Recursos de infraestrutura de rede de call center
Proteção de dados corporativos e de clientes
A seguir temos uma visão geral das medidas que a Five9 toma para proteger os dados confidenciais de nossos clientes e de nossos dados corporativos contra ameaças de segurança cibernética.
A gerência executiva definiu o tom desde o início no que diz respeito à manutenção de controles de negócios e TI adequados para mitigar o risco de invasões e violações de dados. A gerência executiva também desempenha um papel fundamental na avaliação e no monitoramento contínuos dos riscos de segurança cibernética para o ambiente operacional da Five9.
Salvaguardas administrativas, físicas e técnicas
A Five9 projetou e implementou salvaguardas administrativas, físicas e técnicas de acordo com uma série de leis, regulamentos e padrões de proteção de dados, incluindo, entre outros, Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI) DSS), California Privacy Regulations (CCPA/CRPA), os regulamentos de privacidade do Canadá (PIPEDA), o Regulamento geral de proteção de dados da União Europeia (GDPR) e a Lei de proteção de dados do Reino Unido de 1998.
-
Administrativo
Nossas salvaguardas administrativas incluem um processo de gerenciamento de segurança da informação desenvolvido para se alinhar à ISO 27001/27002; equipe de segurança em tempo integral; e processos para gerenciamento de acesso a informações, treinamento e conscientização da força de trabalho e avaliação contínua do ambiente de controle
-
Físicas
Nossas proteções físicas incluem controles de acesso às instalações e medidas de segurança para a estação de trabalho/o dispositivo
-
Técnicas
Nossas salvaguardas técnicas incluem controles para acesso baseado em função, registros de auditoria, integridade de dados e segurança de transmissão de dados
Abordagem de defesa em profundidade
A Five9 implementou firewalls de inspeção de estados, zonas desmilitarizadas (DMZs), sistemas de prevenção e detecção de intrusões (IPS/IDS), verificação de vulnerabilidades, testes anuais de penetração, monitoramento de integridade de arquivos (FIM), proteção antivírus/antimalware, autenticação de dois fatores e rede privada virtual (VPN) para se defender contra exposições cibernéticas.
Essa estratégia de defesa oferece camadas de segurança desde a borda da rede Five9 até o núcleo para mitigar o risco de acesso ou uso não autorizado de sistemas que contêm dados confidenciais do cliente ou da empresa. A Five9 também implementou controles de acesso baseados em funções dentro dos princípios do "menor privilégio e acesso mínimo necessário” para conceder privilégios de acesso a sistemas que contêm dados confidenciais de clientes ou empresas apenas para funcionários cujas funções exigem tal acesso.
A Five9 Information Security é responsável por monitorar sistemas de prevenção e detecção de intrusões, realizar regularmente avaliações de segurança da informação e verificações de vulnerabilidade, tomar as medidas apropriadas para corrigir vulnerabilidades do sistema, monitorar o sistema de Gerenciamento de eventos e informações de segurança (SIEM) pelo nosso Centro de operações de segurança com atividade ininterrupta e investigar e relatar alertas de segurança e descobertas de avaliações para a gerência executiva. O trabalho que essa equipe realiza é essencial para a saúde e a segurança do ambiente Five9 e garante que a gerência executiva da Five9 tenha visibilidade oportuna dos riscos, problemas e incidentes de segurança e privacidade.
Melhoria contínua
A Five9 também oferece treinamento contínuo sobre segurança da informação e privacidade a todos os membros da força de trabalho para garantir um entendimento comum das leis e dos regulamentos de proteção de dados aplicáveis, bem como monitorar e comunicar problemas de segurança à gerência executiva. Esse esforço é projetado para promover uma cultura de conformidade e reforça os conceitos de “conhecer, possuir e controlar" com relação à responsabilidade pela proteção de dados em todos os níveis da empresa.
A Five9 continua a manter um atestado anual SOC 2 Tipo 2 (de acordo com o padrão AICPA AT 101) realizado por uma empresa de auditoria certificada que cobre os Princípios de segurança e disponibilidade dos serviços de confiança.
