주 콘텐츠로 건너뛰기

계약 및 이용 약관

방침 및 지침

상표 및 지적 자산

조달 및 공급업체

데이터 보호 및 개인정보

데이터 처리 계약

This Data Processing Agreement (“DPA”) is entered into by 고객 and Zendesk, Inc. (“Zendesk”), each a “Party” and together the “Parties”.

고객과 Zendesk는 고객이 구독 기간 동안 서비스에 대한 접근 및 사용을 제공받는 계약을 체결했습니다. 본 DPA는 본 계약에 통합되어 그 일부가 됩니다. DPA에 전자 서명을 원하시면 여기를 클릭하십시오.

1. 당사자들의 글로벌 개인정보 보호 의무

  1. 서비스 데이터 소유권. Zendesk는 본 DPA에 따라 처리된 서비스 데이터에 대한 소유권 또는 이권을 주장하지 않으며, 양 당사자 간에 고객이 소유한 서비스 데이터는 고객의 재산으로 남습니다.
  2. 개인용 데이터. 당사자들은 처리의 성격, 목적, 제목, 기간, 개인용 데이터 또는 데이터 주체의 범주, 적용 가능한 보존 기간이 부속서 I에 설명된 대로임을 동의합니다.
  3. 해당 데이터 보호법. Zendesk와 고객은 해당 데이터 보호 법률에 따른 각자의 의무를 준수하기로 동의합니다.
  4. Zendesk의 의무. Zendesk 동의:

    1. 고객의 문서화된 지침에 따라 개인용 데이터를 처리하되, 관련 법률에 의해 달리 허용되거나 필수인 경우는 제외합니다. Zendesk는 처리 지침이 적용 가능한 데이터 보호 법률을 위반하는 경우 고객에게 즉시 알릴 것입니다;

    2. 개인용 데이터를 Sell하거나 공유하지 않습니다;

    3. 모든 직원 및 계약자가 이 DPA에 따라 개인용 데이터를 보호할 책임을 완전히 인식하고 적절한 계약상 또는 법적 비밀 유지 의무를 준수하도록 하십시오;

    4. 고객에게 더 이상 해당 데이터 보호법에 따른 의무를 이행할 수 없는 경우 이를 통지하고, 고객이 개인 데이터의 무단 처리에 대한 합리적이고 적절한 조치를 취할 수 있도록 허용합니다;

    5. 적절한 기술적 및 조직적 조치를 구현하고 유지하여 데이터 제목의 프라이버시 권리에 대한 위험의 가능성과 심각성을 고려하여 개인용 데이터를 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로부터 보호하도록 설계된 조치를 부록 II에 포함하여 보호합니다.

    6. 고객에게 확인된 개인용 데이터 유출을 법률 또는 정부 기관에 의해 금지되지 않는 한 부당한 지체 없이 48시간 이내에 통지하고; 개인용 데이터 유출의 원인을 완화하기 위한 적절한 조치를 취하며; 적용 가능한 데이터 보호법에 따라 고객에게 필요한 모든 정보를 제공하십시오;

    7. 고객의 데이터 제목 요청에 응답할 의무를 합리적으로 지원하고, Zendesk가 고객의 데이터 제목으로부터 직접 요청을 받는 경우, 법으로 금지되지 않는 한 데이터 제목을 고객에게 안내합니다; 및

    8. 적용 가능한 데이터 보호 법률에서 필수로 요구하는 경우, 고객이 데이터 보호 영향 평가 또는 감독 기관 상담을 수행할 수 있도록 커머셜 합리적인 정보와 지원을 사용할 수 있게 합니다.

  5. 고객 의무. 고객은 데이터 관리자로서 서비스에 의해 처리되는 개인 데이터를 결정합니다. 고객은 서비스 이용으로 처리하고자 하는 개인 데이터의 유형에 따라 Zendesk의 기술적 및 조직적 조치를 평가할 책임이 있습니다.

2. 하위 처리자의 사용

  1. 위탁처리업체. 고객은 Zendesk가 하위 프로세서를 사용할 수 있도록 일반적인 서면 승인을 제공하며, 이는 다음 조건을 충족해야 합니다:

    1. Zendesk는 개인 데이터 처리와 관련하여 하위 프로세서의 행위 또는 부작위에 대해 고객에게 책임을 집니다; 및

    2. 각 하위 처리자는 이 DPA의 요구 사항과 일치하는 기준으로 개인용 데이터를 보호하는 데 동의합니다.

  2. 위탁처리업체 방침 업데이트. Zendesk는 이러한 변경 최소 30일 전에 새로 임명된 하위 처리자와 함께 하위 처리자 정책을 업데이트합니다. 고객은 이러한 변경 사항에 대한 이메일 알림을 받기 위해 등록할 수 있습니다.
  3. 위탁처리업체 방침 개체 이의제기. 고객은 데이터 보호와 관련된 합리적인 근거로 새로 임명된 하위 프로세서에 대해 개체할 수 있습니다. 고객이 개체를 제기하는 경우, 서브프로세서 정책 업데이트 후 30일 이내에 privacy@zendesk.com로 이메일을 보내 서면으로 Zendesk에 알릴 것입니다. 이러한 경우, 당사자들은 고객의 이의 제기에 대한 해결책을 성실히 협상할 것입니다. 당사자들이 Zendesk가 고객의 이의를 접수한 후 60일 이내에 해결에 도달할 수 없는 경우, Zendesk는 단독 재량으로 다음 중 하나를 수행합니다:

    1. Sub-processor에게 고객의 개인용 데이터를 처리하지 않도록 지시하고, DPA는 영향을 받지 않고 계속되거나,

    2. 고객이 서비스의 영향을 받는 부분을 해지하도록 허용하고 해지 발효일 현재 아직 받지 못한 서비스의 영향을 받는 부분에 대해 미리 지급된 정기가입 요금에 비례하여 환불을 고객에게 제공할 수 있습니다.

3. 감사

  1. 외부 감사인. Zendesk는 이 DPA에서의 의무 준수 및 데이터 보호 조치의 적절성을 검증하기 위해 독립적이고 자격을 갖춘 외부 감사자를 사용합니다(예: SOC 2 유형 II 또는 ISO 27001).
  2. 감사 보고서. 고객의 서면 요청 시, Zendesk는 계약의 기밀 유지 조항에 따라 고객에게 감사 보고서를 제공할 것입니다.
  3. 지원. 적용 가능한 데이터 보호법에 따른 고객의 감사 요구 사항이 감사 보고서 또는 Zendesk가 고객에게 일반적으로 제공하는 기타 문서를 통해 합리적으로 충족되지 않으며, 고객이 관련 정보에 접근할 수 없는 경우, Zendesk는 고객을 합리적으로 지원할 것입니다.
  4. 감사. 고객이 Zendesk가 3.3조에서 제공하는 지원을 통해 적용 가능한 데이터 보호법에 따른 감사 의무를 이행할 수 없고, 고객이 적용 가능한 데이터 보호법에 따라 감사를 실시할 권리가 있는 경우, 고객은 최소 30일 전에 서면으로 privacy@zendesk.com에 해당 감사를 요청할 수 있습니다. 이러한 감사는 연간 한 번만 수행할 수 있으며, 합리적인 기간 동안 정상적인 업무 시간에 수행되어야 하고, Zendesk의 운영을 방해해서는 안 되며, Zendesk 본사 또는 합의된 사업장에서만 수행되어야 합니다. 이러한 감사는 Zendesk의 보안 통제를 위반하거나 Zendesk가 제3자에 대한 비밀 유지 의무를 위반하게 하는 방식으로 다른 Zendesk 고객 또는 보안 시설이나 시스템과 관련된 데이터에 대한 액세스를 포함하지 않습니다. 해당 감사와 관련하여 생성된 모든 정보는 Zendesk의 기밀 정보이며 Zendesk에 신속하게 제공됩니다. 고객은 감사 보고서 외에 요청하는 감사와 관련된 비용과 경비에 대한 책임이 있습니다.

4. 국제 데이터 전화 돌리기

  1. 국제 데이터 전화 돌리기. 고객은 Zendesk가 해당 데이터 보호법에 따라 전 세계적으로 서비스 데이터를 처리할 수 있는 서비스 이행에 필요하다는 것을 인정합니다. Zendesk가 출처 국가에서 적정성 결정을 받지 않은 국가로 개인용 데이터를 전화 돌리기하는 경우, 전화 돌리기는 모든 개인용 데이터에 적용되며 다음 순서로 하나 이상의 다음 전화 돌리기 메커니즘을 준수합니다:

    1. 유효한 인증 메커니즘;

    2. 구속력 있는 회사 규칙;

    3. SCC.

  2. 전화 돌리기 메커니즘. 전화 돌리기 메커니즘, 조항 선택, 및 특정 국가 요구 사항은 해당되는 경우 부속서 III에 참조로 상세히 설명되고 포함되어 있습니다.
  3. 데이터 전화 돌리기 평가. 고객은 전화 돌리기 메커니즘에 의존하는 것 외에도 데이터 전화 돌리기 평가를 수행해야 할 의무가 있을 수 있음을 인정합니다. Zendesk는 요청 시 이 평가에 대해 합리적인 지원을 제공할 것입니다.
  4. 구속력 있는 서명. 고객은 계약의 서명이 SCC 및 지역별 약관에 명시된 기타 서명 요구 사항의 구속력 있는 서명을 구성함을 인정합니다.

5. 개인용 데이터의 RETURN 및 파기

고객의 서면 요청 시, Zendesk는 계약서에 명시된 대로 고객이 내보내거나 다운로드할 수 있도록 서비스 데이터를 제공할 것입니다. Zendesk는 Zendesk의 서비스 데이터 삭제 정책에 따라 서비스 데이터를 삭제합니다.

6. 혁신 서비스

이 DPA의 모든 섹션은 섹션 3(감사), 부록 II(Zendesk 기술 및 조직 보안 조치 – 엔터프라이즈 서비스), 부록 III, 섹션 1 및 2(구속력 있는 기업 규칙 및 데이터 프라이버시 프레임워크)를 제외하고 혁신 서비스에 적용됩니다.

7. 충돌

달리 합의하지 않는 한, 본 DPA의 조건은 본 계약의 상충되는 조건보다 우선합니다.

8. 정의

본 DPA에 사용된 모든 용어는 아래에서 정의된 의미를 갖습니다. 이 DPA에서 정의되지 않은 경우, "Sell", "share", "processing", "process", "processor", "controller", "data exporter", "데이터 가져오기", "data subject", "personal data breach" (및 유사한 용어), 그리고 "supervisory authority"는 해당 데이터 보호 법률에서와 동일한 의미를 갖습니다. 본 DPA에 달리 정의되지 않은 대문자 용어는 계약에 정의된 바와 같습니다.

“적용 가능한 데이터 보호 법률”은 본 계약에 따라 각 당사자가 개인용 데이터의 처리를 수행함에 있어 각 당사자에게 적용되는 모든 데이터 보호 법률 및 규정을 의미합니다.

“감사 보고서”는 엔터프라이즈 서비스에 대한 해당 인증 또는 감사 보고서의 기밀 요약을 의미합니다.

“Binding Corporate Rules”는 (a) 개인정보 보호규정(GDPR)에 따라 개인정보의 전화 돌리기에 적용되는 EU Binding Corporate Rules – Processor 또는 (b) 영국 개인정보의 전화 돌리기에 적용되는 UK Binding Corporate Rules – Processor를 의미합니다.

“버그 바운티 프로그램”은 다음 위치에 있는 문서를 의미합니다: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

비즈니스 회복력 문서 https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“개인용 데이터”는 서비스 데이터에 포함되어 있는, 식별되었거나 식별 가능한 자연인과 직접적 또는 간접적으로 관련된 모든 개인 데이터를 의미합니다.

“상태 웹페이지” https://status.zendesk.com/.

“SCCs”는 감독 기관이 전화 돌리기 메커니즘으로 승인한 표준 계약 조항을 의미합니다.

“하위 처리자”는 하위 처리자 정책에 명시된 바와 같이 고객의 지침(Zendesk가 전달한) 및 Zendesk와의 서면 하도급 계약 조건에 따라 서비스 데이터를 수령하고 처리하는 Zendesk가 고용한 제3자 데이터 처리자를 의미합니다.

"위탁처리업체 방침"이란 https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy 문서에 명시된 방침을 의미합니다.

“전화 돌리기 메커니즘”은(는) 부속서 III에 설명된 개인용 데이터의 국제적 처리에 적용되는 프레임워크를 의미합니다.

부록 I

처리 세부사항

데이터 내보내기자: 고객

연락처 정보: DPA 서명 차단에 제공됨.

데이터 내보내기 역할: 고객은 Zendesk에 관하여 컨트롤러입니다.

데이터 가져오기: Zendesk, Inc.

연락처 정보: DPA 서명 차단에 제공됨

데이터 가져오기 역할: Zendesk는 프로세서입니다

  1. 처리의 성격 및 목적: Zendesk는 고객이 결정한 목적에 따라 계약에 명시된 대로 개인용 데이터를 처리합니다.
  2. 활동 처리: 처리 활동에는 고객이 프로그래밍 방식으로 또는 계약서에서 구체적으로 지시한 대로 개인용 데이터의 호스팅 및 처리가 포함됩니다.
  3. 처리 및 보존 기간: Zendesk는 플랜 기간 동안 개인용 데이터를 지속적으로 처리하고 보관할 것입니다. Zendesk는 Zendesk 서비스 데이터 삭제 정책에 따라 개인용 데이터를 삭제합니다.
  4. 데이터 제목: 고객은 전적으로 재량에 따라 직원(계약자 및 임시 직원 포함), 직원의 친척, 고객, 잠재 고객, 서비스 제공자, 비즈니스 파트너, 공급업체, 최종 사용자, 고객의 고문(모두 자연인) 및 서비스를 사용하도록 고객이 승인한 자연인에게 포함될 수 있는 개인 데이터를 서비스에 제출할 수 있습니다.
  5. 개인용 데이터 유형: 고객은 서비스 사용 시 전적으로 재량에 따라 다음과 같은 개인 데이터 범주를 포함하되 이에 국한되지 않는 모든 범주의 개인 데이터를 처리할 수 있습니다: 이름, 이메일 주소, 직함, 직위, 고용주, 연락처 정보(회사, 이메일, 전화번호, 물리적 주소), 생년월일, 성별, 통신(전화 녹음, 음성 메일, 메타데이터), 및 고객 서비스 정보.
  6. 특별 데이터 범주(해당되는 경우): Applicable Data Protection Law에 따라 특별한 처리가 필요한 민감한 데이터 범주는 고객의 재량에 따라 개인용 데이터에 포함될 수 있습니다.

부록 II

Zendesk 기술 및 조직 보안 조치 – 엔터프라이즈 서비스

엔터프라이즈 서비스에 대한 서비스 데이터 보호를 위한 기술적 및 조직적 조치는 Zendesk의 엔터프라이즈 보안 조치에 포함되어 있습니다.

Zendesk는 수시로 보안 프로그램을 업데이트할 권리를 보유합니다. 단, 일체의 업데이트가 본 부록 II의 전반적인 보호를 실질적으로 축소시키지는 않습니다.

  1. 정보 보안 프로그램 및 팀: Zendesk 보안 프로그램에는 해당 법률에 따라 서비스 데이터 취급을 통제하는 문서화된 관리, 기술, 물리적 및 조직적 안전장치 정책 및 표준이 포함됩니다. 보안 프로그램은 데이터 제목의 기밀성과 무결성을 보호하도록 설계되었으며, 처리의 성격, 범위, 맥락 및 목적과 처리에 관련된 위험에 적합합니다. Zendesk는 보안 알림 및 이벤트에 대응하기 위해 전 세계에 분산된 보안 팀을 연중무휴(24/7) 통화 중으로 유지합니다.
  2. 보안 인증: Zendesk는 독립적인 제3자 감사 기관으로부터 다음과 같은 보안 관련 인증을 보유하고 있습니다: SOC 2 유형 II, ISO 27001:2013, 또는 ISO 27018:2014.
  3. 물리적 접근 통제: Zendesk는 보안 요원 및 보안 건물과 같은 합리적인 조치를 통해 무단으로 서비스 데이터에 물리적으로 접근하는 것을 방지하고, Zendesk를 대신하여 데이터 센터를 운영하는 제3자가 이러한 통제를 준수하고 있는지 검증합니다.
  4. 시스템 액세스 제어: Zendesk는 서비스 데이터가 승인 없이 사용되지 않도록 합리적인 조치를 취합니다. 이러한 제어는 수행되는 처리의 성격에 따라 다르며, 다른 제어 중에서도 비밀번호 및/또는 2단계 인증을 통한 인증, 문서화된 승인 프로세스, 문서화된 변화 관리 프로세스 및/또는 여러 수준에서의 접근 로그 기록을 포함할 수 있습니다.
  5. 데이터 접근 제어: Zendesk는 적절한 권한을 부여받은 직원만이 서비스 데이터에 접근하고 관리할 수 있으며, 직접 데이터베이스 쿼리 접근이 제한되고, 애플리케이션 접근 권한이 설정 및 집행되어 데이터 처리 시스템을 사용할 권한이 있는 사람이 접근 권한이 있는 서비스 데이터에만 접근할 수 있도록 하고, 처리 과정에서 승인 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나, 제거할 수 없도록 합리적인 조치를 취합니다.
  6. 전송 제어: Zendesk는 데이터 전송 시설을 통해 서비스 데이터가 전송되는 법인을 확인하고 확립할 수 있는 능력을 보장하기 위해 합리적인 조치를 취하여 전자 전송 또는 운송 중에 승인 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나 제거할 수 없도록 합니다. 공용 네트워크를 통해 Zendesk 사용자 인터페이스(UIs) 및 애플리케이션 프로그래밍 인터페이스(API)와 통신할 때 서비스 데이터는 업계 표준 HTTPS/TLS(TLS 1.2 이상)를 통해 전송 중에 암호화됩니다. 전송 중 암호화의 예외에는 암호화를 지원하지 않는 제3자 제품이 포함될 수 있으며, 데이터 관리자는 선택에 따라 엔터프라이즈 서비스 통해 연결할 수 있습니다. Zendesk의 하위 프로세서 및 관리 서비스 제공업체인 Amazon Web Services Inc.에 의해 서비스 데이터는 AES-256을 통해 저장 시 암호화됩니다.
  7. 입력 제어: Zendesk는 서비스 데이터가 데이터 처리 시스템에 입력되었는지, 수정 또는 제거되었는지, 그리고 서비스 데이터를 제3자 서비스 제공업체에 전송하는 것이 안전한 전송을 통해 이루어지는지 여부를 확인하고 확립할 수 있는 능력을 제공하기 위해 합리적인 조치를 취합니다.
  8. 논리적 분리: 다양한 Zendesk 고객 환경의 데이터는 Zendesk가 관리하는 시스템에서 논리적으로 분리되어 다른 컨트롤러가 수집하는 서비스 데이터가 서로 분리되도록 합니다.
  9. 백도어 없음: Zendesk는 정부 당국이 서비스 데이터에 접근하기 위해 보안 조치를 회피할 수 있도록 서비스에 백도어 또는 기타 방법을 구축하지 않았습니다.
  10. 데이터 센터 아키텍처 및 보안: Zendesk는 ISO 27001, PCI DSS Service Provider Level 1, 및/또는 SOC2 규격 인증을 받은 AWS 데이터 센터에 주로 서비스 데이터를 호스팅합니다. AWS 인프라 서비스에는 서버를 보호함으로써 결국에는 고객의 데이터도 보호할 수 있는 예비 전력, HVAC 시스템, 화재 진압 장비가 포함됩니다. AWS 웹사이트 보안에는 보안 요원, 울타리, 피드 보안, 침입 탐지 기술 및 기타 보안 조치와 같은 여러 가지 추천이 포함됩니다. AWS 제어에 대한 자세한 내용은 다음에서 확인할 수 있습니다: https://aws.amazon.com/security.
  11. 네트워크 아키텍처 및 보안: Zendesk 시스템은 기능, 정보 분류 및 위험에 따라 보안에 상응하는 영역에 보관됩니다. Zendesk의 네트워크 보안 아키텍처는 Zendesk에서 가장 신뢰받는 영역에 데이터베이스 서버와 같이 보다 민감한 시스템을 갖춘 여러 영역으로 구성됩니다. 존에 따라서 추가적인 보안 모니터링 및 접근 제어가 적용됩니다. DMZ는 인터넷과 내부적으로 서로 다른 신뢰 영역 간에 사용됩니다. Zendesk의 네트워크는 키 AWS 보안 서비스 사용, 정기 감사 및 알려진 악성 트래픽과 네트워크 공격을 모니터링 및/또는 차단하는 네트워크 인텔리전스 기술을 통해 보호됩니다. Zendesk는 광범위한 Zendesk의 내부 스캔 및 테스트 프로그램 외에도 잠재적으로 취약한 시스템을 신속하게 식별하기 위해 네트워크 보안 스캔을 활용합니다. Zendesk는 또한 여러 위협 인텔리전스 공유 프로그램에 참여하여 이러한 위협 인텔리전스 네트워크에 게시된 위협을 모니터링하고 위험에 따라 조치를 취합니다. Zendesk는 DDoS 완화에 대한 다중 계층 접근 방식을 통해 네트워크 에지 방어와 확장 및 보호 도구를 활용합니다.
  12. 테스트, 모니터링 및 로깅: 매년 Zendesk는 Zendesk Production 및 기업 네트워크 전반에 걸쳐 광범위한 침투 테스트를 수행하기 위해 제3자 보안 전문가를 고용합니다. Zendesk는 중요한 네트워크 장치 및 호스트 시스템에서 로그를 Gather하는 보안 인시던트 이벤트 관리(SIEM) 시스템을 사용합니다. SIEM은 조사와 응답을 위해 상관 관계가 있는 이벤트를 기반으로 보안 팀에 알리는 트리거에 대해 알림을 발생합니다. 서비스 수신 및 송신 지점은 24/7 시스템 모니터링을 포함하여 비정상적인 동작을 감지하기 위해 계측되고 모니터링됩니다.
  13. 데이터 호스팅 위치: Zendesk는 고객이 데이터 센터 위치 추가 기능을 구매하는 경우 서비스 데이터가 호스팅되는 위치를 선택할 수 있는 옵션을 제공합니다. 이 제공에 대한 Full 설명은 다음에서 확인할 수 있습니다: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. 가용성 및 연속성: Zendesk는 공개적으로 이용 가능한 상태 웹페이지를 유지하고 있으며, 여기에는 시스템 가용성 세부 정보, 예약된 유지 관리, 서비스 인시던트 내역, 관련 보안 이벤트가 포함됩니다. Zendesk는 서비스 클러스터링 및 네트워크 중복성을 통해 단일 장애 지점을 없앱니다. 엄격한 백업 체제 및/또는 Zendesk의 향상된 재해 복구 서비스 제공을 통해 서비스 데이터를 사용 가능한 모든 영역에 복제하므로 높은 수준의 서비스 가용성을 제공할 수 있습니다. Zendesk의 재해 복구 프로그램은 견고한 기술 환경을 구축하여 재해 사례에서 Zendesk 서비스가 계속 사용 가능하고 쉽게 복구될 수 있도록 보장합니다. 추가적인 세부 사항은 Zendesk의 비즈니스 복원력 웹페이지에서 확인할 수 있습니다.
  15. 사람 보안: Zendesk는 해당 시내 법률에 따라 교육 및 고용 확인을 포함하여 모든 직원의 채용 전 배경 조사를 수행합니다. 직원은 채용 시, 그리고 그 후 매년 보안 학습을 받습니다. 직원은 데이터의 기밀성을 유지하기 위해 서면 기밀 유지 계약에 구속됩니다.
  16. 공급업체 관리: Zendesk는 서비스의 특정 측면을 제공하기 위해 제3자 벤더를 이용합니다. Zendesk는 잠재 고객 공급업체의 보안 위험 평가를 완료합니다.
  17. 버그 바운티: Zendesk는 독립적인 보안 연구원들이 지속적으로 보안 취약점을 보고할 수 있도록 버그 바운티 프로그램을 운영합니다.

Zendesk 기술 및 조직 보안 조치 – 혁신 서비스

혁신 서비스를 위한 서비스 데이터를 보호하기 위한 기술적 및 조직적 조치는 Zendesk의 혁신 보안 조치에 포함되어 있습니다.

Zendesk 정보 보안 프로그램에는 해당 법률에 따라 서비스 데이터 취급을 규율하는 문서화된 정책 또는 표준, 그리고 서비스 데이터의 기밀성과 무결성을 보호하기 위해 설계된 관리적, 기술적 및 물리적 안전장치가 포함됩니다. Zendesk는 수시로 보안 프로그램을 업데이트할 권리를 보유합니다. 단, 일체의 업데이트가 본 부록 II의 전반적인 보호를 실질적으로 축소시키지는 않습니다.

  1. 물리적 액세스 제어: Zendesk는 권한이 없는 사람이 서비스 데이터에 물리적으로 접근하지 못하도록 합리적인 조치를 취합니다.

  2. 시스템 액세스 제어: Zendesk는 서비스 데이터가 승인 없이 사용되지 않도록 합리적인 조치를 취합니다.

  3. 데이터 액세스 제어: Zendesk는 서비스 데이터가 적절하게 승인된 스태프에 의해서만 접근 가능하고 관리되도록 합리적인 조치를 취합니다.

  4. 변속기 제어: Zendesk는 전자 전송 또는 운송 중에 승인 없이 서비스 데이터를 읽거나, 복사하거나, 수정하거나 제거할 수 없도록 데이터 전송 시설을 통해 서비스 데이터가 전송되는 법인을 확인하고 확립할 수 있는 능력을 보장하기 위해 합리적인 조치를 취합니다.

  5. 입력 제어: Zendesk는 합리적인 조치를 취하여 서비스 데이터가 데이터 처리 시스템에 입력, 수정 또는 제거되었는지, 그리고 서비스 데이터를 제3자 서비스 제공업체에 전송하는 것이 안전한 전송을 통해 이루어지는지 여부를 확인하고 확립할 수 있도록 합니다.

  6. 논리적 분리: 다양한 Zendesk 고객 환경의 데이터는 Zendesk가 관리하는 시스템에서 논리적으로 분리되어 다른 컨트롤러가 수집하는 서비스 데이터가 서로 분리되도록 합니다.

  7. 보안 정책 및 직원: Zendesk는 위험을 식별하고 예방 기술을 구현하기 위한 관리 보안 프로그램을 유지할 것이며, 일반적인 공격 완화를 위한 기술 및 프로세스를 유지할 것입니다. Zendesk는 Zendesk의 네트워크, 시스템 및 서비스를 보호하고 Zendesk의 보안 정책에 따라 Zendesk의 직원을 대상으로 교육을 개발 및 제공할 책임이 있는 정규직 정보 보안 팀을 보유하고 있으며, 이를 유지할 것입니다.

부록 III

전화 돌리기 메커니즘 및 지역별 용어

Zendesk는 처리되는 개인용 데이터의 관할권에 따라 국제적인 개인용 데이터 전화 돌리기를 관리하는 여러 전화 돌리기 메커니즘을 활용합니다. 해당하는 경우 지역별 약관의 추가 개인정보 보호 관련 약관이 통합됩니다.

1. 구속력 있는 회사 규칙

Zendesk, 그 계열사 및 하위 처리자는 아일랜드 데이터 보호 위원회와 영국 정보 위원회 사무소의 승인을 받았으며 Zendesk의 신뢰 센터 https://www.zendesk.com/trust-center/에서 확인할 수 있는 Zendesk의 구속력 있는 기업 규칙의 요건을 준수합니다.

2. 데이터 프라이버시 프레임워크

Zendesk는 EU-미국 간의 참여 및 준수를 인증했습니다. 데이터 개인정보 보호 프레임워크("EU-미국 DPF”), EU-미국 DPF의 영국 확장본. DPF, 및 스위스-미국 DPF에 따라, 스위스-미국 데이터 개인정보 보호 프레임워크(“Swiss-U.S. DPF”) (참조: https://www.dataprivacyframework.gov/s/). Zendesk는 EU-미국 간의 준수에 대한 자체 인증을 유지할 것을 약속합니다. DPF, EU-미국 DPF의 영국 확장본. DPF, 및 스위스-미국 DPF에 따라, 계약 및 본 DPA에 따라 제공되는 서비스에 대한 DPF 또는 대체 프레임워크.

3. SCC

  1. Zendesk는 또한 2021년 6월 4일 유럽연합 집행위원회의 이행 결정 2021/914의 부록에 명시된 유럽연합 집행위원회에서 채택한 표준 계약 조항(“EU SCCs”)을 활용하며, 해당 내용은 다음에서 확인할 수 있습니다: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 그리고 EU 집행위원회 표준 계약 조항에 대한 영국 국제 데이터 전화 돌리기 추가서(“UK Addendum”)를 활용하며, 해당 내용은 다음에서 확인할 수 있습니다: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf. 당사자들은 SCC가 아래에 완전히 명시된 것처럼 본 DPA에 통합됨을 인정한다. 이 연결들은 규제 당국의 업데이트에 따라 수시로 업데이트 될 수 있으며, 이 DPA의 수정에 의해 업데이트 시간 될 것입니다.

  2. 감독 기관에 의해 발표되고 필수인 SCC가 EU SCC가 아닌 범위 내에서, 당사자들은 이를 (e)항의 선택과 일치하게 완료된 것으로 해석합니다.

  3. 충돌이나 모호한 상황이 발생할 경우, SCC의 조건이 DPA 및 Zendesk와 고객 간의 모든 다른 조건보다 우선합니다.

  4. EU SCC가 시내 감독 기관에 의해 전화 돌리기 메커니즘으로 인정되는 경우, 해당 기관의 모든 개인용 데이터 제목에 적용되며, (e)항에 명시된 방식으로 완료된 것으로 간주됩니다.

  5. EU SCC. EU SCCs가 전화 돌리기 메커니즘으로 사용되는 경우, 다음과 같이 완료된 것으로 간주됩니다:

    1. 모듈 2(컨트롤러-프로세서)는 고객이 서비스 데이터의 컨트롤러이고 Zendesk가 서비스 데이터의 프로세서인 경우에 적용됩니다; 모듈 3(프로세서-프로세서)는 고객이 서비스 데이터의 프로세서이고 Zendesk가 서비스 데이터의 프로세서인 경우에 적용됩니다;

    2. Clause 7에서 선택 사항인 도킹 조항은 적용되지 않습니다;

    3. Clause 9(a)에서 옵션 2 "일반 서면 승인"이 적용되며, 이 DPA의 "Sub-processor의 사용" 섹션에 명시된 Sub-processor 변경에 대한 사전 통지 기간;

    4. Clause 11에서 선택 사항 언어는 적용되지 않습니다;

    5. 제17조에서 옵션 1은 본 계약에 규정된 법률, 또는 EEA 회원국 법률이 적용되지 않는 경우 아일랜드 법률, 또는 둘 다 적용되지 않는 경우 수입자의 법률이 적용되고 이에 의해 규율됩니다.

    6. Clause 18(b)에서, 이의 신청은 다음의 우선 순위에 따라 법원에서 해결됨: (1) 계약에 명시된 대로, (2) EEA 회원국이 적용되지 않는 경우, 아일랜드 더블린, (3) 고객 본사의 관할권이 있는 고객의 국가, (4) Zendesk의 등록 사무소 주소;

    7. EU SCC의 부속서 I.A 및 I.B와 부속서 II는 본 DPA의 부속서 I 및 II에 나열된 정보로 완료된 것으로 간주됩니다.

    8. SCC의 부록 I.C에서 감독 당국은 데이터 수출자와 관련하여 관할 당국이 됩니다. Applicable Data Protection Law의 영토 범위 내에 있지만 데이터 수출자가 시내 국가에 설립되지 않은 경우, 관할 감독 기관은 데이터 수출자가 대리인을 지정한 곳에 위치하게 되며, 대리인을 지정하지 않은 경우 아일랜드의 감독 기관이 관할 기관이 됩니다.

  6. 영국 부록. UK 부록이 적용되는 경우, 다음과 같이 완료된 것으로 간주됩니다:

    1. 테이블 1은 본 DPA의 부속서 I에 명시된 정보로 완료된 것으로 간주되며, 그 콘텐츠는 당사자들이 이에 동의합니다;

    2. 테이블 2, 당사자는 다음을 읽는 체크박스를 선택합니다: “승인된 EU SCCs, 부록 정보 및 이 부록의 목적을 위해 발효된 승인된 EU SCCs의 모듈, 조항 또는 선택 사항만 포함하여”, 그리고 동반된 테이블은 이 부록에 명시된 당사자의 선호에 따라 완료된 것으로 간주됩니다;

    3. 테이블 3은 이 DPA의 "하위 프로세서 사용" 섹션에 명시된 대로 부속서 I, 부속서 II에 명시된 정보로 완료된 것으로 간주됩니다.

    4. 테이블 4, 당사자들은 어느 당사자도 섹션 19에 명시된 대로 영국 부록을 종료할 수 없다는 데 동의합니다.