Die Sicherung der Daten unserer Kunden ist das Wichtigste, was Fin tut. Wir unternehmen erhebliche Anstrengungen, um sicherzustellen, dass alle an Fin gesendeten Daten sicher verarbeitet werden – die Sicherheit von Fin ist grundlegend für unser Geschäft.
Wir möchten einige Details darüber teilen, was wir tun, um die Sicherheit zu gewährleisten, und welche Arbeiten wir leisten, um die Sicherheit Ihrer Daten kontinuierlich zu verbessern. Dieses Dokument ist ein lebendiges Dokument, das wir von Zeit zu Zeit ergänzen werden.
Vielleicht möchten Sie auch unsere Nutzungsbedingungen und Datenschutzrichtlinie einsehen. Für Fragen oder um Compliance-Dokumente zu erhalten, besuchen Sie bitte unser Trust Center. Sie können uns auch jederzeit unter security@intercom.io kontaktieren, falls erforderlich.
Unser Team verfügt über relevante Erfahrung
Unser Team umfasst Personen, die führende Rollen bei der Gestaltung, dem Aufbau und Betrieb hochsicherer internetbasierter Systeme gespielt haben, wie Zahlungsabwicklungsplattformen, Cloud-Dienste und Content-Delivery-Netzwerke bei Unternehmen wie Amazon und Facebook. Wir haben auch Personen, die erfolgreich mehrere Startups von Grund auf aufgebaut haben, sowie andere, die in etablierten kleineren Internetunternehmen gearbeitet haben.
Wir hosten in erstklassigen Einrichtungen
Der Großteil unserer Dienste und Daten wird in Amazon Web Services-Einrichtungen in den USA gehostet. Weitere Details zu den umfangreichen Sicherheitsmaßnahmen von Amazon für ihre Einrichtungen und Dienste finden Sie hier.
Wir folgen bewährten Verfahren
Bei Fin folgen wir einer Reihe von Best Practices, die unsere Sicherheitslage verbessern.
Hier sind einige Beispiele:
Wir haben zuverlässige, häufig genutzte Automatisierungen implementiert, damit wir Änderungen sowohl an unserer Anwendung als auch an der Betriebsplattform innerhalb von Minuten sicher und zuverlässig ausrollen können. Wir deployen typischerweise dutzende Male am Tag, daher sind wir zuversichtlich, dass wir bei Bedarf schnell eine Sicherheitskorrektur bereitstellen können.
Alle an uns gesendeten Daten werden während der Übertragung verschlüsselt. Unsere API- und Anwendungsendpunkte sind ausschließlich TLS/SSL-gesichert und erhalten bei den Tests von SSL Labs eine "A+"-Bewertung – das bedeutet, dass wir nur starke Chiffren verwenden und Funktionen wie HSTS und Perfect Forward Secrecy vollständig aktiviert sind. Wir verschlüsseln auch Daten im Ruhezustand.
Wir arbeiten regelmäßig mit angesehenen Drittanbieter-Auditoren zusammen, die unseren Code und unsere Infrastruktur prüfen, und arbeiten mit ihnen zusammen, um potenzielle Probleme zu beheben.
Unsere Infrastruktur wird als Code mit Terraform verwaltet. Wir verwenden Technologien wie Elasticsearch, AWS CloudTrail und PantherLabs, um eine Prüfspur über unsere Infrastruktur und das Intercom-Produkt bereitzustellen. Audits ermöglichen es uns, Ad-hoc-Sicherheitsanalysen durchzuführen, Änderungen an unserer Einrichtung nachzuverfolgen und den Zugriff auf jede Ebene unseres Stacks zu prüfen.
Wir verwenden wann immer möglich Zwei-Faktor-Authentifizierung. Wir fordern Anbieter auf, in all unseren Konten Zwei-Faktor-Authentifizierung durchzusetzen. Wir raten von der Nutzung gemeinsamer Konten in jedem System ab – wenn es keine andere Wahl gibt, verwenden wir 1Password, um Logins sicher zu teilen. Wir überprüfen regelmäßig, welche Konten auf unsere Systeme zugreifen können und welche Berechtigungen sie haben.
Wir vertrauen unserem Firmennetzwerk nicht – es gibt keine Hintertüren zu unseren Produktionssystemen.
Wir haben einen dokumentierten Incident-Response-Plan und schulen alle Mitarbeiter zu Sicherheitsverfahren und -richtlinien.
Externe Penetrationstests werden zweimal jährlich von spezialisierten externen Sicherheitspartnern durchgeführt.
Wir führen kontinuierliche Scans unserer wichtigsten Web-Eigenschaften mit Detectify durch.
Alle Änderungen am Code werden von Kollegen überprüft und automatisch im Rahmen unseres CI/CD-Prozesses getestet, um Regressionen oder Sicherheitslücken mittels statischer Analyse zu erkennen.
Wir betreiben ein öffentliches bug bounty Programm mit Bugcrowd.
Weitere Details finden Sie auf unserer Sicherheitsseite und in unserem Trust Center.
Produktsicherheit: So sichern Sie Ihren Arbeitsbereich
Sicherheit ist eine gemeinsame Verantwortung. Sie sollten die folgenden Produktsicherheitsfunktionen aktivieren, um die Sicherheit Ihres Arbeitsbereichs zu erhöhen.
Sichern Sie Ihren Arbeitsbereich
Diese Funktionen helfen Ihnen, Ihren Arbeitsbereich zu sichern und Ihre Daten zu schützen.
⭐ Verwenden Sie 2FA, Google Sign-On oder SAML SSO, um Ihr Konto zu schützen und deaktivieren Sie die Anmeldung mit Benutzername/Passwort, um das Risiko von Phishing-Angriffen zu verringern. Dies wird dringend empfohlen.
Rollenbasierte Zugriffskontrollen – legen Sie Rollen und Berechtigungen fest, um den Zugriff auf sensible Daten und Funktionen einzuschränken.
IP-Whitelist – beschränken Sie den Zugriff auf den Arbeitsbereich auf bestimmte IP-Adressen.
Benutzerdefinierte Sitzungsdauer – steuern Sie, wie lange Teammitglieder authentifiziert bleiben, indem Sie benutzerdefinierte Sitzungszeiten festlegen.
Aktivitätsprotokolle der Teammitglieder – überwachen und prüfen Sie wichtige Aktionen, die Teammitglieder in Ihrem Arbeitsbereich durchführen.
Link-Sicherheit – schützen Sie Teammitglieder vor dem Zugriff auf bösartige Links, indem Sie Linkwarnungen aktivieren und Richtlinien zur Verwaltung von Links und Domains in Ihrem Arbeitsbereich erstellen.
PAN-Redaktion – erkennen und schwärzen Sie automatisch Zahlungskartennummern (PANs) in Gesprächen.
Anhangssicherheit – steuern Sie, wie Anhänge in Ihrem Arbeitsbereich verwendet werden.
Sichern Sie Ihren Messenger
Diese Funktionen schützen Ihre Messenger-Installation und helfen, die Kommunikation mit Ihren Kunden zu sichern.
⭐ Sichern Sie Ihren Messenger mit JWTs – verhindern Sie, dass böswillige Akteure Ihre Endnutzer imitieren, ihre Gespräche lesen oder unbefugten Zugriff auf Daten erhalten. Zusätzlich ermöglichen JWTs die Verifizierung der Benutzeridentität und den Schutz aller Datenattribute, die Sie übermitteln. Dies wird dringend empfohlen.
Fügen Sie eine Liste vertrauenswürdiger Domains hinzu, um sicherzustellen, dass der Messenger nur auf Domains geladen wird, die Sie besitzen und betreuen.
Deaktivieren Sie die Attributerstellung über den Messenger, um zu verhindern, dass böswillige Akteure eigene Daten über den Browser einfügen.
Verwenden Sie die JavaScript-Shutdown-Methode, um eine Sitzung für einen Benutzer zu beenden, wenn er sich aus Ihrer App abmeldet.
Weitere Informationen zu diesen Funktionen finden Sie in den Abschnitten Sicherheit & Datenschutz und Messenger-Sicherheit in unserem Help Center.
Wir speichern keine Zahlungsdaten
Fin ist nicht im Geschäft mit der Speicherung oder Verarbeitung von Zahlungen. Alle an Fin geleisteten Zahlungen laufen über unseren Partner Stripe. Details zu deren Sicherheitsmaßnahmen und PCI-Konformität finden Sie auf der Sicherheitsseite von Stripe.
Ich habe einen Sicherheitsbug gefunden!
Wenn Sie eine Sicherheitslücke gefunden haben, die Sie uns melden möchten, können Sie dies über unser öffentliches bug bounty Programm bei Bugcrowd tun. Wenn es im Umfang liegt, können Sie für eine Belohnung in Frage kommen. Wir akzeptieren keine bug bounty Meldungen per E-Mail, bitte senden Sie diese ausschließlich über Bugcrowd.
Wenn Sie ein Kunde sind und sich Sorgen um die Sicherheit Ihres eigenen Arbeitsbereichs machen, wenden Sie sich bitte an security@intercom.io oder kontaktieren Sie das CS-Team über den Messenger.