Welcome to the land of legal eagles.* The information provided here is for Zendesk subscribers and suppliers who have questions about our terms, policies, intellectual property, and compliance.
*No eagles or lawyers were harmed in the making of this web page
Zendesk dà priorità alla fiducia dei clienti. Conosciamo l’importanza dei dati in rapporto ai valori e alle attività dei nostri clienti. Questo è il motivo per cui li manteniamo confidenziali e al sicuro.
Zendesk supporta oltre 110,000 clienti in più di 160 Paesi e aree territoriali. I nostri clienti ci affidano grandi quantità di informazioni sensibili, provenienti da una vasta gamma di settori, come sanità, servizi finanziari, pubblica amministrazione, e aree tecnologiche.
Zendesk aiuta i clienti a mantenere il controllo sulla privacy e sulla sicurezza dei loro dati in molteplici modi:
Sicurezza dei dati: Garantiamo ai nostri clienti il rispetto di elevati standard di sicurezza, come la crittografia dei dati in movimento su reti pubbliche, standard di audit (SOC 2, ISO 27001, ISO 27018), migrazioni Denial-of-Service Distribuite (“DDoS”), e un Team di supporto reperibile 24/7.
Divulgazione dei Service Data del cliente: Zendesk divulga Service Data a terze parti solo quando ciò serve per la fornitura di servizi o quando ciò sia dovuto per accondiscendere legittime richieste di autorità pubbliche.
Fiducia: Zendesk ha sviluppato processi di protezioni e controllo di sicurezza per aiutare i propri clienti a garantire un ambiente sicuro alle loro informazioni. Esperti indipendenti terzi hanno confermato gli elevati standard di settore di Zendesk.
Localizzazione del Data Hosting: I clienti che acquistano il Data Center Location Deployed Associated Service (“componente aggiuntivo di localizzazione del Data Center”) hanno la possibilità di scegliere la regione (fra le opzioni regionali disponibili di Zendesk) in cui è ubicato il Data Center che ospita i loro Service Data.
Gestione di accesso: Zendesk offre un set avanzato di funzioni di accesso e crittografia per aiutare i clienti a proteggere efficacemente le loro informazioni. Non accediamo ai contenuti del cliente, né li utilizziamo, per scopi diversi da fornitura, manutenzione e miglioramento dei servizi di Zendesk o quando altrimenti richiesto a norma di legge.
Per Service Data si intende qualsiasi informazione, i dati personali compresi, che vengono archiviati o trasmessi tramite i servizi di Zendesk, da, o per conto dei nostri clienti e dei loro utenti finali.
Dal punto di vista della privacy, il cliente è il titolare dei Service Data e Zendesk ne è il responsabile. Ciò significa che per tutto il tempo in cui un cliente è abbonato ai servizi di Zendesk, mantiene la proprietà e il controllo dei Service Data del proprio account.
Zendesk mantiene un elenco aggiornato dei nomi e delle sedi di tutti i suoi sub-fornitori (inclusi i membri di Zendesk Group e di terze parti) utilizzati per l'hosting o per altri processi di elaborazione di Service Data. L’elenco può essere consultato qui. L'elenco include la possibilità per i nostri clienti di registrarsi per inserire notifiche di modifica. È possibile ottenere l’elenco anche contattando privacy@zendesk.com.
Utilizziamo i Service Data per gestire e migliorare i nostri servizi, aiutare i clienti ad accedervi, utilizzarli, e dar seguito alle loro richieste, oltre che per inviare loro comunicazioni relative ai servizi forniti.
La sicurezza dei dati è una priorità per Zendesk. Al fine di assicurare protezione continuativa ai dati di singoli clienti e aziende, combiniamo caratteristiche di sicurezza di livello aziendale con audit completi su nostre applicazioni, sistemi e reti.
Ad esempio, i server di Zendesk sono ospitati in strutture conformi agli standard Tier IV o III+, SSAE-16, PCI DSS, o ISO 27001. Invitiamo periodicamente esperti di sicurezza di terze parti a condurre meticolosi test di penetrazione, inoltre il nostro team di Supporto è disponibile 24/7 per rispondere a eventi e allerte di sicurezza.
I data center di Zendesk sono ubicati in tre principali regioni — Stati Uniti d’America, Asia Pacifico, e Unione Europea. I Service Data possono essere archiviati in qualsiasi regione. Acquistando il componente aggiuntivo Data Center Locality, i clienti possono scegliere la regione in cui sono localizzati i Data Center che ospitano alcuni dei loro Service Data. Per maggiori informazioni, consultare la Policy regionale di Data Hosting.
Zendesk riconosce che privacy e sicurezza dei dati sono una priorità fondamentali per i clienti.
Zendesk non divulga Service Data eccetto quando ciò non sia utile alla fornitura di propri servizi ai clienti o risponda a esigenze di legge, come specificato nelle nostre Norme sulla Privacy, consultabili qui.
Zendesk ha conseguito numerose certificazioni e accreditamenti di livello internazionale che dimostrano la conformità ai framework di garanzia di terze parti.
Dove ci è richiesto di agire pubblicamente per proteggere i clienti, lo facciamo. Zendesk ha espresso il proprio sostegno all’USA Liberty Act che mira a riformare il programma di sorveglianza nella Sezione 702 del Foreign Intelligence Surveillance Act (“FISA”).
In specifiche situazioni, potremmo essere tenuti a divulgare dati personali in risposta a legittime richieste di autorità pubbliche, o per soddisfare requisiti di sicurezza nazionale o applicazione della legge. Potremmo divulgare dati personali in risposta a ingiunzioni, ordinanze di giudici o procedimenti legali, o per definire o esercitare i nostri diritti legali, ovvero per difenderci in azioni legali. Qualora lo ritenessimo necessario a fini di indagine e prevenzione, o per intraprendere azioni in risposta ad attività illegali, sospette frodi, potenziali minacce all’incolumità di chiunque, violazioni del nostro Accordo quadro di sottoscrizione, o come altrimenti richiesto dalle leggi vigenti, potremmo anche condividere tali informazioni con forze dell'ordine e con autorità pubbliche competenti.
La Direttiva sul trattamento dei dati nell’UE (nota anche come “Direttiva 95/46/CE“) si occupa del trattamento dei dati personali e della loro libera circolazione. In generale, la direttiva fissa una serie di principi e requisiti in materia di protezione dei dati da applicare durante il trattamento di dati personali.
La direttiva 95/46/CE ha istituito l’Article 29 Working Party (“WP29”), di cui fanno parte rappresentanti delle autorità preposte alla protezione dei dati di tutti gli Stati membri dell'UE e della Commissione Europea. Il WP29 opera per armonizzare l'applicazione delle norme sulla protezione dei dati in tutta l'UE e fornisce raccomandazioni alla Commissione Europea sull'adeguatezza degli standard di protezione dei dati nei Paesi non-UE.
I clienti di Zendesk che raccolgono e archiviano dati personali sono considerati titolari del trattamento dei dati in virtù della Direttiva 95/46/CE. I titolari del trattamento dei dati hanno la responsabilità primaria di garantire che l’elaborazione dei dati personali sia conforme alla pertinente normativa sulla protezione dei dati nell'UE, compresi la Direttiva 95/46/CE e, a partire dal 25 maggio 2018, RGPD.
Zendesk offre ai clienti un solido Accordo sul trattamento dei dati ("DPA"), che regola la relazione tra il cliente (nelle vesti di titolare del trattamento dei dati) e Zendesk (nelle vesti di responsabile del trattamento dei dati). Il DPA favorisce il rispetto da parte dei clienti di Zendesk degli obblighi previsti dalla normativa sulla protezione dei dati dell’UE. Il nostro DPA, che contiene un forte impegno sulla privacy, pari solo a quello di poche altre aziende del settore software, è stato aggiornato per confermare la nostra conformità a RGPD a partire dal 25 maggio 2018. Il nostro DPA contiene framework di trasferimento dati che garantiscono ai nostri clienti di poter trasferire legalmente dati personali a Zendesk al di fuori dell'Unione Europea, facendo affidamento su uno dei tre meccanismi: le nostre Regole aziendali vincolanti, la nostra certificazione per lo Scudo per la privacy, o le Clausole contrattuali standard.
La Commissione Europea ha approvato una serie di disposizioni standard, denominate Clausole contrattuali standard ("Clausole tipo"), che forniscono a un titolare del trattamento dei dati un meccanismo conforme per trasferire dati personali a un responsabile del trattamento al di fuori dello Spazio Economico Europeo SEE. Le Clausole tipo sono allegate al DPA di Zendesk, contribuendo così a fornire un’adeguata protezione durante il trasferimento di dati all’esterno di SEE o Svizzera.
Zendesk replica periodicamente i dati per fini di archiviazione, backup e i registri di audit. Utilizziamo Amazon Web Services (AWS) per archiviare alcune delle informazioni sottoposte a backup, ad esempio informazioni di database e allegati file. Per maggiori informazioni, consultare la nostra Policy regionale di Data Hosting.
I clienti di Zendesk che acquistano il Data Center Location Deployed Associated Service ("componente aggiuntivo di localizzazione del Data Center") hanno la possibilità di scegliere la regione (fra le opzioni regionali disponibili di Zendesk) in cui è ubicato il Data Center che ospiterà i loro Service Data. Per maggiori informazioni, consultare la nostra Policy regionale di Data Hosting. In caso contrario, Zendesk può utilizzare uno qualsiasi dei suoi data center globali per ospitare i Service Data.
Fin dalla nostra istituzione, l'approccio di Zendesk è rimasto ancorato a un forte impegno in favore di privacy, sicurezza, conformità e trasparenza. Questo approccio include il supporto ai nostri clienti per la conformità ai requisiti di protezione dei dati dell'UE, compresi quelli definiti nel Regolamento generale sulla protezione dei dati (“RGPD”) che entrerà in vigore il 25 maggio 2018.
Se un'azienda raccoglie, trasmette, ospita o analizza dati personali di cittadini dell'UE, RGPD richiede all’azienda di utilizzare responsabili terzi del trattamento dei dati che garantiscano capacità di attuazione dei requisiti tecnici e organizzativi previsti da RGPD. Per meritare ulteriormente la fiducia dei nostri clienti, abbiamo aggiornato il nostro DPA con impegni contrattuali sulla nostra conformità alla normativa applicabile sulla protezione dei dati nell'UE e sull'attuazione delle disposizioni contrattuali aggiuntive richieste da RGPD. I nostri impegni contrattuali garantiscono che i clienti possano:
Rispondere a richieste di soggetti interessati per correggere, modificare o cancellare dati personali.
Essere informati e segnalare violazioni dei dati personali alle autorità di vigilanza competenti e ai soggetti interessati entro gli intervalli temporali previsti da RGPD.
Dimostrare la loro conformità a RGPD come pertinente ai Servizi di Zendesk.
Il Regolamento Generale sulla Protezione dei Dati (RGPD), che entrerà in vigore il 25 maggio 2018, conferirà ai Soggetti interessati una serie di diritti di privacy che implicheranno grande trasparenza e controllo sull’uso delle loro informazioni personali.
A questo punto, potreste chiedervi in che modo i prodotti Zendesk siano in linea con tali diritti di privacy e dove reperire maggiori informazioni su caratteristiche e funzionalità di prodotti Zendesk di supporto al programma di conformità RGPD.
Fare clic sui prodotti Zendesk elencati qui di seguito per visualizzarne le caratteristiche e le funzionalità disponibili capaci di supportare la conformità a RGPD.
Nota: Queste caratteristiche e funzionalità sono attualmente disponibili. Con l'avvicinarsi del 25 maggio 2018 (data di entrata in vigore di RGPD), Zendesk aggiornerà e aggiungerà caratteristiche e funzionalità al fine di fornire ulteriore supporto ai clienti impegnati nel loro programmi di conformità a RGPD.
Il Regolamento Generale sulla Protezione dei Dati (“RGPD”) (in inglese GDPR, General Data Protection Regulation) è il nuovo regolamento europeo sulla privacy dei dati che sostituirà l’attuale Direttiva sulla protezione dei dati nell'UE (“Direttiva 95/46/CE”). RGPD mira a rafforzare la sicurezza e la protezione dei dati personali nell'area UE e ad armonizzare la legislazione dell'UE in materia di protezione dei dati.
RGPD si applica a tutte le organizzazioni che operano in ambito UE e che elaborano “dati personali identificabili” di soggetti residenti nell'UE. Per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile.
Uno degli aspetti chiave di RGPD è quello di omogeneizzare i processi di trattamento, utilizzo e scambio in sicurezza dei dati personali nei diversi Stati membri dell'UE. Le organizzazioni saranno tenute a dimostrare la sicurezza dei dati che trattano e la propria conformità a RGPD su base continua, attuando e riesaminando periodicamente solide misure tecniche e organizzative, e politiche di conformità.
Zendesk sarà conforme a RGPD quando, a maggio 2018, entrerà in vigore. Il nostro team dedicato alla privacy sta lavorando con i clienti di tutto il mondo per rispondere ai loro quesiti e aiutarli a prepararsi all'utilizzo dei Servizi di Zendesk, una volta che RGPD sarà in vigore. Inoltre, il nostro team dedicato alla privacy sta riesaminando le attuali caratteristiche e pratiche del prodotto Zendesk per garantirne la capacità di supporto ai requisiti di conformità a RGPD dei clienti.
Zendesk incoraggia i clienti ad avviare i preparativi per RGPD, rivedendo processi e politiche su privacy e sicurezza dati al fine di garantire la conformità entro maggio 2018. I titolari del trattamento dei dati hanno la responsabilità primaria di garantire che i loro processi di trattamento dei dati personali sia conforme alla normativa sulla protezione dei dati dell'UE. Qui di seguito vengono riportati alcuni punti chiave da considerare per la conformità a RGPD:
Applicazione geografica: RGPD può essere applicato alle organizzazioni residenti nell'UE e ad altre organizzazioni che, a seconda delle loro attività, pur residenti all’esterno dell’UE, trattano i dati personali di cittadini dell'Unione Europea.
Diritti degli Utenti finali: Le organizzazioni devono essere consapevoli di chi sono gli Utenti finali i cui dati personali possono processare. RGPD conferisce maggiori diritti agli Utenti finali, e le organizzazioni dovrebbero essere in grado di soddisfare tali diritti.
Notifiche di violazione dei dati personali: Le organizzazioni responsabile del trattamento dei dati personali devono porre in essere procedure trasparenti che soddisfino i requisiti di segnalazione della violazione dei dati entro i tempi stabiliti da RGPD. Nel caso in cui Zendesk venisse a conoscenza di una violazione dei dati in rapporto a sui suoi servizi, ne informerà i clienti interessati senza indebito ritardo.
Nomina di un Consulente per la privacy (“DPO”): Potrebbe essere necessario che i clienti nominino un DPO (Data Protection Officer) per gestire eventuali problemi relativi al trattamento dei dati personali.
Accordo sul trattamento dei dati (“DPA”): Laddove i dati personali vengano trasferiti al di fuori dello SEE, un cliente potrebbe aver bisogno di stipulare dei DPA con i suoi sub-fornitori a garanzia di un adeguato livello di protezione dei dati trasferiti. Il DPA di Zendesk è focalizzato su RGPD e può essere ottenuto inviando una richiesta a privacy@zendesk.com.
Valutazione d'impatto sulla protezione dei dati (“DPIA”): Le DPIA (Data Protection Impact Assessment) descrivono di solito le misure di protezione e i processi di trattamento dei dati, specialmente quelli potenzialmente rischiosi, delle organizzazioni. Per le attività di trattamento dei dati, i clienti devono condurre e presentare alle autorità preposte una DPIA.
I clienti possono utilizzare le certificazioni ISO e i rapporti di audit SOC 2 di terze parti di Zendesk per facilitare le proprie valutazioni di rischio e verificare se le misure tecniche e organizzative in atto sono appropriate. Per saperne di più, consultare il sito web sulla sicurezza di Zendesk.
Qui di seguito vengono riportati esempi di specifiche funzionalità del prodotto Zendesk capaci di assistere i clienti nell’attuazione del programma di conformità a RGPD. Attraverso il nostro "Advanced Security Deployed Associated Service", i clienti possono scegliere di usufruire di funzionalità migliorate, tra cui disaster recovery e crittografia avanzati, e la possibilità di configurazione per l’Health Insurance Portability and Accountability Act (“HIPAA”).
Le funzioni attualmente disponibili in specifici prodotti di Zendesk vengono descritte tra le domande/risposte qui di seguito.
Standard di auditing:
Certificazione ISO 27001:2013
Certificazione ISO 27018:2014
Scansione:
Bug bounty
Scansione dinamica di applicazioni live
Scansione statica di repository di codici
Crittografia:
Crittografia di dati in movimento su reti pubbliche
Crittografia di specifici dati a riposo con AES (Advanced Encryption Standard)256
More detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.
Le Regole Aziendali Vincolanti (“BCR”) sono politiche di protezione dei dati di livello aziendale approvate dalle autorità europee per la protezione dei dati che servono a facilitare il trasferimento intra-Gruppo dei dati personali all’interno dello Spazio Economico Europeo (“SEE”) verso Paesi al di fuori dello SEE. Le BCR si basano sui rigidi principi di privacy stabiliti dalle autorità di protezione dei dati dell'Unione Europea e richiedono un'intensa consultazione con tali autorità. I clienti possono trovare l'elenco completo delle entità approvate nell’Elenco delle Regole Aziendali Vincolanti Approvate, qui.
Sì, Zendesk ha completato il processo di approvazione UE delle proprie Regole Aziendali Vincolanti (BCR) globali presso il Commissario irlandese per la protezione dei dati (“DPC”, Irish Data Protection Commissioner) (in revisione paritaria con l'Ufficio del Commissario per le informazioni del Regno Unito e l’Autorità olandese per la protezione dei dati) globali in qualità di Responsabile e Titolare del trattamento dei dati. Questa significativa approvazione normativa convalida l'attuazione da parte di Zendesk dei più elevati standard possibili in materia di protezione dei dati personali a livello globale, sia in rapporto ai dati personali dei propri clienti che di quelli dei propri dipendenti.
Zendesk è una delle poche aziende di software al mondo ad aver ricevuto l'approvazione delle sue BCR; e la seconda ad aver ricevuto l'approvazione dal DPC irlandese.
Per accedere alle BCR di Zendesk, utilizzare i link pertinenti elencati qui di seguito:
– Regole Aziendali Vincolanti di Zendesk (che Zendesk applicano per il trattamento di dati personali per conto dei propri clienti); e
– Regole Aziendali Vincolanti di Zendesk per il Titolare Globale (che si applicano quando Zendesk tratta dati personali nel ruolo di Titolare del trattamento dei dati).
Il Dipartimento del commercio degli Stati Uniti, di concerto con la Commissione Europea e il governo svizzero, ha creato lo Scudo per la privacy UE-U.S. e lo Scudo per la privacy Svizzera-U.S. per fornire alle aziende un meccanismo per il trasferimento dei dati personali dall'Unione Europea agli Stati Uniti, in modo da garantire un adeguato livello di protezione nel quadro della normativa europea sulla protezione dei dati.
Zendesk ha certificato la propria conformità ai Framework dello Scudo per la privacy UE-U.S. e dello Scudo per la Privacy Svizzera-U.S. presso il Dipartimento del Commercio degli Stati Uniti, ed è stata perciò aggiunta all’elenco dei partecipanti auto-certificati allo Scudo per la privacy del Dipartimento del Commercio. Le nostre certificazioni confermano il rispetto dell’azienda per i Principi dello Scudo per la privacy in relazione al trasferimento di dati personali dall’Europa e dalla Svizzera verso gli Stati Uniti.
Si tratta di un'ottima notizia per i nostri clienti, che disporranno perciò di un meccanismo di trasferimento dati migliore rispetto ai precedenti Framework Safe Harbor U.S.-UE e Svizzera-U.S. Zendesk si è mossa rapidamente per adottare i principi dello Scudo per la privacy, coerentemente al costante impegno aziendale per la privacy e la protezione dei dati dei propri clienti.
Report SOC2
ISO 27001:2013 Certificazione
ISO 27018:2014 Certificazione
Elenco delle entità approvate per lo Regole Aziendali Vincolanti
Sito web dello Scudo per la privacy del Dipartimento del Commercio degli Stati Uniti: https://www.privacyshield.gov/welcome.
Direttiva 95/46/CE: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.
Regolamento Generale sulla Protezione dei Dati (RGPD): http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
International Association of Privacy Professionals: https://iapp.org.
“Prepararsi a RGPD” dell’Ufficio del commissario all’informazione (Information Commissioner's Office) del Regno Unito ”: https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.
Ultimo aggiornamento 26 marzo 2018