我们如何确保对讲机内部数据隐私和合规性的最高标准

已发表: 2022-10-20

在 Intercom,我们相信信任是企业与其客户之间每一种关系的核心。

随着企业的发展和规模扩大,他们需要继续以各种方式赢得并建立这种信任——但随着技术堆栈的迅速扩大,他们需要监控的不仅仅是他们自己的公司政策,还有与他们合作的每家公司的政策.

这是探讨对讲机在支持大型企业方面的投资的内容系列中的第五篇文章。 探索该系列中的其他文章。

您的数据是我们最重要的资产。 我们通过强大的安全实践、量身定制的针对特定角色的员工培训以及严格遵守法规来保护它的整个生命周期。 我们会处理您数据的安全性,以便您可以专注于获取、吸引和留住客户。

在数据隐私方面,我们不遗余力

对讲机是一个数据处理器,我们会非常小心地处理我们接触到的任何数据。 迄今为止,企业与其用户之间的最终用户记录超过 30 亿次,对话次数超过 6.4 亿次——数据量非常大!

我们会照顾您的数据从摄取到删除。 在这篇文章中,我们将告诉您我们如何在以下期间保护您的数据:

  • 存储、处理和传输
  • 使用权
  • 到期和删除

处理、存储和传输

由于数据是我们的关键资产,我们只相信它由符合并维护我们安全标准的第三方服务提供商处理。 在采购供应商之前,我们的 IT、法律和安全团队会全面审查他们的安全和数据隐私实践。 唯一有权访问您的数据的供应商在我们的官方分处理器列表中

“您可以选择将数据托管在适合您的合规性要求的区域,让您和您的用户高枕无忧”

您可以选择将数据托管在适合您的合规性要求的区域,让您和您的用户高枕无忧。 对讲服务和数据托管在美国 (us-east-1)、爱尔兰都柏林 (eu-west-1) 和澳大利亚悉尼的 Amazon Web Services (AWS) 设施中。

我们在构建服务时考虑到了灾难恢复。 我们所有的基础设施和数据都分布在三个 AWS 可用区中,如果其中任何一个出现故障,它们将继续运行。

数据在静止和传输过程中保持安全。 通过我们的 API 和应用程序端点发送到或从 Intercom 发送的所有数据都使用 TLS v1.2 加密。 这意味着我们只使用强密码套件,并且完全启用了 HSTS 和完美前向保密等功能。 我们还保证对所有客户处理器数据使用行业标准的 AES-256 加密算法进行静态加密。

TL;博士:

  • 我们在澳大利亚、欧盟和美国进行区域托管
  • 数据在静态和传输中使用 256 位加密进行加密
  • 我们仅与子处理器列表中列出的供应商共享数据

数据访问

访问客户数据仅限于工作需要的授权员工。 它仅在需要时授予,并在可能的情况下到期。 当到期不可用时,工具所有者每季度审查一次基线访问。

我们利用身份提供者来提供和限制对所有关键企业和生产应用程序的访问。 我们实施零信任系统架构,要求对公司管理的设备进行生物特征认证,确保对所有云服务的访问得到充分保护。

员工安全

我们通过培训和合规相关治理相结合,使员工能够每天使用我们的产品和客户数据做出安全决策。

训练

所有员工每年都完成安全和隐私意识培训,我们全年都采用快速、引人入胜的 Slack 培训课程,让人们的安全知识始终放在首位。 我们通过针对客户支持和工程等高风险群体的角色特定培训来补充公司范围的培训。

“我们滚动对所有员工进行网络钓鱼测试,并且很高兴报告整个组织的通过率 > 96%,并在需要时进行补充培训”

我们滚动对所有员工进行网络钓鱼测试,并且很高兴报告整个组织的通过率 > 96%,并在需要时进行补充培训。

控制对工作区的访问

我们已经讨论过我们访问您的数据,但您的团队呢? 对讲机采用企业应用程序功能,让您对访问(由您的队友和用户)和数据删除进行精细控制。

您可以使用 SAML SSO 和双重身份验证控制对工作区的访问。 一旦您的团队成员进入您的工作空间,使用精细的权限级别和角色来指定谁可以大规模访问某些数据或采取破坏性行动。 此外,如果您需要审核队友在工作区中执行的操作,您可以检查队友活动日志以确定谁在进行关键更改,例如:数据删除或导出。

身份验证

Intercom 还为 Intercom Messenger 提供额外的安全性,以防止用户互相冒充或访问彼此的对话。 启用身份验证将确保您与之交谈的用户是他们所说的人。 这是对任何对讲机安装的强烈推荐的补充。

TL;博士:

  • 我们为所有系统上的所有对讲机员工采用最低权限,每季度对所有处理您的数据的工具进行访问审查和基线
  • 我们有针对特定角色的培训和网络钓鱼测试,以帮助我们的员工做好准备
  • 我们还具有企业级应用程序功能,可让对工作区中的数据进行这种级别的控制

数据过期和删除

在 GDPR 于 2018 年推出之前,我们付出了巨大努力与它保持一致,专注于严格的数据映射工作、培训、文档更新以及我们存储和处理的每条数据的数据保留审查。 我们营造一种文化,让每位员工都了解数据资产及其分类的重要性,以便我们为您构建安全的数据生态系统。 我们的法律团队中还任命了一名数据保护官来指导我们的数据保护工作。

“我们不保留不需要的数据”

我们不会保留不需要的数据。 我们在 13 个月后过期非活动工作区,在 9 个月后过期网站访问者数据。

如果您的用户请求删除 GDPR DSAR 用户并且您在 Intercom 中执行该操作,我们会立即自动开始处理该删除。 如果您选择删除对讲工作区和所有相关数据,这同样适用。

TL;博士:

  • 我们遵守并帮助您遵守欧盟的 GDPR
  • 我们映射所有数据流
  • 我们会根据要求或在 13 个月不活动后立即删除工作区
  • 访客数据在 9 个月后过期

合规性:不要只相信我们的话

合规性是对讲机的一个主要关注点,我们在更广泛的信息安全团队(更不用说我们的法律团队)中设立了一个完整的团队,以确保我们遵守保护客户数据的全球标准。

为此,我们追求行业认可的最高标准认证,以便我们的所有客户,无论大小,都可以信任我们的政策和程序。 我们所有的安全合规报告和认证均可应要求提供。

SOC 2

对讲机每年都会接受审计并保持 SOC 2 Type 2 合规性,重点是安全性和可用性信任服务原则。 这些审计提供了行业范围的认可,即公司符合美国注册会计师协会(“AICPA”) SOC 2 标准,该标准衡量安全性和可用性,并确保您的数据在受控和审计的环境中得到管理。

HIPAA

自 2021 年以来,Intercom 一直保持 HIPAA 认证报告,其中涵盖受保护健康信息 (PHI) 和电子受保护健康信息 (ePHI) 的处理和保护。 我们致力于每年执行此 HIPAA 认证检查,以确保持续合规并继续证明我们对保护最终用户受保护的健康信息的重视。

“我们保持警惕并不断扫描可能危及您的数据的漏洞、错误配置和威胁”

ISO/IEC 27001 和 ISO/IEC 27018

对讲机持有符合 ISO/IEC 27002 实施指南的 ISO/IEC 27001 和 ISO/IEC 27018 认证。 对讲机每年都会进行认证和监督审核,以保持这些认证。

ISO/IEC 27001 与 Intercom 的信息安全管理系统 (ISMS) 相关,该系统是用于管理和保护 Intercom 关键数据的安全政策、程序和控制框架。 ISO/IEC 27018 涉及保护公共云中个人身份信息 (PII) 的行为准则。

这些证书建立了普遍接受的控制目标、控制和指导方针,以实施保护对讲机最关键数据(包括 PII)的措施。

GDPR 合规性

我们的团队确保我们从 GDPR 生效的那一刻起就遵守了它,并且我们继续投入大量时间和精力来遵守 GDPR。 这是我们所做的:

  • 构建了新功能,使我们的客户能够轻松履行其 GDPR 义务
  • 更新的数据处理协议
  • 确保我们获得了国际数据传输认证
  • 任命数据保护官
  • 与供应商就 GDPR 合规性进行协调
  • 定期加强和增加安全措施

但我们并没有就此止步——我们一直在寻找改进的方法。 我们保持警惕并持续扫描可能危及您的数据的漏洞、错误配置和威胁。

“安全研究人员滚动详细研究对讲机应用程序和基础设施”

安全研究人员滚动详细研究对讲应用程序和基础设施。 我们通过每年两次的渗透测试和一个公开的“漏洞赏金”计划来补充我们的静态和动态代码测试 我们的渗透测试报告可应要求提供给所有现有和潜在客户。

我们一直在寻找将我们的数据隐私和合规标准提升到新高度的方法,并加强我们的数据保护政策。 我们对客户及其客户数据的承诺是各种规模的公司信任我们的原因。

我们缺少什么? 通过发送电子邮件至 [email protected] 让我们知道您希望看到的内容。

这是深入探讨 Intercom 在支持大公司方面的投资的内容系列的第五篇。 探索该系列中的其他文章。