Cum asigurăm cele mai înalte standarde de confidențialitate și conformitate a datelor în cadrul Intercom

La Intercom, credem că încrederea se află la baza fiecărei relații dintre o afacere și clienții săi.

Pe măsură ce companiile se dezvoltă și se extind, trebuie să continue să câștige și să se bazeze pe această încredere în toate modurile pe care le pot – dar, având în vedere expansiunea rapidă a stack-urilor de tehnologie, trebuie să le monitorizeze nu doar propriile politici ale companiei, ci și cele ale fiecărei companii cu care partenerii. .

Aceasta este cea de-a cincea postare dintr-o serie de conținut care explorează investiția Intercom în sprijinirea afacerilor mari. Explorați alte articole din serie.

Datele dvs. sunt cel mai important activ al nostru. Îl protejăm pe tot parcursul ciclului său de viață cu practici de securitate robuste, instruire personalizată pentru fiecare rol și respectarea riguroasă a reglementărilor. Ne ocupăm de securitatea datelor dvs., astfel încât să vă puteți concentra pe achiziționarea, implicarea și păstrarea clienților dvs.

Nu lăsăm piatra neîntoarsă când vine vorba de confidențialitatea datelor

Intercom este un procesor de date și avem cea mai mare grijă cu orice date pe care le atingem. Cu peste trei miliarde de înregistrări ale utilizatorilor finali și peste 640 de milioane de conversații facilitate până în prezent între companii și utilizatorii lor - sunt o mulțime de date!

Ne ocupăm de datele dvs. de la ingerare până la ștergere. În această postare vă vom spune despre cum vă protejăm datele în timpul:

• Stocare, procesare și transmitere
• Acces
• Expirare și ștergere

Prelucrare, stocare și transmitere

Deoarece datele sunt activul nostru cheie, avem încredere că acestea vor fi tratate doar de către furnizori de servicii terți care îndeplinesc și mențin bara noastră de securitate. Înainte ca un furnizor să fie achiziționat, echipele noastre IT, juridice și de securitate își revizuiesc în întregime practicile de securitate și de confidențialitate a datelor. Singurii furnizori care au acces la datele dvs. se află în lista noastră oficială de subprocesatori .

„Puteți alege să vă găzduiți datele într-o regiune care se potrivește cerințelor dumneavoastră de conformitate și să vă ofere – și utilizatorilor – liniște sufletească”

Puteți alege să vă găzduiți datele într-o regiune care se potrivește cerințelor dvs. de conformitate și să vă ofere ție – și utilizatorilor tăi – liniște sufletească. Serviciile și datele de interfon sunt găzduite în facilitățile Amazon Web Services (AWS) din SUA (us-east-1), Dublin, Irlanda (eu-west-1) și Sydney, Australia.

Ne construim serviciile având în vedere recuperarea în caz de dezastru. Toată infrastructura și datele noastre sunt răspândite în trei zone de disponibilitate AWS și vor continua să funcționeze în cazul în care oricare dintre acestea eșuează.

Datele sunt păstrate în siguranță în repaus și în tranzit. Toate datele trimise către sau de la Intercom prin API-ul nostru și punctele finale ale aplicației sunt criptate folosind TLS v1.2. Aceasta înseamnă că folosim doar suite de criptare puternice și avem funcții precum HSTS și Perfect Forward Secrecy complet activate. De asemenea, garantăm criptarea în repaus folosind un algoritm de criptare AES-256 standard din industrie pentru toate datele procesorului clienților.

TL;DR:

• Facem găzduire regională în AU, UE și SUA
• Datele sunt criptate în repaus și în tranzit cu criptare pe 256 de biți
• Partajăm date doar cu furnizorii enumerați în lista noastră de subprocesori

Acces la date

Accesul la datele clienților este limitat la angajații autorizați care le solicită pentru munca lor. Se acordă doar când este necesar, cu expirare acolo unde este posibil. Atunci când expirarea nu este disponibilă, proprietarii de instrumente revizuiesc și accesează linia de referință trimestrial.

Utilizăm un furnizor de identitate pentru a oferi și a restricționa accesul la toate aplicațiile cheie corporative și de producție. Implementăm o arhitectură de sistem Zero Trust care impune autentificarea biometrică pe dispozitivele gestionate de companie, asigurând că accesul la toate serviciile cloud este protejat corespunzător.

Securitatea angajaților

Permitem și împuternicim angajaților noștri să ia decizii sigure cu datele despre produse și clienți în fiecare zi, printr-o combinație de instruire și guvernanță legată de conformitate.

Instruire

Toți angajații parcurg anual cursuri de instruire privind securitatea și confidențialitatea, iar noi angajăm cursuri de formare Slack rapide și captivante pe tot parcursul anului pentru a păstra în minte cunoștințele de securitate ale oamenilor. Suplimentăm formarea la nivel de companie cu instruire specifică rolului pentru grupuri cu risc ridicat, cum ar fi asistența pentru clienți și inginerie.

„Efectuăm teste de phishing pentru toți angajații în mod continuu și suntem bucuroși să raportăm o rată de promovare >96% pentru întreaga noastră organizație, cu pregătire suplimentară acolo unde este necesar.”

Efectuăm teste de phishing pentru toți angajații în mod continuu și suntem bucuroși să raportăm o rată de promovare >96% pentru întreaga noastră organizație, cu pregătire suplimentară acolo unde este necesar.

Controlați accesul la spațiul dvs. de lucru

Am vorbit despre accesarea datelor tale, dar cum rămâne cu echipa ta? Intercom folosește caracteristici ale aplicației de întreprindere pentru a vă oferi un control granular asupra accesului (de către colegii de echipă și utilizatorii) și ștergerea datelor.

Puteți controla accesul la spațiul de lucru cu SAML SSO și autentificare cu doi factori. Odată ce colegii dvs. de echipă se află în spațiul dvs. de lucru, utilizați niveluri de permisiune granulare și roluri pentru a specifica cine poate accesa anumite date sau poate întreprinde acțiuni distructive, la scară. În plus, dacă trebuie să auditați acțiunile întreprinse de colegii de echipă în spațiul de lucru, puteți verifica jurnalele de activitate ale coechipierilor pentru a identifica cine se află în spatele modificărilor critice, de exemplu: ștergeri sau exporturi de date.

Verificarea identității

Intercomul oferă, de asemenea, securitate suplimentară pentru Intercom Messenger, pentru a împiedica utilizatorii să se usureze sau să acceseze conversațiile celuilalt. Activarea verificării identității va asigura că utilizatorii cu care vorbiți sunt cine spun că sunt. Acesta este un plus recomandat pentru orice instalare de interfon.

TL;DR:

• Angajăm cel mai mic privilegiu pentru toți angajații Intercom pe toate sistemele, cu analize trimestriale de acces și date de referință pentru toate instrumentele care prelucrează datele dvs.
• Avem pregătire specifică rolului și teste de phishing pentru a ne pregăti personalul
• Avem, de asemenea, funcții de aplicație la nivel de întreprindere care vă oferă acest nivel de control asupra datelor din spațiul dvs. de lucru

Expirarea și ștergerea datelor

Am depus eforturi semnificative pentru a ne alinia la GDPR înainte de introducerea acestuia în 2018, concentrându-ne pe eforturi riguroase de cartografiere a datelor, instruire, actualizări ale documentației și revizuiri de păstrare a datelor pentru fiecare bucată de date pe care le stocăm și procesăm. Creăm o cultură în care fiecare angajat înțelege importanța unui activ de date – și clasificarea acestuia – astfel încât să construim un ecosistem de date sigur pentru tine. Avem, de asemenea, un responsabil cu protecția datelor desemnat în cadrul echipei noastre juridice pentru a ne ghida eforturile de protecție a datelor.

„Nu păstrăm datele de care nu avem nevoie”

Nu păstrăm datele de care nu avem nevoie. Expirăm spațiile de lucru inactive după 13 luni, iar datele vizitatorilor site-ului web după nouă luni.

Dacă utilizatorii dvs. solicită ștergerea utilizatorului GDPR DSAR și o efectuați în Intercom, începem să procesăm acea ștergere imediat și automat. Același lucru este valabil dacă alegeți să ștergeți spațiul de lucru Intercom și toate datele asociate.

TL;DR:

• Ne conformăm și vă ajutăm să respectați GDPR al UE
• Cartografiam toate fluxurile noastre de date
• Avem ștergerea spațiului de lucru imediat la cerere sau după 13 luni de inactivitate
• Datele vizitatorilor expiră după 9 luni

Conformitate: Nu ne credeți pe cuvânt

Conformitatea este un accent major pentru noi la Intercom și dedicăm o întreagă echipă în cadrul echipei noastre mai largi de securitate a informațiilor (să nu mai vorbim de echipa noastră juridică) pentru a ne asigura că respectăm standardele globale care protejează datele clienților.

În acest scop, urmărim cele mai înalte standarde de acreditare recunoscute de industrie, astfel încât toți clienții noștri, mari și mici, să aibă încredere în politicile și procedurile noastre. Toate rapoartele și certificările noastre de conformitate cu securitatea sunt disponibile la cerere.

SOC 2

Intercom este supus auditurilor anuale și menține conformitatea cu SOC 2 Tip 2, concentrându-se pe principiile serviciilor de încredere de securitate și disponibilitate. Aceste audituri oferă o recunoaștere la nivel de industrie a faptului că companiile se conformează cu standardul SOC 2 al Institutului American de Contabili Publici Autorizați („AICPA”), care măsoară securitatea și disponibilitatea și servește drept asigurare că datele dumneavoastră sunt gestionate într-un mediu controlat și auditat.

HIPAA

Intercom a menținut un raport de atestare HIPAA din 2021, care acoperă manipularea și protejarea informațiilor de sănătate protejate (PHI) și informațiilor electronice de sănătate protejate (ePHI). Ne angajăm să efectuăm anual această examinare de atestare HIPAA, pentru a asigura conformitatea continuă și a demonstra în continuare importanța pe care o acordăm protejării informațiilor de sănătate protejate ale utilizatorilor finali.

„Suntem vigilenți și scanăm continuu pentru vulnerabilități, configurații greșite și amenințări care vă pot pune în pericol datele”

ISO/IEC 27001 și ISO/IEC 27018

Intercom deține certificări ISO/IEC 27001 și ISO/IEC 27018 în conformitate cu ghidul de implementare ISO/IEC 27002. Intercom este supus auditurilor de certificare și supraveghere în fiecare an pentru a menține aceste certificări.

ISO/IEC 27001 se referă la Sistemul de management al securității informațiilor (ISMS) al Intercomului, care este un cadru de politici de securitate, proceduri și controale pentru a gestiona și proteja datele critice ale Intercomului. ISO/IEC 27018 se referă la codul de practică pentru protecția informațiilor de identificare personală (PII) în cloud-urile publice.

Aceste certificate stabilesc obiective de control, controale și linii directoare acceptate în mod obișnuit pentru implementarea măsurilor de protejare a celor mai critice date ale Intercom, inclusiv PII.

Conformitatea GDPR

Echipele noastre s-au asigurat că respectăm GDPR din momentul în care acesta a intrat în vigoare și continuăm să dedicăm mult timp și efort respectării GDPR. Iată ce am făcut:

• Am creat funcții noi pentru a le permite clienților noștri să-și îndeplinească cu ușurință obligațiile GDPR
• Acorduri de prelucrare a datelor actualizate
• Ne-am asigurat că am fost certificati pentru transferuri internaționale de date
• A fost numit responsabil cu protecția datelor
• Coordonat cu furnizorii în ceea ce privește conformitatea GDPR
• Întărit și adăugat la măsurile de securitate în mod regulat

Dar nu ne-am oprit aici – căutăm mereu modalități de îmbunătățire. Suntem vigilenți și scanăm continuu pentru vulnerabilități, configurări greșite și amenințări care vă pot pune în pericol datele.

„Aplicația și infrastructura de interfon sunt analizate în detaliu de către cercetătorii de securitate în mod continuu”

Aplicația și infrastructura Intercom sunt analizate în detaliu de către cercetătorii de securitate în mod continuu. Suplimentăm testarea codului static și dinamic cu teste de penetrare de două ori pe an și un program public de „bug bounty” . Rapoartele noastre pentest sunt disponibile la cerere pentru toți clienții existenți și prospectivi.

Căutăm în mod constant modalități de a aduce confidențialitatea datelor și standardele de conformitate la noi cote și de a ne consolida politicile de protecție a datelor. Angajamentul nostru față de datele clienților noștri și ale clienților acestora este motivul pentru care companiile de toate dimensiunile își pun încrederea în noi.

Ceva ne lipsește? Spuneți-ne ce ați dori să vedeți trimițând un e-mail la [email protected].

Acesta este al cincilea dintr-o serie de conținut care se scufundă în investițiile Intercom în sprijinirea companiilor mari. Explorați alte articole din serie.