Comment nous assurons les normes les plus élevées de confidentialité et de conformité des données au sein d'Intercom

Publié: 2022-10-20

Chez Intercom, nous pensons que la confiance est au cœur de toute relation entre une entreprise et ses clients.

Au fur et à mesure que les entreprises grandissent et évoluent, elles doivent continuer à gagner et à renforcer cette confiance de toutes les manières possibles - mais avec des piles technologiques en expansion rapide, ce ne sont pas seulement les politiques de leur propre entreprise qu'elles doivent surveiller, ce sont celles de chaque entreprise avec laquelle elles s'associent. .

Il s'agit du cinquième article d'une série de contenus explorant l'investissement d'Intercom dans le soutien aux grandes entreprises. Découvrez les autres articles de la série.

Vos données sont notre atout le plus critique. Nous le protégeons tout au long de son cycle de vie avec des pratiques de sécurité robustes, une formation du personnel adaptée à chaque rôle et une conformité rigoureuse aux réglementations. Nous gérons la sécurité de vos données afin que vous puissiez vous concentrer sur l'acquisition, l'engagement et la fidélisation de vos clients.

Nous ne négligeons aucun effort en matière de confidentialité des données

Intercom est un processeur de données et nous prenons le plus grand soin avec toutes les données que nous touchons. Avec plus de trois milliards d'enregistrements d'utilisateurs finaux et plus de 640 millions de conversations facilitées à ce jour entre les entreprises et leurs utilisateurs, c'est beaucoup de données !

Nous nous occupons de vos données de l'ingestion à la suppression. Dans cet article, nous vous expliquerons comment nous protégeons vos données pendant :

  • Stockage, traitement et transmission
  • Accéder
  • Expiration et suppression

Traitement, stockage et transmission

Étant donné que les données sont notre principal atout, nous nous fions uniquement à ce qu'elles soient traitées par des fournisseurs de services tiers qui respectent et maintiennent notre barre de sécurité. Avant qu'un fournisseur ne soit acheté, nos équipes informatiques, juridiques et de sécurité examinent intégralement leurs pratiques en matière de sécurité et de confidentialité des données. Les seuls fournisseurs qui ont accès à vos données figurent dans notre liste officielle de sous-traitants .

"Vous pouvez choisir d'héberger vos données dans une région qui répond à vos exigences de conformité et vous donne - ainsi qu'à vos utilisateurs - la tranquillité d'esprit"

Vous pouvez choisir d'héberger vos données dans une région qui répond à vos exigences de conformité et vous donne, ainsi qu'à vos utilisateurs, la tranquillité d'esprit. Les services et les données d'intercom sont hébergés dans les installations d'Amazon Web Services (AWS) aux États-Unis (us-east-1), à Dublin, en Irlande (eu-west-1) et à Sydney, en Australie.

Nous construisons nos services en gardant à l'esprit la reprise après sinistre. Toutes nos infrastructures et données sont réparties sur trois zones de disponibilité AWS et continueront de fonctionner en cas de défaillance de l'une d'entre elles.

Les données sont conservées en toute sécurité au repos et en transit. Toutes les données envoyées vers ou depuis Intercom via notre API et nos points de terminaison d'application sont cryptées à l'aide de TLS v1.2. Cela signifie que nous n'utilisons que des suites de chiffrement fortes et que des fonctionnalités telles que HSTS et Perfect Forward Secrecy sont entièrement activées. Nous garantissons également le chiffrement au repos à l'aide d'un algorithme de chiffrement standard AES-256 pour toutes les données du processeur client.

TL ; RD :

  • Nous faisons de l'hébergement régional dans l'UA, l'UE et les États-Unis
  • Les données sont cryptées au repos et en transit avec un cryptage 256 bits
  • Nous ne partageons des données qu'avec les fournisseurs répertoriés dans notre liste de sous-traitants

Accès aux données

L'accès aux données des clients est limité aux employés autorisés qui en ont besoin pour leur travail. Il n'est accordé qu'en cas de besoin, avec expiration si possible. Lorsque l'expiration n'est pas disponible, les propriétaires d'outils examinent l'accès de base tous les trimestres.

Nous utilisons un fournisseur d'identité pour fournir et restreindre l'accès à toutes les principales applications d'entreprise et de production. Nous mettons en œuvre une architecture de système Zero Trust qui rend obligatoire l'authentification biométrique sur les appareils gérés par l'entreprise, garantissant ainsi une protection adéquate de l'accès à tous les services cloud.

Sécurité des employés

Nous permettons et donnons à nos employés les moyens de prendre chaque jour des décisions sécurisées avec nos produits et nos données clients grâce à une combinaison de formation et de gouvernance liée à la conformité.

Entraînement

Tous les employés suivent une formation de sensibilisation à la sécurité et à la confidentialité chaque année, et nous proposons des cours de formation Slack rapides et attrayants tout au long de l'année pour garder à l'esprit les connaissances des gens en matière de sécurité. Nous complétons la formation à l'échelle de l'entreprise par une formation spécifique aux rôles pour les groupes à haut risque tels que le support client et l'ingénierie.

"Nous effectuons des tests de phishing pour tous les employés sur une base continue et sommes heureux de signaler un taux de réussite > 96 % pour l'ensemble de notre organisation, avec une formation supplémentaire si nécessaire"

Nous effectuons des tests de phishing pour tous les employés sur une base continue et sommes heureux de signaler un taux de réussite > 96 % pour l'ensemble de notre organisation, avec une formation supplémentaire si nécessaire.

Contrôlez l'accès à votre espace de travail

Nous avons parlé de nous accédant à vos données, mais qu'en est-il de votre équipe ? Intercom utilise des fonctionnalités d'application d'entreprise pour vous donner un contrôle granulaire sur l'accès (par vos coéquipiers et utilisateurs) et la suppression des données.

Vous pouvez contrôler l'accès à votre espace de travail avec SAML SSO et l'authentification à deux facteurs. Une fois que vos coéquipiers sont dans votre espace de travail, utilisez des niveaux d' autorisation et des rôles granulaires pour spécifier qui peut accéder à certaines données ou prendre des mesures destructrices, à grande échelle. De plus, si vous avez besoin d'auditer les actions entreprises par les coéquipiers dans l'espace de travail, vous pouvez consulter les journaux d'activité des coéquipiers pour identifier qui est à l'origine des changements critiques, par exemple : suppressions ou exportations de données.

Vérification d'identité

Intercom offre également une sécurité supplémentaire pour Intercom Messenger afin d'empêcher les utilisateurs de se faire passer pour un autre ou d'accéder aux conversations de l'autre. L'activation de la vérification d'identité garantira que les utilisateurs auxquels vous parlez sont bien ceux qu'ils prétendent être. Il s'agit d'un ajout fortement recommandé à toute installation d'intercom.

TL ; RD :

  • Nous employons le moindre privilège pour tous les employés d'Intercom sur tous les systèmes, avec des examens d'accès trimestriels et une base de référence pour tous les outils traitant vos données
  • Nous avons une formation spécifique au rôle et des tests de phishing pour préparer notre personnel
  • Nous avons également des fonctionnalités d'application au niveau de l'entreprise qui vous donnent ce niveau de contrôle sur les données de votre espace de travail

Expiration et suppression des données

Nous avons déployé des efforts considérables pour nous aligner sur le RGPD avant son introduction en 2018, en nous concentrant sur des efforts rigoureux de cartographie des données, de formation, de mises à jour de la documentation et d'examens de la conservation des données pour chaque élément de données que nous stockons et traitons. Nous créons une culture où chaque employé comprend l'importance d'un actif de données - et sa classification - afin que nous construisions un écosystème de données sécurisé pour vous. Nous avons également un responsable de la protection des données nommé au sein de notre équipe juridique pour guider nos efforts de protection des données.

"Nous ne conservons pas les données dont nous n'avons pas besoin"

Nous ne conservons pas les données dont nous n'avons pas besoin. Nous expirons les espaces de travail inactifs après 13 mois et les données des visiteurs du site Web après neuf mois.

Si vos utilisateurs demandent une suppression d'utilisateur GDPR DSAR et que vous l'effectuez dans Intercom, nous commençons à traiter cette suppression immédiatement et automatiquement. Il en va de même si vous choisissez de supprimer votre espace de travail Intercom et toutes les données associées.

TL ; RD :

  • Nous nous conformons et vous aidons à vous conformer au RGPD de l'UE
  • Nous cartographions tous nos flux de données
  • Nous avons la suppression de l'espace de travail immédiatement sur demande ou après 13 mois d'inactivité
  • Les données des visiteurs expirent après 9 mois

Conformité : ne vous contentez pas de nous croire sur parole

La conformité est un objectif majeur pour nous chez Intercom, et nous consacrons toute une équipe au sein de notre équipe élargie de sécurité de l'information (sans parler de notre équipe juridique) pour nous assurer que nous adhérons aux normes mondiales qui protègent les données des clients.

À cette fin, nous poursuivons les normes d'accréditation les plus élevées reconnues par l'industrie afin que tous nos clients, petits et grands, puissent avoir confiance en nos politiques et procédures. Tous nos rapports et certifications de conformité de sécurité sont disponibles sur demande.

SOC 2

Intercom est soumis à des audits annuels et maintient la conformité SOC 2 Type 2 en se concentrant sur les principes du service de confiance de sécurité et de disponibilité. Ces audits fournissent une reconnaissance à l'échelle de l'industrie que les entreprises se conforment à la norme SOC 2 de l' American Institute of Certified Public Accountants (« AICPA »), qui mesure la sécurité et la disponibilité et sert d'assurance que vos données sont gérées dans un environnement contrôlé et audité.

HIPAA

Intercom maintient un rapport d'attestation HIPAA depuis 2021, qui couvre le traitement et la sauvegarde des informations de santé protégées (PHI) et des informations de santé protégées électroniques (ePHI). Nous nous engageons à effectuer cet examen d'attestation HIPAA chaque année, afin d'assurer une conformité continue et de continuer à démontrer l'importance que nous accordons à la protection des informations de santé protégées de nos utilisateurs finaux.

"Nous sommes vigilants et recherchons en permanence les vulnérabilités, les erreurs de configuration et les menaces susceptibles de mettre vos données en danger"

ISO/CEI 27001 et ISO/CEI 27018

Intercom détient les certifications ISO/IEC 27001 et ISO/IEC 27018 conformément aux directives de mise en œuvre ISO/IEC 27002. Intercom subit des audits de certification et de surveillance chaque année pour maintenir ces certifications.

ISO/IEC 27001 concerne le système de gestion de la sécurité de l'information (ISMS) d'Intercom, qui est un cadre de politiques, de procédures et de contrôles de sécurité mis en place pour gérer et protéger les données critiques d'Intercom. ISO/IEC 27018 concerne le code de pratique pour la protection des informations personnelles identifiables (PII) dans les clouds publics.

Ces certificats établissent des objectifs de contrôle, des contrôles et des directives communément acceptés pour la mise en œuvre de mesures visant à protéger les données les plus critiques d'Intercom, y compris les PII.

Conformité RGPD

Nos équipes ont veillé à ce que nous nous conformions au RGPD dès son entrée en vigueur, et nous continuons à consacrer beaucoup de temps et d'efforts à la conformité au RGPD. Voici ce que nous avons fait :

  • Construit de nouvelles fonctionnalités pour permettre à nos clients de répondre facilement à leurs obligations GDPR
  • Accords de traitement de données mis à jour
  • Nous nous sommes assurés d'être certifiés pour les transferts internationaux de données
  • Nommé un délégué à la protection des données
  • Coordination avec les fournisseurs autour de la conformité GDPR
  • Mesures de sécurité renforcées et ajoutées régulièrement

Mais nous ne nous sommes pas arrêtés là – nous cherchons toujours des moyens de nous améliorer. Nous sommes vigilants et recherchons en permanence les vulnérabilités, les erreurs de configuration et les menaces susceptibles de mettre vos données en danger.

"L'application et l'infrastructure Intercom sont examinées en détail par des chercheurs en sécurité sur une base continue"

L'application et l'infrastructure Intercom sont examinées en détail par des chercheurs en sécurité sur une base continue. Nous complétons nos tests de code statiques et dynamiques par des tests d'intrusion semestriels et un programme public de « bug bounty » . Nos rapports de pentest sont disponibles sur demande à tous les clients existants et prospectés.

Nous recherchons constamment des moyens d'élever nos normes de confidentialité et de conformité des données vers de nouveaux sommets et de renforcer nos politiques de protection des données. Notre engagement envers les données de nos clients et de leurs clients est la raison pour laquelle des entreprises de toutes tailles nous font confiance.

Quelque chose nous manque? Faites-nous savoir ce que vous aimeriez voir en envoyant un e-mail à [email protected].

Il s'agit du cinquième d'une série de contenus plongeant dans les investissements d'Intercom dans le soutien aux grandes entreprises. Découvrez les autres articles de la série.