0不適用
定義

內容資料: 包括最終使用者與帳戶通訊的內容,如 Zendesk Support Tickets 及 Zendesk Chats。 內容資料通常被視為 Zendesk 主訂閱協議中定義的服務資料。

非內容資料: 並非所有資料皆係內容資料。 非內容資料包括 Zendesk 隱私權政策所述的帳號資訊(如帳戶所有者名稱及聯絡資訊、帳戶帳單資訊、服務期、使用服務類別及帳戶登入資訊)。 此外,如果 Zendesk 收到法院命令,則非內容資料也包含與最終使用者帳戶通訊相關之非內容中繼資料,即服務資料。

法院命令: 係指法官在發現有合理理由相信所搜查的資訊與正在進行的刑事調查相關且意義重大時簽發的命令。

FISA 命令: 根據外國情報監視法案針對在美國發佈的使用者資訊發出的命令或要求。

MLAT(法律互助條約): Zendesk 要求非美國政府實體使用適當的國際法律程序,如透過 MLAT,來取得客戶資料。

國家安全信函: 係指根據美國法典第 18 章第 2709 節規定簽發的國家安全信函。

搜查證: 係指法官在執法部門發現合理根據後簽發的命令。 需要搜查證才可獲得內容資料。

傳票: 係指政府實體為刑事案件發出之要求出示文件的強制性要求(如大陪審團傳票)。