Jak zapewniamy najwyższe standardy prywatności i zgodności danych w Intercomie?

Opublikowany: 2022-10-20

W Intercom wierzymy, że zaufanie jest podstawą każdej relacji między firmą a jej klientami.

Wraz z rozwojem i skalowaniem firmy muszą nadal zdobywać i budować na tym zaufaniu w każdy możliwy sposób – ale przy szybko rosnącym stosie technologicznym muszą monitorować nie tylko własne zasady firmy, ale także zasady każdej firmy, z którą współpracują. .

Jest to piąty post z serii treści eksplorującej inwestycje Intercomu we wspieranie dużych firm. Zapoznaj się z innymi artykułami z tej serii.

Twoje dane są naszym najważniejszym zasobem. Chronimy go przez cały cykl życia dzięki solidnym praktykom bezpieczeństwa, dostosowanym do poszczególnych ról szkoleniom personelu i rygorystycznej zgodności z przepisami. Dbamy o bezpieczeństwo Twoich danych, abyś mógł skupić się na pozyskiwaniu, angażowaniu i utrzymywaniu klientów.

Nie pozostawiamy kamienia na głowie, jeśli chodzi o prywatność danych

Intercom jest podmiotem przetwarzającym dane i dokładamy najwyższej staranności w przypadku wszelkich danych, których dotykamy. Ponad trzy miliardy rekordów użytkowników końcowych i ponad 640 milionów konwersacji między firmami a ich użytkownikami – to dużo danych!

Dbamy o Twoje dane od przyjęcia do usunięcia. W tym poście opowiemy Ci, w jaki sposób chronimy Twoje dane podczas:

  • Przechowywanie, przetwarzanie i transmisja
  • Dostęp
  • Wygaśnięcie i usunięcie

Przetwarzanie, przechowywanie i przesyłanie

Ponieważ dane są naszym kluczowym zasobem, ufamy, że będą obsługiwane wyłącznie przez zewnętrznych dostawców usług, którzy spełniają i utrzymują nasz pasek bezpieczeństwa. Zanim dostawca zostanie zakupiony, nasze zespoły IT, prawne i bezpieczeństwa w pełni sprawdzają swoje praktyki w zakresie bezpieczeństwa i prywatności danych. Jedyni dostawcy, którzy mają dostęp do Twoich danych, znajdują się na naszej oficjalnej liście podwykonawców przetwarzania .

„Możesz wybrać hostowanie swoich danych w regionie, który odpowiada Twoim wymaganiom dotyczącym zgodności i zapewnia Tobie i Twoim użytkownikom spokój ducha”

Możesz hostować swoje dane w regionie, który odpowiada Twoim wymaganiom zgodności i zapewnia spokój Tobie i Twoim użytkownikom. Usługi interkomowe i dane są hostowane w obiektach Amazon Web Services (AWS) w USA (us-east-1), Dublinie, Irlandii (eu-west-1) i Sydney w Australii.

Nasze usługi budujemy z myślą o odzyskiwaniu danych po awarii. Cała nasza infrastruktura i dane są rozmieszczone w trzech strefach dostępności AWS i będą nadal działać, jeśli którakolwiek z nich ulegnie awarii.

Dane są bezpiecznie przechowywane w spoczynku i podczas przesyłania. Wszystkie dane przesyłane do lub z Interkomu za pośrednictwem naszego interfejsu API i punktów końcowych aplikacji są szyfrowane przy użyciu protokołu TLS v1.2. Oznacza to, że używamy tylko silnych zestawów szyfrowania i mamy w pełni włączone funkcje, takie jak HSTS i Perfect Forward Secrecy. Gwarantujemy również szyfrowanie w stanie spoczynku przy użyciu standardowego w branży algorytmu szyfrowania AES-256 dla wszystkich danych procesora klienta.

TL; DR:

  • Prowadzimy hosting regionalny w AU, EU i US
  • Dane są szyfrowane w stanie spoczynku i podczas przesyłania za pomocą 256-bitowego szyfrowania
  • Udostępniamy dane tylko dostawcom wymienionym na naszej liście podprocesorów

Dostęp do danych

Dostęp do danych klientów mają wyłącznie upoważnieni pracownicy, którzy potrzebują ich do wykonywania swojej pracy. Jest przyznawany tylko wtedy, gdy jest to konieczne, z wygaśnięciem, jeśli to możliwe. Gdy termin wygaśnięcia nie jest dostępny, właściciele narzędzi sprawdzają co kwartał i uzyskują dostęp do planu bazowego.

Wykorzystujemy dostawcę tożsamości, aby zapewniać i ograniczać dostęp do wszystkich kluczowych aplikacji korporacyjnych i produkcyjnych. Wdrażamy architekturę systemu Zero Trust, która nakazuje uwierzytelnianie biometryczne na urządzeniach zarządzanych przez firmę, zapewniając odpowiednią ochronę dostępu do wszystkich usług w chmurze.

Bezpieczeństwo pracowników

Umożliwiamy i umożliwiamy naszym pracownikom podejmowanie bezpiecznych decyzji na podstawie naszych danych dotyczących produktów i klientów każdego dnia dzięki połączeniu szkoleń i zarządzania związanego z zgodnością.

Trening

Wszyscy pracownicy corocznie przechodzą szkolenie w zakresie bezpieczeństwa i prywatności, a my przez cały rok stosujemy szybkie, angażujące szkolenia Slack, aby zapewnić ludziom wiedzę o bezpieczeństwie. Uzupełniamy szkolenia w całej firmie szkoleniami dla poszczególnych ról dla grup wysokiego ryzyka, takich jak obsługa klienta i inżynieria.

„Przeprowadzamy testy phishingowe dla wszystkich pracowników na bieżąco i z przyjemnością zgłaszamy wskaźnik pomyślności >96% dla całej naszej organizacji, wraz z dodatkowym szkoleniem w razie potrzeby”

Przeprowadzamy testy phishingowe dla wszystkich pracowników na bieżąco i z przyjemnością zgłaszamy wskaźnik zdawalności >96% dla całej naszej organizacji, wraz z dodatkowym szkoleniem w razie potrzeby.

Kontroluj dostęp do swojej przestrzeni roboczej

Rozmawialiśmy o tym, że uzyskujemy dostęp do Twoich danych, ale co z Twoim zespołem? Intercom wykorzystuje funkcje aplikacji korporacyjnych, aby zapewnić szczegółową kontrolę nad dostępem (przez członków zespołu i użytkowników) oraz usuwaniem danych.

Możesz kontrolować dostęp do swojego obszaru roboczego za pomocą logowania jednokrotnego SAML i uwierzytelniania dwuskładnikowego. Gdy członkowie zespołu znajdą się w obszarze roboczym, użyj szczegółowych poziomów uprawnień i ról , aby określić, kto może uzyskiwać dostęp do określonych danych lub podejmować destrukcyjne działania na dużą skalę. Dodatkowo, jeśli chcesz sprawdzić, jakie działania podejmują koledzy z zespołu w obszarze roboczym, możesz sprawdzić dzienniki aktywności członków zespołu, aby zidentyfikować, kto stoi za krytycznymi zmianami, np. usuwaniem lub eksportem danych.

Weryfikacja tożsamości

Intercom oferuje również dodatkowe zabezpieczenia dla Intercom Messenger, aby uniemożliwić użytkownikom podszywanie się pod siebie nawzajem lub dostęp do swoich rozmów. Włączenie weryfikacji tożsamości zapewni, że użytkownicy, z którymi rozmawiasz, są tym, za kogo się podają. Jest to zdecydowanie zalecany dodatek do każdej instalacji interkomu.

TL; DR:

  • Zapewniamy najmniej uprawnień wszystkim pracownikom Intercomu we wszystkich systemach, z kwartalnym przeglądem dostępu i tworzeniem baz dla wszystkich narzędzi przetwarzających Twoje dane
  • Aby przygotować naszych pracowników, przeprowadzamy szkolenia dostosowane do poszczególnych ról i testy phishingowe
  • Mamy również funkcje aplikacji na poziomie korporacyjnym, które zapewniają ten poziom kontroli nad danymi w Twoim obszarze roboczym

Wygaśnięcie i usunięcie danych

Podjęliśmy znaczne wysiłki, aby dostosować się do RODO przed jego wprowadzeniem w 2018 r., koncentrując się na rygorystycznym mapowaniu danych, szkoleniach, aktualizacjach dokumentacji i przeglądach przechowywania danych dla każdego przechowywanego i przetwarzanego przez nas elementu danych. Tworzymy kulturę, w której każdy pracownik rozumie znaczenie zasobu danych – i jego klasyfikację – dzięki czemu budujemy dla Ciebie bezpieczny ekosystem danych. W naszym zespole prawnym mamy również wyznaczonego inspektora ochrony danych, który kieruje naszymi wysiłkami w zakresie ochrony danych.

„Nie przechowujemy danych, których nie potrzebujemy”

Nie przechowujemy danych, których nie potrzebujemy. Nieaktywne obszary robocze tracą ważność po 13 miesiącach, a dane odwiedzających witrynę — po dziewięciu miesiącach.

Jeśli Twoi użytkownicy zażądają usunięcia użytkownika RODO DSAR, a Ty dokonasz tego w Intercomie, natychmiast i automatycznie rozpoczniemy przetwarzanie tego usunięcia. To samo dotyczy sytuacji, gdy zdecydujesz się usunąć obszar roboczy Interkomu i wszystkie powiązane dane.

TL; DR:

  • Przestrzegamy i pomagamy w przestrzeganiu unijnego RODO
  • Mapujemy wszystkie nasze przepływy danych
  • Usuwamy obszar roboczy natychmiast na żądanie lub po 13 miesiącach braku aktywności
  • Dane odwiedzających wygasają po 9 miesiącach

Zgodność: nie wierz nam tylko na słowo

Zgodność jest dla nas głównym celem Intercomu i dedykujemy cały zespół w ramach naszego szerszego zespołu ds. Bezpieczeństwa informacji (nie wspominając o naszym zespole prawnym), aby zapewnić przestrzeganie globalnych standardów, które chronią dane klientów.

W tym celu dążymy do najwyższych standardów uznawanych w branży akredytacji, aby wszyscy nasi klienci, duzi i mali, mogli mieć zaufanie do naszych zasad i procedur. Wszystkie nasze raporty i certyfikaty zgodności bezpieczeństwa są dostępne na żądanie.

SOC 2

Intercom przechodzi coroczne audyty i utrzymuje zgodność z SOC 2 Type 2, koncentrując się na zasadach usługi zaufania Security and Availability. Audyty te potwierdzają w całej branży, że firmy przestrzegają standardu SOC 2 Amerykańskiego Instytutu Biegłych Rewidentów (AICPA), który mierzy bezpieczeństwo i dostępność oraz zapewnia, że ​​Twoje dane są zarządzane w kontrolowanym i kontrolowanym środowisku.

HIPAA

Intercom utrzymuje raport atestacyjny HIPAA od 2021 r., który obejmuje obsługę i ochronę chronionych informacji zdrowotnych (PHI) i elektronicznych chronionych informacji zdrowotnych (ePHI). Zobowiązujemy się do corocznego przeprowadzania tego badania atestacyjnego HIPAA, aby zapewnić stałą zgodność i nadal demonstrować wagę, jaką przywiązujemy do ochrony chronionych informacji zdrowotnych użytkowników końcowych.

„Jesteśmy czujni i stale skanujemy pod kątem luk w zabezpieczeniach, błędnych konfiguracji i zagrożeń, które mogą narazić Twoje dane na niebezpieczeństwo”

ISO/IEC 27001 i ISO/IEC 27018

Intercom posiada certyfikaty ISO/IEC 27001 i ISO/IEC 27018 zgodnie z wytycznymi wdrożeniowymi ISO/IEC 27002. Intercom co roku przechodzi audyty certyfikacyjne i nadzorcze w celu utrzymania tych certyfikatów.

ISO/IEC 27001 odnosi się do Systemu Zarządzania Bezpieczeństwem Informacji Intercomu (ISMS), który stanowi ramy polityk bezpieczeństwa, procedur i kontroli w celu zarządzania i ochrony krytycznych danych Intercomu. ISO/IEC 27018 odnosi się do kodeksu postępowania w zakresie ochrony informacji umożliwiających identyfikację osób (PII) w chmurach publicznych.

Certyfikaty te ustanawiają powszechnie akceptowane cele kontroli, kontrole i wytyczne dotyczące wdrażania środków w celu ochrony najbardziej krytycznych danych Intercomu, w tym PII.

Zgodność z RODO

Nasze zespoły zapewniały zgodność z RODO od momentu jego wejścia w życie i nadal poświęcamy wiele czasu i wysiłku na zgodność z RODO. Oto, co zrobiliśmy:

  • Zbudowaliśmy nowe funkcje, aby umożliwić naszym klientom łatwe wywiązywanie się z obowiązków wynikających z RODO
  • Zaktualizowane umowy o przetwarzanie danych
  • Upewniliśmy się, że posiadamy certyfikat międzynarodowego transferu danych
  • Wyznaczono inspektora ochrony danych
  • Skoordynowane z dostawcami w zakresie zgodności z RODO
  • Regularnie wzmacniane i dodawane do środków bezpieczeństwa

Ale nie poprzestaliśmy na tym – zawsze szukamy sposobów na poprawę. Jesteśmy czujni i stale skanujemy pod kątem luk w zabezpieczeniach, błędnych konfiguracji i zagrożeń, które mogą narazić Twoje dane na niebezpieczeństwo.

„Aplikacja i infrastruktura Interkomu są szczegółowo analizowane przez badaczy bezpieczeństwa w sposób ciągły”

Aplikacja i infrastruktura interkomu są szczegółowo analizowane przez badaczy bezpieczeństwa na bieżąco. Uzupełniamy nasze statyczne i dynamiczne testy kodu o dwa razy w roku testy penetracyjne oraz publiczny program „bug bounty” . Nasze raporty z testów są dostępne na żądanie dla wszystkich obecnych i potencjalnych klientów.

Nieustannie poszukujemy sposobów na przeniesienie naszych standardów ochrony danych i zgodności na nowy poziom oraz wzmocnienie naszych zasad ochrony danych. Nasze zaangażowanie w dane naszych klientów i ich klientów sprawia, że ​​ufają nam firmy każdej wielkości.

Coś, czego nam brakuje? Daj nam znać, co chcesz zobaczyć, wysyłając e-mail na adres [email protected].

Jest to piąty z serii treści poświęconych inwestycjom Intercomu we wspieranie dużych firm. Zapoznaj się z innymi artykułami z tej serii.