Как мы обеспечиваем самые высокие стандарты конфиденциальности данных и соответствия требованиям в Intercom

Опубликовано: 2022-10-20

В Intercom мы считаем, что доверие лежит в основе любых отношений между бизнесом и его клиентами.

По мере роста и масштабирования бизнеса им необходимо продолжать зарабатывать и укреплять это доверие всеми возможными способами, но с быстрорастущим набором технологий им необходимо отслеживать не только политику своей компании, но и политику каждой компании, с которой они сотрудничают. .

Это пятая публикация в серии материалов, посвященных инвестициям Intercom в поддержку крупного бизнеса. Ознакомьтесь с другими статьями этой серии.

Ваши данные — наш самый важный актив. Мы защищаем его на протяжении всего жизненного цикла с помощью надежных методов обеспечения безопасности, индивидуального обучения персонала и строгого соблюдения нормативных требований. Мы заботимся о безопасности ваших данных, чтобы вы могли сосредоточиться на привлечении, привлечении и удержании своих клиентов.

Мы не оставляем камня на камне, когда речь идет о конфиденциальности данных

Intercom является обработчиком данных, и мы очень бережно относимся к любым данным, к которым прикасаемся. Более трех миллиардов записей о конечных пользователях и более 640 миллионов разговоров между предприятиями и их пользователями — это очень много данных!

Мы заботимся о ваших данных от приема до удаления. В этом посте мы расскажем вам о том, как мы защищаем ваши данные во время:

  • Хранение, обработка и передача
  • Доступ
  • Срок действия и удаление

Обработка, хранение и передача

Поскольку данные являются нашим ключевым активом, мы доверяем их обработку только сторонним поставщикам услуг, которые соответствуют и поддерживают нашу планку безопасности. Прежде чем найти поставщика, наши ИТ-специалисты, юридические специалисты и специалисты по безопасности полностью изучают свои методы обеспечения безопасности и конфиденциальности данных. Единственные поставщики, которые имеют доступ к вашим данным, находятся в нашем официальном списке субобработчиков .

«Вы можете разместить свои данные в регионе, соответствующем вашим требованиям, и обеспечить вам — и вашим пользователям — душевное спокойствие».

Вы можете разместить свои данные в регионе, который соответствует вашим требованиям и обеспечит вам и вашим пользователям душевное спокойствие. Услуги и данные внутренней связи размещаются на объектах Amazon Web Services (AWS) в США (us-east-1), Дублине, Ирландия (eu-west-1) и Сиднее, Австралия.

Мы создаем наши услуги с учетом аварийного восстановления. Вся наша инфраструктура и данные распределены по трем зонам доступности AWS и будут продолжать работать в случае отказа любой из них.

Данные хранятся в безопасности в состоянии покоя и при передаче. Все данные, отправляемые в или из Intercom через наш API и конечные точки приложений, шифруются с использованием TLS v1.2. Это означает, что мы используем только стойкие комплекты шифров и полностью включили такие функции, как HSTS и Perfect Forward Secrecy. Мы также гарантируем шифрование при хранении с использованием стандартного отраслевого алгоритма шифрования AES-256 для всех данных процессора клиента.

TL;DR:

  • Мы делаем региональный хостинг в Австралии, ЕС и США.
  • Данные шифруются в состоянии покоя и при передаче с помощью 256-битного шифрования.
  • Мы делимся данными только с поставщиками, указанными в нашем списке субпроцессоров.

Доступ к данным

Доступ к данным клиентов предоставляется только уполномоченным сотрудникам, которым они необходимы для работы. Он предоставляется только тогда, когда это необходимо, с истечением срока действия, где это возможно. Когда истечение срока действия недоступно, владельцы инструментов ежеквартально проверяют и базовый доступ.

Мы используем поставщика удостоверений для предоставления и ограничения доступа ко всем ключевым корпоративным и производственным приложениям. Мы внедряем системную архитектуру с нулевым доверием, которая требует биометрической аутентификации на устройствах, управляемых компанией, и обеспечивает надлежащую защиту доступа ко всем облачным службам.

Безопасность сотрудников

Мы даем возможность нашим сотрудникам ежедневно принимать безопасные решения с данными о наших продуктах и ​​клиентах благодаря сочетанию обучения и управления, связанного с соблюдением нормативных требований.

Подготовка

Все сотрудники ежегодно проходят обучение по вопросам безопасности и конфиденциальности, и в течение года мы проводим быстрые и увлекательные учебные курсы по Slack, чтобы люди не забывали о своих знаниях в области безопасности. Мы дополняем общекорпоративное обучение обучением для конкретных ролей для групп высокого риска, таких как служба поддержки клиентов и инженеры.

«Мы регулярно проводим тесты на фишинг для всех сотрудников и рады сообщить, что показатель успешного прохождения > 96% для всей нашей организации, с дополнительным обучением, где это необходимо»

Мы регулярно проводим тесты на фишинг для всех сотрудников и рады сообщить, что показатель успешного прохождения теста превышает 96% для всей нашей организации, при необходимости проводя дополнительное обучение.

Управляйте доступом к своему рабочему пространству

Мы говорили о доступе к вашим данным, но как насчет вашей команды? Intercom использует функции корпоративных приложений, чтобы дать вам детальный контроль над доступом (для ваших товарищей по команде и пользователями) и удалением данных.

Вы можете контролировать доступ к своему рабочему пространству с помощью SAML SSO и двухфакторной аутентификации. Как только ваши товарищи по команде окажутся в вашем рабочем пространстве, используйте детализированные уровни разрешений и роли , чтобы указать, кто может получить доступ к определенным данным или предпринять деструктивные действия в масштабе. Кроме того, если вам нужно проверить, какие действия товарищи по команде предпринимают в рабочей области, вы можете проверить журналы активности товарищей по команде, чтобы определить, кто стоит за критическими изменениями, например: удаление или экспорт данных.

Проверка личности

Intercom также предлагает дополнительную защиту для Intercom Messenger, чтобы пользователи не выдавали себя за других или не получали доступ к разговорам друг друга. Включение проверки личности гарантирует, что пользователи, с которыми вы разговариваете, являются теми, за кого они себя выдают. Это настоятельно рекомендуемое дополнение к любой установке Intercom.

TL;DR:

  • Мы применяем минимальные привилегии для всех сотрудников Intercom во всех системах, с ежеквартальными проверками доступа и базовыми показателями для всех инструментов, обрабатывающих ваши данные.
  • У нас есть специальное обучение и фишинговые тесты для подготовки наших сотрудников
  • У нас также есть функции приложений корпоративного уровня, которые дают вам такой же уровень контроля над данными в вашей рабочей области.

Срок действия и удаление данных

Мы предприняли значительные усилия, чтобы привести в соответствие с GDPR до его введения в 2018 году, уделив особое внимание тщательному сопоставлению данных, обучению, обновлениям документации и проверкам хранения данных для каждой части данных, которые мы храним и обрабатываем. Мы создаем культуру, в которой каждый сотрудник понимает важность актива данных и его классификации, поэтому мы создаем для вас безопасную экосистему данных. У нас также есть назначенный сотрудник по защите данных в нашем юридическом отделе, который руководит нашими усилиями по защите данных.

«Мы не храним данные, которые нам не нужны»

Мы не храним данные, которые нам не нужны. Срок действия неактивных рабочих пространств истекает через 13 месяцев, а данных о посетителях веб-сайта — через девять месяцев.

Если ваши пользователи запрашивают удаление пользователя GDPR DSAR, и вы выполняете это в Intercom, мы начинаем обработку этого удаления немедленно и автоматически. То же самое применимо, если вы решите удалить свое рабочее пространство Intercom и все связанные с ним данные.

TL;DR:

  • Мы соблюдаем и помогаем вам соблюдать GDPR ЕС
  • Мы отображаем все наши потоки данных
  • У нас есть удаление рабочей области сразу по запросу или через 13 месяцев бездействия
  • Срок действия данных посетителей истекает через 9 месяцев

Соответствие требованиям: не верьте нам на слово

Соблюдение нормативных требований является для нас в Intercom основным приоритетом, и мы выделяем целую команду в рамках нашей более широкой группы по информационной безопасности (не говоря уже о нашей юридической команде), чтобы обеспечить соблюдение глобальных стандартов защиты данных клиентов.

С этой целью мы придерживаемся самых высоких стандартов признанной в отрасли аккредитации, чтобы все наши клиенты, большие и малые, могли доверять нашим политикам и процедурам. Все наши отчеты о соответствии требованиям безопасности и сертификаты доступны по запросу.

СОЦ 2

Intercom проходит ежегодные аудиты и поддерживает соответствие SOC 2 Type 2, уделяя особое внимание принципам службы доверия безопасности и доступности. Эти аудиты обеспечивают общеотраслевое признание того, что компании соответствуют стандарту SOC 2 Американского института сертифицированных бухгалтеров («AICPA»), который измеряет безопасность и доступность и служит гарантией того, что ваши данные управляются в контролируемой и проверенной среде.

HIPAA

Intercom ведет отчет об аттестации HIPAA с 2021 года, который охватывает обработку и защиту защищенной медицинской информации (PHI) и электронной защищенной медицинской информации (ePHI). Мы стремимся ежегодно проводить этот аттестационный экзамен HIPAA, чтобы обеспечить постоянное соответствие требованиям и продолжать демонстрировать важность, которую мы придаем защите конфиденциальной медицинской информации наших конечных пользователей.

«Мы бдительны и постоянно сканируем на наличие уязвимостей, неправильных конфигураций и угроз, которые могут поставить ваши данные под угрозу»

ИСО/МЭК 27001 и ИСО/МЭК 27018

Intercom имеет сертификаты ISO/IEC 27001 и ISO/IEC 27018 в соответствии с руководством по внедрению ISO/IEC 27002. Intercom ежегодно проходит сертификационные и надзорные проверки для поддержания этих сертификатов.

ISO/IEC 27001 относится к Системе управления информационной безопасностью (ISMS) Intercom, которая представляет собой структуру политик безопасности, процедур и средств контроля, используемых для управления и защиты критически важных данных Intercom. ISO/IEC 27018 относится к своду правил по защите личной информации (PII) в публичных облаках.

Эти сертификаты устанавливают общепринятые цели контроля, меры контроля и рекомендации по реализации мер по защите наиболее важных данных Intercom, включая персональные данные.

соответствие GDPR

Наши команды следили за тем, чтобы мы соблюдали GDPR с момента его вступления в силу, и мы продолжаем уделять много времени и усилий его соблюдению. Вот что мы сделали:

  • Встроены новые функции, позволяющие нашим клиентам легко выполнять свои обязательства GDPR.
  • Обновленные соглашения об обработке данных
  • Гарантия того, что мы прошли сертификацию для международной передачи данных
  • Назначен сотрудник по защите данных
  • Координация с поставщиками по вопросам соблюдения GDPR
  • Регулярно усиливаются и добавляются меры безопасности

Но мы не остановились на достигнутом – мы всегда ищем способы стать лучше. Мы бдительны и постоянно сканируем на наличие уязвимостей, неправильных конфигураций и угроз, которые могут поставить ваши данные под угрозу.

«Приложение и инфраструктура Intercom подробно изучаются исследователями безопасности на непрерывной основе»

Приложение и инфраструктура Intercom подробно изучаются исследователями в области безопасности на непрерывной основе. Мы дополняем наше статическое и динамическое тестирование кода проводимыми два раза в год тестами на проникновение и общедоступной программой «баунти-баунти» . Наши отчеты о пентестах доступны по запросу всем существующим и потенциальным клиентам.

Мы постоянно ищем способы вывести наши стандарты конфиденциальности и соблюдения требований на новый уровень, а также усилить наши политики защиты данных. Наша приверженность данным наших клиентов и их клиентов — вот почему компании любого размера доверяют нам.

Что-то, что мы упускаем? Дайте нам знать, что вы хотели бы видеть, отправив электронное письмо на адрес [email protected].

Это пятое из серии материалов, посвященных инвестициям Intercom в поддержку крупных компаний. Ознакомьтесь с другими статьями этой серии.