Bagaimana kami memastikan standar privasi dan kepatuhan data tertinggi dalam Intercom

Diterbitkan: 2022-10-20

Di Intercom, kami percaya kepercayaan adalah inti dari setiap hubungan antara bisnis dan pelanggannya.

Seiring pertumbuhan dan skala bisnis, mereka harus terus memperoleh dan membangun kepercayaan itu dengan segala cara yang mereka bisa – tetapi dengan tumpukan teknologi yang berkembang pesat, bukan hanya kebijakan perusahaan mereka sendiri yang perlu mereka pantau, tetapi juga kebijakan setiap perusahaan yang bermitra dengan mereka. .

Ini adalah posting kelima dalam rangkaian konten yang mengeksplorasi investasi Intercom dalam mendukung bisnis besar. Jelajahi artikel lain dalam seri ini.

Data Anda adalah aset kami yang paling penting. Kami melindunginya sepanjang siklus hidupnya dengan praktik keamanan yang kuat, pelatihan staf khusus peran yang disesuaikan, dan kepatuhan yang ketat terhadap peraturan. Kami menangani keamanan data Anda sehingga Anda dapat fokus untuk mendapatkan, melibatkan, dan mempertahankan pelanggan Anda.

Kami tidak meninggalkan kebutuhan bisnis yang terlewat dalam hal privasi data

Intercom adalah pemroses data, dan kami sangat berhati-hati dengan data apa pun yang kami sentuh. Dengan lebih dari tiga miliar catatan pengguna akhir dan lebih dari 640 juta percakapan hingga saat ini yang difasilitasi antara bisnis dan penggunanya – itu banyak sekali data!

Kami menjaga data Anda dari penyerapan hingga penghapusan. Dalam posting ini kami akan memberi tahu Anda tentang bagaimana kami melindungi data Anda selama:

  • Penyimpanan, pemrosesan, dan transmisi
  • Mengakses
  • Kedaluwarsa dan penghapusan

Pemrosesan, penyimpanan, dan transmisi

Karena data adalah aset utama kami, kami hanya mempercayainya untuk ditangani oleh penyedia layanan pihak ketiga yang memenuhi dan menjaga standar keamanan kami. Sebelum vendor dibeli, tim TI, hukum, dan keamanan kami meninjau praktik keamanan dan privasi data mereka secara penuh. Satu-satunya vendor yang memiliki akses ke data Anda ada di daftar subprosesor resmi kami .

“Anda dapat memilih untuk menghosting data Anda di wilayah yang sesuai dengan persyaratan kepatuhan Anda dan memberi Anda – dan pengguna Anda – ketenangan pikiran”

Anda dapat memilih untuk menghosting data Anda di wilayah yang sesuai dengan persyaratan kepatuhan Anda dan memberi Anda – dan pengguna Anda – ketenangan pikiran. Layanan dan data interkom dihosting di fasilitas Amazon Web Services (AWS) di AS (us-timur-1), Dublin, Irlandia (barat-barat-1), dan Sydney, Australia.

Kami membangun layanan kami dengan mempertimbangkan pemulihan bencana. Semua infrastruktur dan data kami tersebar di tiga zona ketersediaan AWS dan akan terus beroperasi jika salah satu dari zona tersebut gagal.

Data disimpan dengan aman saat istirahat dan dalam perjalanan. Semua data yang dikirim ke atau dari Intercom melalui API dan titik akhir aplikasi kami dienkripsi menggunakan TLS v1.2. Ini berarti kami hanya menggunakan cipher suite yang kuat dan memiliki fitur seperti HSTS dan Perfect Forward Secrecy yang diaktifkan sepenuhnya. Kami juga menjamin enkripsi saat istirahat menggunakan algoritme enkripsi AES-256 standar industri untuk semua data prosesor pelanggan.

TL; DR:

  • Kami melakukan hosting regional di AU, UE, dan AS
  • Data dienkripsi saat istirahat dan dalam perjalanan dengan enkripsi 256 bit
  • Kami hanya berbagi data dengan vendor yang tercantum dalam daftar subprosesor kami

Akses data

Akses ke data pelanggan terbatas pada karyawan resmi yang membutuhkannya untuk pekerjaan mereka. Itu diberikan hanya bila diperlukan, dengan kedaluwarsa jika memungkinkan. Saat kedaluwarsa tidak tersedia, pemilik alat meninjau dan mengakses dasar setiap tiga bulan.

Kami memanfaatkan Penyedia Identitas untuk menyediakan dan membatasi akses ke semua aplikasi utama perusahaan dan produksi. Kami menerapkan arsitektur sistem Zero Trust yang mengamanatkan otentikasi biometrik pada perangkat yang dikelola perusahaan, memastikan akses ke semua layanan cloud terlindungi secara memadai.

Keamanan karyawan

Kami memungkinkan dan memberdayakan karyawan kami untuk membuat keputusan yang aman dengan produk dan data pelanggan kami setiap hari melalui kombinasi pelatihan dan tata kelola terkait kepatuhan.

Pelatihan

Semua karyawan menyelesaikan pelatihan Kesadaran Keamanan dan Privasi setiap tahun, dan kami menerapkan kursus pelatihan Slack yang cepat dan menarik sepanjang tahun untuk menjaga pengetahuan keamanan orang-orang di depan pikiran. Kami melengkapi pelatihan di seluruh perusahaan dengan pelatihan khusus peran untuk kelompok berisiko tinggi seperti Dukungan Pelanggan dan Teknik.

“Kami melakukan tes phishing untuk semua karyawan secara bergilir dan dengan senang hati melaporkan tingkat kelulusan >96% untuk seluruh organisasi kami, dengan pelatihan tambahan jika diperlukan”

Kami melakukan tes phishing untuk semua karyawan secara bergilir dan dengan senang hati melaporkan tingkat kelulusan >96% untuk seluruh organisasi kami, dengan pelatihan tambahan jika diperlukan.

Kontrol akses ke ruang kerja Anda

Kami telah berbicara tentang kami mengakses data Anda, tetapi bagaimana dengan tim Anda? Intercom menggunakan fitur aplikasi perusahaan untuk memberi Anda kontrol terperinci atas akses (oleh rekan tim dan pengguna Anda) dan penghapusan data.

Anda dapat mengontrol akses ke ruang kerja Anda dengan SAML SSO dan autentikasi dua faktor. Setelah rekan tim Anda berada di dalam ruang kerja Anda, gunakan tingkat izin dan peran granular untuk menentukan siapa yang dapat mengakses data tertentu atau melakukan tindakan destruktif, dalam skala besar. Selain itu, jika Anda perlu mengaudit tindakan apa yang dilakukan rekan tim di dalam ruang kerja, Anda dapat memeriksa Log Aktivitas Rekan Tim untuk mengidentifikasi siapa yang berada di balik perubahan penting, misalnya: penghapusan atau ekspor data.

Verifikasi Identitas

Intercom juga menawarkan keamanan tambahan untuk Intercom Messenger untuk mencegah pengguna saling meniru atau mengakses percakapan satu sama lain. Mengaktifkan Verifikasi Identitas akan memastikan bahwa pengguna yang Anda ajak bicara adalah yang mereka katakan. Ini adalah tambahan yang sangat disarankan untuk instalasi Interkom apa pun.

TL; DR:

  • Kami menerapkan hak istimewa paling rendah untuk semua karyawan Intercom di semua sistem, dengan tinjauan akses triwulanan dan dasar untuk semua alat yang memproses data Anda
  • Kami memiliki pelatihan khusus peran dan tes phishing untuk mempersiapkan staf kami
  • Kami juga memiliki fitur aplikasi tingkat perusahaan yang memberi Anda tingkat kontrol atas data di ruang kerja Anda

Kedaluwarsa dan penghapusan data

Kami melakukan upaya signifikan untuk menyelaraskan dengan GDPR sebelum diperkenalkan pada tahun 2018, dengan fokus pada upaya pemetaan data yang ketat, pelatihan, pembaruan dokumentasi, dan tinjauan retensi data untuk setiap bagian data yang kami simpan dan proses. Kami menciptakan budaya di mana setiap karyawan memahami pentingnya aset data – dan klasifikasinya – sehingga kami membangun ekosistem data yang aman untuk Anda. Kami juga memiliki Petugas Perlindungan Data yang ditunjuk di dalam tim Hukum kami untuk memandu upaya perlindungan data kami.

“Kami tidak menyimpan data yang tidak kami butuhkan”

Kami tidak menyimpan data yang tidak kami butuhkan. Kami kedaluwarsa ruang kerja yang tidak aktif setelah 13 bulan dan data pengunjung situs web setelah sembilan bulan.

Jika pengguna Anda meminta penghapusan pengguna GDPR DSAR dan Anda melakukannya di Intercom, kami akan segera mulai memproses penghapusan tersebut dan secara otomatis. Hal yang sama berlaku jika Anda memilih untuk menghapus ruang kerja Interkom Anda dan semua data terkait.

TL; DR:

  • Kami mematuhi dan membantu Anda mematuhi GDPR UE
  • Kami memetakan semua aliran data kami
  • Kami memiliki penghapusan ruang kerja segera berdasarkan permintaan atau setelah 13 bulan tidak aktif
  • Data pengunjung kedaluwarsa setelah 9 bulan

Kepatuhan: Jangan hanya mengambil kata kami untuk itu

Kepatuhan adalah fokus utama bagi kami di Intercom, dan kami mendedikasikan seluruh tim dalam tim Keamanan Informasi kami yang lebih luas (belum lagi tim Hukum kami) untuk memastikan bahwa kami mematuhi standar global yang melindungi data pelanggan.

Untuk itu, kami mengejar standar tertinggi akreditasi yang diakui industri sehingga semua pelanggan kami, besar dan kecil, dapat mempercayai kebijakan dan prosedur kami. Semua laporan dan sertifikasi kepatuhan keamanan kami tersedia berdasarkan permintaan.

SOC 2

Intercom menjalani audit tahunan dan mempertahankan kepatuhan SOC 2 Tipe 2 yang berfokus pada prinsip layanan kepercayaan Keamanan dan Ketersediaan. Audit ini memberikan pengakuan di seluruh industri bahwa perusahaan mematuhi standar SOC 2 American Institute of Certified Public Accountants (“AICPA”), yang mengukur keamanan dan ketersediaan dan berfungsi sebagai jaminan bahwa data Anda dikelola dalam lingkungan yang terkendali dan diaudit.

HIPAA

Intercom telah mempertahankan laporan pengesahan HIPAA sejak tahun 2021, yang mencakup penanganan dan pengamanan informasi kesehatan yang dilindungi (PHI) dan informasi kesehatan yang dilindungi secara elektronik (ePHI). Kami berkomitmen untuk melakukan pemeriksaan pengesahan HIPAA ini setiap tahun, untuk memastikan kepatuhan yang berkelanjutan dan terus menunjukkan pentingnya kami untuk melindungi informasi kesehatan yang dilindungi pengguna akhir kami.

“Kami waspada dan terus memindai kerentanan, kesalahan konfigurasi, dan ancaman yang dapat membahayakan data Anda”

ISO/IEC 27001 & ISO/IEC 27018

Intercom memiliki sertifikasi ISO/IEC 27001 dan ISO/IEC 27018 sesuai dengan panduan penerapan ISO/IEC 27002. Intercom menjalani sertifikasi dan audit pengawasan setiap tahun untuk mempertahankan sertifikasi ini.

ISO/IEC 27001 terkait dengan Sistem Manajemen Keamanan Informasi (ISMS) Intercom, yang merupakan kerangka kerja kebijakan, prosedur, dan kontrol keamanan yang diterapkan untuk mengelola dan melindungi data penting Intercom. ISO/IEC 27018 berkaitan dengan kode praktik untuk perlindungan informasi identitas pribadi (PII) di cloud publik.

Sertifikat ini menetapkan tujuan kontrol, kontrol, dan pedoman yang diterima secara umum untuk menerapkan langkah-langkah guna melindungi data paling penting Intercom, termasuk PII.

Kepatuhan GDPR

Tim kami memastikan bahwa kami mematuhi GDPR sejak diberlakukan, dan kami terus mendedikasikan banyak waktu dan upaya untuk kepatuhan GDPR. Inilah yang telah kami lakukan:

  • Membangun fitur baru untuk memungkinkan pelanggan kami memenuhi kewajiban GDPR mereka dengan mudah
  • Perjanjian Pemrosesan Data yang Diperbarui
  • Memastikan kami disertifikasi untuk Transfer Data Internasional
  • Ditunjuk sebagai Petugas Perlindungan Data
  • Berkoordinasi dengan vendor seputar kepatuhan GDPR
  • Diperkuat dan ditambahkan ke langkah-langkah keamanan secara teratur

Tapi kami tidak berhenti di situ – kami selalu mencari cara untuk berkembang. Kami waspada dan terus-menerus memindai kerentanan, kesalahan konfigurasi, dan ancaman yang dapat membahayakan data Anda.

“Aplikasi dan infrastruktur Interkom dilihat secara detail oleh peneliti keamanan secara bergulir”

Aplikasi dan infrastruktur Interkom dilihat secara rinci oleh peneliti keamanan secara bergulir. Kami melengkapi pengujian kode statis dan dinamis kami dengan uji penetrasi dua kali setahun dan program 'hadiah bug' publik . Laporan pentest kami tersedia berdasarkan permintaan untuk semua pelanggan yang ada dan calon pelanggan.

Kami terus mencari cara untuk meningkatkan privasi data dan standar kepatuhan kami, serta memperkuat kebijakan perlindungan data kami. Komitmen kami terhadap data pelanggan kami, dan pelanggan mereka, adalah alasan mengapa perusahaan dari semua ukuran menaruh kepercayaan mereka pada kami.

Sesuatu yang kita lewatkan? Beri tahu kami apa yang ingin Anda lihat dengan mengirim email ke [email protected].

Ini adalah seri konten kelima yang menyelami investasi Intercom dalam mendukung perusahaan besar. Jelajahi artikel lain dalam seri ini.