Cómo aseguramos los más altos estándares de privacidad de datos y cumplimiento dentro de Intercom

Publicado: 2022-10-20

En Intercom, creemos que la confianza es el núcleo de toda relación entre una empresa y sus clientes.

A medida que las empresas crecen y se escalan, deben continuar ganándose y construyendo esa confianza de todas las formas posibles, pero con pilas tecnológicas en rápida expansión, no solo deben monitorear las políticas de su propia empresa, sino las de cada empresa con la que se asocian. .

Esta es la quinta publicación de una serie de contenido que explora la inversión de Intercom para apoyar a las grandes empresas. Explore otros artículos de la serie.

Sus datos son nuestro activo más crítico. Lo protegemos a lo largo de su ciclo de vida con sólidas prácticas de seguridad, capacitación personalizada del personal para funciones específicas y cumplimiento riguroso de las reglamentaciones. Manejamos la seguridad de sus datos para que pueda concentrarse en adquirir, atraer y retener a sus clientes.

No dejamos piedra sin remover cuando se trata de privacidad de datos

Intercom es un procesador de datos, y tenemos el máximo cuidado con cualquier dato que tocamos. Con más de tres mil millones de registros de usuarios finales y más de 640 millones de conversaciones facilitadas hasta la fecha entre las empresas y sus usuarios, ¡son muchos datos!

Nos encargamos de sus datos desde la ingestión hasta la eliminación. En este post te contamos cómo protegemos tus datos durante:

  • Almacenamiento, procesamiento y transmisión
  • Acceso
  • Caducidad y eliminación

Procesamiento, almacenamiento y transmisión

Dado que los datos son nuestro activo clave, solo confiamos en que sean manejados por proveedores de servicios externos que cumplan y mantengan nuestro estándar de seguridad. Antes de contratar a un proveedor, nuestros equipos de TI, legales y de seguridad revisan sus prácticas de seguridad y privacidad de datos en su totalidad. Los únicos proveedores que tienen acceso a sus datos están en nuestra lista oficial de subprocesadores .

“Puede optar por alojar sus datos en una región que se adapte a sus requisitos de cumplimiento y le brinde tranquilidad a usted y a sus usuarios”

Puede optar por alojar sus datos en una región que se adapte a sus requisitos de cumplimiento y le brinde tranquilidad a usted y a sus usuarios. Los servicios y datos de Intercom están alojados en las instalaciones de Amazon Web Services (AWS) en EE. UU. (us-east-1), Dublín, Irlanda (eu-west-1) y Sídney, Australia.

Creamos nuestros servicios teniendo en cuenta la recuperación ante desastres. Toda nuestra infraestructura y datos se distribuyen en tres zonas de disponibilidad de AWS y seguirán funcionando si alguna de ellas falla.

Los datos se mantienen seguros en reposo y en tránsito. Todos los datos enviados hacia o desde Intercom a través de nuestra API y los puntos finales de la aplicación se cifran mediante TLS v1.2. Esto significa que solo usamos suites de cifrado fuertes y tenemos características como HSTS y Perfect Forward Secrecy totalmente habilitadas. También garantizamos el cifrado en reposo utilizando un algoritmo de cifrado AES-256 estándar de la industria para todos los datos del procesador del cliente.

TL;RD:

  • Hacemos alojamiento regional en AU, UE y EE. UU.
  • Los datos se cifran en reposo y en tránsito con cifrado de 256 bits
  • Solo compartimos datos con los proveedores que figuran en nuestra lista de subprocesadores

Acceso a los datos

El acceso a los datos de los clientes está limitado a los empleados autorizados que lo requieran para su trabajo. Se otorga solo cuando es necesario, con vencimiento cuando es posible. Cuando el vencimiento no está disponible, los propietarios de las herramientas revisan y acceden a la línea de base trimestralmente.

Aprovechamos un proveedor de identidad para proporcionar y restringir el acceso a todas las aplicaciones corporativas y de producción clave. Implementamos una arquitectura de sistema Zero Trust que exige la autenticación biométrica en los dispositivos administrados por la empresa, lo que garantiza que el acceso a todos los servicios en la nube esté adecuadamente protegido.

seguridad de los empleados

Permitimos y empoderamos a nuestros empleados para que tomen decisiones seguras con nuestros productos y datos de clientes todos los días a través de una combinación de capacitación y gobernanza relacionada con el cumplimiento.

Capacitación

Todos los empleados completan la capacitación de Concientización sobre seguridad y privacidad anualmente, y empleamos cursos de capacitación de Slack rápidos y atractivos durante todo el año para mantener el conocimiento de seguridad de las personas en mente. Complementamos la capacitación en toda la empresa con capacitación específica para roles para grupos de alto riesgo, como soporte al cliente e ingeniería.

"Realizamos pruebas de phishing para todos los empleados de forma continua y nos complace informar una tasa de aprobación de > 96 % para toda nuestra organización, con capacitación adicional cuando sea necesario"

Realizamos pruebas de phishing para todos los empleados de forma continua y nos complace informar una tasa de aprobación de >96 % para toda nuestra organización, con capacitación adicional cuando sea necesario.

Controla el acceso a tu espacio de trabajo

Hemos hablado sobre nosotros accediendo a sus datos, pero ¿qué pasa con su equipo? Intercom emplea funciones de aplicaciones empresariales para brindarle un control granular sobre el acceso (por parte de sus compañeros de equipo y usuarios) y la eliminación de datos.

Puede controlar el acceso a su espacio de trabajo con SAML SSO y autenticación de dos factores. Una vez que sus compañeros de equipo estén dentro de su espacio de trabajo, use roles y niveles de permisos granulares para especificar quién puede acceder a ciertos datos o realizar acciones destructivas, a escala. Además, si necesita auditar qué acciones toman los compañeros de equipo dentro del espacio de trabajo, puede consultar los registros de actividad de los compañeros de equipo para identificar quién está detrás de los cambios críticos, por ejemplo: eliminaciones o exportaciones de datos.

Verificación de identidad

Intercom también ofrece seguridad adicional para Intercom Messenger para evitar que los usuarios se hagan pasar por otros o accedan a las conversaciones de los demás. Habilitar la verificación de identidad garantizará que los usuarios con los que hable sean quienes dicen ser. Esta es una adición altamente recomendada para cualquier instalación de Intercom.

TL;RD:

  • Empleamos privilegios mínimos para todos los empleados de Intercom en todos los sistemas, con revisiones de acceso trimestrales y referencias para todas las herramientas que procesan sus datos.
  • Contamos con capacitación específica para cada función y pruebas de phishing para preparar a nuestro personal
  • También tenemos funciones de aplicaciones de nivel empresarial que le brindan este nivel de control sobre los datos en su espacio de trabajo.

Caducidad y eliminación de datos

Hicimos esfuerzos significativos para alinearnos con el RGPD antes de su introducción en 2018, centrándonos en esfuerzos rigurosos de mapeo de datos, capacitación, actualizaciones de la documentación y revisiones de retención de datos para cada dato que almacenamos y procesamos. Creamos una cultura en la que cada empleado comprende la importancia de un activo de datos, y su clasificación, para que construyamos un ecosistema de datos seguro para usted. También contamos con un oficial de protección de datos designado dentro de nuestro equipo legal para guiar nuestros esfuerzos de protección de datos.

“No guardamos datos que no necesitamos”

No guardamos datos que no necesitamos. Caducamos los espacios de trabajo inactivos después de 13 meses y los datos de visitantes del sitio web después de nueve meses.

Si sus usuarios solicitan una eliminación de usuario GDPR DSAR y usted la realiza en Intercom, comenzamos a procesar esa eliminación de forma inmediata y automática. Lo mismo se aplica si elige eliminar su espacio de trabajo de Intercom y todos los datos asociados.

TL;RD:

  • Cumplimos y te ayudamos a cumplir con el RGPD de la UE
  • Mapeamos todos nuestros flujos de datos
  • Disponemos de borrado de espacio de trabajo inmediato bajo petición o tras 13 meses de inactividad
  • Los datos de los visitantes caducan después de 9 meses

Cumplimiento: no confíe solo en nuestra palabra

El cumplimiento es un enfoque importante para nosotros en Intercom, y dedicamos un equipo completo dentro de nuestro equipo de Seguridad de la Información más amplio (sin mencionar nuestro equipo Legal) para garantizar que cumplimos con los estándares globales que protegen los datos de los clientes.

Con ese fin, buscamos los más altos estándares de acreditación reconocidos por la industria para que todos nuestros clientes, grandes y pequeños, puedan confiar en nuestras políticas y procedimientos. Todos nuestros informes y certificaciones de cumplimiento de seguridad están disponibles a pedido.

SOC 2

Intercom se somete a auditorías anuales y mantiene el cumplimiento de SOC 2 Tipo 2 centrándose en los principios del servicio de confianza de seguridad y disponibilidad. Estas auditorías brindan un reconocimiento en toda la industria de que las empresas cumplen con el estándar SOC 2 del Instituto Estadounidense de Contadores Públicos Certificados ("AICPA"), que mide la seguridad y la disponibilidad y sirve como garantía de que sus datos se administran en un ambiente controlado y auditado.

HIPAA

Intercom ha mantenido un informe de certificación de HIPAA desde 2021, que cubre el manejo y la protección de la información de salud protegida (PHI) y la información de salud protegida electrónica (ePHI). Estamos comprometidos a realizar este examen de certificación HIPAA anualmente, para garantizar el cumplimiento continuo y continuar demostrando la importancia que le damos a la protección de la información de salud protegida de nuestros usuarios finales.

“Estamos atentos y buscamos continuamente vulnerabilidades, configuraciones incorrectas y amenazas que puedan poner en peligro sus datos”

ISO/CEI 27001 e ISO/CEI 27018

Intercom posee las certificaciones ISO/IEC 27001 e ISO/IEC 27018 en línea con la guía de implementación de ISO/IEC 27002. Intercom se somete a auditorías de certificación y vigilancia cada año para mantener estas certificaciones.

ISO/IEC 27001 se relaciona con el Sistema de gestión de seguridad de la información (ISMS) de Intercom, que es un marco de políticas, procedimientos y controles de seguridad implementados para administrar y proteger los datos críticos de Intercom. ISO/IEC 27018 se relaciona con el código de práctica para la protección de información de identificación personal (PII) en nubes públicas.

Estos certificados establecen objetivos de control, controles y pautas comúnmente aceptados para implementar medidas para proteger los datos más críticos de Intercom, incluida la PII.

Cumplimiento del RGPD

Nuestros equipos se aseguraron de cumplir con el RGPD desde el momento en que entró en vigencia, y seguimos dedicando mucho tiempo y esfuerzo al cumplimiento del RGPD. Esto es lo que hemos hecho:

  • Construimos nuevas características para permitir que nuestros clientes cumplan fácilmente con sus obligaciones de GDPR
  • Acuerdos de procesamiento de datos actualizados
  • Nos aseguramos de estar certificados para Transferencias Internacionales de Datos
  • Nombrado Delegado de Protección de Datos
  • Coordinado con proveedores en torno al cumplimiento de GDPR
  • Reforzado y agregado a las medidas de seguridad regularmente

Pero no nos hemos detenido ahí, siempre estamos buscando formas de mejorar. Estamos atentos y buscamos continuamente vulnerabilidades, configuraciones incorrectas y amenazas que puedan poner en peligro sus datos.

“Los investigadores de seguridad analizan en detalle la aplicación y la infraestructura de Intercom de forma continua”

Los investigadores de seguridad analizan en detalle la aplicación y la infraestructura de Intercom de forma continua. Complementamos nuestras pruebas de código estático y dinámico con pruebas de penetración dos veces al año y un programa público de "recompensa de errores" . Nuestros informes pentest están disponibles a pedido de todos los clientes actuales y potenciales.

Buscamos constantemente formas de llevar nuestros estándares de cumplimiento y privacidad de datos a nuevas alturas, y fortalecer nuestras políticas de protección de datos. Nuestro compromiso con los datos de nuestros clientes y sus clientes es la razón por la que empresas de todos los tamaños confían en nosotros.

¿Algo que nos estamos perdiendo? Háganos saber lo que le gustaría ver enviando un correo electrónico a [email protected].

Este es el quinto de una serie de contenido que se sumerge en las inversiones de Intercom para apoyar a las grandes empresas. Explore otros artículos de la serie.