• Anasayfa
  • Nesne
  • Pazarlama
  • Intercom'da en yüksek veri gizliliği ve uyumluluğu standartlarını nasıl sağlıyoruz?

Intercom'da en yüksek veri gizliliği ve uyumluluğu standartlarını nasıl sağlıyoruz?

Yayınlanan: 2022-10-20

Intercom'da, bir işletme ile müşterileri arasındaki her ilişkinin temelinde güven olduğuna inanıyoruz.

İşletmeler büyüdükçe ve ölçeklendikçe, kazanabilecekleri her şekilde bu güveni kazanmaya ve inşa etmeye devam etmelidirler - ancak hızla genişleyen teknoloji yığınlarıyla, izlemeleri gereken sadece kendi şirket politikalarını değil, ortak oldukları her şirketin politikalarını da izlemek zorundadır. .

Bu, Intercom'un büyük işletmeleri desteklemeye yaptığı yatırımı araştıran bir içerik serisindeki beşinci gönderi. Serideki diğer makaleleri keşfedin.

Verileriniz bizim en kritik varlığımızdır. Sağlam güvenlik uygulamaları, özel olarak hazırlanmış role özel personel eğitimi ve düzenlemelere sıkı uyumluluk ile yaşam döngüsü boyunca koruyoruz. Müşterilerinizi elde etmeye, onlarla etkileşime geçmeye ve onları elde tutmaya odaklanabilmeniz için verilerinizin güvenliğini biz yönetiyoruz.

Veri gizliliği söz konusu olduğunda hiçbir taş bırakmıyoruz

Intercom bir veri işlemcisidir ve dokunduğumuz her veriye azami özeni gösteririz. Bugüne kadar işletmeler ve kullanıcıları arasında kolaylaştırılan üç milyardan fazla son kullanıcı kaydı ve 640 milyondan fazla görüşme ile – bu çok fazla veri demektir!

Verilerinizin alınmasından silinmesine kadar ilgileniyoruz. Bu gönderide, aşağıdakiler sırasında verilerinizi nasıl koruduğumuzdan bahsedeceğiz:

  • Depolama, işleme ve iletim
  • Erişim
  • Süre sonu ve silme

İşleme, depolama ve iletim

Veriler bizim temel varlığımız olduğundan, yalnızca güvenlik çıtamızı karşılayan ve koruyan üçüncü taraf hizmet sağlayıcılar tarafından ele alınacağına güveniyoruz. Bir satıcı tedarik edilmeden önce BT, hukuk ve güvenlik ekiplerimiz güvenlik ve veri gizliliği uygulamalarını eksiksiz olarak gözden geçirir. Verilerinize erişimi olan tek satıcılar resmi alt işlemci listemizdedir .

"Verilerinizi uyumluluk gereksinimlerinize uygun bir bölgede barındırmayı seçebilir ve size ve kullanıcılarınıza gönül rahatlığı sağlayabilirsiniz"

Verilerinizi uyumluluk gereksinimlerinize uygun bir bölgede barındırmayı seçebilir ve size ve kullanıcılarınıza gönül rahatlığı sağlayabilirsiniz. Dahili haberleşme hizmetleri ve verileri, ABD (us-east-1), Dublin, İrlanda (eu-west-1) ve Sidney, Avustralya'daki Amazon Web Services (AWS) tesislerinde barındırılmaktadır.

Hizmetlerimizi olağanüstü durum kurtarmayı göz önünde bulundurarak oluşturuyoruz. Tüm altyapımız ve verilerimiz üç AWS erişilebilirlik bölgesine yayılmıştır ve bunlardan herhangi birinin arızalanması durumunda çalışmaya devam edecektir.

Veriler beklemede ve aktarım sırasında güvende tutulur. API'miz ve uygulama uç noktalarımız aracılığıyla Intercom'a veya Intercom'dan gönderilen tüm veriler TLS v1.2 kullanılarak şifrelenir. Bu, yalnızca güçlü şifre paketleri kullandığımız ve HSTS ve Perfect Forward Secrecy gibi özelliklerin tamamen etkinleştirilmiş olduğu anlamına gelir. Ayrıca, tüm müşteri işlemci verileri için endüstri standardı bir AES-256 şifreleme algoritması kullanarak hareketsiz şifrelemeyi garanti ediyoruz.

TL; DR:

  • AU, AB ve ABD'de bölgesel barındırma yapıyoruz
  • Veriler, beklemede ve aktarım sırasında 256 bit şifreleme ile şifrelenir
  • Verileri yalnızca alt işlemci listemizde listelenen satıcılarla paylaşıyoruz

Veri erişimi

Müşteri verilerine erişim, işleri için bu verilere ihtiyaç duyan yetkili çalışanlarla sınırlıdır. Yalnızca gerektiğinde, mümkün olduğunda süresi dolacak şekilde verilir. Son kullanma tarihi olmadığında, araç sahipleri üç ayda bir gözden geçirir ve temel erişim sağlar.

Tüm önemli kurumsal ve üretim uygulamalarına erişimi sağlamak ve kısıtlamak için bir Kimlik Sağlayıcıdan yararlanıyoruz. Şirket tarafından yönetilen cihazlarda biyometrik kimlik doğrulamasını zorunlu kılan ve tüm bulut hizmetlerine erişimin yeterince korunmasını sağlayan bir Sıfır Güven sistem mimarisi uyguluyoruz.

çalışan güvenliği

Çalışanlarımızın ürün ve müşteri verilerimizle her gün bir eğitim ve uyumla ilgili yönetişim kombinasyonu aracılığıyla güvenli kararlar almalarını sağlıyor ve güçlendiriyoruz.

Eğitim

Tüm çalışanlar, Güvenlik ve Gizlilik Bilinci eğitimini yıllık olarak tamamlar ve insanların güvenlik bilgilerini ön planda tutmak için yıl boyunca hızlı, ilgi çekici Slack eğitim kursları uygularız. Şirket çapında eğitimi Müşteri Desteği ve Mühendislik gibi yüksek risk grupları için role özel eğitimle destekliyoruz.

"Tüm çalışanlar için sürekli olarak kimlik avı testleri yapıyoruz ve gerektiğinde ek eğitimlerle tüm kuruluşumuz için >%96'lık bir başarı oranı bildirmekten mutluluk duyuyoruz"

Tüm çalışanlar için sürekli olarak kimlik avı testleri gerçekleştiriyoruz ve gerektiğinde ek eğitimlerle tüm kuruluşumuz için >%96'lık bir başarı oranı bildirmekten mutluluk duyuyoruz.

Çalışma alanınıza erişimi kontrol edin

Verilerinize erişmemizden bahsetmiştik, peki ya ekibiniz? Intercom, (ekip arkadaşlarınız ve kullanıcılarınız tarafından) erişim ve verilerin silinmesi üzerinde size ayrıntılı kontrol sağlamak için kurumsal uygulama özelliklerini kullanır.

SAML SSO ve iki faktörlü kimlik doğrulama ile çalışma alanınıza erişimi kontrol edebilirsiniz. Ekip arkadaşlarınız çalışma alanınıza girdikten sonra, belirli verilere kimlerin erişebileceğini veya belirli ölçekte yıkıcı eylemler gerçekleştirebileceğini belirtmek için ayrıntılı izin düzeyleri ve roller kullanın. Ek olarak, ekip arkadaşlarınızın çalışma alanında hangi eylemleri gerçekleştirdiğini denetlemeniz gerekiyorsa, kritik değişikliklerin arkasında kimin olduğunu belirlemek için Ekip Arkadaşı Etkinlik Günlüklerini kontrol edebilirsiniz, örneğin: veri silme veya dışa aktarma.

Kimlik doğrulama

Intercom ayrıca, kullanıcıların birbirlerini taklit etmelerini veya birbirlerinin konuşmalarına erişmelerini önlemek için Intercom Messenger için ek güvenlik sunar. Kimlik Doğrulamayı etkinleştirmek, konuştuğunuz kullanıcıların söyledikleri kişiler olmasını sağlar. Bu, herhangi bir Intercom kurulumuna şiddetle tavsiye edilen bir eklentidir.

TL; DR:

  • Verilerinizi işleyen tüm araçlar için üç aylık erişim incelemeleri ve temel oluşturma ile tüm sistemlerde tüm Intercom çalışanları için en az ayrıcalık kullanıyoruz
  • Personelimizi hazırlamak için role özel eğitimlerimiz ve kimlik avı testlerimiz var
  • Ayrıca , çalışma alanınızdaki veriler üzerinde size bu düzeyde kontrol sağlayan kurumsal düzeyde uygulama özelliklerine de sahibiz .

Veri süresinin dolması ve silinmesi

2018'de kullanıma sunulmadan önce GDPR'ye uyum sağlamak için, depoladığımız ve işlediğimiz her veri parçası için sıkı veri haritalama çabalarına, eğitime, dokümantasyon güncellemelerine ve veri saklama incelemelerine odaklanarak önemli çabalar sarf ettik. Sizin için güvenli bir veri ekosistemi oluşturmak için her çalışanın bir veri varlığının ve sınıflandırmasının önemini anladığı bir kültür yaratıyoruz. Ayrıca, veri koruma çabalarımıza rehberlik etmesi için Hukuk ekibimiz içinde atanmış bir Veri Koruma Görevlimiz bulunmaktadır.

“İhtiyacımız olmayan verileri tutmuyoruz”

İhtiyacımız olmayan verileri tutmuyoruz. Etkin olmayan çalışma alanlarının süresi 13 ay, web sitesi ziyaretçi verileri ise dokuz ay sonra sona erer.

Kullanıcılarınız bir GDPR DSAR kullanıcı silme talebinde bulunursa ve bunu Intercom'da gerçekleştirirseniz, bu silme işlemini hemen ve otomatik olarak işlemeye başlarız. Aynı durum, Intercom çalışma alanınızı ve ilgili tüm verileri silmeyi seçerseniz de geçerlidir.

TL; DR:

  • AB'nin GDPR'sine uyuyoruz ve uymanıza yardımcı oluyoruz
  • Tüm veri akışlarımızı haritalıyoruz
  • Talep üzerine veya 13 aylık hareketsizlikten sonra hemen çalışma alanı silme imkanımız var
  • Ziyaretçi verileri 9 ay sonra sona eriyor

Uyumluluk: Bunun için sadece bizim sözümüze güvenmeyin

Uyum, Intercom'da bizim için önemli bir odak noktasıdır ve müşteri verilerini koruyan küresel standartlara bağlı kaldığımızdan emin olmak için daha geniş Bilgi Güvenliği ekibimizdeki (Hukuk ekibimizden bahsetmiyorum bile) bir ekibin tamamını adadık.

Bu amaçla, büyük ve küçük tüm müşterilerimizin politikalarımıza ve prosedürlerimize güvenebilmeleri için endüstri tarafından tanınan en yüksek akreditasyon standartlarını takip ediyoruz. Tüm güvenlik uyumluluğu raporlarımız ve sertifikalarımız istek üzerine mevcuttur.

SOC 2

Intercom, Güvenlik ve Kullanılabilirlik güven hizmeti ilkelerine odaklanan yıllık denetimlerden geçer ve SOC 2 Tip 2 uyumluluğunu sürdürür. Bu denetimler, şirketlerin güvenlik ve kullanılabilirliği ölçen ve verilerinizin kontrollü ve denetlenen bir ortamda yönetildiğinin güvencesi olan Amerikan Yeminli Mali Müşavirler Enstitüsü (“AICPA”) SOC 2 standardına uyduğuna dair endüstri çapında bir tanıma sağlar.

HIPAA

Intercom, 2021'den beri, korunan sağlık bilgilerinin (PHI) ve elektronik korumalı sağlık bilgilerinin (ePHI) işlenmesini ve korunmasını kapsayan bir HIPAA onay raporu tutmuştur. Sürekli uyumluluğu sağlamak ve son kullanıcı korumalı sağlık bilgilerini korumaya verdiğimiz önemi göstermeye devam etmek için bu HIPAA onay incelemesini yıllık olarak gerçekleştirmeyi taahhüt ediyoruz.

“Uyanık durumdayız ve verilerinizi tehlikeye atabilecek güvenlik açıklarını, yanlış yapılandırmaları ve tehditleri sürekli olarak tarıyoruz”

ISO/IEC 27001 ve ISO/IEC 27018

Intercom, ISO/IEC 27002 uygulama kılavuzuna uygun olarak ISO/IEC 27001 ve ISO/IEC 27018 sertifikalarına sahiptir. Intercom, bu sertifikaları korumak için her yıl sertifika ve gözetim denetimlerinden geçer.

ISO/IEC 27001, Intercom'un kritik verilerini yönetmek ve korumak için yürürlükte olan bir güvenlik politikaları, prosedürleri ve kontrolleri çerçevesi olan Intercom'un Bilgi Güvenliği Yönetim Sistemi (ISMS) ile ilgilidir. ISO/IEC 27018, genel bulutlarda kişisel olarak tanımlanabilir bilgilerin (PII) korunmasına yönelik uygulama kurallarıyla ilgilidir.

Bu sertifikalar, PII dahil olmak üzere Intercom'un en kritik verilerini korumaya yönelik önlemlerin uygulanması için yaygın olarak kabul edilen kontrol hedefleri, kontroller ve yönergeler oluşturur.

GDPR uyumluluğu

Ekiplerimiz , yürürlüğe girdiği andan itibaren GDPR'ye uymamızı sağladı ve GDPR uyumluluğuna çok fazla zaman ve çaba ayırmaya devam ediyoruz. İşte yaptıklarımız:

  • Müşterilerimizin GDPR yükümlülüklerini kolayca yerine getirmelerini sağlamak için yeni özellikler oluşturuldu
  • Güncellenmiş Veri İşleme Sözleşmeleri
  • Uluslararası Veri Aktarımları için sertifika aldığımızdan emin olduk
  • Veri Koruma Görevlisi Atandı
  • GDPR uyumluluğu konusunda satıcılarla koordineli
  • Düzenli olarak güçlendirilir ve güvenlik önlemlerine eklenir

Ancak burada durmadık – her zaman iyileştirmenin yollarını arıyoruz. Uyanık durumdayız ve verilerinizi tehlikeye atabilecek güvenlik açıklarını, yanlış yapılandırmaları ve tehditleri sürekli olarak tarıyoruz.

“Intercom uygulaması ve altyapısı, güvenlik araştırmacıları tarafından sürekli olarak ayrıntılı olarak inceleniyor”

Intercom uygulaması ve altyapısı, güvenlik araştırmacıları tarafından sürekli olarak ayrıntılı olarak incelenir. Statik ve dinamik kod testlerimizi yılda iki kez sızma testleri ve halka açık bir 'hata ödülü' programı ile destekliyoruz . Pentest raporlarımız, talep üzerine mevcut ve potansiyel tüm müşterilerimize sunulmaktadır.

Sürekli olarak veri gizliliği ve uyumluluk standartlarımızı yeni zirvelere taşımanın ve veri koruma politikalarımızı güçlendirmenin yollarını arıyoruz. Müşterilerimizin ve onların müşterilerinin verilerine olan bağlılığımız, her büyüklükteki şirketin bize güvenmesinin nedenidir.

Eksik olduğumuz bir şey mi var? [email protected] adresine e-posta göndererek ne görmek istediğinizi bize bildirin.

Bu, Intercom'un büyük şirketleri desteklemeye yönelik yatırımlarına dalan bir içerik serisinin beşincisidir. Serideki diğer makaleleri keşfedin.