我們如何確保對講機內部數據隱私和合規性的最高標準

已發表: 2022-10-20

在 Intercom,我們相信信任是企業與其客戶之間每一種關係的核心。

隨著企業的發展和規模擴大,他們需要繼續以各種方式贏得併建立這種信任——但隨著技術堆棧的迅速擴大,他們需要監控的不僅僅是他們自己的公司政策,還有與他們合作的每家公司的政策.

這是探討對講機在支持大型企業方面的投資的內容系列中的第五篇文章。 探索該系列中的其他文章。

您的數據是我們最重要的資產。 我們通過強大的安全實踐、量身定制的針對特定角色的員工培訓以及嚴格遵守法規來保護它的整個生命週期。 我們會處理您數據的安全性,以便您可以專注於獲取、吸引和留住客戶。

在數據隱私方面,我們不遺餘力

對講機是一個數據處理器,我們會非常小心地處理我們接觸到的任何數據。 迄今為止,企業與其用戶之間的最終用戶記錄超過 30 億次,對話次數超過 6.4 億次——數據量非常大!

我們會照顧您的數據從攝取到刪除。 在這篇文章中,我們將告訴您我們如何在以下期間保護您的數據:

  • 存儲、處理和傳輸
  • 使用權
  • 到期和刪除

處理、存儲和傳輸

由於數據是我們的關鍵資產,我們只相信它由符合併維護我們安全標準的第三方服務提供商處理。 在採購供應商之前,我們的 IT、法律和安全團隊會全面審查他們的安全和數據隱私實踐。 唯一有權訪問您的數據的供應商在我們的官方分處理器列表中

“您可以選擇將數據託管在適合您的合規性要求的區域,讓您和您的用戶高枕無憂”

您可以選擇將數據託管在適合您的合規性要求的區域,讓您和您的用戶高枕無憂。 對講服務和數據託管在美國 (us-east-1)、愛爾蘭都柏林 (eu-west-1) 和澳大利亞悉尼的 Amazon Web Services (AWS) 設施中。

我們在構建服務時考慮到了災難恢復。 我們所有的基礎設施和數據都分佈在三個 AWS 可用區中,如果其中任何一個出現故障,它們將繼續運行。

數據在靜止和傳輸過程中保持安全。 通過我們的 API 和應用程序端點發送到或從 Intercom 發送的所有數據都使用 TLS v1.2 加密。 這意味著我們只使用強密碼套件,並且完全啟用了 HSTS 和完美前向保密等功能。 我們還保證對所有客戶處理器數據使用行業標準的 AES-256 加密算法進行靜態加密。

TL;博士:

  • 我們在澳大利亞、歐盟和美國進行區域託管
  • 數據在靜態和傳輸中使用 256 位加密進行加密
  • 我們僅與子處理器列表中列出的供應商共享數據

數據訪問

訪問客戶數據僅限於工作需要的授權員工。 它僅在需要時授予,並在可能的情況下到期。 當到期不可用時,工具所有者每季度審查一次基線訪問。

我們利用身份提供者來提供和限制對所有關鍵企業和生產應用程序的訪問。 我們實施零信任系統架構,要求對公司管理的設備進行生物特徵認證,確保對所有云服務的訪問得到充分保護。

員工安全

我們通過培訓和合規相關治理相結合,使員工能夠每天使用我們的產品和客戶數據做出安全決策。

訓練

所有員工每年都完成安全和隱私意識培訓,我們全年都採用快速、引人入勝的 Slack 培訓課程,讓人們的安全知識始終放在首位。 我們通過針對客戶支持和工程等高風險群體的角色特定培訓來補充公司範圍的培訓。

“我們滾動對所有員工進行網絡釣魚測試,並且很高興報告整個組織的通過率 > 96%,並在需要時進行補充培訓”

我們滾動對所有員工進行網絡釣魚測試,並且很高興報告整個組織的通過率 > 96%,並在需要時進行補充培訓。

控制對工作區的訪問

我們已經討論過我們訪問您的數據,但您的團隊呢? 對講機採用企業應用程序功能,讓您對訪問(由您的隊友和用戶)和數據刪除進行精細控制。

您可以使用 SAML SSO 和雙重身份驗證控制對工作區的訪問。 一旦您的團隊成員進入您的工作空間,使用精細的權限級別和角色來指定誰可以大規模訪問某些數據或採取破壞性行動。 此外,如果您需要審核隊友在工作區中執行的操作,您可以檢查隊友活動日誌以確定誰在進行關鍵更改,例如:數據刪除或導出。

身份驗證

Intercom 還為 Intercom Messenger 提供額外的安全性,以防止用戶互相冒充或訪問彼此的對話。 啟用身份驗證將確保您與之交談的用戶是他們所說的人。 這是對任何對講機安裝的強烈推薦的補充。

TL;博士:

  • 我們為所有系統上的所有對講機員工採用最低權限,每季度對所有處理您的數據的工具進行訪問審查和基線
  • 我們有針對特定角色的培訓和網絡釣魚測試,以幫助我們的員工做好準備
  • 我們還具有企業級應用程序功能,可讓對工作區中的數據進行這種級別的控制

數據過期和刪除

在 GDPR 於 2018 年推出之前,我們付出了巨大努力與它保持一致,專注於嚴格的數據映射工作、培訓、文檔更新以及我們存儲和處理的每條數據的數據保留審查。 我們營造一種文化,讓每位員工都了解數據資產及其分類的重要性,以便我們為您構建安全的數據生態系統。 我們的法律團隊中還任命了一名數據保護官來指導我們的數據保護工作。

“我們不保留不需要的數據”

我們不會保留不需要的數據。 我們在 13 個月後過期非活動工作區,在 9 個月後過期網站訪問者數據。

如果您的用戶請求刪除 GDPR DSAR 用戶並且您在 Intercom 中執行該操作,我們會立即自動開始處理該刪除。 如果您選擇刪除對講工作區和所有相關數據,這同樣適用。

TL;博士:

  • 我們遵守並幫助您遵守歐盟的 GDPR
  • 我們映射所有數據流
  • 我們會根據要求或在​​ 13 個月不活動後立即刪除工作區
  • 訪客數據在 9 個月後過期

合規性:不要只相信我們的話

合規性是對講機的一個主要關注點,我們在更廣泛的信息安全團隊(更不用說我們的法律團隊)中設立了一個完整的團隊,以確保我們遵守保護客戶數據的全球標準。

為此,我們追求行業認可的最高標準認證,以便我們的所有客戶,無論大小,都可以信任我們的政策和程序。 我們所有的安全合規報告和認證均可應要求提供。

SOC 2

對講機每年都會接受審計並保持 SOC 2 Type 2 合規性,重點是安全性和可用性信任服務原則。 這些審計提供了行業範圍的認可,即公司符合美國註冊會計師協會(“AICPA”) SOC 2 標準,該標準衡量安全性和可用性,並確保您的數據在受控和審計的環境中得到管理。

HIPAA

自 2021 年以來,Intercom 一直保持 HIPAA 認證報告,其中涵蓋受保護健康信息 (PHI) 和電子受保護健康信息 (ePHI) 的處理和保護。 我們致力於每年執行此 HIPAA 認證檢查,以確保持續合規並繼續證明我們對保護最終用戶受保護的健康信息的重視。

“我們保持警惕並不斷掃描可能危及您的數據的漏洞、錯誤配置和威脅”

ISO/IEC 27001 和 ISO/IEC 27018

對講機持有符合 ISO/IEC 27002 實施指南的 ISO/IEC 27001 和 ISO/IEC 27018 認證。 對講機每年都會進行認證和監督審核,以保持這些認證。

ISO/IEC 27001 與 Intercom 的信息安全管理系統 (ISMS) 相關,該系統是用於管理和保護 Intercom 關鍵數據的安全政策、程序和控制框架。 ISO/IEC 27018 涉及保護公共雲中個人身份信息 (PII) 的行為準則。

這些證書建立了普遍接受的控制目標、控制和指導方針,以實施保護對講機最關鍵數據(包括 PII)的措施。

GDPR 合規性

我們的團隊確保我們從 GDPR 生效的那一刻起就遵守了它,並且我們繼續投入大量時間和精力來遵守 GDPR。 這是我們所做的:

  • 構建了新功能,使我們的客戶能夠輕鬆履行其 GDPR 義務
  • 更新的數據處理協議
  • 確保我們獲得了國際數據傳輸認證
  • 任命數據保護官
  • 與供應商就 GDPR 合規性進行協調
  • 定期加強和增加安全措施

但我們並沒有就此止步——我們一直在尋找改進的方法。 我們保持警惕並持續掃描可能危及您的數據的漏洞、錯誤配置和威脅。

“安全研究人員滾動詳細研究對講機應用程序和基礎設施”

安全研究人員滾動詳細研究對講應用程序和基礎設施。 我們通過每年兩次的滲透測試和一個公開的“漏洞賞金”計劃來補充我們的靜態和動態代碼測試 我們的滲透測試報告可應要求提供給所有現有和潛在客戶。

我們一直在尋找將我們的數據隱私和合規標準提升到新高度的方法,並加強我們的數據保護政策。 我們對客戶及其客戶數據的承諾是各種規模的公司信任我們的原因。

我們缺少什麼? 通過發送電子郵件至 [email protected] 讓我們知道您希望看到的內容。

這是深入探討 Intercom 在支持大公司方面的投資的內容系列的第五篇。 探索該系列中的其他文章。