• โฮมเพจ
  • บทความ
  • การตลาด
  • วิธีที่เรารับรองมาตรฐานสูงสุดของความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามข้อกำหนดภายในอินเตอร์คอม

วิธีที่เรารับรองมาตรฐานสูงสุดของความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามข้อกำหนดภายในอินเตอร์คอม

เผยแพร่แล้ว: 2022-10-20

ที่ Intercom เราเชื่อว่าความไว้วางใจเป็นหัวใจสำคัญของทุกความสัมพันธ์ระหว่างธุรกิจและลูกค้า

เมื่อธุรกิจเติบโตและขยายใหญ่ขึ้น พวกเขาจำเป็นต้องสร้างรายได้และสร้างความไว้วางใจต่อไปในทุกวิถีทางที่ทำได้ แต่ด้วยกลุ่มเทคโนโลยีที่ขยายตัวอย่างรวดเร็ว ไม่ใช่แค่นโยบายของบริษัทที่พวกเขาต้องติดตามเท่านั้น แต่ยังเป็นนโยบายของบริษัททุกแห่งที่พวกเขาเป็นพันธมิตรด้วย .

นี่เป็นโพสต์ที่ห้าในชุดเนื้อหาที่สำรวจการลงทุนของอินเตอร์คอมในการสนับสนุนธุรกิจขนาดใหญ่ สำรวจบทความอื่นๆ ในซีรีส์

ข้อมูลของคุณเป็นทรัพย์สินที่สำคัญที่สุดของเรา เราปกป้องมันตลอดวงจรชีวิตด้วยแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง การฝึกอบรมพนักงานเฉพาะตามบทบาทที่ปรับแต่งได้ และการปฏิบัติตามกฎระเบียบที่เข้มงวด เราจัดการการรักษาความปลอดภัยของข้อมูลของคุณ เพื่อให้คุณสามารถมุ่งเน้นไปที่การได้มา การมีส่วนร่วม และการรักษาลูกค้าของคุณ

เราไม่ปล่อยให้หินหลุดมือเมื่อพูดถึงความเป็นส่วนตัวของข้อมูล

อินเตอร์คอมเป็นตัวประมวลผลข้อมูล และเราใส่ใจอย่างเต็มที่กับข้อมูลใดๆ ที่เราสัมผัส ด้วยบันทึกผู้ใช้ปลายทางมากกว่า 3 พันล้านรายการและการสนทนากว่า 640 ล้านครั้งในปัจจุบันที่อำนวยความสะดวกระหว่างธุรกิจและผู้ใช้ – นั่นเป็นข้อมูลจำนวนมาก!

เราดูแลข้อมูลของคุณตั้งแต่การนำเข้าจนถึงการลบ ในโพสต์นี้ เราจะบอกคุณเกี่ยวกับวิธีที่เราปกป้องข้อมูลของคุณระหว่าง:

  • การจัดเก็บ การประมวลผล และการส่งผ่าน
  • เข้าถึง
  • การหมดอายุและการลบ

การประมวลผล การจัดเก็บ และการส่งผ่าน

เนื่องจากข้อมูลเป็นทรัพย์สินหลักของเรา เราจึงวางใจว่าให้จัดการโดยผู้ให้บริการบุคคลที่สามที่ตอบสนองและดูแลรักษาแถบการรักษาความปลอดภัยของเราเท่านั้น ก่อนที่ผู้จำหน่ายจะได้รับการจัดหา ทีมไอที กฎหมาย และการรักษาความปลอดภัยของเราจะตรวจสอบหลักปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างครบถ้วน ผู้จำหน่ายรายเดียวที่มีสิทธิ์เข้าถึงข้อมูลของคุณอยู่ใน รายชื่อผู้ประมวลผลย่อยอย่างเป็นทางการ ของ เรา

“คุณสามารถเลือกโฮสต์ข้อมูลของคุณในภูมิภาคที่เหมาะสมกับข้อกำหนดและให้ความอุ่นใจแก่คุณ – และผู้ใช้ของคุณ”

คุณสามารถเลือกที่จะโฮสต์ข้อมูลของคุณในภูมิภาคที่เหมาะสมกับข้อกำหนดการปฏิบัติตามข้อกำหนด และให้ความอุ่นใจแก่คุณและผู้ใช้ของคุณ บริการและข้อมูลอินเตอร์คอมโฮสต์อยู่ในบริการ Amazon Web Services (AWS) ในสหรัฐอเมริกา (us-east-1), ดับลิน, ไอร์แลนด์ (eu-west-1) และซิดนีย์ ออสเตรเลีย

เราสร้างบริการของเราโดยคำนึงถึงการกู้คืนข้อมูลหลังภัยพิบัติ โครงสร้างพื้นฐานและข้อมูลทั้งหมดของเรากระจายอยู่ในโซนความพร้อมใช้งานของ AWS สามโซน และจะยังคงทำงานต่อไปหากส่วนใดส่วนหนึ่งล้มเหลว

ข้อมูลจะถูกเก็บไว้อย่างปลอดภัยเมื่อไม่มีการเคลื่อนไหวและระหว่างทาง ข้อมูลทั้งหมดที่ส่งไปยังหรือจากอินเตอร์คอมผ่าน API และปลายทางของแอปพลิเคชันของเราจะถูกเข้ารหัสโดยใช้ TLS v1.2 ซึ่งหมายความว่าเราใช้เฉพาะชุดการเข้ารหัสที่รัดกุมและมีคุณสมบัติเช่น HSTS และ Perfect Forward Secrecy ที่เปิดใช้งานอย่างสมบูรณ์ นอกจากนี้เรายังรับประกันการเข้ารหัสเมื่อไม่ได้ใช้งานโดยใช้อัลกอริธึมการเข้ารหัส AES-256 ที่เป็นมาตรฐานอุตสาหกรรมสำหรับข้อมูลโปรเซสเซอร์ของลูกค้าทั้งหมด

TL;DR:

  • เราทำโฮสติ้งระดับภูมิภาคใน AU, EU และ US
  • ข้อมูลจะถูกเข้ารหัสเมื่อไม่มีการเคลื่อนไหวและกำลังส่งด้วยการเข้ารหัส 256 บิต
  • เราแบ่งปันข้อมูลกับผู้ขายที่อยู่ในรายชื่อผู้ประมวลผลย่อยของเราเท่านั้น

การเข้าถึงข้อมูล

การเข้าถึงข้อมูลลูกค้าจำกัดเฉพาะพนักงานที่ได้รับอนุญาตที่ต้องการข้อมูลดังกล่าวสำหรับงานของตน จะได้รับเมื่อจำเป็นเท่านั้น โดยจะหมดอายุหากทำได้ เมื่อไม่มีวันหมดอายุ เจ้าของเครื่องมือจะตรวจสอบและเข้าถึงข้อมูลพื้นฐานทุกไตรมาส

เราใช้ประโยชน์จากผู้ให้บริการข้อมูลประจำตัวเพื่อจัดหาและจำกัดการเข้าถึงแอปพลิเคชันองค์กรและการผลิตที่สำคัญทั้งหมด เราใช้สถาปัตยกรรมระบบ Zero Trust ซึ่งกำหนดให้มีการตรวจสอบไบโอเมตริกซ์บนอุปกรณ์ที่จัดการโดยบริษัท เพื่อให้มั่นใจว่าการเข้าถึงบริการคลาวด์ทั้งหมดได้รับการปกป้องอย่างเพียงพอ

ความปลอดภัยของพนักงาน

เราเปิดใช้งานและมอบอำนาจให้พนักงานของเราตัดสินใจได้อย่างปลอดภัยด้วยข้อมูลผลิตภัณฑ์และลูกค้าของเราทุกวันผ่านการผสมผสานระหว่างการฝึกอบรมและการกำกับดูแลที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ

การฝึกอบรม

พนักงานทุกคนเข้ารับการฝึกอบรมเรื่องความปลอดภัยและการรับรู้ความเป็นส่วนตัวทุกปี และเราใช้หลักสูตรการฝึกอบรม Slack ที่รวดเร็วและมีส่วนร่วมตลอดทั้งปีเพื่อให้ความรู้ด้านความปลอดภัยของผู้คนอยู่ในใจ เราเสริมการฝึกอบรมทั่วทั้งบริษัทด้วยการฝึกอบรมเฉพาะบทบาทสำหรับกลุ่มที่มีความเสี่ยงสูง เช่น การสนับสนุนลูกค้าและวิศวกรรม

“เราทำการทดสอบฟิชชิ่งสำหรับพนักงานทุกคนเป็นระยะๆ และยินดีที่จะรายงานอัตราการผ่าน >96% สำหรับทั้งองค์กรของเรา พร้อมการฝึกอบรมเสริมในกรณีที่จำเป็น”

เราทำการทดสอบฟิชชิ่งสำหรับพนักงานทุกคนเป็นระยะๆ และยินดีที่จะรายงานอัตราการผ่าน >96% สำหรับทั้งองค์กรของเรา พร้อมการฝึกอบรมเสริมในกรณีที่จำเป็น

ควบคุมการเข้าถึงพื้นที่ทำงานของคุณ

เราได้พูดคุยเกี่ยวกับการเข้าถึงข้อมูลของคุณ แต่แล้วทีมของคุณล่ะ อินเตอร์คอมใช้คุณลักษณะแอปพลิเคชันระดับองค์กรเพื่อให้คุณควบคุมการเข้าถึง (โดยเพื่อนร่วมทีมและผู้ใช้ของคุณ) และการลบข้อมูลอย่างละเอียด

คุณสามารถควบคุมการเข้าถึงพื้นที่ทำงานของคุณด้วย SAML SSO และการตรวจสอบสิทธิ์แบบสองปัจจัย เมื่อเพื่อนร่วมทีมของคุณอยู่ในพื้นที่ทำงานของคุณแล้ว ให้ใช้ ระดับการ อนุญาต และ บทบาท ที่ละเอียด เพื่อระบุว่าใครบ้างที่สามารถเข้าถึงข้อมูลบางอย่างหรือดำเนินการทำลายล้างในวงกว้าง นอกจากนี้ หากคุณต้องการตรวจสอบการกระทำของเพื่อนร่วมทีมในพื้นที่ทำงาน คุณสามารถตรวจสอบ บันทึกกิจกรรมของเพื่อนร่วมทีม เพื่อระบุว่าใครอยู่เบื้องหลังการเปลี่ยนแปลงที่สำคัญ เช่น การลบข้อมูลหรือการส่งออก

การยืนยันตัวตน

อินเตอร์คอมยังมีการรักษาความปลอดภัยเพิ่มเติมสำหรับ Intercom Messenger เพื่อป้องกันไม่ให้ผู้ใช้แอบอ้างเป็นบุคคลอื่นหรือเข้าถึงการสนทนาของกันและกัน การเปิดใช้งานการยืนยันตัวตนจะช่วยให้มั่นใจได้ว่าผู้ใช้ที่คุณคุยด้วยเป็นคนที่พวกเขาบอกว่าเป็น นี่เป็นส่วนเสริมที่แนะนำอย่างยิ่งในการติดตั้งอินเตอร์คอมใดๆ

TL;DR:

  • เราใช้สิทธิพิเศษน้อยที่สุดสำหรับพนักงานอินเตอร์คอมทุกคนในทุกระบบ โดยมีการตรวจสอบการเข้าถึงรายไตรมาสและพื้นฐานสำหรับเครื่องมือทั้งหมดที่ประมวลผลข้อมูลของคุณ
  • เรามีการฝึกอบรมเฉพาะบทบาทและการทดสอบฟิชชิ่งเพื่อเตรียมพนักงานของเรา
  • เรายังมีคุณสมบัติแอประดับองค์กรที่ให้ คุณ ควบคุมข้อมูลในพื้นที่ทำงานของคุณได้ในระดับนี้

การหมดอายุและการลบข้อมูล

เราใช้ความพยายามอย่างมากในการปรับให้สอดคล้องกับ GDPR ก่อนเปิดตัวในปี 2018 โดยมุ่งเน้นที่ความพยายามในการทำแผนที่ข้อมูลอย่างเข้มงวด การฝึกอบรม การอัปเดตเอกสารประกอบ และการตรวจสอบการเก็บรักษาข้อมูลสำหรับข้อมูลทุกชิ้นที่เราจัดเก็บและประมวลผล เราสร้างวัฒนธรรมที่พนักงานทุกคนเข้าใจถึงความสำคัญของสินทรัพย์ข้อมูลและการจัดหมวดหมู่ เพื่อให้เราสร้างระบบนิเวศข้อมูลที่ปลอดภัยสำหรับคุณ นอกจากนี้เรายังมีเจ้าหน้าที่คุ้มครองข้อมูลที่ได้รับการแต่งตั้งภายในทีมกฎหมายของเราเพื่อเป็นแนวทางในการปกป้องข้อมูลของเรา

“เราไม่เก็บข้อมูลที่เราไม่ต้องการ”

เราไม่เก็บข้อมูลที่เราไม่ต้องการ เราจะหมดอายุพื้นที่ทำงานที่ไม่ใช้งานหลังจาก 13 เดือนและข้อมูลผู้เยี่ยมชมเว็บไซต์หลังจากเก้าเดือน

หากผู้ใช้ของคุณขอให้ลบผู้ใช้ GDPR DSAR และคุณดำเนินการดังกล่าวในอินเตอร์คอม เราจะเริ่มดำเนินการลบนั้นทันทีและโดยอัตโนมัติ เช่นเดียวกับถ้าคุณเลือกที่จะลบพื้นที่ทำงานของ Intercom และข้อมูลที่เกี่ยวข้องทั้งหมด

TL;DR:

  • เราปฏิบัติตามและช่วยให้คุณปฏิบัติตาม GDPR . ของสหภาพยุโรป
  • เราแมปโฟลว์ข้อมูลทั้งหมดของเรา
  • เรามีการลบพื้นที่ทำงานทันทีตามคำขอหรือหลังจากไม่มีการใช้งานเป็นเวลา 13 เดือน
  • ข้อมูลผู้เข้าชมจะหมดอายุหลังจาก 9 เดือน

การปฏิบัติตาม: อย่าเพิ่งเชื่อคำพูดของเรา

การปฏิบัติตามข้อกำหนดเป็นจุดสนใจหลักสำหรับเราที่ Intercom และเราทุ่มเททั้งทีมภายในทีมรักษาความปลอดภัยข้อมูลในวงกว้างของเรา (ไม่ต้องพูดถึงทีมกฎหมายของเรา) เพื่อให้แน่ใจว่าเราปฏิบัติตามมาตรฐานสากลที่ปกป้องข้อมูลลูกค้า

ด้วยเหตุนี้ เราจึงดำเนินการตามมาตรฐานสูงสุดของการรับรองที่เป็นที่ยอมรับในอุตสาหกรรม เพื่อให้ลูกค้าทั้งรายใหญ่และรายเล็กสามารถไว้วางใจในนโยบายและขั้นตอนการทำงานของเราได้ สามารถขอรายงานการปฏิบัติตามข้อกำหนดด้านความปลอดภัยและการรับรองทั้งหมดได้

SOC2

อินเตอร์คอมได้รับการตรวจสอบทุกปีและรักษาการปฏิบัติตาม SOC 2 Type 2 โดยเน้นที่หลักการบริการที่เชื่อถือได้ด้านความปลอดภัยและความพร้อมใช้งาน การตรวจสอบเหล่านี้ให้การยอมรับทั่วทั้งอุตสาหกรรมว่าบริษัทต่างๆ เป็นไปตามมาตรฐาน SOC 2 ของ American Institute of Certified Public Accountants (“AICPA”) ซึ่งวัดความปลอดภัยและความพร้อมใช้งาน และทำหน้าที่เป็นการรับประกันว่าข้อมูลของคุณได้รับการจัดการในสภาพแวดล้อมที่มีการควบคุมและตรวจสอบ

HIPAA

อินเตอร์คอมได้จัดทำรายงานการรับรอง HIPAA ตั้งแต่ปี พ.ศ. 2564 ซึ่งครอบคลุมการจัดการและการปกป้องข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) เรามุ่งมั่นที่จะดำเนินการตรวจสอบเอกสารรับรอง HIPAA ทุกปี เพื่อให้แน่ใจว่ามีการปฏิบัติตามอย่างต่อเนื่องและยังคงแสดงให้เห็นถึงความสำคัญที่เราให้ความสำคัญในการปกป้องผู้ใช้ปลายทางของเราที่ได้รับการคุ้มครองข้อมูลด้านสุขภาพ

“เราเฝ้าระวังและสแกนหาช่องโหว่ การกำหนดค่าผิดพลาด และภัยคุกคามอย่างต่อเนื่องซึ่งอาจทำให้ข้อมูลของคุณตกอยู่ในอันตราย”

ISO/IEC 27001 และ ISO/IEC 27018

อินเตอร์คอมได้รับการรับรองมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27018 ซึ่งสอดคล้องกับแนวทางการนำ ISO/IEC 27002 ไปปฏิบัติ อินเตอร์คอมได้รับการรับรองและการตรวจสอบการเฝ้าระวังในแต่ละปีเพื่อรักษาใบรับรองเหล่านี้

ISO/IEC 27001 เกี่ยวข้องกับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ของอินเตอร์คอม ซึ่งเป็นกรอบของนโยบายความปลอดภัย ขั้นตอนและการควบคุมที่ใช้เพื่อจัดการและปกป้องข้อมูลสำคัญของอินเตอร์คอม ISO/IEC 27018 เกี่ยวข้องกับหลักปฏิบัติในการปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ในระบบคลาวด์สาธารณะ

ใบรับรองเหล่านี้กำหนดวัตถุประสงค์การควบคุม การควบคุม และแนวทางปฏิบัติที่เป็นที่ยอมรับโดยทั่วไปสำหรับการใช้มาตรการเพื่อปกป้องข้อมูลที่สำคัญที่สุดของอินเตอร์คอม ซึ่งรวมถึง PII

การปฏิบัติตาม GDPR

ทีมงานของเรารับรองว่าเราปฏิบัติตาม GDPR ทันทีที่มีผลบังคับใช้ และเรายังคงทุ่มเทเวลาและความพยายามอย่างมากในการปฏิบัติตาม GDPR นี่คือสิ่งที่เราทำ:

  • สร้างคุณสมบัติใหม่เพื่อให้ลูกค้าของเราสามารถปฏิบัติตามภาระผูกพันของ GDPR ได้อย่างง่ายดาย
  • อัปเดตข้อตกลงการประมวลผลข้อมูล
  • มั่นใจได้ว่าเราได้รับการรับรองสำหรับการถ่ายโอนข้อมูลระหว่างประเทศ
  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล
  • ประสานงานกับผู้ขายเกี่ยวกับการปฏิบัติตาม GDPR
  • เสริมและเพิ่มมาตรการรักษาความปลอดภัยอย่างสม่ำเสมอ

แต่เราไม่ได้หยุดอยู่แค่นั้น เรามองหาวิธีปรับปรุงอยู่เสมอ เราระมัดระวังและสแกนหาช่องโหว่ การกำหนดค่าที่ไม่ถูกต้อง และภัยคุกคามอย่างต่อเนื่องซึ่งอาจทำให้ข้อมูลของคุณตกอยู่ในอันตราย

“แอปพลิเคชันและโครงสร้างพื้นฐานของอินเตอร์คอมได้รับการพิจารณาอย่างละเอียดโดยนักวิจัยด้านความปลอดภัยเป็นระยะๆ”

แอปพลิเคชันและโครงสร้างพื้นฐานของอินเตอร์คอมได้รับการพิจารณาโดยละเอียดโดยนักวิจัยด้านความปลอดภัยเป็นระยะๆ เราเสริมการทดสอบโค้ดแบบคงที่และแบบไดนามิกด้วยการทดสอบการเจาะระบบปีละสองครั้งและโปรแกรม 'bug bounty' สาธารณะ รายงานที่ทดสอบแล้วของเราพร้อมให้บริการตามคำขอสำหรับลูกค้าปัจจุบันและลูกค้าที่มุ่งหวังทั้งหมด

เรามองหาวิธีที่จะยกระดับความเป็นส่วนตัวของข้อมูลและมาตรฐานการปฏิบัติตามข้อกำหนดให้สูงขึ้นอย่างต่อเนื่อง และเสริมความแข็งแกร่งให้กับนโยบายการปกป้องข้อมูลของเรา ความมุ่งมั่นของเราต่อข้อมูลของลูกค้าและของลูกค้าคือเหตุผลที่บริษัททุกขนาดไว้วางใจในเรา

สิ่งที่เราขาดหายไป? แจ้งให้เราทราบว่าคุณต้องการเห็นอะไรโดยส่งอีเมลมาที่ [email protected]

นี่เป็นครั้งที่ห้าในซีรีส์เนื้อหาที่เจาะลึกการลงทุนของอินเตอร์คอมในการสนับสนุนบริษัทขนาดใหญ่ สำรวจบทความอื่นๆ ในซีรีส์