アーティファクト
オンデマンドでセルフサービスによる最新のセキュリティ関連資料(認証、監査報告書、ポリシー、アンケート回答)へのアクセスが可能なConveyor Trustポータルをぜひご利用ください。
クラウドセキュリティ
設備・施設 | ZendeskはISO 27001、PCI DSSサービスプロバイダーレベル1、SOC 2のいずれか、またはすべてに準拠したAWSデータセンターでサービスデータを保護しています。AWSコンプライアンスについて知る。 AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンター管理について知る。 |
オンサイトセキュリティ | AWSオンサイトセキュリティには、警備員、フェンス、監視カメラ、侵入検知技術、およびその他のセキュリティ対策が含まれます。AWSの物理的なセキュリティについて。 |
データホスティングの場所 | Zendeskは米国、EUおよびアジア太平洋地域にあるAWSデータセンターを利用しています。貴社のZendeskサービスデータのデータホスティング地について知る。 Zendeskでは、米国(US)、オーストラリア(AU)、日本(JP)、または欧州経済地域(EA)をはじめとする様々なデータホスティング地域のオプションを提供しています。 製品、プラン、地域のサービスの詳細は地域データホスティングポリシーをご覧ください。 |
アプリケーションセキュリティ
セキュアコードトレーニング | OWASP Top 10セキュリティリスクを学ぶ、全エンジニア向け年次セキュアコードトレーニング。 |
フレームワークセキュリティ管理 | Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、OWASP Top 10のセキュリティリスクにさらされないよう対応しています。 このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。 |
品質保証 | Zendeskの品質保証(QA)部門が、コードベースをレビューし、テストします。 アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。 |
環境の分離 | テスト環境およびステージング環境は、論理的に本番環境と分離されています。 サービスデータは、開発環境やテスト環境では一切使用されません。 |
製品のセキュリティ
認証オプション | Zendeskにはいくつかの認証オプションがあり、サブスクライバーは、エンドユーザーとエージェントの承認のため、Zendeskネイティブ認証(メールとパスワードのサインイン)、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Googleなど)、およびエンタープライズSSO(SAML、OIDCなど)を利用できます。 |
設定可能なパスワードポリシー | 管理者センターから入手できる、Zendeskのネイティブ認証は、低、中、高の3段階のパスワードレベルがあります。また、エージェントと管理者向けにカスタムパスワードルールをカスタマイズすることも可能です。 また、エンドユーザー向けのパスワードセキュリティレベルと、管理者とエージェント向けのパスワードのセキュリティレベルには、それぞれ異なるレベルを設定できます。 パスワードセキュリティレベルを変更できるのは、管理者のみです。設定可能パスワードポリシーについての説明。 |
2要素認証(2FA) | 管理者センターから入手できる製品のZendeskネイティブ認証では、SMSや認証アプリを通じてエージェントや管理者向けの2要素認証(2FA)をご利用いただけます。2FAについて知る。 |
サービス資格情報の保管 | Zendeskは、認証情報の安全な保管に関するベストプラクティスに従い、人間が読める形式でパスワードを格納することはありません。パスワードは、安全で暗号化された、一方向のハッシュ値として格納されます。 |
高度なデータプライバシーとデータ保護 | Zendeskは、より高度なデータプライバシー保護とセキュリティ対策を必要とするお客様に向けに高度なデータプライバシーとデータ保護アドオンを用意しています。 このアドオンには、BYOK(暗号鍵の管理)、カスタマイズ可能なデータ保持ポリシー、データのマスキング、PII(個人情報)墨消し、アクセスログなどの機能が含まれます。 |
人事部門のセキュリティ
ポリシー | Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーを策定しています。 これらのポリシーは、Zendeskの情報資産へのアクセス権を持つ全従業員と請負業者に公開および提供されています。 |
トレーニング | 全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。 また全てのエンジニアが毎年セキュアコードトレーニングを受けています。 さらにセキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識に関する最新情報を提供しています。 |
サブスクライバーのサービスデータの詳細
サービスデータとは、Zendeskサービスを通じて移転される個人データを含む任意の情報で、サブスクライバーおよびそのエンドユーザーによって、またはそれらに代わって、Zendeskサービス内に保管されるものを指します。 当社は、本サービスを運用、改善し、お客様が本サービスへアクセスし利用できるようにし、サブスクライバーの問い合わせに応え、本サービスに関する通信を送付するために、サービスデータを使用します。
アクセス: Zendeskは、お客様が効果的にご自身の情報を保護できるよう、一連の高度なアクセスおよび暗号機能を提供しています。 Zendeskサービスの提供、維持、改善に必要な場合およびその他の形で、法律で要求される場合を除き、それ以外の目的のためにお客様のコンテンツにアクセスし、使用することはありません。 詳細情報はこちらをご覧ください。
データホスティング: Zendeskは、こちらおよび「地域データホスティングポリシー」に記載するとおり、サービスデータをホスティングするためAmazon Web Servicesを利用しています。 詳細情報は、「セキュリティセクション」もご覧ください。
本サービスで収集されるデフォルトのデータの種類: Zendeskは、製品毎に分類されたデータポイントの一覧を用意しています: データの種類の全容を知りたい場合は、それらの個々の意図された使用例と結果として生成されたデータの種類と併せて、この一覧を活用してください。
法的要求または政府からの請求: プライバシー、データセキュリティ、およびサブスクライバーの信頼は、当社にとって最優先事項です。 プライバシー通知に詳述するとおり、Zendeskは、本サービスを提供し、適用される法令を順守するために必要な場合を除き、サービスデータを開示しません。 サブスクライバーが、コンプライアンスを確認できるように、以下の追加リソースを用意しました:透明性レポートおよび政府要求に関するポリシー。
所有権: プライバシーの観点からは、サブスクライバーが、サービスデータの管理者であり、Zendeskは処理者です。 これは、お客様によるZendeskサービスのサブスクリプション期間中、お客様が、Zendeskインスタンス内のサービスデータに対する所有権と管理権を留保することを意味します。
レプリケーション: Zendeskは、アーカイブ、バックアップ、監査ログの目的でデータを定期的に複製します。 当社は、Amazon Web Services (AWS) を利用して、データベース情報や添付ファイルなどのバックアップされる情報を保存します。 詳細は、「地域データホスティングポリシー」をご覧ください。
セキュリティ: Zendeskは、データセキュリティを優先しており、エンタープライズクラスのセキュリティ機能を、当社のアプリケーション、システム、ネットワークの包括的な監査と組み合わせることで、サブスクライバーと事業者のデータが保護されるよう確保します。 詳細情報は、こちらをご覧ください。
セキュリティインシデント: セキュリティインシデント管理に関する詳細情報は「セキュリティインシデント対応」をご覧ください。
複処理者: Zendeskは、本サービスを提供、保護、改善するため、Zendeskの関連会社およびサードパーティ企業を含む、復処理者を使用する場合があり、そのような復処理者はサービスデータにアクセスできます。 「復処理者ポリシー」には、全ての復処理者の名称と所在地の最新のリストが記載されています。
解約: Zendeskは、サブスクライバーのZendeskサブスクリプション契約の解約または終了の際にZendeskがデータを削除する手続について説明する「サービスデータ削除ポリシー」を維持しています。
プライバシー関連ポリシー
| Cookieポリシー | Zendeskが、当社のWebサイト上で、Cookieを使用する方法についての詳細です。 |
| 製品内Cookieポリシー | Zendeskが、Zendeskサービス内でいつどのようにCookieを使用するかについての情報を記載しています。 |
| サービスデータ削除ポリシー | Zendeskのサービス内でのアカウントの取消し、解約、移行に関連して、サブスクライバーのサービスデータがどのように削除されるかについて記載しています。 |
| 共同責任モデル | このフレームワークは、お客様のデータのセキュリティとプライバシーに関し、各分野についての管理責任を明確にするものです。 |
プライバシー関連のアプリケーション機能
Zendeskは、データへのアクセス、修正、移行、削除、異議申し立てなど、ユーザーからの請求、または適用されるプライバシーおよびデータ保護法にもとづくその他の義務を支援するために、各製品にツールを用意しています。 各Zendesk製品の特性および機能の情報は、「Zendesk製品のプライバシーおよびデータ保護の順守」をご覧ください。