Privacy and Data Protection

Más información sobre recursos de seguridad

Información general

Zendesk prioriza la confianza del cliente. Sabemos que los datos de cliente son importantes para los valores y las operaciones de nuestros clientes. Es por eso que los mantenemos privados y seguros.

Zendesk supports thousands of customers in over 160 countries and territories. Our customers entrust us with large amounts of sensitive information, stemming from a wide range of industries including healthcare, financial services, government, and technology.

Zendesk ayuda a que los clientes mantengan el control de su privacidad y la seguridad de los datos en una infinidad de formas:

  • Seguridad de datos: Proporcionamos a nuestros clientes el cumplimiento de altos estándares de seguridad, como el cifrado de datos en movimiento a través de redes públicas, estándares de auditoría (SOC 2, ISO 27001, ISO 27018), mitigaciones de denegación de servicio distribuido ("DDoS") y un equipo de soporte que está disponible 24/7.

  • Divulgación de datos de servicio del cliente: Zendesk solo divulga los datos de servicio a terceros cuando la divulgación es necesaria para proporcionar los servicios, o según sea necesario para responder a las solicitudes legales de las autoridades públicas.

  • Confianza: Zendesk ha desarrollado protecciones de seguridad y procesos de control para ayudar a garantizar a nuestros clientes un entorno seguro para su información. Expertos externos independientes han confirmado la adherencia de Zendesk a los altos estándares de la industria.

  • Data Hosting Locality: Customers who purchase the Data Center Location Deployed Associated Service (“Data Center Location Add-on”) have the ability to select the region (from the available Zendesk regional options) where the data center which hosts their Service Data is located.

  • Administración de acceso: Zendesk proporciona un conjunto avanzado de características de acceso y cifrado para ayudar a que los clientes protejan de manera efectiva su información. No accedemos ni usamos el contenido del cliente para ningún otro propósito que no sea el de proporcionar, mantener y mejorar los servicios de Zendesk, y según lo exija la ley.

¿Qué son los datos de servicio?

Datos de servicio es toda información, incluidos los datos personales, que se almacena o se transmite a través de los servicios de Zendesk, por o en nombre de nuestros clientes y sus usuarios finales.

¿A quién pertenece y quién controla los datos de servicio?

Desde una perspectiva de privacidad, el cliente es el controlador de los datos de servicio, y Zendesk es un procesador. Esto significa que durante todo el tiempo que un cliente se suscribe a los servicios con Zendesk, el cliente conserva la propiedad y el control de los datos de servicio en su cuenta.

¿Quiénes son los subencargados de Zendesk?

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors is available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

¿Cómo utiliza Zendesk los datos de servicio?

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

¿Qué pasos realiza Zendesk para proteger los datos de servicio?

Zendesk prioriza la seguridad de los datos y combina características de seguridad de clase empresarial con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos de clientes y negocios siempre estén protegidos.

Por ejemplo, los servidores de Zendesk están alojados en instalaciones acordes con Nivel IV o III+, SSAE-16, PCI DSS o ISO 27001. Además, contratamos expertos en seguridad de terceros para que realicen pruebas de penetración detalladas periódicamente, y nuestro equipo de soporte está disponible 24/7 para responder a alertas y eventos de seguridad.

How does Zendesk notify Subscribers of a security incident?

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

¿Dónde se almacenarán los datos de servicio?

Zendesk tiene centros de datos en tres regiones principales: Estados Unidos, Asia-Pacífico y la Unión Europea. Los datos de servicio se pueden almacenar en cualquier región. Los clientes pueden seleccionar la región en la que se encuentran los centros de datos que albergan algunos de sus datos de servicio mediante la compra del Complemento de ubicación del centro de datos. Consulte la Política regional de alojamiento de datos para obtener información adicional.

What happens to Service Data upon termination or expiration of a Subscriber’s agreement with Zendesk?

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

How does Zendesk Respond to Information Requests?

Zendesk reconoce que los problemas de privacidad y seguridad de datos son las principales prioridades para los clientes.

  • Zendesk no divulga los datos de servicio, excepto cuando es necesario para proporcionar sus servicios a sus clientes y cumplir con la ley, tal como se detalla en nuestra Política de privacidad que se encuentra aquí.

  • Zendesk has achieved a number of internationally-recognized certifications and accreditations demonstrating compliance with third-party assurance frameworks as described on our Security site.

  • Donde tenemos que actuar públicamente para proteger a los clientes, lo hacemos. Zendesk ha expresado su apoyo a la Ley de la Libertad de los EE. UU. que busca reformar el programa de vigilancia en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera ("FISA").

¿Cómo responde Zendesk a las solicitudes legales de los datos de servicio?

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

RGPD

Since our inception, Zendesk’s approach has been anchored with a strong commitment to privacy, security, compliance and transparency. This approach includes supporting our customers’ compliance with EU data protection requirements, including those set out in the General Data Protection Regulation (“GDPR”), which replaced the EU Data Protection Directive (also known as “Directive 95/46/EC“) and became enforceable on May 25, 2018.

Si una empresa recopila, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD requiere que la empresa utilice procesadores de datos de terceros que garanticen su capacidad para implementar los requisitos técnicos y organizativos del RGPD. Para ganar aun más la confianza de nuestros clientes, nuestro DPA se ha actualizado para proporcionar a nuestros clientes compromisos contractuales con respecto a nuestro cumplimiento de la ley de protección de datos de la UE aplicable y para implementar disposiciones contractuales adicionales requeridas por el RGPD. Nuestros compromisos contractuales garantizan que los clientes puedan:

  • Responder a las solicitudes de los sujetos de datos para corregir, modificar o eliminar datos personales.

  • Conocer e informar las filtraciones de datos personales a las autoridades de supervisión relevantes y a los sujetos de datos según los plazos del RGPD.

  • Demonstrate their compliance with the GDPR as pertaining to Zendesk’s services.

¿Qué es el RGPD?

The General Data Protection Regulation (“GDPR”) is the European privacy regulation which replaced the EU Data Protection Directive (“Directive 95/46/EC”). The GDPR addresses the processing of personal data and the free movement of such data. It aims to strengthen the security and protection of personal data in the EU and harmonize EU data protection law. Broadly, it sets out a number of data protection principles and requirements which must be adhered to when personal data is processed.

The GDPR also established the European Data Protection Board (“EPDB”), which ensures that the data protection law is applied consistently across the EU and works to ensure effective cooperation amongst data protection authorities.

How does the GDPR apply to customers?

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

¿Qué implicaciones tiene el RGPD para las organizaciones que procesan los datos personales de los ciudadanos de la UE?

One of the key aspects of the GDPR is that it creates consistency across EU member states on how personal data can be processed, used, and exchanged securely. Organizations need to demonstrate the security of the data they are processing and their compliance with GDPR on a continual basis, by implementing and regularly reviewing robust technical and organizational measures, as well as compliance policies.

In its capacity as data processor, how does Zendesk handle requests made by End-Users?

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

What are some suggestions for Zendesk customers with regard to GDPR?

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

  • Aplicación geográfica: El RGPD se puede aplicar a organizaciones establecidas en la UE, así como a ciertas organizaciones establecidas fuera de la UE, pero que procesan los datos personales de los ciudadanos de la UE, según sus actividades.

  • Derechos de los usuarios finales: Las organizaciones deben conocer a los usuarios finales cuyos datos personales pueden estar procesando. El RGPD establece derechos mejorados para los usuarios finales, y las organizaciones deberían poder adaptarse a esos derechos.

  • Notificaciones de filtración de datos: Las organizaciones que controlan los datos personales deben contar con procesos claros para cumplir con el requisito del RGPD de informar filtraciones de datos de acuerdo con los plazos establecidos en el RGPD. Zendesk notificará a los clientes afectados, sin demoras indebidas, si tenemos conocimiento de una filtración de datos de nuestros servicios.

  • Nombramiento del Oficial de protección de datos ("DPO"): Es posible que los clientes necesiten designar un OPD para administrar problemas relacionados con el procesamiento de datos personales.

  • Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

  • Evaluación de impacto de la protección de datos ("DPIA"): Las DPIA suelen describir los procesos de datos de las organizaciones y las medidas de protección, en particular aquellas que pueden ser riesgosas. Para las actividades de procesamiento de datos, los clientes deben realizar y presentar una DPIA ante las autoridades.

¿Qué servicios y características de Zendesk pueden ayudar a los clientes a cumplir con el RGPD?

Los clientes pueden usar las certificaciones ISO de terceros y los informes de auditoría SOC 2 de Zendesk para ayudar a realizar sus evaluaciones de riesgos y determinar si se han implementado medidas técnicas y organizativas apropiadas. Para obtener información adicional, consulte el sitio web de seguridad de Zendesk.

A continuación se incluyen ejemplos de características específicas de productos de Zendesk que los clientes pueden utilizar para ayudar con el programa de cumplimiento del RGPD. A través de nuestro Servicio asociado utilizado de seguridad avanzada, los clientes pueden optar por obtener características mejoradas que incluyen recuperación de desastres y cifrado mejores, así como la capacidad de configurar la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario ("HIPAA").

Las características actualmente disponibles para los productos específicos de Zendesk se pueden encontrar en las preguntas/respuestas a continuación.

Estándares de auditoría:

  • ISO 27001:2013 certified

  • ISO 27018:2014 certified

Escaneo:

  • Recompensa de fallos

  • Escaneo dinámico de aplicaciones en vivo

  • Escaneo estático de repositorios de código

Cifrado:

  • Cifrado de datos en movimiento en redes públicas

  • Cifrado de ciertos datos en reposo con AES256

Does Zendesk currently provide any product specific Features/Functionality in its products to assist us with our GDPR compliance program?

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

¿Cuáles son las "Cláusulas modelo"?

La Comisión Europea ha aprobado un conjunto de disposiciones estándar denominadas Cláusulas contractuales estándar ("Cláusulas modelo") que proporcionan a un controlador de datos un mecanismo de cumplimiento para transferir datos personales a un procesador de datos fuera del Espacio Económico Europeo ("EEE"). Las Cláusulas modelo se adjuntan al DPA de Zendesk para ayudar a proporcionar una protección adecuada para la transferencia de datos fuera del EEE o de Suiza.

¿Zendesk replica los datos de servicio que almacena?

Zendesk replica periódicamente los datos para fines de archivamiento, copia de seguridad y registros de auditoría. Utilizamos Amazon Web Services (AWS) para almacenar parte de la información que se respalda, como la información de la base de datos y los archivos adjuntos. Consulte nuestra Política regional de alojamiento de datos para obtener más detalles.

¿Los datos de servicio alojados en la región de la UE alguna vez abandonan esa región?

Zendesk customers who purchase the Data Center Location Add-on have the ability to select the region (from the available Zendesk regional options) where the data center which hosts their Service Data is located. Please see our Regional Data Hosting Policy for further details. Otherwise, Zendesk may utilize any of the global data centers it uses to host Service Data.

What steps has Zendesk taken to prepare for Brexit (the UK’s departure from the European Union)?

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Data Processing Agreement

Zendesk offers active Subscribers of its paid and trial services the ability to enter into a Data Processing Agreement (“DPA”) to reflect the parties’ agreement with regard to the processing of personal data. If you would like to access the Zendesk DPA for review or signature, please click here. Subscribers who signed earlier versions of our DPA can sign our current DPA at any time.

¿Qué es un Acuerdo de procesamiento de datos ("DPA")?

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Does the DPA take GDPR into account?

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

What happens if Subscriber does not sign the DPA?

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

Can a Subscriber use Subscriber’s own DPA?

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

What if I have additional questions about the DPA?

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Does the DPA take the California Consumer Privacy Act (CCPA) into account?

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

CCPA

The California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (CCPA) is a U.S. law enacted in the State of California with an effective date of January 1, 2020. Generally, it expands upon the privacy rights available to certain California consumers, and requires certain companies to comply with various data protection requirements.

Does Zendesk’s Master Subscription Agreement specifically address CCPA?

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

What is the CCPA?

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

  1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
  2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
  3. The consumer’s right to have such personal information deleted (with exceptions);
  4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
  5. A prohibition on businesses on discrimination for exercising a consumer right; and
  6. An obligation on businesses to notify a consumer of their rights.

How has Zendesk been preparing for the CCPA and how do Zendesk products support compliance with the CCPA?

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

How does the CCPA apply to Zendesk customers?

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

Does Zendesk sell personal information?

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

How can Zendesk Subscribers ensure compliance with CCPA?

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Zendesk Privacy and Data Protection Product Readiness

Click on the Zendesk products below to see the features and functionality available in each of Zendesk’s products that can support compliance with privacy and data protection obligations.

Privacy frameworks from different regions may differ in the terminology they use to describe the roles and obligations of the respective parties. For consistency, Zendesk uses the following terms throughout these guides to apply globally. For the avoidance of doubt, these definitions do not replace any definitions in agreements that customers or individuals may have with Zendesk.

  • Data controller is the party that determines the purposes and means of processing the personal data;
  • Data processor is the party that processes personal data on behalf of the data controller;
  • Data subject is the identifiable, natural person whose personal data is at issue; and
  • Personal data is any information relating to the data subject.

To learn more about how Zendesk’s products align with global privacy rights, please click on the icons below

Haga clic en los productos de Zendesk a continuación para ver las características y las funciones disponibles en cada uno de los productos de Zendesk que pueden admitir el cumplimiento del RGPD.

  • Zendesk Support
  • Zendesk Guide
  • Zendesk Chat
  • Zendesk Talk
  • Zendesk Explore
  • Zendesk Connect

Normas corporativas vinculantes

¿Cuáles son las Normas Corporativas Vinculantes?

Las Normas Corporativas Vinculantes ("BCR") son políticas de protección de datos de la empresa, aprobadas por las autoridades europeas de protección de datos para facilitar las transferencias intragrupales de datos personales desde el Espacio Económico Europeo ("EEE") a países fuera del EEE. Las BCR se basan en estrictos principios de privacidad establecidos por las autoridades de protección de datos de la Unión Europea y requieren una consulta intensiva con esas autoridades. Los clientes pueden encontrar la lista completa de entidades aprobadas en la Lista aprobada de normas corporativas vinculantes, aquí.

¿Zendesk tiene BCR aprobadas en su lugar?

Sí, Zendesk ha completado el proceso de aprobación de la UE con el Comisionado de Protección de Datos de Irlanda ("DPC") (revisado por la Oficina del Comisionado de Información del Reino Unido y la Autoridad de Protección de Datos de Holanda) para sus Normas Corporativas Vinculantes (BCR) como procesador de datos y controlador. Esta importante aprobación normativa valida la implementación de los estándares más altos posibles de Zendesk para la protección de datos personales a nivel mundial; esto cubre tanto los datos personales de sus clientes como los de sus empleados.

Zendesk es una de las pocas empresas de software en el mundo que ha recibido aprobación para sus BCR; y solo la segunda empresa en recibir la aprobación del DPC de Irlanda.

Para acceder a las NCV de Zendesk, siga los enlaces pertinentes a continuación:

Normas Corporativas Vinculantes de Zendesk como procesador (que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes); y

Normas Corporativas Vinculantes internacionales de Zendesk como controlador (que se aplican cuando Zendesk procesa datos personales para los cuales es un controlador de datos).

Does Zendesk update its BCRs?

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections offered by Zendesk to its Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Escudo de privacidad

¿Qué es el Escudo de privacidad?

El Departamento de Comercio de los EE. UU., la Comisión Europea y el gobierno suizo crearon marcos de protección de privacidad entre la UE y los EE. UU., y entre Suiza y los EE. UU., para proporcionar a las empresas un mecanismo para transferir datos personales de la Unión Europea a los Estados Unidos de una manera que proporcione un nivel adecuado de protección acorde a la legislación europea de protección de datos.

¿Zendesk está certificado bajo el Escudo de privacidad?

Zendesk ha obtenido certificación por su cumplimiento con los marcos del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. del Departamento de Comercio de los EE. UU., y se agregó a la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales europeos y suizos a los Estados Unidos.

Esta es una gran noticia para nuestros clientes, ya que les proporciona un mecanismo de transferencia de datos aun mejor que los antiguos marcos de seguridad de los Estados Unidos y la UE, y los Estados Unidos y Suiza. Zendesk actuó rápidamente para adoptar los principios del Escudo de privacidad como parte de nuestro compromiso continuo con la privacidad y la protección de los datos de nuestros clientes.

Recursos adicionales

Informes/certificados de Zendesk:

Recursos de terceros:

Última actualización en 18 noviembre 2019