Service client sécurisé
Assurez vos arrières
Zendesk prend la sécurité très au sérieux : toutes les entreprises Fortune 100 et Fortune 500 qui nous confient leurs données en attestent. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que vos données soient protégées ainsi les clients peuvent avoir l’esprit tranquille-y compris les nôtres.
Certifications de conformité et abonnements
Zendesk suit les meilleures pratiques et les normes du secteur pour assurer la conformité avec les cadres généraux de sécurité et de confidentialité acceptés par le secteur, en aidant ainsi nos clients à respecter leurs propres normes de conformité.
SOC 2 Type II
Nous effectuons des audits de routine afin de bénéficier de rapports SOC 2 Type II à jour, disponibles sur demande et sous NDA. Demande du dernier rapport SOC 2 Type II.
ISO 27001:2022
Zendesk est certifié ISO 27001:2022. Télécharger le certificat.
ISO 27018:2019
Zendesk est certifié ISO 27018:2019. Vous pouvez télécharger le certificat ici.
ISO 27701:2019
Zendesk est certifié ISO 27701:2019. Vous pouvez télécharger le certificat ici.
ISO 27017:2015
Zendesk est certifié ISO 27017:2015. Vous pouvez télécharger le certificat ici.
SaaS à faible impact FedRAMP
Zendesk est agréée FedRAMP - Low Impact Software-as-a-Service (LI-SaaS) et est répertoriée dans le FedRAMP Marketplace. Les abonnés des agences gouvernementales américaines peuvent demander l’accès au forfait de sécurité Zendesk FedRAMP en remplissant un formulaire de demande d’accès au forfait ou en soumettant une demande à fedramp@zendesk.com.
PCI-DSS
Nous proposons différents moyens pour éviter que les données de carte bancaire (PCI) soient conservées dans vos Services Zendesk. Pour plus d’informations sur Zendesk et sur les données sur le titulaire de la carte, consultez cet article.
McAfee Cloud Trust - McAfee Enterprise Ready
Zendesk a reçu le McAfee CloudTrust Program. Le programme présente le label McAfee Enterprise-Ready uniquement aux services qui ont la note CloudTrust™ la plus élevée possible. Ces services comptent parmi ceux qui ont gagné le McAfee’s CloudTrust™ et une note McAfee Enterprise-Ready en fonction de leurs attributs dans les catégories d’évaluation des données, des utilisateurs et des appareils, de la sécurité, des entreprises et des services juridiques.
Cloud Security Alliance (CSA)
Zendesk est membre de la Cloud Security Alliance (CSA), un organisme à but non lucratif dont la mission est de promouvoir les bonnes pratiques en matière d’assurance de sécurité dans le domaine de l’informatique sur le cloud. CSA a lancé le registre STAR (Security, Trust & Assurance Registry), qui est disponible publiquement et documente les contrôles de sécurité fournis par différentes offres de services informatiques sur le cloud. Zendesk a complété un questionnaire public sur l’initiative d’évaluation par consensus (CAI pour Consensus Assessment Initiative), qui se fonde sur les résultats de notre auto-évaluation de diligence appropriée.
Le CSA CAIQ est disponible ici.
IT-ISAC
Zendesk est membre de l’IT-ISAC, un groupe visant à rassembler un ensemble diversifié d’entreprises du secteur privé unies par la volonté de tirer parti de l’évolution de la technologie et un engagement commun envers la sécurité. IT-ISAC permet à ses membres de collaborer et de partager des informations pertinentes et exploitables sur les menaces, ainsi que des bonnes pratiques. Ils modèrent des groupes d’intérêt spéciaux qui se concentrent sur le renseignement, les menaces internes, la sécurité physique et d’autres domaines spécifiques afin de nous aider à poursuivre notre mission de sécurisation de Zendesk.
FIRST
Zendesk est membre de FIRST, une confédération internationale d’équipes d’intervention en cas d’incident qui gère de manière collaborative les incidents de sécurité informatique et assure la promotion de programmes de prévention des incidents. Les membres de FIRST développent et partagent des informations techniques, des outils, des méthodologies, des processus et des meilleures pratiques. En tant que membre de FIRST, Zendesk Security travaille avec les autres membres afin de tirer partir de leurs connaissances, compétences et expérience combinées, pour promouvoir un environnement électronique mondial plus sûr et plus sécurisé.
Système de qualifications des services financiers (FSQS)
Zendesk répond à tous les critères d’enregistrement (phases 1 et 2) du système de qualification des fournisseurs FSQS (Financial Services Qualification System), tels que déterminés par les organisations acheteuses participantes. Demandez le dernier Certificat FSQS ici.
Plus de détails sur FSQS https://hellios.com/fsqs/.
Artéfacts
Nous pouvons communiquer des ressources supplémentaires sur demande.
Certificats ISO 27001:2022
Certificat ISO 27018:2019
Certificat ISO 27701:2019
Certificat ISO 27017:2015
Rapport SOC 3
Ensemble de données/livre blancAttestation de conformité (AoC, pour Attestation of Compliance) et certificat de conformité PCI
Diagrammes d’architecture réseau
Assistance/Guide
Chat
Talk
CSA CAIQ
Grand livre des risques
FSQS (Système de qualification des services financiers)
SIG Lite
VSA
HECVAT Lite
Les ressources suivantes peuvent nécessiter la présence d’un accord de non-divulgation dans les systèmes. Cliquez sur le bouton pour y accéder.
Certificat d’assurance
Rapport SOC 2 Type II
Récapitulatif du test de pénétration annuel
Sécurité Cloud
Infrastructures
Zendesk héberge essentiellement les données de service dans des centres de données AWS qui ont été certifiés ISO 27001, PCI/DSS niveau fournisseur de services de niveau 1 ou SOC 2. En savoir plus sur la conformité chez AWS.
Les services d’infrastructure AWS incluent une alimentation de secours, des systèmes HVAC et un équipement d’extinction d’incendies afin de protéger les serveurs, et donc vos données. En savoir plus sur Data Center Controls chez AWS.
Sécurité sur site
La sécurité sur site AWS inclut des fonctionnalités telles que les gardes de sécurité, les clôtures, les flux de sécurité, la technologie de détection des intrusions et d’autres mesures de sécurité. En savoir plus sur la sécurité physique AWS.
Lieux d’hébergement des données
Zendesk exploite des centres de données AWS aux États-Unis, en Europe et dans la région Asie-Pacifique. En savoir plus sur les sites d’hébergement de données pour vos données de service Zendesk.
Zendesk offre plusieurs choix de localités de données, notamment aux États-Unis (US), en Australie (AU), au Japon (JP) ou dans l’Espace économique européen (EEE). Pour plus d’informations sur les produits, les plans et les offres régionales, veuillez consulter notre Politique d’hébergement de données régionale.
Zendesk minimise les risques associés aux fournisseurs tiers en effectuant des examens de sécurité sur tous les fournisseurs ayant un niveau d’accès à nos systèmes ou à nos Données de service, quel que soit leur niveau.
Équipe de sécurité dédiée
Notre équipe de sécurité, répartie à travers le monde, est disponible 24 h/24 et 7 j/7 pour réagir aux alertes et événements de sécurité
Protection
Notre réseau est protégé par l’utilisation des services de sécurité essentiels d’AWS, l’intégration avec nos réseaux de protection des entrées Cloudfare, des évaluations régulières, ainsi que des technologies de renseignement réseau, qui surveillent ou bloquent tout trafic mal intentionné ou attaque réseau.
L’archictecture de sécurité de notre réseau est composée de plusieurs zones de sécurité. Les systèmes plus sensibles tels que les serveurs de base de données sont protégés dans nos zones les plus fiables. Les autre systèmes sont hébergés dans les zones correspondant à leur niveau de sensibilité selon leur fonction, la classification des informations et leur niveau de risque. Selon la zone, des surveillances de sécurité et des contrôles d’accès supplémentaires s’appliquent. Des DMZ sont utilisées entre Internet et les différentes zones de confiance internes.
Analyse de la vulnérabilité du réseau
L’analyse de la vulnérabilité du réseau permet d’obtenir des informations détaillées afin d’identifier rapidement les systèmes potentiellement vulnérables ou ne répondant plus aux normes.
Tests de pénétration tiers
Outre notre vaste programme interne d’analyse et de test, Zendesk a chaque année recours à des experts en sécurité tiers pour effectuer un vaste test d’intrusion sur les réseaux de production et d’entreprise Zendesk.
Gestion des évènements d’incident de sécurité
Notre système de gestion des informations et des événements de sécurité (SIEM) recueille des informations détaillées sur les principaux appareils du réseau et les systèmes hôtes. En cas d’événements déclencheurs, le SIEM envoie une notification à l’équipe de sécurité pour qu’elle puisse les investiguer et y répondre.
Détection et prévention des intrusions
Les points d’entrée et de sortie du service (ingress et egress) sont utilisés et surveillés pour détecter toute anomalie. Ces systèmes sont configurés de façon à générer des alertes lorsque les incidents ou les valeurs dépassent les seuils fixés. Ils utilisent des signatures actualisées en fonction des nouvelles menaces identifiées. Cela comprend une surveillance des systèmes 24 h/24 et 7 j/7.
Programme de renseignements sur les menaces
Zendesk participe à plusieurs programmes de partage d’informations sur les menaces de sécurité. Nous surveillons les menaces publiées sur ces réseaux d’informations et prenons les mesures appropriées en fonction du niveau de risque.
Mitigation de DDoS
Zendesk a créé et mis en place une approche multi-couches de la mitigation de DDoS. Un partenariat technologique de base avec Cloudflare fournit des défenses en périphérie du réseau, tandis que l’utilisation d’outils de mise à l’échelle et de protection AWS offre une protection plus approfondie ainsi que notre utilisation de services spécifiques à AWS DDoS.
Accès logiques
L’accès au Réseau de production Zendesk est restreint sur la base d’un besoin explicite de savoir, utilise le privilège moindre, est fréquemment audité et surveillé, et est contrôlé par notre Équipe des opérations. Les employés qui accèdent au réseau de production Zendesk doivent utiliser plusieurs facteurs d’authentification.
Réaction aux incidents de sécurité
En cas d’alerte sur le système, les évènements sont remontés à nos équipes qui travaillent 24 h/24 et 7 j/7 et couvrent les services opérations, développement réseau et sécurité. Les collaborateurs reçoivent une formation sur les processus de réponse aux incidents de sécurité, ce qui comprend notamment les canaux de communication et les procédures d’escalade des problèmes.
Chiffrement des données en transit
Toutes les communications avec l’interface et l’API Zendesk sont chiffrées conformément aux standards du secteur, HTTPS/TLS (TLS 1.2 ou supérieur), sur les réseaux publics. Cela permet d’assurer la sécurité de la totalité du trafic entre vous et Zendesk durant le transit. De plus, notre produit utilise par défaut le chiffrement opportuniste TLS pour les e-mails. Le protocole TLS (Transport Layer Security) chiffre et expédie les e-mails en toute sécurité, atténuant ainsi les risques d’interception entre serveurs lorsque le protocole est pris en charge par des services pairs. Il peut exister des exceptions de chiffrement : par exemple, l’utilisation de la fonctonnalité SMS intégrée au produit, ainsi que les applications, intégrations ou services que les abonnés peuvent choisir d’utiliser à leur discrétion.
Chiffrement des données non actives
Les données de service non actives sont chiffrées chez AWS à l’aide de clés de chiffrement AES-256.
Disponibilité des services
Zendesk gère une page Web d’état du système accessible au public, cette page comprend les détails de disponibilité du système, la maintenance planifiée, l’historique des incidents de service et les événements de sécurité pertinents.
Redondance et solutions de secours
Zendesk utilise le regroupement des services et les redondances de réseaux pour éliminer les problèmes de point de défaillance unique. Notre programme de sauvegarde strict et/ou notre offre de services de récupération approfondie après sinistre nous permettent d’offrir un niveau élevé de disponibilité de service, en effet, les données de service sont répliquées dans toutes les zones de disponibilité.
Reprise d’activité après une catastrophe
Notre programme de récupération après sinistre (DR ou Disaster Recovery) garantit que nos services restent disponibles et sont facilement récupérables en cas de sinistre
grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.
Amélioration de la reprise d’activité après une catastrophe
Notre forfait de récupération approfondie après sinistre ajoute des objectifs contractuels pour l’objectif de temps de récupération (RTO, Recovery Time Objective) et l’objectif de point de récupération (RPO, Recovery Point Objective). Ceux-ci sont pris en charge grâce à notre capacité à hiérarchiser les opérations des souscripteurs au forfait Récupération approfondie après sinistre lors de tout événement déclaré de sinistre.
Obtenez plus d’informations sur les garanties de reprise après sinistre.Sécurité des applications
Formations à la programmation sécurisée
Frameworks de contrôles de sécurité
Zendesk utilise des frameworks modernes, sécurisés et open-source qui intègrent des contrôles de sécurité pour limiter l’exposition aux 10 principaux risques identifiés par OWASP. Ces contrôles inhérents réduisent notre exposition aux injections SQL (SQLi), au cross-site scripting (XSS) et au cross-site request forgery (CSRF).
Assurance qualité
Notre service d’assurance qualité (QA) examine et teste notre code. Des développeurs dédiés à la sécurité des applications vérifient l’identité du personnel, effectuent des tests de sécurité et classent les vulnérabilités dans le code.
Des environnements séparés
Les environnements de test ou de staging sont bien sûr séparés de l’environnement de production. Aucune donnée de service n’est utilisée dans nos environnements de développement ou de test.
Analyse de vulnérabilité dynamique
Nous utilisons des outils de sécurité tiers pour analyser en permanence et dynamiquement nos applications de base contre les risques de sécurité courants des applications Web, notamment, mais sans s’y limiter, les 10 principaux risques de sécurité de l’OWASP. Notre équipe interne dédiée à la sécurité réalise des tests et collabore avec les développeurs pour détecter et résoudre les problèmes.
Analyse de la composition logicielle
Nous analysons les bibliothèques et les dépendances utilisées dans nos produits pour identifier les vulnérabilités et nous assurer que les vulnérabilités sont gérées.
Tests de pénétration tiers
En plus de son vaste programme d’analyses et de tests internes, Zendesk fait appel à des experts tiers pour réaliser des tests de pénétration détaillés sur ses différentes applications.
Divulgation responsable/Programme de chasse aux bugs
Notre Programme de divulgation responsable offre aux chercheurs en sécurité ainsi qu’aux souscripteurs un moyen de tester et d’informer Zendesk en toute sécurité des vulnérabilités de sécurité, et ce grâce à notre partenariat avec HackerOne.
Sécurité du produit
Options d’authentification
Zendesk dispose de plusieurs options d’authentification différentes : les souscripteurs peuvent activer l’authentification Zendesk native, l’authentification unique (SSO) sur les réseaux sociaux (Facebook, Twitter, Google) et/ou l’authentification unique d’entreprise (SAML, JWT) pour l’authentification de l’utilisateur final et/ou de l’agent. En savoir plus sur l’accès utilisateur.
Politique de mots de passe personnalisable
L’authentification native de Zendesk pour les produits disponibles par le biais du Centre d’administration (Admin Center) offre les niveaux de sécurité par mot de passe suivants : faible, moyen et élevé, ainsi que des règles de mot de passe personnalisées pour les agents et les administrateurs. Zendesk permet également d’appliquer différents niveaux de sécurité par mot de passe aux utilisateurs finaux par rapport aux agents et aux administrateurs. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. En savoir plus sur les politiques de mots de passe configurables.
Authentification à 2 facteurs (2FA)
L’authentification native Zendesk pour les produits disponibles par le biais du Centre d’administration (Admin Center) offre un facteur 2 (2FA) pour les agents et les administrateurs par SMS ou une application d’authentification. En savoir plus sur 2FA.
Stockage des identifiants de service
Zendesk suit les meilleures pratiques de stockage sécurisé des informations d’identification en ne stockant jamais les mots de passe dans un format lisible par l’homme, et uniquement à la suite d’un hachage sécurisé, salé et à sens unique.
Protection et confidentialité avancées des données
Zendesk propose aux entreprises qui ont besoin d’un niveau plus élevé de confidentialité et de sécurité des données, le module supplémentaire Advanced Data Privacy and Protection. Ce module comprend des fonctionnalités de chiffrement BYOK, des politiques de conservation des données personnalisables, le masquage des données, la suppression des informations confidentielles et les journaux d’accès.
Contrôles des accès en fonction des rôles
L’accès aux données dans les applications Zendesk est régi par un contrôle des accès en fonction des rôles (RBAC) et peut être configuré afin de définir des niveaux d’accès précis. Zendesk prend en charge différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.).
En savoir plus sur les rôles utilisateurs :
- Rôles par défaut pour l’assistance
- Prise en charge des rôles personnalisés *Entreprise uniquement
- Rôles par défaut pour le chat
- Chat rôles personnalisés *Entreprise uniquement
- Explorez les rôles par défaut
- Guide sur les rôles par défaut
- Rôles par défaut sur Talk
- Durée de la session
Restrictions d’IP
Tout compte Zendesk peut restreindre l’accès à son Assistance Zendesk aux utilisateurs d’une plage spécifique d’adresses IP. Seuls les utilisateurs avec des adresses IP autorisées pourront se connecter à votre compte Zendesk. Vous pouvez autoriser les souscripteurs (et non les agents ou les administrateurs) à contourner cette restriction. Pour plus d’informations, consultez Restreindre l’accès à l’Assistance Zendesk et à votre Centre d’aide à l’aide de restrictions IP et Utiliser la restriction d’accès IP dans le Chat..
Certificats de chiffrement hébergés pour le Centre d’aide (TLS)
Zendesk fournit un chiffrement TLS gratuit pour les centres d’aide Guide mappés par l’hôte. Zendesk a recours à Let’s Encrypt pour demander des certificats et renouvelle automatiquement le certificat avant son expiration.
Si vous le souhaitez, vous pouvez également télécharger votre propre certificat.
Pour en savoir plus sur la configuration des certificats de chiffrement pour un centre d’aide guide, consultez Configuration d’un certificat de chiffrement TLS hébergé.
Restrictions de fichiers dans le Chat
Zendesk Chat permet de restreindre les types de fichiers envoyés aux agents. Vous pouvez également choisir de désactiver totalement l’envoi de fichiers dans le produit Chat. Pour en savoir plus sur cette fonctionnalité, voir Gérer l’envoi de fichiers dans le chat en direct.
Journaux d’audit
Zendesk propose des Journaux d’audit aux comptes bénéficiant des plans Enterprise/Enterprise Plus. Ces journaux incluent les modifications de compte, les modifications d’utilisateur, les modifications d’application, les règles métier, les suppressions de tickets ainsi que les paramètres. Le Journal d’audit est disponible dans le Centre d’administration ainsi que dans l’API d’assistance. Pour en savoir plus sur les Journaux d’audit et voir quelles informations sont disponibles dans le journal, veuillez consulter Afficher le journal d’audit pour les modifications.
Pièces jointes privées
Les souscripteurs peuvent configurer leur instance afin que les utilisateurs doivent se connecter pour afficher les pièces jointes du ticket. En savoir plus sur les Pièces jointes privées.
Élimination
Zendesk dispose de deux types d’élimination pour supprimer les données sensibles : L’élimination manuelle offre la possibilité de caviarder ou de supprimer des données sensibles dans les commentaires du ticket de support et de supprimer en toute sécurité les pièces jointes, afin de vous permettre de protéger les informations confidentielles. Les données sont supprimées dans les tickets via l’interface utilisateur ou l’API pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus sur l’élimination via l’interface utilisateur (UI) ou l’API.
L’élimination automatique permet l’élimination automatique des numéros de carte de crédit des tickets soumis par les souscripteurs. Quand cette option est activée, les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le ticket. Ces numéros sont également expurgés des journaux et des entrées de base de données. Pour en savoir plus sur l’activation de cette fonctionnalité et l’identification des numéros de carte de crédit, consultez Élimination automatique des numéros de carte de crédit des tickets et des chats.
Centre d’aide Filtre anti-spam pour guide
Le service de filtrage du courrier indésirable de Zendesk peut permettre d’empêcher la publication de messages de spam d’utilisateurs finaux dans votre centre d’aide pour le Guide. En savoir plus sur le filtrage des spams dans le Guide.
Identification (Signing) des e-mails (DKIM/DMARC)
Zendesk propose d’utiliser DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, & Conformance) pour signer des e-mails sortants à partir de Zendesk lorsque vous devez configurer un domaine de messagerie externe sur votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous aide à éviter les usurpations d’e-mail. En savoir plus sur la signature numérique de vos e-mails.
Suivi des appareils
Zendesk suit les appareils utilisés pour accéder à chaque compte utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté, et doit faire un suivi si cette activité lui semble suspecte. Les sessions suspectes peuvent être interrompues via l’interface utilisateur de l’agent. En savoir plus sur le suivi des appareils.
Sécurité RH
Politiques
Zendesk a développé un ensemble complet de politiques de sécurité qui couvre de nombreux sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès au contenu d’informations de Zendesk.
Formation
Tous les collaborateurs participent à une formation de sensibilisation à la sécurité, qui se déroule au moment de l’embauche, puis est renouvelée chaque année. Tous les développeurs effectuent une formation annuelle sur la sécurité du code. L’équipe de sécurité sensibilise encore davantage le personnel aux questions de sécurité par le biais d’e-mails, d’articles de bogs et de présentations au cours des événements internes.
Vérifications d’antécédents
Zendesk réalise des vérifications d’antécédents pour tous les nouveaux employés, conformément aux lois locales. Ces vérifications sont également requises pour les sous-traitants. Elles comprennent le contrôle du casier judiciaire, du parcours scolaire et des différents postes occupés. Les équipes d’entretien y sont également soumises.
Accords de confidentialité
Tous les nouveaux collaborateurs doivent signer des accords de non-divulgation et de confidentialité.
Bienvenue dans le programme mondial de Confidentialité Zendesk
Zendesk dispose d’un programme mondial formel de confidentialité et de protection des données, qui comprend des parties prenantes clés interfonctionnelles, notamment les secteurs juridique, de la sécurité, des produits et de la direction de la société. Nous sommes attachés à la défense de la vie privée, et nous travaillons avec diligence pour nous assurer que nos Services et les membres de notre équipe sont soucieux de la conformité aux cadres réglementaires et industriels applicables.
Conformité
La loi australienne sur la protection de la vie privée de 1998 (telle que modifiée) prévoit différents droits des personnes concernées et a ajouté la notification obligatoire des violations de données éligibles. Contrairement au RGPD, il n’existe pas de concepts de responsable du traitement et de sous-traitants des données. https://www.zendesk.fr/company/anz-privacy/
La loi générale brésilienne sur la protection des données ou Lei Geral de Proteção de Dados Pessoais (« LGPD»), est entrée en vigueur le 18 septembre 2020. La LGPD est une loi globale sur la protection des données qui couvre les activités des responsables des données et des sous-traitants, et prévoit des droits individuels.
Les souscripteurs Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « responsables du traitement » en vertu de la LGPD. Les responsables du traitement ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la LGPD. Zendesk agit en tant que « sous-traitant », tel que ce terme est défini dans la LGPD, au regard du traitement des données à caractère personnel par le biais de nos Services.
Les souscripteurs peuvent consulter nos Guides de produits et notre Politique de suppression des données de service pour obtenir des informations plus détaillées sur la façon d’utiliser les produits Zendesk afin de s’aligner sur les initiatives de conformité. L’Autorité nationale pour la protection des données (« ANPD ») peut publier des orientations supplémentaires relatives à la LGPD à l’avenir. Zendesk continuera à respecter activement la loi et nous continuerons à tenir nos souscripteurs au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité.
L‘annexe LGPD de Zendesk a été incorporée à la Convention de traitement des données de Zendesk. Si vous souhaitez consulter et/ou signer l‘accord de traitement des données de Zendesk, veuillez cliquer ici.
La loi California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (« CCPA») est une loi américaine promulguée dans l’État de Californie, qui est entrée en vigueur le 1er janvier 2020. Il étend les droits à la vie privée disponibles pour certains consommateurs californiens et exige que certaines entreprises se conforment à diverses exigences en matière de protection des données. Veuillez également consulter le règlement CCPA et la Loi California Privacy Rights Act(« CPRA »). Certaines dispositions du CPRA sont entrées en vigueur le 16 décembre 2020, et les autres dispositions du CPRA sont entrées en vigueur le 1er janvier 2023.
Les souscripteurs Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « Entreprises » dans le cadre de la CCPA. Les entreprises ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la CCPA. Zendesk agit en tant que « Prestataire de service », tel que ce terme est défini dans la CCPA, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk recueille, accède, conserve, utilise, traite et transfère les informations personnelles de nos souscripteurs et des utilisateurs finaux de nos souscripteurs traitées via les Services uniquement dans le but d’exécuter nos obligations en vertu de nos contrats existants avec nos souscripteurs ; et à aucune fin commerciale autre que l’exécution de ces obligations et l’amélioration des Services que nous fournissons.
Nous ne « vendons » pas les informations personnelles de nos souscripteurs telles que définies dans le CCPA. Nous pouvons partager des informations agrégées et/ou anonymisées concernant l’utilisation du ou des Services, qui ne sont pas considérées comme des informations personnelles en vertu de la CCPA, avec des tiers pour nous aider à développer et à améliorer les Services et pour fournir à nos souscripteurs un contenu et des offres de services plus pertinents, comme le précisent nos accords d’abonnement.
L‘annexe du CCPA de Zendesk a été intégrée à la convention de traitement des données de Zendesk. Si vous souhaitez consulter et/ou signer l‘accord de traitement des données de Zendesk, veuillez cliquer ici.
Si vous souhaitez consulter et/ou signer l‘Addendum de l‘État américain au Contrat-cadre de souscription de services de Zendesk veuillez cliquer ici.
La Loi canadienne sur la protection des renseignements personnels et les documents électroniques est entrée en vigueur en 2000, cette loi s’articule autour de dix principes relatifs à l’équité en matière d’information, qui constituent les règles de collecte, d’utilisation, d’accès et de divulgation des renseignements personnels. En octobre 2021, l’Association internationale des technologies du Canada et le Conseil de l’industrie des technologies de l’information ont suggéré d’apporter des modifications à la LPRPDE afin d’accroître les droits à la vie privée et à la transparence des citoyens canadiens.
Vous pouvez consulter et/ou signer le DPA de Zendesk ici. Le DPA de Zendesk couvre les activités de traitement spécifiques et les mesures de sécurité applicables à nos Services et intègre les nouvelles clauses contractuelles types de l’UE (« SCC de l’UE »).
Les Souscripteurs peuvent lire nos Guides de produits et notre Politique de suppression des données de service pour obtenir des informations détaillées sur la façon d’utiliser les produits Zendesk et de se conformer aux lois portant sur la confidentialité et la protection des données.
Depuis sa création, l’approche de Zendesk s’ancre dans un engagement fort en faveur de la confidentialité, de la sécurité, de la conformité et de la transparence. Cette approche comprend le soutien de la conformité de nos souscripteurs aux exigences de l’UE en matière de protection des données, comme celles énoncées dans le Règlement général sur la protection des données (« RGPD »).
Si un souscripteur collecte, transmet, héberge ou analyse des données à caractère personnel de citoyens de l’UE, le RGPD exige que le souscripteur utilise des processeurs de données tiers qui garantissent leur capacité à mettre en œuvre les exigences techniques et organisationnelles du RGPD. Pour gagner davantage la confiance de nos souscripteurs, notre accord de traitement des données (« ATD ») a été mis à jour pour fournir à nos clients des engagements contractuels au regard de notre conformité à la législation européenne applicable en matière de protection des données, mais aussi pour mettre en œuvre des dispositions contractuelles supplémentaires requises dans le cadre du RGPD.
Règles d’entreprise contraignantes (BCR ou Binding Corporate Rules): Les règles d’entreprise contraignantes (« BCR ») sont des politiques de protection des données à l’échelle de l’entreprise approuvées par les autorités européennes en charge de la protection des données, afin de faciliter les transferts intragroupe de données à caractère personnel de l’Espace économique européen (« EEE ») vers des pays en dehors de l’EEE. Les BCR sont basées sur des principes stricts de confidentialité établis par les autorités en charge de la protection des données de l’Union européenne. Elles nécessitent une consultation intensive avec ces autorités. Les souscripteurs peuvent trouver la liste complète des entités approuvées sur la liste approuvée des règles d’entreprise contraignantes ici. En 2017, Zendesk a achevé le processus d’approbation de l’UE, le commissaire irlandais à la protection des données (« CPD ») (après un examen par les pairs par le Bureau du commissaire à l’information du Royaume-Uni et l’Autorité néerlandaise de protection des données) agissant au titre de sous-traitant et de responsable du traitement. Cette approbation réglementaire importante a validé la mise en œuvre par Zendesk des normes les plus élevées possible pour la protection des données à caractère personnel à l’échelle mondiale, couvrant à la fois les données à caractère personnel de ses clients et de ses employés. Zendesk est l’une des premières sociétés de logiciels au monde à avoir reçu l’approbation de ses BCR ; et elle a été la deuxième entreprise à recevoir l’approbation de la DPC irlandaise.
Pour accéder aux BCR de Zendesk, rendez-vous sur :
- Règles d'entreprise contraignantes du processeur de l'UE de Zendesk
- Règles d'entreprise contraignantes du contrôleur de l'UE de Zendesk
Pour accéder aux BCR de Zendesk, rendez-vous sur :
- Règles d'entreprise contraignantes du processeur du R.U. de Zendesk
- Règles d'entreprise contraignantes du contrôleur du R.U. de Zendesk
Demandes des personnes concernées: Une personne qui souhaite exercer ses droits en matière de protection des données à l’égard de données à caractère personnel que nous stockons ou traitons pour le compte de l’un de nos souscripteurs, contenues dans les Données de services du souscripteur (notamment pour demander l’accès à, ou pour corriger, modifier, supprimer, transférer ou restreindre le traitement de telles données à caractère personnel) devra adresser sa demande à notre souscripteur (le responsable du traitement des données). À la réception d’une demande de suppression de données à caractère personnel de Zendesk de la part de l’un de nos Souscripteurs, nous répondrons à sa demande dans un délai de trente (30) jours. Nous conserverons les données à caractère personnel que nous traitons et stockons pour le compte de nos souscripteurs aussi longtemps que nécessaire pour la prestation des Services à nos souscripteurs.
Délégué à la protection des données: Le délégué à la protection des données (« DPD ») de Zendesk peut être contacté à l’adresse euprivacy@zendesk.com.
La certification HDS permet aux prestataires de soins de santé en France d’utiliser la plateforme de service client et d’engagement de Zendesk avec la certitude que celle-ci dispose de mesures techniques et de gouvernance appropriées pour protéger les informations de santé personnelles (ISP). Plus d’informations ici.
La Loi néo-zélandaise sur la protection de la vie privée de 2020, entrée en vigueur le 1er décembre 2020, s’applique aux organismes et maintient le cadre fondé sur des principes de la Loi de 1993. La loi de 2020 stipule que les organisations sont responsables de s’assurer que les informations à caractère personnel envoyées en dehors de Nouvelle-Zélande sont protégées de manière adéquate. En outre, elle ajoute des exigences de notification obligatoire des violations. https://www.zendesk.fr/company/anz-privacy/
La loi sur la protection des données à caractère personnel de Singapour fixe un cadre légal pour la protection des données régissant la collecte, l’utilisation et la divulgation des données à caractère personnel à compter du 2 juillet 2014. Zendesk est un intermédiaire de données reconnu de l’Infocomm Development Authority of Singapore (IDA) en tant que fournisseur de services SaaS (« Software-as-a-Service »). Plus d’informations ici.
Le Royaume-Uni a quitté l’Union européenne le 31 janvier 2020. Le 28 juin 2021, la Commission européenne a adopté des décisions d’adéquation pour les transferts de données à caractère personnel vers le Royaume-Uni dans le cadre du RGPD.
Pour obtenir un compte compatible HIPAA, vous devez (1) acheter le service associé déployé de sécurité avancée ou le module complémentaire de service associé déployé de conformité avancée ; (2) activer un ensemble de configurations de sécurité comme indiqué par Zendesk ; et (3) signer notre Accord de partenariat commercial (« BAA »). Pour plus de détails, y compris une liste des services qui peuvent être compatibles HIPAA, veuillez consulter Conformité avancée.
Détails des données du service d’abonné
Les Données de service sont toutes les informations, y compris les données à caractère personnel, qui sont stockées ou transmises via les Services Zendesk par, ou au nom de, nos souscripteurs et leurs utilisateurs finaux. Nous utilisons les Données de service pour exploiter et améliorer nos Services, aider les clients à accéder aux Services et à les utiliser, répondre aux demandes des souscripteurs et envoyer des communications relatives aux Services.
Accès: Zendesk fournit un ensemble avancé de fonctionnalités d’accès et de chiffrement pour aider les clients à protéger efficacement leurs informations. Nous n’accédons ni n’utilisons le contenu client à d’autres fins que la fourniture, la maintenance et l’amélioration des services Zendesk et comme l’exige la loi. Cliquez ici pour plus d’informations.
Hébergement des données: Zendesk utilise Amazon Web Services pour héberger les données de service comme décrit ici et dans la Politique d’hébergement de données régionale. Pour plus d’informations, veuillez également consulter la section Sécurité.
Types de données par défaut collectées par le Service :: Zendesk a créé une liste de points de données, classés par catégories par produit. Pour obtenir une vue d’ensemble des différents types de données, les souscripteurs peuvent utiliser cette liste en conjonction avec leur cas d’utilisation spécifique prévu et les types de données résultants.
Demandes légales ou gouvernementales: La confidentialité, la sécurité des données et la confiance des souscripteurs sont nos principales priorités. Zendesk ne divulgue pas de données de service, sauf si cela est nécessaire à la prestation de nos services et pour se conformer aux lois applicables, comme indiqué dans notre Avis de confidentialité. Pour aider nos souscripteurs à effectuer des examens de conformité, nous disposons de ressources supplémentaires : Rapport de transparence et Politique de demande du gouvernement.
Propriété: Du point de vue de la confidentialité, le souscripteur est le responsable du traitement des Données de service et Zendesk est un sous-traitant. Cela signifie que pendant toute la durée de votre abonnement aux services de Zendesk, vous conservez la propriété et le contrôle des Données de service dans votre instance Zendesk.
Réplication: Zendesk réplique périodiquement les données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers pièces jointes. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails.
Sécurité : Zendesk donne la priorité à la sécurité des données et unit des fonctionnalités de sécurité de classe entreprise avec des audits complets de nos applications, systèmes et réseaux pour garantir la protection des données des souscripteurs et des entreprises. Pour plus d’informations, cliquez ici.
Incidents de sécurité: Pour plus d’informations sur la gestion des incidents de sécurité, consultez notre Réponse aux incidents de sécurité.
Sous-traitants: Zendesk peut utiliser des sous-traitants ultérieurs, y compris des sociétés affiliées de Zendesk, ainsi que des sociétés tierces, dans le but de fournir, sécuriser ou améliorer les Services, et ces sous-traitants peuvent avoir accès aux Données de service. Notre Politique relative aux sous-traitants fournit une liste à jour des noms et des emplacements de tous les sous-traitants.
Résiliation: Zendesk maintient une Politique de suppression des données de service qui décrit les processus de suppression des données de Zendesk lors de la résiliation ou de l’expiration de l’abonnement Zendesk par le Souscripteur.
Politiques liées à la confidentialité
Informations détaillées sur le moment et la façon dont nous utilisons les cookies sur les sites Web Zendesk
Fournit des informations sur le moment et la façon dont Zendesk utilise des cookies dans les Services Zendesk
Comment les Données de service de nos souscripteurs sont supprimées dans le cadre de l’annulation, de la résiliation ou de la migration d’un Compte au sein des Services Zendesk
Ce cadre précise à quelle partie incombent les contrôles de sécurité et de protection de vos données.
Fonctionnalités de l’application liées à la confidentialité
Zendesk dispose d’outils pour chacun de ses produits afin de répondre aux demandes des utilisateurs et à d’autres obligations en vertu des lois et réglementations applicables en matière de confidentialité et de protection des données, par exemple l’accès aux données, leur correction, portabilité, suppression et l’opposition. Pour en savoir plus sur les caractéristiques et les fonctionnalités de chaque produit Zendesk, consultez Respect de la confidentialité et de la protection des données dans les produits Zendesk.
Zendesk fournit un ensemble avancé de fonctionnalités d’accès et de chiffrement pour aider les Souscripteurs à protéger efficacement leurs informations. Nous n’accédons ni n’utilisons les données des souscripteurs à d’autres fins que la fourniture, la maintenance et l’amélioration des Services Zendesk et comme l’exige la loi applicable. Plus d’informations ici.
Zendesk a obtenu un certain nombre de certifications et d’accréditations internationalement reconnues démontrant la conformité aux cadres d’assurance tiers. Les certifications de sécurité sont décrites ici.
Les souscripteurs qui achètent le service associé déployé pour l’emplacement du centre de données (« Module complémentaire d’emplacement du centre de données ») ou qui disposent de la fonctionnalité de localisation du centre de données dans leur plan de service ont la possibilité de sélectionner la région qui hébergera leurs données de service à partir d’une liste de régions disponibles Zendesk.
Zendesk dispose d’un solide programme mondial de confidentialité et de protection des données, qui adopte une approche unifiée de la confidentialité et de la gouvernance de l’information pour donner aux clients la flexibilité nécessaire pour gérer les données à caractère personnel qui se trouvent dans les systèmes de Zendesk. Pour plus de détails, consultez nos guides produits : Respect de la confidentialité et de la protection des données dans les produits Zendesk.
Zendesk dispose de deux types d’élimination pour supprimer les données sensibles :
L’élimination manuelle offre la possibilité de caviarder ou de supprimer des données sensibles dans les commentaires du ticket de support et de supprimer en toute sécurité les pièces jointes, afin de vous permettre de protéger les informations confidentielles. Les données sont supprimées dans les tickets via l’interface utilisateur ou l’API pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus sur l’élimination via l’interface utilisateur (UI) ou l’API.
L’élimination automatique permet l’élimination automatique des numéros de carte de crédit à partir des tickets soumis par l’agent ou l’utilisateur final. Quand cette option est activée, les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le ticket. Les numéros de carte de crédit sont partiellement remplacés par des cases vides dans le billet. Découvrez comment activer cette fonctionnalité et comment les numéros de carte de crédit sont identifiés.
L’IA de Zendesk
Zendesk AI est basée sur les principes fondamentaux de la confidentialité, de la sécurité et de la conformité, et ce dès la conception. Notre engagement à fournir aux entreprises les produits et solutions les plus fiables et les plus sécurisés que possible est inscrit dans notre ADN. Dans ce cadre, Zendesk a établi et mis en œuvre un ensemble de principes de conception qui non seulement définissent la norme pour la manière dont nous concevons, développons et construisons tout ce que nous faisons, mais établissent une base claire pour notre utilisation de l'IA pour les expériences client (CX) et expériences employé (EX).
Les Données de service traitées par Zendesk AI sont soumises à toutes les normes et engagements de sécurité, notamment la conformité aux robustes mesures de sécurité d’entreprise de Zendesk, et le stockage dans l’environnement conforme SOC 2 de Zendesk. Les Données de service ne seront pas partagées avec d’autres clients.
Les fonctions d’IA générative sont actuellement optimisées par OpenAI. OpenAI supprime toutes les données après avoir produit la sortie, sans stockage. Les pratiques d'OpenAI en matière de sécurité des données sont disponibles ici.
Tous les modèles développés par Zendesk sont des modèles de classification, autrement dit, ils sont conçus pour lire et classer les entrées dans l'une des catégories créées par Zendesk. Comme ces modèles ne sont pas génératifs, aucun contenu n'est produit par le modèle et il n'est pas possible que les données soient reproduites par le modèle.
Zendesk utilise-t-elle les données du service client pour former des modèles de machine learning ?
Zendesk propose trois types de fonctions de machine learning :
1. Fonction de ML spécifique au compte : Zendesk crée des modèles de machine learning adaptés au compte d’un client en utilisant uniquement les données existantes dans le compte. Les modèles spécifiques au compte ne seront pas utilisés par un autre client.
2. Fonction de ML générique : Zendesk utilise les données de service pour former ses modèles génériques de machine learning inter-comptes afin qu’ils soient prédictifs et utiles à plusieurs clients Zendesk. Il s’agit notamment de modèles mondiaux et industriels. Ces modèles ne divulgueront jamais les Données de service d’un client à un autre client, car ils ne sont pas « génératifs » (c.-à-d. qu’ils ne créent pas de texte).
3. Fonction de machine learning génératif prise en charge par OpenAI : Les modèles OpenAI sont pré-entraînés et les données client Zendesk ne seront jamais utilisées par OpenAI (ou tout autre tiers) pour former leur/leurs modèle(s).
Comment Zendesk protège-t-elle les données de service lorsqu’elles sont utilisées pour l’entraînement des modèles ?Avant que les données de service ne soient utilisées pour former un modèle généralement disponible, Zendesk applique des processus d'agrégation et d'assainissement, si nécessaire. Aucun champ destiné à recueillir des données personnelles ou des pièces jointes n'est utilisé pour l'apprentissage du modèle. Zendesk s'engage à garantir qu'aucune donnée de service ne sera reproduite par le modèle. Le risque que les données d'un client soient exposées à un autre client par le biais des résultats du modèle est inexistant. Voir Informations sur l'utilisation des données de l'IA.
Les hallucinations constituent un risque intrinsèque pour les fonctions de l'IA générative. Zendesk fait deux choses pour atténuer ce risque :
Zendesk utilise la technique RAG (Retrieval Augmented Generation) pour s’assurer que les réponses générées ou les résultats de recherche sont fondés sur le contenu spécifique de la base de connaissances.
L'équipe de développement de Zendesk inspecte régulièrement les réponses contenant des commentaires négatifs d'utilisateurs finaux pour y déceler des hallucinations, afin de mettre au point des outils capables de détecter et d'empêcher automatiquement de tels scénarios.
Toutes les données de service sont hébergées dans les régions AWS existantes de Zendesk.
L'achat du module complémentaire Advanced AI n'a aucune incidence sur les engagements de l'Abonné en matière de localisation des données, y compris celles qui sont disponibles dans le module complémentaire Localisation du centre de données. Les données de service des abonnés éligibles continueront d'être hébergées dans la région sélectionnée.
Remarque : Zendesk WFM (Tymeshift), Zendesk QA (Klaus) et Ultimate Service Data sont hébergés dans Google Cloud Platform dans les régions indiquées ci-dessous :
| Produit | Emplacement(s) d'hébergement des données de service |
|---|---|
| Zendesk WFM (Tymeshift) | États-Unis, Allemagne |
| AQ Zendesk (Klaus) | Allemagne |
| Ultimate | Belgique |
Tous les produits et fonctions Zendesk sont conçus en tenant compte de la confidentialité, et Zendesk AI n'échappe pas à la règle.
Les abonnés peuvent se conformer à diverses lois sur la confidentialité (notamment le RGPD et le CCPA) lorsqu'ils utilisent Zendesk, y compris les fonctionnalités de Zendesk AI.
Zendesk AI est admissible à la couverture dans le cadre de l' accord d'association commerciale (BAA) de Zendesk .
Les abonnés intéressés par l'exécution d'un BAA avec Zendesk doivent avoir accès au module supplémentaire Conformité avancée.
Sécurité des données :
Les pratiques d'OpenAI en matière de sécurité des données sont disponibles ici.
Modèle de sécurité
Zendesk utilise des modèles OpenAI pré-entraînés, et les données de service ne seront jamais utilisées par OpenAI à d'autres fins que de fournir et de sécuriser son service à l'abonné. Une fois le produit livré, les données de service sont supprimées.
Entraînement du modèle
OpenAI n'utilisera jamais les données de service pour l'entraînement des modèles ou toute autre forme d'amélioration du service.
Hébergement de données et localité
OpenAI traite actuellement les données de service aux États-Unis. Cependant, OpenAI ne stocke pas ou n'héberge pas les données de service car elles sont rapidement supprimées après avoir fourni le résultat.
Protection des données
Zendesk utilise la politique "Zéro rétention de données" d'OpenAI, de sorte qu'aucune donnée de service n'est stockée ou hébergée par OpenAI après la livraison du produit. Par conséquent, l'utilisation d'OpenAI n'a pas d'impact sur la capacité des Abonnés à se conformer à diverses lois sur la confidentialité (notamment le RGPD et le CCPA) lors de l'utilisation de Zendesk.
Toutes les fonctionnalités OpenAI dans Zendesk sont optionnelles. Les abonnés qui ne souhaitent pas utiliser ces fonctionnalités ne sont pas obligés de les activer et peuvent toujours les désactiver via le centre d'administration.
HIPAA
Sélectionnez certaines fonctions alimentées par OpenAI pour une utilisation avec les comptes compatibles HIPAA. Veuillez consulter la page Conformité avancée pour plus d’informations.
Vous pouvez en savoir plus sur la sécurité et la confidentialité des agents d’IA d’Ultimate ici.
Juridique
Nos accords et politiques fournissent à nos souscripteurs une transparence et des informations détaillées sur les Services Zendesk, qui aident par la suite nos souscripteurs à respecter leurs propres normes légales et de conformité.
Zendesk propose plusieurs accords de traitement des données et d’autres annexes pour soutenir la conformité des souscripteurs aux lois sur la confidentialité des données, disponibles à des fins de signature ici. En voici quelques exemples :
Accord de traitement des données (Data Processing Agreement ou DPA)
Accord de partenariat commercial HIPAA (BAA) des États-Unis
Contrat Cadre de Service (CCS)
Les souscripteurs peuvent profiter de notre Modèle d’accessibilité volontaire des produits pour effectuer leurs évaluations préliminaires.
Les normes minimales que nous attendons de nos administrateurs, dirigeants, employés et travailleurs occasionnels dans la conduite de nos activités.
Informations détaillées sur le moment et la façon dont nous utilisons les cookies sur les sites Web Zendesk
Fournit des informations sur le moment et la façon dont Zendesk utilise des cookies dans les Services Zendesk
Comment Zendesk traite les notifications d’infraction
Comment les Données de service de nos souscripteurs sont supprimées dans le cadre de l’annulation, de la résiliation ou de la migration d’un Compte au sein des Services Zendesk
Prend en compte la procédure de Zendesk pour répondre à une demande reçue d’une autorité chargée de l’application de la loi ou d’une autre autorité gouvernementale
Décrit comment Zendesk collecte, utilise, partage et sécurise les données à caractère personnel.
Où les données de service Zendesk peuvent être hébergées si un(e) souscripteur/trice achète ou active le module complémentaire d’emplacement du centre de données
Programmes pour les chercheurs en sécurité afin de signaler les découvertes de vulnérabilités de sécurité dans les services Zendesk
Les politiques Zendesk sont disponibles ici.
Rapport de transparence
Divulgation des données de service: Zendesk ne divulgue les Données de service à des tiers que lorsque la divulgation est nécessaire pour fournir ou améliorer les services ou pour répondre aux demandes légales des autorités publiques. Veuillez consulter notre Politique de demande de données du gouvernement ainsi que le Rapport de transparence Zendesk.