Como garantimos os mais altos padrões de privacidade e conformidade de dados na Intercom

Publicados: 2022-10-20

Na Intercom, acreditamos que a confiança está no centro de todo relacionamento entre uma empresa e seus clientes.

À medida que as empresas crescem e se expandem, elas precisam continuar a ganhar e construir essa confiança de todas as maneiras possíveis - mas com pilhas de tecnologia em rápida expansão, não são apenas as políticas de suas próprias empresas que precisam monitorar, são as de todas as empresas com as quais fazem parceria .

Este é o quinto post de uma série de conteúdo que explora o investimento da Intercom no apoio a grandes negócios. Explore outros artigos da série.

Seus dados são nosso ativo mais importante. Nós a protegemos durante todo o seu ciclo de vida com práticas de segurança robustas, treinamento de equipe específico para cada função e conformidade rigorosa com os regulamentos. Cuidamos da segurança de seus dados para que você possa se concentrar em adquirir, engajar e reter seus clientes.

Não deixamos pedra sobre pedra quando se trata de privacidade de dados

A Intercom é um processador de dados e tomamos o máximo cuidado com qualquer dado que tocamos. Com mais de três bilhões de registros de usuários finais e mais de 640 milhões de conversas facilitadas até o momento entre empresas e seus usuários – são muitos dados!

Cuidamos dos seus dados desde a ingestão até a exclusão. Neste post, falaremos sobre como protegemos seus dados durante:

  • Armazenamento, processamento e transmissão
  • Acesso
  • Expiração e exclusão

Processamento, armazenamento e transmissão

Como os dados são nosso principal ativo, confiamos apenas para que sejam tratados por provedores de serviços terceirizados que atendam e mantenham nosso padrão de segurança. Antes que um fornecedor seja contratado, nossas equipes de TI, jurídica e de segurança revisam completamente suas práticas de segurança e privacidade de dados. Os únicos fornecedores que têm acesso aos seus dados estão em nossa lista oficial de subprocessadores .

“Você pode optar por hospedar seus dados em uma região que atenda aos seus requisitos de conformidade e dar a você – e a seus usuários – tranquilidade”

Você pode optar por hospedar seus dados em uma região que atenda aos seus requisitos de conformidade e dê a você – e a seus usuários – tranquilidade. Os serviços e dados de intercomunicação são hospedados nas instalações da Amazon Web Services (AWS) nos EUA (us-east-1), Dublin, Irlanda (eu-west-1) e Sydney, Austrália.

Construímos nossos serviços com a recuperação de desastres em mente. Toda a nossa infraestrutura e dados estão espalhados por três zonas de disponibilidade da AWS e continuarão operando caso alguma delas falhe.

Os dados são mantidos seguros em repouso e em trânsito. Todos os dados enviados de ou para a Intercom por meio de nossa API e endpoints de aplicativos são criptografados usando TLS v1.2. Isso significa que usamos apenas conjuntos de cifras fortes e temos recursos como HSTS e Perfect Forward Secrecy totalmente habilitados. Também garantimos a criptografia em repouso usando um algoritmo de criptografia AES-256 padrão do setor para todos os dados do processador do cliente.

TL;DR:

  • Fazemos hospedagem regional na UA, UE e EUA
  • Os dados são criptografados em repouso e em trânsito com criptografia de 256 bits
  • Compartilhamos dados apenas com os fornecedores listados em nossa lista de subprocessadores

Acesso de dados

O acesso aos dados do cliente é limitado a funcionários autorizados que os necessitem para o seu trabalho. É concedido apenas quando necessário, com expiração sempre que possível. Quando a expiração não está disponível, os proprietários de ferramentas revisam e acessam a linha de base trimestralmente.

Aproveitamos um provedor de identidade para fornecer e restringir o acesso a todos os principais aplicativos corporativos e de produção. Implementamos uma arquitetura de sistema Zero Trust que exige autenticação biométrica em dispositivos gerenciados pela empresa, garantindo que o acesso a todos os serviços em nuvem seja protegido adequadamente.

Segurança do funcionário

Habilitamos e capacitamos nossos funcionários a tomar decisões seguras com nossos dados de produtos e clientes todos os dias por meio de uma combinação de treinamento e governança relacionada à conformidade.

Treinamento

Todos os funcionários completam o treinamento de Conscientização sobre Segurança e Privacidade anualmente, e empregamos cursos de treinamento Slack rápidos e envolventes ao longo do ano para manter o conhecimento de segurança das pessoas em mente. Complementamos o treinamento em toda a empresa com treinamento específico de função para grupos de alto risco, como suporte ao cliente e engenharia.

“Realizamos testes de phishing para todos os funcionários de forma contínua e estamos felizes em relatar uma taxa de aprovação > 96% para toda a nossa organização, com treinamento complementar quando necessário”

Realizamos testes de phishing para todos os funcionários de forma contínua e estamos felizes em relatar uma taxa de aprovação > 96% para toda a nossa organização, com treinamento complementar quando necessário.

Controle o acesso ao seu espaço de trabalho

Já falamos sobre nós acessarmos seus dados, mas e sua equipe? A Intercom emprega recursos de aplicativos corporativos para fornecer controle granular sobre o acesso (por seus colegas de equipe e usuários) e exclusão de dados.

Você pode controlar o acesso ao seu espaço de trabalho com SAML SSO e autenticação de dois fatores. Quando seus colegas de equipe estiverem dentro de seu espaço de trabalho, use níveis de permissão e funções granulares para especificar quem pode acessar determinados dados ou realizar ações destrutivas em escala. Além disso, se você precisar auditar quais ações os colegas de equipe realizam dentro do espaço de trabalho, você pode verificar os logs de atividades dos colegas de equipe para identificar quem está por trás de alterações críticas, por exemplo: exclusões ou exportações de dados.

Verificação de Identidade

O Intercom também oferece segurança adicional para o Intercom Messenger para evitar que os usuários se passem por outros ou acessem as conversas uns dos outros. Ativar a Verificação de identidade garantirá que os usuários com quem você fala sejam quem eles dizem ser. Esta é uma adição fortemente recomendada para qualquer instalação de intercomunicação.

TL;DR:

  • Empregamos privilégios mínimos para todos os funcionários da Intercom em todos os sistemas, com revisões trimestrais de acesso e linha de base para todas as ferramentas que processam seus dados
  • Temos treinamento específico para funções e testes de phishing para preparar nossa equipe
  • Também temos recursos de aplicativos de nível empresarial que oferecem esse nível de controle sobre os dados em seu espaço de trabalho

Expiração e exclusão de dados

Fizemos esforços significativos para nos alinharmos ao GDPR antes de sua introdução em 2018, concentrando-nos em esforços rigorosos de mapeamento de dados, treinamento, atualizações na documentação e revisões de retenção de dados para cada parte dos dados que armazenamos e processamos. Criamos uma cultura em que cada funcionário entende a importância de um ativo de dados – e sua classificação – para que possamos construir um ecossistema de dados seguro para você. Também temos um Diretor de Proteção de Dados nomeado dentro de nossa equipe Jurídica para orientar nossos esforços de proteção de dados.

“Não mantemos dados de que não precisamos”

Não mantemos dados de que não precisamos. Expiramos espaços de trabalho inativos após 13 meses e dados de visitantes do site após nove meses.

Se seus usuários solicitarem uma exclusão de usuário GDPR DSAR e você fizer isso na Intercom, começaremos a processar essa exclusão imediata e automaticamente. O mesmo se aplica se você optar por excluir seu espaço de trabalho do Intercom e todos os dados associados.

TL;DR:

  • Cumprimos e ajudamos você a cumprir o GDPR da UE
  • Mapeamos todos os nossos fluxos de dados
  • Temos a exclusão do workspace imediatamente mediante solicitação ou após 13 meses de inatividade
  • Os dados do visitante expiram após 9 meses

Conformidade: não acredite apenas em nossa palavra

A conformidade é um foco importante para nós na Intercom, e dedicamos uma equipe inteira dentro de nossa equipe mais ampla de Segurança da Informação (sem mencionar nossa equipe Jurídica) para garantir que aderimos aos padrões globais que protegem os dados dos clientes.

Para isso, buscamos os mais altos padrões de credenciamento reconhecidos pelo setor para que todos os nossos clientes, grandes e pequenos, possam confiar em nossas políticas e procedimentos. Todos os nossos relatórios e certificações de conformidade de segurança estão disponíveis mediante solicitação.

SO 2

A Intercom passa por auditorias anuais e mantém a conformidade com SOC 2 Tipo 2 com foco nos princípios de serviço de confiança de Segurança e Disponibilidade. Essas auditorias fornecem um reconhecimento em todo o setor de que as empresas estão em conformidade com o padrão SOC 2 do American Institute of Certified Public Accountants (“AICPA”), que mede a segurança e a disponibilidade e serve como garantia de que seus dados estão sendo gerenciados em um ambiente controlado e auditado.

HIPAA

A Intercom mantém um relatório de atestado HIPAA desde 2021, que abrange o manuseio e a proteção de informações de saúde protegidas (PHI) e informações de saúde protegidas eletrônicas (ePHI). Estamos comprometidos em realizar este exame de atestado HIPAA anualmente, para garantir a conformidade contínua e continuar a demonstrar a importância que damos à proteção das informações de saúde protegidas de nossos usuários finais.

“Estamos vigilantes e verificamos continuamente vulnerabilidades, configurações incorretas e ameaças que podem colocar seus dados em risco”

ISO/IEC 27001 e ISO/IEC 27018

A Intercom possui as certificações ISO/IEC 27001 e ISO/IEC 27018 de acordo com as diretrizes de implementação da ISO/IEC 27002. A Intercom passa por auditorias de certificação e vigilância a cada ano para manter essas certificações.

A ISO/IEC 27001 está relacionada ao Sistema de Gerenciamento de Segurança da Informação (ISMS) da Intercom, que é uma estrutura de políticas, procedimentos e controles de segurança implementados para gerenciar e proteger os dados críticos da Intercom. A ISO/IEC 27018 está relacionada ao código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas.

Esses certificados estabelecem objetivos de controle, controles e diretrizes comumente aceitos para implementar medidas para proteger os dados mais críticos da Intercom, incluindo PII.

Conformidade com GDPR

Nossas equipes garantiram que cumprimos o GDPR desde o momento em que entrou em vigor e continuamos a dedicar muito tempo e esforço à conformidade com o GDPR. Aqui está o que fizemos:

  • Criamos novos recursos para permitir que nossos clientes cumpram facilmente suas obrigações com o GDPR
  • Contratos de Processamento de Dados Atualizados
  • Garantimos que fomos certificados para Transferências Internacionais de Dados
  • Nomeado um Encarregado de Proteção de Dados
  • Coordenado com fornecedores sobre conformidade com GDPR
  • Reforçado e adicionado às medidas de segurança regularmente

Mas não paramos por aí – estamos sempre procurando maneiras de melhorar. Estamos vigilantes e verificamos continuamente vulnerabilidades, configurações incorretas e ameaças que podem colocar seus dados em risco.

“O aplicativo e a infraestrutura da Intercom são analisados ​​em detalhes pelos pesquisadores de segurança continuamente”

O aplicativo e a infraestrutura da Intercom são analisados ​​em detalhes pelos pesquisadores de segurança de forma contínua. Complementamos nossos testes de código estáticos e dinâmicos com testes de penetração duas vezes ao ano e um programa público de 'recompensa de bugs' . Nossos relatórios de pentest estão disponíveis mediante solicitação a todos os clientes existentes e potenciais.

Estamos constantemente à procura de maneiras de elevar nossos padrões de privacidade e conformidade de dados a novos patamares e fortalecer nossas políticas de proteção de dados. Nosso compromisso com os dados de nossos clientes e de seus clientes é o motivo pelo qual empresas de todos os tamanhos confiam em nós.

Algo que está faltando? Deixe-nos saber o que você gostaria de ver enviando um e-mail para [email protected].

Este é o quinto de uma série de conteúdo que aborda os investimentos da Intercom no apoio a grandes empresas. Explore outros artigos da série.