• 홈페이지
  • 조항
  • 마케팅
  • Intercom 내에서 최고 수준의 데이터 개인 정보 보호 및 규정 준수를 보장하는 방법

Intercom 내에서 최고 수준의 데이터 개인 정보 보호 및 규정 준수를 보장하는 방법

게시 됨: 2022-10-20

Intercom은 신뢰가 비즈니스와 고객 간의 모든 관계의 핵심이라고 믿습니다.

비즈니스가 성장하고 확장함에 따라 가능한 모든 방법으로 계속해서 신뢰를 얻고 구축해야 합니다. 그러나 빠르게 확장되는 기술 스택으로 인해 모니터링해야 하는 것은 자체 회사 정책뿐만 아니라 파트너 관계에 있는 모든 회사의 정책입니다. .

이것은 대기업 지원에 대한 Intercom의 투자를 탐구하는 콘텐츠 시리즈의 다섯 번째 게시물입니다. 시리즈의 다른 기사를 살펴보십시오.

귀하의 데이터는 우리의 가장 중요한 자산입니다. 강력한 보안 관행, 맞춤형 역할별 직원 교육, 엄격한 규정 준수를 통해 라이프사이클 전반에 걸쳐 이를 보호합니다. 당사는 귀하가 고객 확보, 참여 및 유지에 집중할 수 있도록 귀하의 데이터 보안을 처리합니다.

데이터 개인 정보 보호와 관련하여 우리는 돌이켜지지 않은 상태를 유지합니다.

인터콤은 데이터 처리자이며 우리가 만지는 모든 데이터에 최대한 주의를 기울입니다. 현재까지 30억 개 이상의 최종 사용자 기록과 6억 4,000만 개 이상의 대화가 기업과 사용자 간에 촉진되었습니다. 이는 엄청난 양의 데이터입니다!

수집에서 삭제까지 데이터를 관리합니다. 이 게시물에서는 다음 기간 동안 데이터를 보호하는 방법에 대해 설명합니다.

  • 저장, 처리 및 전송
  • 입장
  • 만료 및 삭제

처리, 저장 및 전송

데이터는 당사의 핵심 자산이므로 당사의 보안 기준을 충족하고 유지하는 제3자 서비스 제공업체에서만 데이터를 처리할 것이라고 믿습니다. 공급업체를 조달하기 전에 IT, 법률 및 보안 팀이 보안 및 데이터 개인 정보 보호 관행을 전체적으로 검토합니다. 귀하의 데이터에 액세스할 수 있는 유일한 공급업체는 공식 하위 프로세서 목록있습니다.

"규정 준수 요구 사항에 맞는 지역에서 데이터를 호스팅하도록 선택할 수 있으며 귀하와 귀하의 사용자 모두에게 안심할 수 있습니다."

규정 준수 요구 사항에 맞는 지역에서 데이터를 호스팅하도록 선택하고 귀하와 귀하의 사용자에게 안심할 수 있습니다. 인터콤 서비스 및 데이터는 미국(us-east-1), 아일랜드 더블린(eu-west-1) 및 호주 시드니의 Amazon Web Services(AWS) 시설에서 호스팅됩니다.

재해 복구를 염두에 두고 서비스를 구축합니다. 우리의 모든 인프라와 데이터는 3개의 AWS 가용 영역에 분산되어 있으며 그 중 하나에 장애가 발생해도 계속 작동합니다.

데이터는 미사용 및 전송에 안전하게 보관됩니다. API 및 애플리케이션 엔드포인트를 통해 Intercom과 주고받는 모든 데이터는 TLS v1.2를 사용하여 암호화됩니다. 즉, 강력한 암호 제품군만 사용하고 HSTS 및 Perfect Forward Secrecy와 같은 기능이 완전히 활성화되어 있습니다. 또한 모든 고객 프로세서 데이터에 대해 업계 표준 AES-256 암호화 알고리즘을 사용하여 저장 데이터 암호화를 보장합니다.

TL;DR:

  • 우리는 AU, EU 및 미국에서 지역 호스팅을 수행합니다.
  • 데이터는 256비트 암호화로 저장 및 전송 중 암호화됩니다.
  • 우리는 하위 프로세서 목록에 나열된 공급업체와만 데이터를 공유합니다.

데이터 접근

고객 데이터에 대한 액세스는 업무에 필요한 승인된 직원으로 제한됩니다. 필요한 경우에만 부여되며 가능한 경우 만료됩니다. 만료를 사용할 수 없는 경우 도구 소유자는 분기별로 액세스를 검토하고 기준선 액세스를 검토합니다.

우리는 아이덴티티 공급자를 활용하여 모든 주요 기업 및 프로덕션 애플리케이션에 대한 액세스를 제공하고 제한합니다. 우리는 회사 관리 장치에서 생체 인증을 의무화하는 제로 트러스트 시스템 아키텍처를 구현하여 모든 클라우드 서비스에 대한 액세스가 적절히 보호되도록 합니다.

직원 보안

우리는 직원들이 교육 및 규정 준수 관련 거버넌스를 결합하여 매일 제품 및 고객 데이터로 안전한 결정을 내릴 수 있도록 지원하고 권한을 부여합니다.

훈련

모든 직원은 매년 보안 및 개인 정보 보호 인식 교육을 이수하며, 우리는 사람들의 보안 지식을 최우선으로 유지하기 위해 일년 내내 빠르고 매력적인 Slack 교육 과정을 실시합니다. 당사는 고객 지원 및 엔지니어링과 같은 고위험 그룹을 위한 역할별 교육으로 전사적 교육을 보완합니다.

"우리는 정기적으로 모든 직원을 대상으로 피싱 테스트를 실시하고 필요한 경우 보충 교육을 통해 전체 조직에 대해 96% 이상의 합격률을 보고하게 되어 기쁩니다."

우리는 정기적으로 모든 직원을 대상으로 피싱 테스트를 수행하고 필요한 경우 보충 교육을 통해 전체 조직에 대해 >96%의 합격률을 보고하게 되어 기쁩니다.

작업 공간에 대한 액세스 제어

우리는 귀하의 데이터에 액세스하는 것에 대해 이야기했지만 귀하의 팀은 어떻습니까? Intercom은 엔터프라이즈 애플리케이션 기능을 사용하여 액세스(팀 동료 및 사용자에 의한) 및 데이터 삭제를 세부적으로 제어할 수 있습니다.

SAML SSO 및 2단계 인증을 사용하여 작업 공간에 대한 액세스를 제어할 수 있습니다. 팀원이 작업 공간에 들어오면 세분화된 권한 수준과 역할 을 사용하여 특정 데이터에 액세스하거나 대규모로 파괴적인 작업을 수행할 수 있는 사람을 지정합니다. 또한 팀 동료가 작업 공간 내에서 수행하는 작업을 감사해야 하는 경우 Teammate 활동 로그 를 확인하여 중요한 변경(예: 데이터 삭제 또는 내보내기)의 배후에 있는 사람을 식별할 수 있습니다.

본인 확인

Intercom은 또한 사용자가 서로를 가장하거나 서로의 대화에 액세스하는 것을 방지하기 위해 Intercom Messenger에 대한 추가 보안을 제공합니다. 신원 확인을 활성화하면 대화하는 사용자가 자신이 누구인지 확인할 수 있습니다. 이것은 모든 인터콤 설치에 강력하게 권장되는 추가 사항입니다.

TL;DR:

  • 분기별 액세스 검토 및 데이터를 처리하는 모든 도구에 대한 기준 설정을 통해 모든 시스템의 모든 Intercom 직원에게 최소 권한을 부여합니다.
  • 직원을 준비시키기 위해 역할별 교육 및 피싱 테스트가 있습니다.
  • 작업 공간의 데이터 이 수준으로 제어수 있는 엔터프라이즈 수준의 앱 기능도 있습니다 .

데이터 만료 및 삭제

우리는 2018년에 GDPR이 도입되기 전에 엄격한 데이터 매핑 노력, 교육, 문서 업데이트, 저장 및 처리하는 모든 데이터에 대한 데이터 보존 검토에 중점을 두고 GDPR을 준수하기 위해 상당한 노력을 기울였습니다. 우리는 모든 직원이 데이터 자산과 그 분류의 중요성을 이해하는 문화를 만들어 귀사를 위한 안전한 데이터 생태계를 구축합니다. 또한 데이터 보호 노력을 안내하기 위해 법무팀 내에 데이터 보호 책임자를 임명했습니다.

“필요하지 않은 데이터는 보관하지 않습니다”

우리는 필요하지 않은 데이터를 보관하지 않습니다. 비활성 작업 공간은 13개월 후에 만료되고 웹 사이트 방문자 데이터는 9개월 후에 만료됩니다.

사용자가 GDPR DSAR 사용자 삭제를 요청하고 Intercom에서 이를 수행하면 해당 삭제가 즉시 자동으로 처리되기 시작합니다. 인터콤 작업 공간 및 모든 관련 데이터를 삭제하도록 선택한 경우에도 동일하게 적용됩니다.

TL;DR:

  • 우리는 EU의 GDPR을 준수하고 귀하가 준수하도록 돕습니다.
  • 모든 데이터 흐름을 매핑합니다.
  • 요청 시 또는 13개월 동안 활동이 없으면 작업 공간이 즉시 삭제됩니다.
  • 방문자 데이터는 9개월 후에 만료됩니다.

규정 준수: 우리의 말을 그대로 받아들이지 마십시오.

규정 준수는 Intercom의 주요 초점이며 고객 데이터를 보호하는 글로벌 표준을 준수할 수 있도록 보다 광범위한 정보 보안 팀(법무 팀은 말할 것도 없음) 내의 전체 팀을 전담합니다.

이를 위해 업계에서 인정하는 최고 수준의 인증을 추구하여 크고 작은 모든 고객이 당사의 정책과 절차를 신뢰할 수 있도록 합니다. 모든 보안 규정 준수 보고서 및 인증은 요청 시 제공됩니다.

SOC 2

Intercom은 매년 감사를 받고 보안 및 가용성 신뢰 서비스 원칙에 중점을 둔 SOC 2 유형 2 규정 준수를 유지합니다. 이러한 감사는 기업 이 보안 및 가용성을 측정하고 데이터가 통제되고 감사된 환경에서 관리되고 있음을 보증하는 미국공인회계사협회 ("AICPA") SOC 2 표준 을 준수한다는 업계 전반의 인정을 제공합니다.

HIPAA

Intercom은 2021년부터 HIPAA 증명 보고서를 유지해 왔으며, 여기에는 PHI(Protected Health Information) 및 ePHI(Electronic Protected Health Information)의 취급 및 보호가 포함됩니다. 우리는 지속적인 규정 준수를 보장하고 최종 사용자가 보호하는 건강 정보 보호에 대한 중요성을 지속적으로 입증하기 위해 매년 이 HIPAA 증명 검사를 수행하기 위해 최선을 다하고 있습니다.

"우리는 데이터를 위험에 빠뜨릴 수 있는 취약성, 잘못된 구성 및 위협을 경계하고 지속적으로 검사합니다."

ISO/IEC 27001 및 ISO/IEC 27018

Intercom은 ISO/IEC 27002 구현 지침에 따라 ISO/IEC 27001 및 ISO/IEC 27018 인증을 보유하고 있습니다. 인터콤은 이러한 인증을 유지하기 위해 매년 인증 및 감시 감사를 받습니다.

ISO/IEC 27001은 Intercom의 중요 데이터를 관리하고 보호하기 위해 마련된 보안 정책, 절차 및 통제의 프레임워크인 Intercom의 ISMS(정보 보안 관리 시스템)와 관련이 있습니다. ISO/IEC 27018은 공용 클라우드에서 개인 식별 정보(PII) 보호를 위한 실행 강령과 관련이 있습니다.

이러한 인증서는 PII를 포함하여 Intercom의 가장 중요한 데이터를 보호하기 위한 조치를 구현하기 위해 일반적으로 허용되는 제어 목표, 제어 및 지침을 설정합니다.

GDPR 준수

우리 팀은 GDPR이 발효 된 순간부터 GDPR을 준수하도록 했으며 GDPR 준수에 계속 많은 시간과 노력을 할애하고 있습니다. 다음은 수행한 작업입니다.

  • 고객이 GDPR 의무를 쉽게 충족할 수 있도록 하는 새로운 기능 구축
  • 업데이트된 데이터 처리 계약
  • 국제 데이터 전송 인증을 받았습니다.
  • 데이터 보호 책임자 임명
  • GDPR 준수와 관련하여 공급업체와 조정
  • 정기적으로 보안 조치에 강화 및 추가

그러나 우리는 거기에서 멈추지 않았습니다. 우리는 항상 개선할 방법을 찾고 있습니다. 당사는 데이터를 위험에 빠뜨릴 수 있는 취약성, 잘못된 구성 및 위협을 경계하고 지속적으로 검사합니다.

“보안 연구원이 인터콤 애플리케이션 및 인프라를 지속적으로 자세히 검토합니다.”

Intercom 응용 프로그램 및 인프라는 보안 연구원이 지속적으로 자세히 살펴봅니다. 우리는 1년에 두 번 침투 테스트와 공개 '버그 현상금' 프로그램 으로 정적 및 동적 코드 테스트를 보완합니다 . 우리의 침투 보고서는 모든 기존 및 잠재 고객의 요청에 따라 사용할 수 있습니다.

우리는 데이터 개인 정보 보호 및 규정 준수 표준을 새로운 차원으로 끌어올리고 데이터 보호 정책을 강화하는 방법을 지속적으로 찾고 있습니다. 고객과 고객의 데이터에 대한 우리의 약속은 모든 규모의 기업이 우리를 신뢰하는 이유입니다.

우리가 놓치고 있는 것이 있습니까? [email protected]으로 이메일을 보내 보고 싶은 내용을 알려주십시오.

이것은 대기업 지원에 대한 인터콤의 투자에 대해 다이빙하는 콘텐츠 시리즈의 다섯 번째입니다. 시리즈의 다른 기사를 살펴보십시오.