كيف نضمن أعلى معايير خصوصية البيانات والامتثال داخل Intercom

نشرت: 2022-10-20

في Intercom ، نعتقد أن الثقة هي جوهر كل علاقة بين الشركة وعملائها.

مع نمو الأعمال التجارية وتوسيع نطاقها ، يتعين عليهم الاستمرار في كسب هذه الثقة والبناء عليها بكل طريقة ممكنة - ولكن مع التوسع السريع في المداخن التقنية ، لا يحتاجون إلى مراقبة سياسات الشركة الخاصة بهم فحسب ، بل هي سياسات كل شركة يشتركون معها .

هذه هي المقالة الخامسة في سلسلة محتوى تستكشف استثمار Intercom في دعم الشركات الكبيرة. استكشف مقالات أخرى في السلسلة.

بياناتك هي أهم أصولنا. نحن نحميها طوال دورة حياتها من خلال ممارسات الأمان القوية ، وتدريب الموظفين المصمم حسب الأدوار ، والامتثال الصارم للوائح. نتعامل مع أمان بياناتك بحيث يمكنك التركيز على اكتساب عملائك وإشراكهم والاحتفاظ بهم.

نحن لا ندخر وسعا عندما يتعلق الأمر بخصوصية البيانات

انتركوم هو معالج بيانات ، ونحن نولي أقصى درجات الحذر مع أي بيانات نلمسها. مع وجود أكثر من ثلاثة مليارات سجل للمستخدم النهائي وأكثر من 640 مليون محادثة حتى الآن تم تسهيلها بين الشركات ومستخدميها - هذه كمية كبيرة من البيانات!

نحن نهتم ببياناتك من الاستيعاب إلى الحذف. سنخبرك في هذا المنشور بكيفية حماية بياناتك أثناء:

  • التخزين والمعالجة والنقل
  • وصول
  • انتهاء الصلاحية والحذف

المعالجة والتخزين والنقل

نظرًا لأن البيانات هي أصلنا الرئيسي ، فنحن نثق فقط في أن يتم التعامل معها من قبل مزودي خدمات الطرف الثالث الذين يلتقون ويحافظون على شريط الأمان الخاص بنا. قبل أن يتم شراء البائع ، تقوم فرق تكنولوجيا المعلومات والقانون والأمان لدينا بمراجعة ممارسات الأمان وخصوصية البيانات الخاصة بهم بالكامل. البائعون الوحيدون الذين لديهم حق الوصول إلى بياناتك موجودون في قائمة المعالجات الفرعية الرسمية الخاصة بنا .

"يمكنك اختيار استضافة بياناتك في منطقة تناسب متطلبات الامتثال الخاصة بك وتمنحك - ولمستخدميك - راحة البال"

يمكنك اختيار استضافة بياناتك في منطقة تناسب متطلبات الامتثال الخاصة بك وتمنحك - ولمستخدميك - راحة البال. يتم استضافة خدمات وبيانات الاتصال الداخلي في مرافق Amazon Web Services (AWS) في الولايات المتحدة الأمريكية (us-east-1) ودبلن وأيرلندا (eu-west-1) وسيدني بأستراليا.

نحن نبني خدماتنا مع وضع التعافي من الكوارث في الاعتبار. تنتشر جميع بنيتنا التحتية وبياناتنا عبر ثلاث مناطق توافر AWS وستستمر في العمل في حالة فشل أي منها.

يتم الاحتفاظ بالبيانات بأمان أثناء السكون وخلال النقل. يتم تشفير جميع البيانات المرسلة إلى أو من Intercom من خلال API ونقاط نهاية التطبيق باستخدام TLS v1.2. هذا يعني أننا نستخدم فقط مجموعات التشفير القوية ولدينا ميزات مثل HSTS و Perfect Forward Secrecy ممكّنة بالكامل. نضمن أيضًا التشفير أثناء الراحة باستخدام خوارزمية تشفير AES-256 المتوافقة مع معايير الصناعة لجميع بيانات معالج العميل.

TL ؛ DR:

  • نقوم بالاستضافة الإقليمية في الاتحاد الأفريقي والاتحاد الأوروبي والولايات المتحدة
  • يتم تشفير البيانات في حالة السكون وعاملة بتشفير 256 بت
  • نحن نشارك البيانات فقط مع البائعين المدرجين في قائمة المعالجات الفرعية الخاصة بنا

الدخول الى البيانات

يقتصر الوصول إلى بيانات العميل على الموظفين المصرح لهم الذين يطلبونها لوظائفهم. يتم منحها فقط عند الحاجة ، مع انتهاء الصلاحية حيثما أمكن ذلك. عندما لا يكون انتهاء الصلاحية متاحًا ، يراجع مالكو الأدوات ويصلون إلى خط الأساس كل ثلاثة أشهر.

نحن نستفيد من مزود الهوية لتوفير وتقييد الوصول إلى جميع تطبيقات الشركة والإنتاج الرئيسية. نحن نطبق بنية نظام Zero Trust التي تفرض المصادقة البيومترية على الأجهزة التي تديرها الشركة ، مما يضمن حماية الوصول إلى جميع الخدمات السحابية بشكل كافٍ.

أمن الموظف

نحن نمكّن موظفينا ونمكّنهم من اتخاذ قرارات آمنة مع منتجاتنا وبيانات العملاء كل يوم من خلال مزيج من التدريب والحوكمة المتعلقة بالامتثال.

تمرين

يكمل جميع الموظفين التدريب على الوعي بالأمان والخصوصية سنويًا ، ونستخدم دورات تدريبية سريعة وجذابة على Slack على مدار العام لإبقاء المعرفة الأمنية للأفراد في صدارة اهتماماتنا. نحن نكمل التدريب على مستوى الشركة بتدريب خاص بالأدوار للمجموعات عالية الخطورة مثل دعم العملاء والهندسة.

"نجري اختبارات التصيد لجميع الموظفين على أساس دوري ويسعدنا الإبلاغ عن معدل نجاح يزيد عن 96٪ لمنظمتنا بأكملها ، مع تدريب إضافي عند الحاجة"

نجري اختبارات التصيد لجميع الموظفين على أساس دوري ويسعدنا الإبلاغ عن معدل نجاح يزيد عن 96٪ لمنظمتنا بأكملها ، مع تدريب إضافي عند الحاجة.

التحكم في الوصول إلى مساحة العمل الخاصة بك

لقد تحدثنا عن وصولنا إلى بياناتك ولكن ماذا عن فريقك؟ يستخدم Intercom ميزات تطبيقات المؤسسات لمنحك تحكمًا دقيقًا في الوصول (بواسطة زملائك في الفريق والمستخدمين) وحذف البيانات.

يمكنك التحكم في الوصول إلى مساحة العمل الخاصة بك باستخدام SAML SSO والمصادقة ذات العاملين. بمجرد دخول زملائك في الفريق إلى مساحة العمل الخاصة بك ، استخدم مستويات الأذونات والأدوار الدقيقة لتحديد من يمكنه الوصول إلى بيانات معينة أو اتخاذ إجراءات مدمرة ، على نطاق واسع. بالإضافة إلى ذلك ، إذا كنت بحاجة إلى تدقيق الإجراءات التي يتخذها زملاؤك داخل مساحة العمل ، فيمكنك التحقق من سجلات نشاط أعضاء الفريق لتحديد من يقف وراء التغييرات الحرجة ، مثل: عمليات حذف البيانات أو عمليات التصدير.

التحقق من الهوية

يوفر الاتصال الداخلي أيضًا أمانًا إضافيًا لبرنامج Intercom Messenger لمنع المستخدمين من انتحال شخصية بعضهم البعض أو الوصول إلى محادثات بعضهم البعض. سيضمن تمكين التحقق من الهوية أن المستخدمين الذين تتحدث معهم هم من يقولون إنهم هم. هذه إضافة موصى بها بشدة لأي تثبيت للاتصال الداخلي.

TL ؛ DR:

  • نحن نوظف أقل امتياز لجميع موظفي Intercom على جميع الأنظمة ، مع مراجعات وصول ربع سنوية وتحديد أساسي لجميع الأدوات التي تعالج بياناتك
  • لدينا تدريب خاص بالأدوار واختبارات التصيد لإعداد موظفينا
  • لدينا أيضًا ميزات التطبيق على مستوى المؤسسة والتي تمنحك هذا المستوى من التحكم في البيانات الموجودة في مساحة العمل الخاصة بك

انتهاء صلاحية البيانات وحذفها

لقد بذلنا جهودًا كبيرة للتوافق مع اللائحة العامة لحماية البيانات (GDPR) قبل تقديمها في 2018 ، مع التركيز على جهود تعيين البيانات الصارمة ، والتدريب ، وتحديثات التوثيق ، ومراجعات الاحتفاظ بالبيانات لكل جزء من البيانات التي نقوم بتخزينها ومعالجتها. نخلق ثقافة يفهم فيها كل موظف أهمية أصل البيانات - وتصنيفها - حتى نبني نظامًا بيئيًا آمنًا للبيانات لك. لدينا أيضًا مسؤول حماية بيانات معين داخل فريق الشؤون القانونية لدينا لتوجيه جهود حماية البيانات لدينا.

"لا نحتفظ ببيانات لسنا بحاجة إليها"

لا نحتفظ ببيانات لا نحتاجها. تنتهي صلاحية مساحات العمل غير النشطة بعد 13 شهرًا وبيانات زائر الموقع الإلكتروني بعد تسعة أشهر.

إذا طلب المستخدمون حذف مستخدم GDPR DSAR وقمت بذلك في Intercom ، فإننا نبدأ في معالجة هذا الحذف على الفور وبشكل تلقائي. ينطبق الأمر نفسه إذا اخترت حذف مساحة عمل الاتصال الداخلي وجميع البيانات المرتبطة.

TL ؛ DR:

  • نحن نمتثل ونساعدك على الامتثال للقانون العام لحماية البيانات (GDPR) الخاص بالاتحاد الأوروبي
  • نحن نرسم جميع تدفقات البيانات لدينا
  • لدينا حذف لمساحة العمل فور الطلب أو بعد 13 شهرًا من عدم النشاط
  • تنتهي صلاحية بيانات الزائر بعد 9 أشهر

الامتثال: لا تأخذ كلمتنا على محمل الجد

يعد الامتثال محورًا رئيسيًا بالنسبة لنا في Intercom ، ونحن نخصص فريقًا كاملاً ضمن فريق أمن المعلومات الأوسع لدينا (ناهيك عن فريقنا القانوني) لضمان التزامنا بالمعايير العالمية التي تحمي بيانات العملاء.

تحقيقًا لهذه الغاية ، نتبع أعلى معايير الاعتماد المعترف به في الصناعة حتى يثق جميع عملائنا ، الكبار والصغار ، في سياساتنا وإجراءاتنا. تتوفر جميع تقارير وشهادات الامتثال الأمني ​​الخاصة بنا عند الطلب.

SOC 2

يخضع الاتصال الداخلي لعمليات تدقيق سنوية ويحافظ على امتثال SOC 2 من النوع 2 مع التركيز على مبادئ خدمة ثقة الأمان والتوافر. توفر عمليات التدقيق هذه اعترافًا على مستوى الصناعة بأن الشركات تتوافق مع معيار SOC 2 للمعهد الأمريكي للمحاسبين القانونيين المعتمدين ("AICPA") ، والذي يقيس الأمان والتوافر ويعمل كضمان لإدارة بياناتك في بيئة خاضعة للرقابة والتدقيق.

HIPAA

احتفظ الاتصال الداخلي بتقرير تصديق HIPAA منذ عام 2021 ، والذي يغطي التعامل مع المعلومات الصحية المحمية (PHI) والمعلومات الصحية المحمية الإلكترونية (ePHI) وحمايتها. نحن ملتزمون بإجراء فحص شهادة HIPAA هذا سنويًا ، لضمان الامتثال المستمر والاستمرار في إظهار الأهمية التي نوليها لحماية المعلومات الصحية المحمية للمستخدمين النهائيين.

"نحن يقظون ونبحث باستمرار عن نقاط الضعف والتهيئة الخاطئة والتهديدات التي قد تعرض بياناتك للخطر"

ISO / IEC 27001 و ISO / IEC 27018

حصلت Intercom على شهادتي ISO / IEC 27001 و ISO / IEC 27018 بما يتماشى مع إرشادات تنفيذ ISO / IEC 27002. يخضع الاتصال الداخلي لعمليات تدقيق الشهادات والمراقبة كل عام للحفاظ على هذه الشهادات.

يتعلق ISO / IEC 27001 بنظام إدارة أمن المعلومات (ISMS) في Intercom ، وهو إطار لسياسات وإجراءات وضوابط الأمان المعمول بها لإدارة وحماية البيانات الهامة في Intercom. تتعلق ISO / IEC 27018 بقواعد الممارسة لحماية معلومات التعريف الشخصية (PII) في السحب العامة.

تحدد هذه الشهادات أهداف التحكم والضوابط والمبادئ التوجيهية المقبولة عمومًا لتنفيذ التدابير لحماية البيانات الأكثر أهمية في Intercom ، بما في ذلك PII.

الامتثال للقانون العام لحماية البيانات (GDPR)

حرصت فرقنا على امتثالنا للائحة العامة لحماية البيانات ( GDPR) منذ لحظة دخولها حيز التنفيذ ، وما زلنا نكرس الكثير من الوقت والجهد للامتثال للائحة العامة لحماية البيانات (GDPR). هذا ما فعلناه:

  • تم تصميم ميزات جديدة لتمكين عملائنا من الوفاء بالتزاماتهم الخاصة باللائحة العامة لحماية البيانات بسهولة
  • اتفاقيات معالجة البيانات المحدثة
  • تأكد من حصولنا على اعتماد لعمليات نقل البيانات الدولية
  • عين مسؤول حماية البيانات
  • التنسيق مع البائعين حول الامتثال للائحة العامة لحماية البيانات (GDPR)
  • يتم تعزيزه وإضافته إلى الإجراءات الأمنية بشكل منتظم

لكننا لم نتوقف عند هذا الحد - نحن نبحث دائمًا عن طرق للتحسين. نحن يقظون ونبحث باستمرار عن نقاط الضعف والتهيئة الخاطئة والتهديدات التي قد تعرض بياناتك للخطر.

"يتم النظر في تطبيق والبنية التحتية للاتصال الداخلي بالتفصيل من قبل الباحثين الأمنيين على أساس متجدد"

يتم النظر في تطبيق والبنية التحتية للاتصال الداخلي بالتفصيل من قبل الباحثين الأمنيين على أساس متجدد. نحن نكمل اختبار الكود الثابت والديناميكي باختبارات اختراق مرتين سنويًا وبرنامج "مكافأة الأخطاء" العام . تتوفر تقارير pentest الخاصة بنا عند الطلب لجميع العملاء الحاليين والمحتملين.

نحن نبحث باستمرار عن طرق لرفع معايير خصوصية البيانات والامتثال لدينا إلى آفاق جديدة ، وتعزيز سياسات حماية البيانات الخاصة بنا. إن التزامنا ببيانات عملائنا وعملائهم هو السبب في أن الشركات من جميع الأحجام تضع ثقتها فينا.

شيء ما نفتقده؟ أخبرنا بما تود رؤيته عن طريق إرسال بريد إلكتروني إلى [email protected].

هذه هي الحلقة الخامسة في سلسلة المحتوى التي تغوص في استثمارات Intercom في دعم الشركات الكبيرة. استكشف مقالات أخرى في السلسلة.