Wie wir die höchsten Datenschutz- und Compliance-Standards innerhalb von Intercom sicherstellen

Veröffentlicht: 2022-10-20

Wir bei Intercom glauben, dass Vertrauen der Kern jeder Beziehung zwischen einem Unternehmen und seinen Kunden ist.

Während Unternehmen wachsen und skalieren, müssen sie dieses Vertrauen auf jede erdenkliche Weise verdienen und darauf aufbauen – aber mit schnell wachsenden Tech-Stacks müssen sie nicht nur ihre eigenen Unternehmensrichtlinien überwachen, sondern auch die aller Unternehmen, mit denen sie zusammenarbeiten .

Dies ist der fünfte Beitrag in einer Reihe von Inhalten, die die Investition von Intercom in die Unterstützung großer Unternehmen untersucht. Entdecken Sie andere Artikel in der Serie.

Ihre Daten sind unser wichtigstes Gut. Wir schützen es während seines gesamten Lebenszyklus mit robusten Sicherheitspraktiken, maßgeschneiderten rollenspezifischen Mitarbeiterschulungen und strenger Einhaltung von Vorschriften. Wir kümmern uns um die Sicherheit Ihrer Daten, damit Sie sich darauf konzentrieren können, Ihre Kunden zu gewinnen, zu gewinnen und zu halten.

Beim Thema Datenschutz lassen wir keinen Stein auf dem anderen

Intercom ist ein Datenverarbeiter, und wir behandeln alle Daten, die wir berühren, mit größter Sorgfalt. Mit über drei Milliarden Datensätzen von Endbenutzern und über 640 Millionen Konversationen, die bisher zwischen Unternehmen und ihren Benutzern ermöglicht wurden, ist das eine Menge Daten!

Wir kümmern uns um Ihre Daten von der Aufnahme bis zur Löschung. In diesem Beitrag informieren wir Sie darüber, wie wir Ihre Daten schützen während:

  • Speicherung, Verarbeitung und Übermittlung
  • Zugang
  • Ablauf und Löschung

Verarbeitung, Speicherung und Übertragung

Da Daten unser wichtigstes Gut sind, vertrauen wir darauf, dass sie nur von Drittanbietern gehandhabt werden, die unsere Sicherheitsanforderungen erfüllen und einhalten. Bevor ein Anbieter beauftragt wird, überprüfen unsere IT-, Rechts- und Sicherheitsteams seine Sicherheits- und Datenschutzpraktiken vollständig. Die einzigen Anbieter, die Zugriff auf Ihre Daten haben, befinden sich in unserer offiziellen Liste der Unterauftragsverarbeiter .

„Sie können Ihre Daten in einer Region hosten, die Ihren Compliance-Anforderungen entspricht und Ihnen – und Ihren Benutzern – Sicherheit gibt.“

Sie können Ihre Daten in einer Region hosten, die Ihren Compliance-Anforderungen entspricht und Ihnen – und Ihren Benutzern – Sicherheit gibt. Intercom-Dienste und -Daten werden in Einrichtungen von Amazon Web Services (AWS) in den USA (us-east-1), Dublin, Irland (eu-west-1) und Sydney, Australien, gehostet.

Wir bauen unsere Dienste im Hinblick auf die Notfallwiederherstellung auf. Unsere gesamte Infrastruktur und Daten sind auf drei AWS-Verfügbarkeitszonen verteilt und werden weiter betrieben, falls eine davon ausfällt.

Daten werden im Ruhezustand und während der Übertragung sicher aufbewahrt. Alle Daten, die über unsere API- und Anwendungsendpunkte an oder von Intercom gesendet werden, werden mit TLS v1.2 verschlüsselt. Das bedeutet, dass wir nur starke Verschlüsselungssammlungen verwenden und Funktionen wie HSTS und Perfect Forward Secrecy vollständig aktiviert haben. Wir garantieren auch die Verschlüsselung im Ruhezustand mit einem branchenüblichen AES-256-Verschlüsselungsalgorithmus für alle Kundenprozessordaten.

TL;DR:

  • Wir bieten regionales Hosting in Australien, der EU und den USA an
  • Daten werden im Ruhezustand und während der Übertragung mit 256-Bit-Verschlüsselung verschlüsselt
  • Wir geben Daten nur an die Anbieter weiter, die in unserer Liste der Unterauftragsverarbeiter aufgeführt sind

Datenzugriff

Der Zugriff auf Kundendaten ist auf autorisierte Mitarbeiter beschränkt, die diese für ihre Arbeit benötigen. Es wird nur bei Bedarf gewährt und läuft nach Möglichkeit ab. Wenn kein Ablaufdatum verfügbar ist, prüfen Tool-Eigentümer den Zugriff vierteljährlich und stellen eine Baseline her.

Wir nutzen einen Identitätsanbieter, um den Zugriff auf alle wichtigen Unternehmens- und Produktionsanwendungen bereitzustellen und einzuschränken. Wir implementieren eine Zero-Trust-Systemarchitektur, die eine biometrische Authentifizierung auf unternehmensverwalteten Geräten vorschreibt und sicherstellt, dass der Zugriff auf alle Cloud-Dienste angemessen geschützt ist.

Mitarbeitersicherheit

Durch eine Kombination aus Schulungen und Compliance-bezogener Governance befähigen und befähigen wir unsere Mitarbeiter, jeden Tag sichere Entscheidungen mit unseren Produkt- und Kundendaten zu treffen.

Ausbildung

Alle Mitarbeiter absolvieren jährlich Sicherheits- und Datenschutzbewusstseinsschulungen, und wir bieten das ganze Jahr über schnelle, ansprechende Slack-Schulungskurse an, um das Sicherheitswissen der Menschen im Gedächtnis zu behalten. Wir ergänzen unternehmensweite Schulungen durch rollenspezifische Schulungen für Hochrisikogruppen wie Kundensupport und Engineering.

„Wir führen regelmäßig Phishing-Tests für alle Mitarbeiter durch und freuen uns, eine Erfolgsquote von >96 % für unser gesamtes Unternehmen melden zu können, bei Bedarf mit zusätzlichen Schulungen.“

Wir führen regelmäßig Phishing-Tests für alle Mitarbeiter durch und freuen uns, eine Erfolgsquote von >96 % für unser gesamtes Unternehmen melden zu können, bei Bedarf mit zusätzlichen Schulungen.

Steuern Sie den Zugriff auf Ihren Arbeitsbereich

Wir haben darüber gesprochen, dass wir auf Ihre Daten zugreifen, aber was ist mit Ihrem Team? Intercom verwendet Unternehmensanwendungsfunktionen, um Ihnen eine granulare Kontrolle über den Zugriff (durch Ihre Teamkollegen und Benutzer) und das Löschen von Daten zu geben.

Sie können den Zugriff auf Ihren Workspace mit SAML SSO und Zwei-Faktor-Authentifizierung steuern. Sobald sich Ihre Teamkollegen in Ihrem Arbeitsbereich befinden, verwenden Sie granulare Berechtigungsstufen und Rollen , um festzulegen, wer auf bestimmte Daten zugreifen oder destruktive Aktionen in großem Maßstab durchführen kann. Wenn Sie außerdem prüfen müssen, welche Aktionen Teamkollegen im Arbeitsbereich ausführen, können Sie die Teamkollegen-Aktivitätsprotokolle überprüfen , um festzustellen, wer hinter kritischen Änderungen steht, z. B.: Datenlöschungen oder -exporte.

Identitätsprüfung

Intercom bietet auch zusätzliche Sicherheit für den Intercom Messenger, um zu verhindern, dass Benutzer sich gegenseitig ausgeben oder auf die Gespräche der anderen zugreifen. Durch Aktivieren der Identitätsprüfung wird sichergestellt, dass die Benutzer, mit denen Sie sprechen, die sind, für die sie sich ausgeben. Dies ist eine dringend empfohlene Ergänzung zu jeder Intercom-Installation.

TL;DR:

  • Wir wenden die geringsten Rechte für alle Intercom-Mitarbeiter auf allen Systemen an, mit vierteljährlichen Zugriffsüberprüfungen und Baselinings für alle Tools, die Ihre Daten verarbeiten
  • Wir haben rollenspezifische Schulungen und Phishing-Tests, um unsere Mitarbeiter darauf vorzubereiten
  • Wir haben auch App-Funktionen auf Unternehmensebene, die Ihnen dieses Maß an Kontrolle über die Daten in Ihrem Arbeitsbereich geben

Ablauf und Löschung von Daten

Wir haben vor ihrer Einführung im Jahr 2018 erhebliche Anstrengungen unternommen, um uns an die DSGVO anzupassen, und uns auf strenge Datenzuordnungsbemühungen, Schulungen, Aktualisierungen der Dokumentation und Überprüfungen der Datenaufbewahrung für alle Daten konzentriert, die wir speichern und verarbeiten. Wir schaffen eine Kultur, in der jeder Mitarbeiter die Bedeutung eines Datenbestands – und seiner Klassifizierung – versteht, damit wir ein sicheres Datenökosystem für Sie aufbauen. Wir haben auch einen ernannten Datenschutzbeauftragten in unserem Rechtsteam, der unsere Datenschutzbemühungen leitet.

„Wir speichern keine Daten, die wir nicht brauchen“

Wir bewahren keine Daten auf, die wir nicht benötigen. Wir verfallen inaktive Workspaces nach 13 Monaten und Website-Besucherdaten nach neun Monaten.

Wenn Ihre Benutzer eine DSGVO-DSAR-Benutzerlöschung anfordern und Sie dies in Intercom durchführen, beginnen wir sofort und automatisch mit der Verarbeitung dieser Löschung. Das Gleiche gilt, wenn Sie Ihren Intercom-Arbeitsbereich und alle zugehörigen Daten löschen.

TL;DR:

  • Wir erfüllen und helfen Ihnen bei der Einhaltung der EU-DSGVO
  • Wir bilden alle unsere Datenflüsse ab
  • Wir haben Workspace-Löschung sofort auf Anfrage oder nach 13 Monaten Inaktivität
  • Besucherdaten verfallen nach 9 Monaten

Compliance: Verlassen Sie sich nicht nur auf unser Wort

Compliance ist ein wichtiger Schwerpunkt für uns bei Intercom, und wir widmen ein ganzes Team innerhalb unseres breiteren Informationssicherheitsteams (ganz zu schweigen von unserem Rechtsteam), um sicherzustellen, dass wir uns an globale Standards zum Schutz von Kundendaten halten.

Zu diesem Zweck verfolgen wir die höchsten Standards einer branchenweit anerkannten Akkreditierung, damit alle unsere Kunden, ob groß oder klein, auf unsere Richtlinien und Verfahren vertrauen können. Alle unsere Sicherheits-Compliance-Berichte und -Zertifizierungen sind auf Anfrage erhältlich.

SOC 2

Intercom unterzieht sich jährlichen Audits und hält die Einhaltung von SOC 2 Typ 2 aufrecht, wobei der Schwerpunkt auf den Trust-Service-Prinzipien für Sicherheit und Verfügbarkeit liegt. Diese Audits bieten eine branchenweite Anerkennung dafür, dass Unternehmen den SOC 2-Standard des American Institute of Certified Public Accountants („AICPA“) einhalten, der Sicherheit und Verfügbarkeit misst und als Zusicherung dient, dass Ihre Daten in einer kontrollierten und geprüften Umgebung verwaltet werden.

HIPAA

Intercom führt seit 2021 einen HIPAA-Bescheinigungsbericht, der die Handhabung und Sicherung von geschützten Gesundheitsinformationen (PHI) und elektronisch geschützten Gesundheitsinformationen (ePHI) abdeckt. Wir verpflichten uns, diese HIPAA-Bescheinigungsprüfung jährlich durchzuführen, um die kontinuierliche Einhaltung sicherzustellen und weiterhin zu demonstrieren, wie wichtig wir dem Schutz der geschützten Gesundheitsinformationen unserer Endbenutzer sind.

„Wir sind wachsam und scannen kontinuierlich nach Schwachstellen, Fehlkonfigurationen und Bedrohungen, die Ihre Daten gefährden könnten.“

ISO/IEC 27001 und ISO/IEC 27018

Intercom verfügt über ISO/IEC 27001- und ISO/IEC 27018-Zertifizierungen in Übereinstimmung mit der ISO/IEC 27002-Implementierungsrichtlinie. Intercom unterzieht sich jedes Jahr Zertifizierungs- und Überwachungsaudits, um diese Zertifizierungen aufrechtzuerhalten.

ISO/IEC 27001 bezieht sich auf das Informationssicherheits-Managementsystem (ISMS) von Intercom, das ein Rahmenwerk aus Sicherheitsrichtlinien, -verfahren und -kontrollen darstellt, um die kritischen Daten von Intercom zu verwalten und zu schützen. ISO/IEC 27018 bezieht sich auf den Verhaltenskodex zum Schutz personenbezogener Daten (PII) in öffentlichen Clouds.

Diese Zertifikate legen allgemein akzeptierte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz der wichtigsten Daten von Intercom, einschließlich PII, fest.

DSGVO-Konformität

Unsere Teams stellten sicher, dass wir die DSGVO von dem Moment an einhalten, an dem sie in Kraft trat, und wir widmen der Einhaltung der DSGVO weiterhin viel Zeit und Mühe. Folgendes haben wir getan:

  • Neue Funktionen entwickelt, damit unsere Kunden ihre DSGVO-Verpflichtungen problemlos erfüllen können
  • Aktualisierte Datenverarbeitungsvereinbarungen
  • Sichergestellt, dass wir für internationale Datenübertragungen zertifiziert wurden
  • Bestellung eines Datenschutzbeauftragten
  • Koordiniert mit Anbietern rund um die DSGVO-Compliance
  • Sicherheitsmaßnahmen werden regelmäßig verstärkt und ergänzt

Aber wir haben hier nicht aufgehört – wir suchen immer nach Möglichkeiten, uns zu verbessern. Wir sind wachsam und scannen kontinuierlich nach Schwachstellen, Fehlkonfigurationen und Bedrohungen, die Ihre Daten gefährden könnten.

„Die Intercom-Anwendung und -Infrastruktur wird fortlaufend von Sicherheitsforschern im Detail untersucht.“

Die Intercom-Anwendung und -Infrastruktur wird regelmäßig von Sicherheitsforschern im Detail untersucht. Wir ergänzen unsere statischen und dynamischen Codetests durch halbjährliche Penetrationstests und ein öffentliches „Bug-Bounty“-Programm . Unsere Pentest-Berichte sind auf Anfrage für alle bestehenden und potenziellen Kunden erhältlich.

Wir sind ständig auf der Suche nach Möglichkeiten, unsere Datenschutz- und Compliance-Standards auf neue Höhen zu bringen und unsere Datenschutzrichtlinien zu stärken. Unser Engagement für die Daten unserer Kunden und deren Kunden ist der Grund, warum Unternehmen jeder Größe uns ihr Vertrauen schenken.

Etwas, das uns fehlt? Teilen Sie uns mit, was Sie sehen möchten, indem Sie eine E-Mail an [email protected] senden.

Dies ist der fünfte Teil einer Reihe von Inhalten, die sich mit den Investitionen von Intercom in die Unterstützung großer Unternehmen befassen. Entdecken Sie andere Artikel in der Serie.