Intercom 内で最高水準のデータ プライバシーとコンプライアンスを確保する方法

公開: 2022-10-20

Intercom では、企業とその顧客との間のすべての関係の中核にあるのは信頼であると考えています。

ビジネスが成長し、規模を拡大するにつれて、できる限りの方法でその信頼を獲得し、構築し続ける必要があります。しかし、急速に拡大する技術スタックでは、監視する必要があるのは自社のポリシーだけではなく、パートナーとなるすべての企業のポリシーです。 .

これは、大企業のサポートに対する Intercom の投資を調査するコンテンツ シリーズの 5 番目の投稿です。 シリーズの他の記事をご覧ください。

お客様のデータは私たちの最も重要な資産です。 堅牢なセキュリティ プラクティス、役割に合わせて調整されたスタッフ トレーニング、および規制への厳格な準拠により、ライフサイクル全体でデータを保護します。 お客様が顧客の獲得、エンゲージメント、および維持に集中できるように、データのセキュリティを処理します。

データのプライバシーに関しては、あらゆる手段を講じます

Intercom はデータ プロセッサであり、私たちが扱うデータには細心の注意を払っています。 30 億を超えるエンド ユーザー レコードと、これまでに企業とそのユーザーの間で促進された 6 億 4,000 万を超える会話があり、これは大量のデータです。

取り込みから削除まで、お客様のデータを管理します。 この投稿では、次の場合にデータを保護する方法について説明します。

  • 保存、処理、送信
  • アクセス
  • 有効期限と削除

処理、保管、送信

データは当社の重要な資産であるため、当社のセキュリティ基準を満たし維持するサードパーティのサービス プロバイダーのみがデータを処理することを信頼しています。 ベンダーを調達する前に、当社の IT、法務、およびセキュリティ チームが、ベンダーのセキュリティとデータ プライバシーの慣行を完全に見直します。 お客様のデータにアクセスできる唯一のベンダーは、公式のサブプロセッサー リストに記載されています

「コンプライアンス要件に合った地域でデータをホストすることを選択し、あなたとユーザーに安心感を与えることができます。」

コンプライアンス要件に合ったリージョンでデータをホストすることを選択して、あなたとユーザーに安心感を与えることができます。 Intercom サービスとデータは、米国 (us-east-1)、アイルランドのダブリン (eu-west-1)、およびオーストラリアのシドニーにあるアマゾン ウェブ サービス (AWS) の施設でホストされています。

私たちは災害復旧を念頭に置いてサービスを構築しています。 当社のすべてのインフラストラクチャとデータは 3 つの AWS アベイラビリティ ゾーンに分散されており、いずれかで障害が発生した場合でも引き続き動作します。

データは保管中も転送中も安全に保管されます。 API およびアプリケーション エンドポイントを介して Intercom との間で送受信されるすべてのデータは、TLS v1.2 を使用して暗号化されます。 これは、強力な暗号スイートのみを使用し、HSTS や Perfect Forward Secrecy などの機能を完全に有効にすることを意味します。 また、すべての顧客プロセッサ データに対して、業界標準の AES-256 暗号化アルゴリズムを使用して保存時の暗号化を保証します。

TL;DR:

  • オーストラリア、EU、および米国で地域ホスティングを行っています
  • データは保管時および転送時に 256 ビット暗号化で暗号化されます
  • サブプロセッサーリストに記載されているベンダーとのみデータを共有します

データアクセス

顧客データへのアクセスは、業務上必要とする許可された従業員に限定されています。 必要な場合にのみ付与され、可能な場合は有効期限が切れます。 有効期限が利用できない場合、ツールの所有者は四半期ごとにアクセスを確認し、ベースラインを設定します。

アイデンティティ プロバイダーを利用して、すべての主要な企業および本番アプリケーションへのアクセスを提供および制限します。 会社が管理するデバイスに生体認証を義務付けるゼロ トラスト システム アーキテクチャを実装し、すべてのクラウド サービスへのアクセスが適切に保護されるようにします。

従業員のセキュリティ

トレーニングとコンプライアンス関連のガバナンスを組み合わせることで、従業員が毎日、製品と顧客データを使用して安全な意思決定を行うことができるようにします。

トレーニング

すべての従業員はセキュリティとプライバシーに関する意識向上トレーニングを毎年修了しており、従業員のセキュリティに関する知識を常に念頭に置いておくために、年間を通じて迅速で魅力的な Slack トレーニング コースを採用しています。 カスタマーサポートやエンジニアリングなどのリスクの高いグループ向けの役割固有のトレーニングで、全社的なトレーニングを補完します。

「私たちは定期的にすべての従業員に対してフィッシング テストを実施しており、組織全体で 96% を超える合格率を報告できることをうれしく思います。必要に応じて補足的なトレーニングも行っています。」

すべての従業員に対して定期的にフィッシング テストを実施し、組織全体で 96% を超える合格率を報告しており、必要に応じて補足的なトレーニングを受けています。

ワークスペースへのアクセスを制御する

私たちはあなたのデータにアクセスすることについて話しましたが、あなたのチームはどうですか? Intercom は、エンタープライズ アプリケーション機能を採用して、(チームメイトやユーザーによる) アクセスとデータの削除を細かく制御できます。

SAML SSO と 2 要素認証を使用して、ワークスペースへのアクセスを制御できます。 チームメイトがワークスペースに入ったら、詳細なアクセス許可レベルとロールを使用して、特定のデータにアクセスできるユーザーや破壊的なアクションを実行できるユーザーを大規模に指定します。 さらに、チームメイトがワークスペース内で行ったアクションを監査する必要がある場合は、チームメイト アクティビティ ログをチェックして、データの削除やエクスポートなどの重要な変更の背後にいる人物を特定できます。

本人確認

Intercom は、Intercom Messenger に追加のセキュリティを提供し、ユーザーがお互いになりすましたり、お互いの会話にアクセスしたりするのを防ぎます。 本人確認を有効にすると、会話するユーザーが本人であることを確認できます。 これは、Intercom のインストールに追加することを強くお勧めします。

TL;DR:

  • すべてのシステムですべての Intercom 従業員に最小特権を採用し、四半期ごとのアクセス レビューと、データを処理するすべてのツールのベースラインを作成します。
  • スタッフを準備するために、役割固有のトレーニングとフィッシングテストがあります
  • また、ワークスペース内のデータこのレベルで制御できるエンタープライズ レベルのアプリ機能もあります。

データの有効期限と削除

2018 年に GDPR が導入される前に、厳格なデータ マッピングの取り組み、トレーニング、ドキュメントの更新、保存および処理するすべてのデータのデータ保持レビューに重点を置いて、GDPR に準拠するために多大な努力を払いました。 すべての従業員がデータ資産の重要性とその分類を理解する文化を作り、安全なデータ エコシステムを構築します。 また、法務チーム内にデータ保護責任者を任命し、データ保護の取り組みを指導しています。

「必要のないデータは保持しません」

必要のないデータは保持しません。 非アクティブなワークスペースは 13 か月後に期限切れになり、ウェブサイトの訪問者データは 9 か月後に期限切れになります。

ユーザーが GDPR DSAR ユーザーの削除を要求し、Intercom でそれを実行すると、その削除の処理が直ちに自動的に開始されます。 Intercom ワークスペースとすべての関連データを削除することを選択した場合も同様です。

TL;DR:

  • EU の GDPR に準拠し、お客様が準拠できるよう支援します
  • すべてのデータフローをマッピングします
  • リクエストに応じて、または 13 か月間非アクティブになった後、ワークスペースをすぐに削除します
  • 訪問者データは 9 か月後に期限切れになります

コンプライアンス: 私たちの言葉を鵜呑みにしないでください

コンプライアンスは Intercom の主要な焦点であり、顧客データを保護するグローバル スタンダードを確実に遵守するために、幅広い情報セキュリティ チーム (法務チームは言うまでもありません) 内のチーム全体に専念しています。

そのために、私たちは業界で認められた最高水準の認定を追求し、大小を問わずすべてのお客様が私たちのポリシーと手順を信頼できるようにします。 当社のセキュリティ コンプライアンス レポートと認証はすべて、ご要望に応じて入手できます。

SOC2

Intercom は毎年監査を受け、セキュリティと可用性のトラスト サービス原則に焦点を当てた SOC 2 タイプ 2 コンプライアンスを維持しています。 これらの監査は、企業が米国公認会計士協会(「AICPA」) の SOC 2 標準に準拠しているという業界全体の認識を提供します。この標準は、セキュリティと可用性を測定し、制御および監査された環境でデータが管理されていることを保証します。

HIPAA

Intercom は 2021 年以来、保護医療情報 (PHI) および電子保護医療情報 (ePHI) の取り扱いと保護をカバーする HIPAA 証明レポートを維持しています。 当社は、この HIPAA 認定試験を毎年実施し、継続的なコンプライアンスを確保し、エンドユーザーが保護する医療情報を保護することの重要性を引き続き実証することを約束します。

「お客様のデータを危険にさらす可能性のある脆弱性、設定ミス、および脅威を警戒し、継続的にスキャンしています。」

ISO/IEC 27001 & ISO/IEC 27018

Intercom は、ISO/IEC 27002 実装ガイダンスに沿って、ISO/IEC 27001 および ISO/IEC 27018 認定を取得しています。 Intercom は、これらの認定を維持するために、認定および監視監査を毎年受けています。

ISO/IEC 27001 は、Intercom の情報セキュリティ管理システム (ISMS) に関連しています。これは、Intercom の重要なデータを管理および保護するためのセキュリティ ポリシー、手順、および制御のフレームワークです。 ISO/IEC 27018 は、パブリック クラウドにおける個人を特定できる情報 (PII) を保護するための実施基準に関連しています。

これらの証明書は、PII を含む Intercom の最も重要なデータを保護するための手段を実装するための、一般的に受け入れられている制御目標、制御、およびガイドラインを確立します。

GDPR コンプライアンス

私たちのチームは、GDPRが施行された瞬間から順守していることを確認しており、GDPR の順守に多くの時間と労力を費やし続けています。 私たちが行ったことは次のとおりです。

  • お客様が GDPR の義務を簡単に満たせるようにするための新機能を構築
  • 更新されたデータ処理契約
  • 国際データ転送の認定を受けていることを確認
  • データ保護責任者の任命
  • GDPR コンプライアンスに関するベンダーとの調整
  • セキュリティ対策を定期的に強化・追加

しかし、私たちはそれだけにとどまりません。常に改善する方法を探しています。 データを危険にさらす可能性のある脆弱性、構成ミス、および脅威を警戒し、継続的にスキャンします。

「Intercom のアプリケーションとインフラストラクチャは、セキュリティ研究者によって定期的に詳細に調査されています。」

Intercom のアプリケーションとインフラストラクチャは、セキュリティ研究者によって定期的に詳細に調査されています。 年 2 回の侵入テストと公開の「バグ報奨金」プログラムで、静的および動的コード テストを補完します 当社の侵入テスト レポートは、すべての既存および見込み顧客の要求に応じて入手できます。

私たちは、データのプライバシーとコンプライアンスの基準を新たな高みに引き上げ、データ保護ポリシーを強化する方法を常に模索しています。 お客様とその顧客のデータに対する私たちのコミットメントは、あらゆる規模の企業が私たちに信頼を置いている理由です。

足りないものはありますか? [email protected] に電子メールを送信して、ご希望の内容をお知らせください。

これは、大企業をサポートするための Intercom の投資を掘り下げるコンテンツ シリーズの 5 番目です。 シリーズの他の記事をご覧ください。