Service client sécurisé

Assurez vos arrières

Zendesk prend la sécurité très au sérieux : toutes les entreprises Fortune 100 et Fortune 500 qui nous confient leurs données en attestent. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que vos données soient toujours protégées... ainsi vos clients peuvent avoir l’esprit tranquille.

Certifications de conformité et abonnements

Zendesk suit les meilleures pratiques et les normes du secteur pour assurer la conformité avec les cadres généraux de sécurité et de confidentialité acceptés par le secteur, en aidant ainsi nos clients à respecter leurs propres normes de conformité.

Sécurité et conformité
SOC 2 Type II

Nous effectuons des audits de routine afin de bénéficier de rapports SOC 2 Type II à jour, disponibles sur demande et sous NDA. Demande du dernier rapport SOC 2 Type II.

ISO 27001:2013

Zendesk est certifié ISO 27001:2013. Télécharger le certificat.

ISO 27018:2014

Zendesk est certifié ISO 27018:2014. Vous pouvez télécharger le certificat ici.

SaaS à faible impact FedRAMP

Zendesk est agréé FedRAMP - Low Impact Software-as-a-Service (LI-SaaS) et est répertoriée dans le FedRAMP Marketplace. Les abonnés des agences gouvernementales américaines peuvent demander l’accès au forfait de sécurité Zendesk FedRAMP en remplissant un formulaire de demande d’accès au forfait ou en soumettant une demande à fedramp@zendesk.com.

Conformité basée sur les standards du secteur
PCI-DSS

Zendesk Support propose un champ de carte de crédit configurable conforme à la norme PCI, qui efface tous les chiffres à l’exception des quatre derniers. En savoir plus sur la conformité à la norme PCI par Zendesk.

HDS (hébergeurs de données de santé)
Abonnements
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk a reçu le McAfee CloudTrust Program. Le programme présente le label McAfee Enterprise-Ready uniquement aux services qui ont la note CloudTrust™ la plus élevée possible. Ces services comptent parmi ceux qui ont gagné le McAfee’s CloudTrust™ et une note McAfee Enterprise-Ready en fonction de leurs attributs dans les catégories d’évaluation des données, des utilisateurs et des appareils, de la sécurité, des entreprises et des services juridiques.

Cloud Security Alliance (CSA)

Zendesk est membre de la Cloud Security Alliance (CSA), un organisme à but non lucratif dont la mission est de promouvoir les bonnes pratiques en matière d’assurance de sécurité dans le domaine de l’informatique sur le cloud. CSA a lancé le registre STAR (Security, Trust & Assurance Registry), qui est disponible publiquement et documente les contrôles de sécurité fournis par différentes offres de services informatiques sur le cloud. Zendesk a complété un questionnaire public sur l’initiative d’évaluation par consensus (CAI pour Consensus Assessment Initiative), qui se fonde sur les résultats de notre auto-évaluation de diligence appropriée.

Le CSA CAIQ est disponible ici.

IT-ISAC

Zendesk est membre de l’IT-ISAC, un groupe visant à rassembler un ensemble diversifié d’entreprises du secteur privé unies par la volonté de tirer parti de l’évolution de la technologie et un engagement commun envers la sécurité. IT-ISAC permet à ses membres de collaborer et de partager des informations pertinentes et exploitables sur les menaces, ainsi que des bonnes pratiques. Ils modèrent des groupes d’intérêt spéciaux qui se concentrent sur le renseignement, les menaces internes, la sécurité physique et d’autres domaines spécifiques afin de nous aider à poursuivre notre mission de sécurisation de Zendesk.

FIRST

Zendesk est membre de FIRST, une confédération internationale d’équipes d’intervention en cas d’incident qui gère de manière collaborative les incidents de sécurité informatique et assure la promotion de programmes de prévention des incidents. Les membres de FIRST développent et partagent des informations techniques, des outils, des méthodologies, des processus et des meilleures pratiques. En tant que membre de FIRST, Zendesk Security travaille avec les autres membres afin de tirer partir de leurs connaissances, compétences et expérience combinées, pour promouvoir un environnement électronique mondial plus sûr et plus sécurisé.

Système de qualifications des services financiers (FSQS)

Zendesk répond à tous les critères d’enregistrement (phases 1 et 2) du système de qualification des fournisseurs FSQS (Financial Services Qualification System), tels que déterminés par les organisations acheteuses participantes. Demandez le dernier Certificat FSQS ici.

Plus de détails sur FSQS https://hellios.com/fsqs/.

Artéfacts

Nous pouvons communiquer des ressources supplémentaires sur demande.

Ressources en téléchargement direct (hors accord de non-divulgation)

Certificats ISO 27001:2013

Certificat ISO 27018:2014

Rapport SOC 3

Ensemble de données/livre blanc

Attestation de conformité (AoC, pour Attestation of Compliance) et certificat de conformité PCI

Diagrammes d’architecture réseau

  • Assistance/Guide
  • Chat
  • Talk

CSA CAIQ

Grand livre des risques

FSQS (Système de qualification des services financiers)

Accédez aux ressources
Ressources nécessitant un accord de non-divulgation

Les ressources suivantes peuvent nécessiter la présence d’un accord de non-divulgation dans les systèmes. Cliquez sur le bouton pour y accéder.

Certificat d’assurance

Rapport SOC 2 Type II

Récapitulatif du test de pénétration annuel

Récapitulatif du test de continuité et de reprise des activités à la suite d’une catastrophe

SIG Lite

VSA

HECVAT Lite

Les souscripteurs actuels peuvent accéder à ces ressources dans l’Admin UI :

Sécurité Cloud

Sécurité physique des centres de données
Installations

Zendesk héberge essentiellement les données de service dans des centres de données AWS qui ont été certifiés ISO 27001, PCI/DSS niveau fournisseur de services de niveau 1 ou SOC 2. En savoir plus sur la conformité chez AWS.

Les services d’infrastructure AWS incluent une alimentation de secours, des systèmes HVAC et un équipement d’extinction d’incendies afin de protéger les serveurs, et donc vos données. En savoir plus sur Data Center Controls chez AWS.

Sécurité sur site

La sécurité sur site AWS inclut des fonctionnalités telles que les gardes de sécurité, les clôtures, les flux de sécurité, la technologie de détection des intrusions et d’autres mesures de sécurité. En savoir plus sur la sécurité physique AWS.

Lieux d’hébergement des données

Zendesk exploite des centres de données AWS aux États-Unis, en Europe et dans la région Asie-Pacifique. En savoir plus sur les sites d’hébergement de données pour vos données de service Zendesk.

Zendesk offre plusieurs choix de localités de données, notamment aux États-Unis (US), en Australie (AU), au Japon (JP) ou dans l’Espace économique européen (EEE). Pour plus d’informations sur les produits, les plans et les offres régionales, veuillez consulter notre Politique d’hébergement de données régionale.

Sécurité des fournisseurs

Zendesk minimise les risques associés aux fournisseurs tiers en effectuant des examens de sécurité sur tous les fournisseurs ayant un niveau d’accès à nos systèmes ou à nos Données de service, quel que soit leur niveau.

Sécurité réseau
Équipe de sécurité dédiée

Notre équipe de sécurité, répartie à travers le monde, est disponible 24 h/24 et 7 j/7 pour réagir aux alertes et événements de sécurité

Protection

Notre réseau est protégé par l’utilisation des services de sécurité essentiels d’AWS, l’intégration avec nos réseaux de protection des entrées Cloudfare, des évaluations régulières, ainsi que des technologies de renseignement réseau, qui surveillent ou bloquent tout trafic mal intentionné ou attaque réseau.

L’archictecture de sécurité de notre réseau est composée de plusieurs zones de sécurité. Les systèmes plus sensibles tels que les serveurs de base de données sont protégés dans nos zones les plus fiables. Les autre systèmes sont hébergés dans les zones correspondant à leur niveau de sensibilité selon leur fonction, la classification des informations et leur niveau de risque. Selon la zone, des surveillances de sécurité et des contrôles d’accès supplémentaires s’appliquent. Des DMZ sont utilisées entre Internet et les différentes zones de confiance internes.

Analyse de la vulnérabilité du réseau

L’analyse de la vulnérabilité du réseau permet d’obtenir des informations détaillées afin d’identifier rapidement les systèmes potentiellement vulnérables ou ne répondant plus aux normes.

Tests de pénétration tiers

Outre notre vaste programme interne d’analyse et de test, Zendesk a chaque année recours à des experts en sécurité tiers pour effectuer un vaste test d’intrusion sur les réseaux de production et d’entreprise Zendesk.

Gestion des évènements d’incident de sécurité

Notre système de gestion des informations et des événements de sécurité (SIEM) recueille des informations détaillées sur les principaux appareils du réseau et les systèmes hôtes. En cas d’événements déclencheurs, le SIEM envoie une notification à l’équipe de sécurité pour qu’elle puisse les investiguer et y répondre.

Détection et prévention des intrusions

Les points d’entrée et de sortie du service (ingress et egress) sont utilisés et surveillés pour détecter toute anomalie. Ces systèmes sont configurés de façon à générer des alertes lorsque les incidents ou les valeurs dépassent les seuils fixés. Ils utilisent des signatures actualisées en fonction des nouvelles menaces identifiées. Cela comprend une surveillance des systèmes 24 h/24 et 7 j/7.

Programme de renseignements sur les menaces

Zendesk participe à plusieurs programmes de partage d’informations sur les menaces de sécurité. Nous surveillons les menaces publiées sur ces réseaux d’informations et prenons les mesures appropriées en fonction du niveau de risque.

Mitigation de DDoS

Zendesk a créé et mis en place une approche multi-couches de la mitigation de DDoS. Un partenariat technologique de base avec Cloudflare fournit des défenses en périphérie du réseau, tandis que l’utilisation d’outils de mise à l’échelle et de protection AWS offre une protection plus approfondie ainsi que notre utilisation de services spécifiques à AWS DDoS.

Accès logiques

L’accès au Réseau de production Zendesk est restreint sur la base d’un besoin explicite de savoir, utilise le privilège moindre, est fréquemment audité et surveillé, et est contrôlé par notre Équipe des opérations. Les employés qui accèdent au réseau de production Zendesk doivent utiliser plusieurs facteurs d’authentification.

Réaction aux incidents de sécurité

En cas d’alerte sur le système, les évènements sont remontés à nos équipes qui travaillent 24 h/24 et 7 j/7 et couvrent les services opérations, développement réseau et sécurité. Les collaborateurs reçoivent une formation sur les processus de réponse aux incidents de sécurité, ce qui comprend notamment les canaux de communication et les procédures d’escalade des problèmes.

Chiffrement
Chiffrement des données en transit

Toutes les communications avec l’interface et l’API Zendesk sont chiffrées conformément aux standards du secteur, HTTPS/TLS (TLS 1.2 ou supérieur), sur les réseaux publics. Cela permet d’assurer la sécurité de la totalité du trafic entre vous et Zendesk durant le transit. De plus, notre produit utilise par défaut le chiffrement opportuniste TLS pour les e-mails. Le protocole TLS (Transport Layer Security) chiffre et expédie les e-mails en toute sécurité, atténuant ainsi les risques d’interception entre serveurs lorsque le protocole est pris en charge par des services pairs. Il peut exister des exceptions de chiffrement : par exemple, l’utilisation de la fonctonnalité SMS intégrée au produit, ainsi que les applications, intégrations ou services que les abonnés peuvent choisir d’utiliser à leur discrétion.

Chiffrement des données non actives

Les données de service non actives sont chiffrées chez AWS à l’aide de clés de chiffrement AES-256.

Disponibilité et continuité
Disponibilité des services

Zendesk gère une page Web d’état du système accessible au public, cette page comprend les détails de disponibilité du système, la maintenance planifiée, l’historique des incidents de service et les événements de sécurité pertinents.

Redondance et solutions de secours

Zendesk utilise le regroupement des services et les redondances de réseaux pour éliminer les problèmes de point de défaillance unique. Notre programme de sauvegarde strict et/ou notre offre de services de récupération approfondie après sinistre nous permettent d’offrir un niveau élevé de disponibilité de service, en effet, les données de service sont répliquées dans toutes les zones de disponibilité.

Reprise d’activité après une catastrophe

Notre programme de récupération après sinistre (DR ou Disaster Recovery) garantit que nos services restent disponibles et sont facilement récupérables en cas de sinistre. grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.

Amélioration de la reprise d’activité après une catastrophe

Notre forfait de récupération approfondie après sinistre ajoute des objectifs contractuels pour l’objectif de temps de récupération (RTO, Recovery Time Objective) et l’objectif de point de récupération (RPO, Recovery Point Objective). Ceux-ci sont pris en charge grâce à notre capacité à hiérarchiser les opérations des souscripteurs au forfait Récupération approfondie après sinistre lors de tout événement déclaré de sinistre.

Obtenez plus d’informations sur les garanties de reprise après sinistre.

Sécurité des applications

Développement de la sécurité (SDLC)
Frameworks de contrôles de sécurité

Zendesk utilise des frameworks modernes, sécurisés et open-source qui intègrent des contrôles de sécurité pour limiter l’exposition aux 10 principaux risques identifiés par OWASP. Ces contrôles inhérents réduisent notre exposition aux injections SQL (SQLi), au cross-site scripting (XSS) et au cross-site request forgery (CSRF).

Assurance qualité

Notre service d’assurance qualité (QA) examine et teste notre code. Des développeurs dédiés à la sécurité des applications vérifient l’identité du personnel, effectuent des tests de sécurité et classent les vulnérabilités dans le code.

Des environnements séparés

Les environnements de test ou de staging sont bien sûr séparés de l’environnement de production. Aucune donnée de service n’est utilisée dans nos environnements de développement ou de test.

Gestion de la vulnérabilité
Analyse de vulnérabilité dynamique

Nous utilisons des outils de sécurité tiers pour analyser en permanence et dynamiquement nos applications de base contre les risques de sécurité courants des applications Web, notamment, mais sans s’y limiter, les 10 principaux risques de sécurité de l’OWASP. Notre équipe interne dédiée à la sécurité réalise des tests et collabore avec les développeurs pour détecter et résoudre les problèmes.

Analyse de la composition logicielle

Nous analysons les bibliothèques et les dépendances utilisées dans nos produits pour identifier les vulnérabilités et nous assurer que les vulnérabilités sont gérées.

Tests de pénétration tiers

En plus de son vaste programme d’analyses et de tests internes, Zendesk fait appel à des experts tiers pour réaliser des tests de pénétration détaillés sur ses différentes applications.

Divulgation responsable/Programme de chasse aux bugs

Notre Programme de divulgation responsable offre aux chercheurs en sécurité ainsi qu’aux souscripteurs un moyen de tester et d’informer Zendesk en toute sécurité des vulnérabilités de sécurité, et ce grâce à notre partenariat avec HackerOne.

Sécurité du produit

Sécurité des authentifications
Options d’authentification

Zendesk dispose de plusieurs options d’authentification différentes : les souscripteurs peuvent activer l’authentification Zendesk native, l’authentification unique (SSO) sur les réseaux sociaux (Facebook, Twitter, Google) et/ou l’authentification unique d’entreprise (SAML, JWT) pour l’authentification de l’utilisateur final et/ou de l’agent. En savoir plus sur l’accès utilisateur.

Politique de mots de passe personnalisable

L’authentification native de Zendesk pour les produits disponibles par le biais du Centre d’administration (Admin Center) offre les niveaux de sécurité par mot de passe suivants : faible, moyen et élevé, ainsi que des règles de mot de passe personnalisées pour les agents et les administrateurs. Zendesk permet également d’appliquer différents niveaux de sécurité par mot de passe aux utilisateurs finaux par rapport aux agents et aux administrateurs. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. En savoir plus sur les politiques de mots de passe configurables.

Authentification à 2 facteurs (2FA)

L’authentification native Zendesk pour les produits disponibles par le biais du Centre d’administration (Admin Center) offre un facteur 2 (2FA) pour les agents et les administrateurs par SMS ou une application d’authentification. En savoir plus sur 2FA.

Stockage des identifiants de service

Zendesk suit les meilleures pratiques de stockage sécurisé des informations d’identification en ne stockant jamais les mots de passe dans un format lisible par l’homme, et uniquement à la suite d’un hachage sécurisé, salé et à sens unique.

Fonctionnalités supplémentaires pour la sécurité des produits
Contrôles des accès en fonction des rôles

L’accès aux données dans les applications Zendesk est régi par un contrôle des accès en fonction des rôles (RBAC) et peut être configuré afin de définir des niveaux d’accès précis. Zendesk prend en charge différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.).

En savoir plus sur les rôles utilisateurs :

Détails sur la sécurité globale et l’accès des utilisateurs

Restrictions d’IP

Tout compte Zendesk peut restreindre l’accès à son Assistance Zendesk aux utilisateurs d’une plage spécifique d’adresses IP. Seuls les utilisateurs avec des adresses IP autorisées pourront se connecter à votre compte Zendesk. Vous pouvez autoriser les souscripteurs (et non les agents ou les administrateurs) à contourner cette restriction. Pour plus d’informations, consultez Restreindre l’accès à l’Assistance Zendesk et à votre Centre d’aide à l’aide de restrictions IP et Utiliser la restriction d’accès IP dans le Chat..

Certificats de chiffrement hébergés pour le Centre d’aide (TLS)

Zendesk fournit un chiffrement TLS gratuit pour les centres d’aide Guide mappés par l’hôte. Zendesk a recours à Let’s Encrypt pour demander des certificats et renouvelle automatiquement le certificat avant son expiration.

Si vous le souhaitez, vous pouvez également télécharger votre propre certificat.

Pour en savoir plus sur la configuration des certificats de chiffrement pour un centre d’aide guide, consultez Configuration d’un certificat de chiffrement TLS hébergé.

Restrictions de fichiers dans le Chat

Zendesk Chat permet de restreindre les types de fichiers envoyés aux agents. Vous pouvez également choisir de désactiver totalement l’envoi de fichiers dans le produit Chat. Pour en savoir plus sur cette fonctionnalité, voir Gérer l’envoi de fichiers dans le chat en direct.

Journaux d’audit

Zendesk propose des Journaux d’audit aux comptes bénéficiant des plans Enterprise/Enterprise Plus. Ces journaux incluent les modifications de compte, les modifications d’utilisateur, les modifications d’application, les règles métier, les suppressions de tickets ainsi que les paramètres. Le Journal d’audit est disponible dans le Centre d’administration ainsi que dans l’API d’assistance. Pour en savoir plus sur les Journaux d’audit et voir quelles informations sont disponibles dans le journal, veuillez consulter Afficher le journal d’audit pour les modifications.

Pièces jointes privées

Les souscripteurs peuvent configurer leur instance afin que les utilisateurs doivent se connecter pour afficher les pièces jointes du ticket. En savoir plus sur les Pièces jointes privées.

Élimination

Zendesk dispose de deux types d’élimination pour supprimer les données sensibles : L’élimination manuelle offre la possibilité de caviarder ou de supprimer des données sensibles dans les commentaires du ticket de support et de supprimer en toute sécurité les pièces jointes, afin de vous permettre de protéger les informations confidentielles. Les données sont supprimées dans les tickets via l’interface utilisateur ou l’API pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus sur l’élimination via l’interface utilisateur (UI) ou l’API.

L’élimination automatique permet l’élimination automatique des numéros de carte de crédit des tickets soumis par les souscripteurs. Quand cette option est activée, les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le ticket. Ces numéros sont également expurgés des journaux et des entrées de base de données. Pour en savoir plus sur l’activation de cette fonctionnalité et l’identification des numéros de carte de crédit, consultez Élimination automatique des numéros de carte de crédit des tickets et des chats.

Centre d’aide Filtre anti-spam pour guide

Le service de filtrage du courrier indésirable de Zendesk peut permettre d’empêcher la publication de messages de spam d’utilisateurs finaux dans votre centre d’aide pour le Guide. En savoir plus sur le filtrage des spams dans le Guide.

Identification (Signing) des e-mails (DKIM/DMARC)

Zendesk propose d’utiliser DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, & Conformance) pour signer des e-mails sortants à partir de Zendesk lorsque vous devez configurer un domaine de messagerie externe sur votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous aide à éviter les usurpations d’e-mail. En savoir plus sur la signature numérique de vos e-mails.

Suivi des appareils

Zendesk suit les appareils utilisés pour accéder à chaque compte utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté, et doit faire un suivi si cette activité lui semble suspecte. Les sessions suspectes peuvent être interrompues via l’interface utilisateur de l’agent. En savoir plus sur le suivi des appareils.

Sécurité RH

Sensibilisation à la sécurité
Politiques

Zendesk a développé un ensemble complet de politiques de sécurité qui couvre de nombreux sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès au contenu d’informations de Zendesk.

Formation

Tous les collaborateurs participent à une formation de sensibilisation à la sécurité, qui se déroule au moment de l’embauche, puis est renouvelée chaque année. Tous les développeurs effectuent une formation annuelle sur la sécurité du code. L’équipe de sécurité sensibilise encore davantage le personnel aux questions de sécurité par le biais d’e-mails, d’articles de bogs et de présentations au cours des événements internes.

Validation des collaborateurs
Vérifications d’antécédents

Zendesk réalise des vérifications d’antécédents pour tous les nouveaux employés, conformément aux lois locales. Ces vérifications sont également requises pour les sous-traitants. Elles comprennent le contrôle du casier judiciaire, du parcours scolaire et des différents postes occupés. Les équipes d’entretien y sont également soumises.

Accords de confidentialité

Tous les nouveaux collaborateurs doivent signer des accords de non-divulgation et de confidentialité.

Bienvenue dans le programme mondial de Confidentialité Zendesk

Zendesk dispose d’un programme mondial formel de confidentialité et de protection des données, qui comprend des parties prenantes clés interfonctionnelles, notamment les secteurs juridique, de la sécurité, des produits et de la direction de la société. Nous sommes attachés à la défense de la vie privée, et nous travaillons avec diligence pour nous assurer que nos Services et les membres de notre équipe sont soucieux de la conformité aux cadres réglementaires et industriels applicables.

Conformité

Loi australienne sur la protection de la vie privée de 1988 et principes de protection de la vie privée

La loi australienne sur la protection de la vie privée de 1998 (telle que modifiée) prévoit différents droits des personnes concernées et a ajouté la notification obligatoire des violations de données éligibles. Contrairement au RGPD, il n’existe pas de concepts de responsable du traitement et de sous-traitants des données. https://www.zendesk.com/company/anz-privacy/

Annexe - Lei Geral de Proteção de Dados Pessoais (LGPD) Brésil

La loi générale brésilienne sur la protection des données ou Lei Geral de Proteção de Dados Pessoais (« LGPD»), est entrée en vigueur le 18 septembre 2020. La LGPD est une loi globale sur la protection des données qui couvre les activités des responsables des données et des sous-traitants, et prévoit des droits individuels.

Les souscripteurs Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « responsables du traitement » en vertu de la LGPD. Les responsables du traitement ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la LGPD. Zendesk agit en tant que « sous-traitant », tel que ce terme est défini dans la LGPD, au regard du traitement des données à caractère personnel par le biais de nos Services.

Les souscripteurs peuvent consulter nos Guides de produits et notre Politique de suppression des données de service pour obtenir des informations plus détaillées sur la façon d’utiliser les produits Zendesk afin de s’aligner sur les initiatives de conformité. L’Autorité nationale pour la protection des données (« ANPD ») peut publier des orientations supplémentaires relatives à la LGPD à l’avenir. Zendesk continuera à respecter activement la loi et nous continuerons à tenir nos souscripteurs au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité.

Vous pouvez consulter et/ou signer si vous le souhaitez l’Annexe CCPA de Zendesk au Contrat-cadre d’abonnement en cliquant ici. Notre Contrat-cadre d’abonnement Zendesk comprend des « Conditions spécifiques à la région », en particulier une section consacrée au Brésil.

Annexe à la loi californienne sur la protection des données des consommateurs (CCPA).

La loi California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (« CCPA») est une loi américaine promulguée dans l’État de Californie, qui est entrée en vigueur le 1er janvier 2020. Il étend les droits à la vie privée disponibles pour certains consommateurs californiens et exige que certaines entreprises se conforment à diverses exigences en matière de protection des données. Veuillez également consulter le règlement CCPA et la Loi California Privacy Rights Act(« CPRA »). Certaines dispositions du CPRA sont entrées en vigueur le 16 décembre 2020, et les autres dispositions du CPRA sont entrées en vigueur le 1er janvier 2023.

Les souscripteurs Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « Entreprises » dans le cadre de la CCPA. Les entreprises ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la CCPA. Zendesk agit en tant que « Prestataire de service », tel que ce terme est défini dans la CCPA, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk recueille, accède, conserve, utilise, traite et transfère les informations personnelles de nos souscripteurs et des utilisateurs finaux de nos souscripteurs traitées via les Services uniquement dans le but d’exécuter nos obligations en vertu de nos contrats existants avec nos souscripteurs ; et à aucune fin commerciale autre que l’exécution de ces obligations et l’amélioration des Services que nous fournissons.

Nous ne « vendons » pas les informations personnelles de nos souscripteurs telles que définies dans le CCPA. Nous pouvons partager des informations agrégées et/ou anonymisées concernant l’utilisation du ou des Services, qui ne sont pas considérées comme des informations personnelles en vertu de la CCPA, avec des tiers pour nous aider à développer et à améliorer les Services et pour fournir à nos souscripteurs un contenu et des offres de services plus pertinents, comme le précisent nos accords d’abonnement.

Vous pouvez consulter et/ou signer l’Annexe CCPA de Zendesk au Contrat-cadre d’abonnement ici.

Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La Loi canadienne sur la protection des renseignements personnels et les documents électroniques est entrée en vigueur en 2000, cette loi s’articule autour de dix principes relatifs à l’équité en matière d’information, qui constituent les règles de collecte, d’utilisation, d’accès et de divulgation des renseignements personnels. En octobre 2021, l’Association internationale des technologies du Canada et le Conseil de l’industrie des technologies de l’information ont suggéré d’apporter des modifications à la LPRPDE afin d’accroître les droits à la vie privée et à la transparence des citoyens canadiens.

Accord de traitement des données (Data Processing Agreement ou DPA)

Vous pouvez consulter et/ou signer le DPA de Zendesk ici. Le DPA de Zendesk couvre les activités de traitement spécifiques et les mesures de sécurité applicables à nos Services.

Les Souscripteurs peuvent lire nos Guides de produits et notre Politique de suppression des données de service pour obtenir des informations détaillées sur la façon d’utiliser les produits Zendesk, pour les aider à se conformer aux lois portant sur la confidentialité et la protection des données.

Règlement général européen sur la protection des données (RGPD)

Depuis sa création, l’approche de Zendesk s’ancre dans un engagement fort en faveur de la confidentialité, de la sécurité, de la conformité et de la transparence. Cette approche comprend le soutien de la conformité de nos souscripteurs aux exigences de l’UE en matière de protection des données, comme celles énoncées dans le Règlement général sur la protection des données (« RGPD »).

Si un souscripteur collecte, transmet, héberge ou analyse des données à caractère personnel de citoyens de l’UE, le RGPD exige que le souscripteur utilise des processeurs de données tiers qui garantissent leur capacité à mettre en œuvre les exigences techniques et organisationnelles du RGPD. Pour gagner davantage la confiance de nos souscripteurs, notre accord de traitement des données (« ATD ») a été mis à jour pour fournir à nos clients des engagements contractuels au regard de notre conformité à la législation européenne applicable en matière de protection des données, mais aussi pour mettre en œuvre des dispositions contractuelles supplémentaires requises dans le cadre du RGPD.

Règles d’entreprise contraignantes (BCR ou Binding Corporate Rules): Les règles d’entreprise contraignantes (« BCR ») sont des politiques de protection des données à l’échelle de l’entreprise approuvées par les autorités européennes en charge de la protection des données, afin de faciliter les transferts intragroupe de données à caractère personnel de l’Espace économique européen (« EEE ») vers des pays en dehors de l’EEE. Les BCR sont basées sur des principes stricts de confidentialité établis par les autorités en charge de la protection des données de l’Union européenne. Elles nécessitent une consultation intensive avec ces autorités. Les souscripteurs peuvent trouver la liste complète des entités approuvées sur la liste approuvée des règles d’entreprise contraignantes ici. En 2017, Zendesk a achevé le processus d’approbation de l’UE, le commissaire irlandais à la protection des données (« CPD ») (après un examen par les pairs par le Bureau du commissaire à l’information du Royaume-Uni et l’Autorité néerlandaise de protection des données) agissant au titre de sous-traitant et de responsable du traitement. Cette approbation réglementaire importante a validé la mise en œuvre par Zendesk des normes les plus élevées possible pour la protection des données à caractère personnel à l’échelle mondiale, couvrant à la fois les données à caractère personnel de ses clients et de ses employés. Zendesk est l’une des premières sociétés de logiciels au monde à avoir reçu l’approbation de ses BCR ; et elle a été la deuxième entreprise à recevoir l’approbation de la DPC irlandaise.

Pour accéder aux BCR de Zendesk, rendez-vous sur :
Les règles d’entreprise contraignantes du sous-traitant de Zendesk qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour le compte de ses clients ;
et
les règles d’entreprise contraignantes mondiales du responsable du traitement de Zendesk qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour lesquelles elle est responsable du traitement.

Demandes des personnes concernées: Une personne qui souhaite exercer ses droits en matière de protection des données à l’égard de données à caractère personnel que nous stockons ou traitons pour le compte de l’un de nos souscripteurs, contenues dans les Données de services du souscripteur (notamment pour demander l’accès à, ou pour corriger, modifier, supprimer, transférer ou restreindre le traitement de telles données à caractère personnel) devra adresser sa demande à notre souscripteur (le responsable du traitement des données). À la réception d’une demande de suppression de données à caractère personnel de Zendesk de la part de l’un de nos Souscripteurs, nous répondrons à sa demande dans un délai de trente (30) jours. Nous conserverons les données à caractère personnel que nous traitons et stockons pour le compte de nos souscripteurs aussi longtemps que nécessaire pour la prestation des Services à nos souscripteurs.

Délégué à la protection des données: Le délégué à la protection des données (« DPD ») de Zendesk peut être contacté à l’adresse euprivacy@zendesk.com.

Bouclier de protection des données : Le ministère du Commerce des États-Unis, avec la Commission européenne et le gouvernement suisse, a créé l’EU–US- et le Swiss–US Privacy Shield Frameworks, ou Bouclier de protection des données UE-EU et Suisse-EU (« Bouclier de protection des données ») afin de fournir aux entreprises un mécanisme permettant de transférer des données à caractère personnel de l’Union européenne vers les États-Unis d’une manière qui offre un niveau de protection adéquat aux fins de la législation européenne sur la protection des données. Zendesk a certifié sa conformité avec les normes du Bouclier de protection des données UE-EU et Suisse-EU au ministère du Commerce et a été ajoutée à la liste des participants auto-certifiés au bouclier de protection des données du ministère du Commerce. Nos certifications confirment que nous respectons les principes du Bouclier de protection des données pour le transfert de données à caractère personnel européennes et suisses vers les États-Unis.

Le 16 juillet 2020, la Cour de justice de l’Union européenne (« CJUE ») a rendu un arrêt invalidant l’accord UE-États-Unis - Programme de bouclier de protection des données. Nous comprenons que vous puissiez avoir des questions concernant l’invalidation du Bouclier de protection des données et la position de Zendesk à ce sujet, c’est pourquoi nous avons publié ce post sur le blog pour répondre à vos questions.

France Hébergeur de Données de Santé (HDS)

La certification HDS permet aux prestataires de soins de santé en France d’utiliser la plateforme de service client et d’engagement de Zendesk avec la certitude que celle-ci dispose de mesures techniques et de gouvernance appropriées pour protéger les informations de santé personnelles (ISP). Plus d’informations ici.

Loi néo-zélandaise sur la protection de la vie privée 2020 et ses principes de confidentialité des informations

La Loi néo-zélandaise sur la protection de la vie privée de 2020, entrée en vigueur le 1er décembre 2020, s’applique aux organismes et maintient le cadre fondé sur des principes de la Loi de 1993. La loi de 2020 stipule que les organisations sont responsables de s’assurer que les informations à caractère personnel envoyées en dehors de Nouvelle-Zélande sont protégées de manière adéquate. En outre, elle ajoute des exigences de notification obligatoire des violations. https://www.zendesk.com/company/anz-privacy/

Loi sur la protection des données à caractère personnel de Singapour (PDPA)

La loi sur la protection des données à caractère personnel de Singapour fixe un cadre légal pour la protection des données régissant la collecte, l’utilisation et la divulgation des données à caractère personnel à compter du 2 juillet 2014. Zendesk est un intermédiaire de données reconnu de l’Infocomm Development Authority of Singapore (IDA) en tant que fournisseur de services SaaS (« Software-as-a-Service »). Plus d’informations ici.

RGPD au Royaume-Uni et Brexit

Le Royaume-Uni a quitté l’Union européenne le 31 janvier 2020. Le 28 juin 2021, la Commission européenne a adopté des décisions d’adéquation pour les transferts de données à caractère personnel vers le Royaume-Uni dans le cadre du RGPD.

Loi HIPAA (Health Insurance Portability and Accountability Act) des États-Unis et Accord de partenariat commercial (BAA)

Pour obtenir un compte compatible HIPAA, vous devez (1) acheter le service associé déployé de sécurité avancée ou le module complémentaire de service associé déployé de conformité avancée ; (2) activer un ensemble de configurations de sécurité comme indiqué par Zendesk ; et (3) signer notre Accord de partenariat commercial (« BAA »). Pour plus de détails, y compris une liste des services qui peuvent être compatibles HIPAA, veuillez consulter Conformité avancée.

Détails des données du service d’abonné

Les Données de service sont toutes les informations, y compris les données à caractère personnel, qui sont stockées ou transmises via les Services Zendesk par, ou au nom de, nos souscripteurs et leurs utilisateurs finaux. Nous utilisons les Données de service pour exploiter et améliorer nos Services, aider les clients à accéder aux Services et à les utiliser, répondre aux demandes des souscripteurs et envoyer des communications relatives aux Services.

Informations complémentaires

Accès: Zendesk fournit un ensemble avancé de fonctionnalités d’accès et de chiffrement pour aider les clients à protéger efficacement leurs informations. Nous n’accédons ni n’utilisons le contenu client à d’autres fins que la fourniture, la maintenance et l’amélioration des services Zendesk et comme l’exige la loi. Cliquez ici pour plus d’informations.

Hébergement des données: Zendesk utilise Amazon Web Services pour héberger les données de service comme décrit ici et dans la Politique d’hébergement de données régionale. Pour plus d’informations, veuillez également consulter la section Sécurité.

Types de données par défaut collectées par le Service :: Zendesk a créé une liste de points de données, classées par catégories par produit. Pour obtenir une vue d’ensemble des différents types de données, les souscripteurs peuvent utiliser cette liste en conjonction avec leur cas d’utilisation spécifique prévu et les types de données résultants.

Demandes légales ou gouvernementales: La confidentialité, la sécurité des données et la confiance des souscripteurs sont nos principales priorités. Zendesk ne divulgue pas de Données de service, sauf si cela est nécessaire pour fournir nos Services et pour se conformer aux lois applicables, comme indiqué dans notre Politique de confidentialité. Pour aider nos souscripteurs à effectuer des examens de conformité, nous disposons de ressources supplémentaires : Rapport de transparence et Politique de demande du gouvernement.

Propriété: Du point de vue de la confidentialité, le souscripteur est le responsable du traitement des Données de service et Zendesk est un sous-traitant. Cela signifie que pendant toute la durée de votre abonnement aux services de Zendesk, vous conservez la propriété et le contrôle des Données de service dans votre instance Zendesk.

Réplication: Zendesk réplique périodiquement les données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers pièces jointes. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails.

Sécurité : Zendesk donne la priorité à la sécurité des données et unit des fonctionnalités de sécurité de classe entreprise avec des audits complets de nos applications, systèmes et réseaux pour garantir la protection des données des souscripteurs et des entreprises. Pour plus d’informations, cliquez ici.

Incidents de sécurité: Pour plus d’informations sur la gestion des incidents de sécurité, consultez notre Réponse aux incidents de sécurité.

Sous-traitants: Zendesk peut utiliser des sous-traitants ultérieurs, y compris des sociétés affiliées de Zendesk, ainsi que des sociétés tierces, dans le but de fournir, sécuriser ou améliorer les Services, et ces sous-traitants peuvent avoir accès aux Données de service. Notre Politique relative aux sous-traitants fournit une liste à jour des noms et des emplacements de tous les sous-traitants.

Résiliation: Zendesk maintient une Politique de suppression des données de service qui décrit les processus de suppression des données de Zendesk lors de la résiliation ou de l’expiration de l’abonnement Zendesk par le Souscripteur.

Politiques liées à la confidentialité

Politiques

Informations détaillées sur le moment et la façon dont nous utilisons les cookies sur les sites Web Zendesk

Fournit des informations sur le moment et la façon dont Zendesk utilise des cookies dans les Services Zendesk

Comment les Données de service de nos souscripteurs sont supprimées dans le cadre de l’annulation, de la résiliation ou de la migration d’un Compte au sein des Services Zendesk

Ce cadre précise à quelle partie incombent les contrôles de sécurité et de protection de vos données.

Fonctionnalités de l’application liées à la confidentialité

Outils de confidentialité et de protection des données

Zendesk dispose d’outils pour chacun de ses produits afin de répondre aux demandes des utilisateurs et à d’autres obligations en vertu des lois et réglementations applicables en matière de confidentialité et de protection des données, par exemple l’accès aux données, leur correction, portabilité, suppression et l’opposition. Pour en savoir plus sur les caractéristiques et les fonctionnalités de chaque produit Zendesk, consultez Respect de la confidentialité et de la protection des données dans les produits Zendesk.

Gestion de l’accès

Zendesk fournit un ensemble avancé de fonctionnalités d’accès et de chiffrement pour aider les Souscripteurs à protéger efficacement leurs informations. Nous n’accédons ni n’utilisons les données des souscripteurs à d’autres fins que la fourniture, la maintenance et l’amélioration des Services Zendesk et comme l’exige la loi applicable. Plus d’informations ici.

Certifications

Zendesk a obtenu un certain nombre de certifications et d’accréditations internationalement reconnues démontrant la conformité aux cadres d’assurance tiers. Les certifications de sécurité sont décrites ici.

Localité d’hébergement de données

Les souscripteurs qui achètent le service associé déployé pour l’emplacement du centre de données (« Module complémentaire d’emplacement du centre de données ») ou qui disposent de la fonctionnalité de localisation du centre de données dans leur plan de service ont la possibilité de sélectionner la région qui hébergera leurs données de service à partir d’une liste de régions disponibles Zendesk.

Protection de la vie privée dès la conception

Zendesk dispose d’un solide programme mondial de confidentialité et de protection des données, qui adopte une approche unifiée de la confidentialité et de la gouvernance de l’information pour donner aux clients la flexibilité nécessaire pour gérer les données à caractère personnel qui se trouvent dans les systèmes de Zendesk. Pour plus de détails, consultez nos guides produits : Respect de la confidentialité et de la protection des données dans les produits Zendesk.

Élimination/Minimisation des données

Zendesk dispose de deux types d’élimination pour supprimer les données sensibles :

L’élimination manuelle offre la possibilité de caviarder ou de supprimer des données sensibles dans les commentaires du ticket de support et de supprimer en toute sécurité les pièces jointes, afin de vous permettre de protéger les informations confidentielles. Les données sont supprimées dans les tickets via l’interface utilisateur ou l’API pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus sur l’élimination via l’interface utilisateur (UI) ou l’API.

L’élimination automatique permet l’élimination automatique des numéros de carte de crédit à partir des tickets soumis par l’agent ou l’utilisateur final. Quand cette option est activée, les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le ticket. Les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le billet. Découvrez comment activer cette fonctionnalité et comment les numéros de carte de crédit sont identifiés.

Rapport de transparence

Divulgation des données de service: Zendesk ne divulgue les Données de service à des tiers que lorsque la divulgation est nécessaire pour fournir ou améliorer les services ou pour répondre aux demandes légales des autorités publiques. Veuillez consulter notre Politique de demande de données du gouvernement ainsi que le Rapport de transparence Zendesk.

Rapport de transparence

En date du : 24 septembre 2021.

À PROPOS DE NOTRE RAPPORT DE TRANSPARENCE

Zendesk, comme beaucoup d’entreprises de technologie, reçoit occasionnellement des demandes relatives aux données personnelles traitées par Zendesk pour le compte d’un client, émanant des organismes d’application de la loi aux États-Unis et ailleurs dans le monde. Ces demandes peuvent prendre la forme d’une citation à comparaître, d’une ordonnance du tribunal, d’un mandat de perquisition, d’une Lettre de sécurité nationale ou d’ordonnances rendues en vertu de la Loi sur la surveillance et le renseignement étranger. Zendesk doit se conformer aux demandes gouvernementales valides de données personnelles.

Dans le même temps, pour Zendesk, il est essentiel de maintenir la confiance de ses clients. Une façon de maintenir cette confiance consiste à informer les clients de Zendesk et le public des demandes gouvernementales valides. Pour ce faire, nous avons préparé ce rapport de transparence.

Ce rapport de transparence fournit des informations relatives aux demandes d’informations à caractère personnel émanant des organes d’application de la loi que nous avons reçues au cours du premier semestre de 2021 (du 1er janvier 2021 au 30 juin 2021). Zendesk fournira des rapports mis à jour environ tous les six mois pour la période de six mois précédente.

Pour plus d’informations sur l’approche de Zendesk pour répondre aux demandes d’informations émanant des organes d’application de la loi, veuillez consulter notre Politique relative aux demandes de données gouvernementales ici.

Demandes émanant des organes d’application de la loi des Etats-Unis :

Plus d’informations sur l’approche de Zendesk pour répondre aux demandes de données personnelles émanant des organes d’application de la loi.

Type de demandeNombre de demandesDonnées de contenu divulguéesDonnées hors contenu divulguées
Assignations404
Ordonnances101
Perquisition220
Demandes émanant d’organes d’application de la loi en dehors des Etats-Unis :

Bien que Zendesk soit situé aux États-Unis, nous sommes présents dans plusieurs autres pays. Lorsque nous recevons des demandes de gouvernements de pays autres que les États-Unis, nous travaillons avec des avocats des États-Unis et de ces pays autres que les Etats-Unis pour déterminer la validité de la demande et notre capacité à répondre en vertu des Lois des États-Unis et d’autres lois applicables

Type de demandeNombre de demandesNombre d’occurrences de fourniture de données
Demandes informelles80
Demandes gouvernementales hors États-Unis dans le cadre d’un MLAT0N/A
Définitions

Données de contenu: Inclut le contenu des communications des Utilisateurs finaux avec un Compte, comme le contenu des Tickets d’assistance Zendesk et des Chats Zendesk. Les données de contenu sont généralement considérées comme des données de service telles que définies dans le Contrat-cadre d’abonnement de Zendesk.

Données hors contenu: Toutes les données qui ne sont pas des Données de contenu. Il peut s’agir d’Informations de compte telles que définies dans la Politique de confidentialité de Zendesk (telles que le nom et les coordonnées du propriétaire du compte, les informations de facturation du compte, la durée du service, les types de Services utilisés et les informations de connexion au compte). En outre, si Zendesk reçoit une ordonnance du tribunal, les Données non relatives au contenu peuvent également inclure des métadonnées non liées aux communications des utilisateurs finaux avec un compte, qui sont des Données de service.

Ordonnance du tribunal : Ordonnance rendue par un juge lorsqu’il conclut qu’il existe des motifs raisonnables de croire que les renseignements demandés sont pertinents et importants pour une enquête criminelle en cours.

Ordonnances FISA: Une ordonnance ou une demande émise en vertu de la loi Foreign Intelligence Surveillance Act pour les informations des utilisateurs émises aux États-Unis.

TEJ (traité d’entraide judiciaire): Zendesk exige que les entités gouvernementales de pays autres que les États-Unis aient recours à des processus de droit international appropriés, par exemple par le biais d’un TEJ, pour obtenir des données sur les clients.

Lettres de sécurité nationale: Une lettre de sécurité nationale émise en vertu de l’article 18 U.S.C. § 2709

Mandat de perquisition : Ordonnance rendue par un juge lors de la découverte d’une cause probable par les forces de l’ordre. Un mandat de perquisition est requis pour obtenir des Données de contenu.

Assignation : Une demande contraignante émise par une entité gouvernementale pour la production de documents dans une affaire pénale (comme les assignations à comparaître devant un grand jury)