Software de gestión de privacidad y seguridad para centros de llamadas | Five9

Certificación SOC 2 Tipo 2 de conformidad con la norma AT 101 del AICPA

Five9 completó una auditoría SOC 2 Tipo 2 de acuerdo con la norma AT 101 del Instituto Americano de Contadores Públicos Certificados (AICPA) y los Principios y criterios de servicios de confianza para la seguridad y disponibilidad del AICPA. Nuestra certificación SOC 2 Tipo 2 ofrece a los clientes una de las mejores formas de garantía disponibles en el mercado actual. Nuestro informe abarca el Principio de seguridad del AICPA en relación con el centro de contacto inteligente en la nube de Five9 y brinda una opinión independiente y objetiva de que Five9 ha desarrollado e implementado y, además, opera y mantiene los controles de seguridad que los clientes esperan en lo que respecta a la protección de datos y el cumplimiento normativo.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)

Five9, como proveedor de servicios de PCI DSS de nivel 1, contrata a un auditor de seguridad calificado (QSA) independiente para que realice una evaluación anual del entorno de control de Five9. Esta evaluación cubre los 12 requisitos de PCI DSS en cuanto al diseño, la implementación y la mejora continua de los controles para proteger los datos de los titulares de tarjetas y la información confidencial. Five9 ha recibido nuestro Informe de cumplimiento (ROC) anual y una Certificación de cumplimiento (AOC) asociada. Los clientes que piden las características de seguridad necesarias para cumplir con el estándar PCI DSS, incluido el cifrado de voz en tránsito (sRTP o VPN) y el cifrado de grabaciones de llamadas en reposo (almacenamiento cifrado), reciben un entorno que cumple con el estándar PCI para sus servicios del centro de contacto.

Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos, más conocido como RGPD, es una regulación de la Unión Europea (UE) orientada a la protección y privacidad de los datos para los ciudadanos de la UE que entró en vigencia el 25 de mayo de 2018.

Five9 está evolucionando y mejorando nuestro servicio del centro de contacto virtual para ofrecer las funciones necesarias a fin de que nuestros clientes cumplan con la regulación del RGPD. Las áreas de interés incluyen: seguridad de la información, gestión de violaciones, gestión de contenido, visibilidad de los datos, gestión de derechos de datos individuales y gestión de registros.

Además, Five9 solicita a nuestros clientes, que también se conocen como controladores de datos, que nos notifiquen sobre sus actividades de procesamiento de conformidad con la UE para que podamos mantener un informe preciso de la actividad de procesamiento según lo requiera el RGPD.

Five9 se compromete a prestar servicios a nuestros clientes, que permitan el cumplimiento del RGPD.

Organización Internacional de Normalización (ISO 27001)

La Organización Internacional de Normalización (ISO) ofrece orientación a través del conjunto de normas ISO/IEC 27000 para ayudar a las organizaciones a establecer, implementar y mejorar sus sistemas de gestión de la seguridad de la información (ISMS). ISO/IEC 27001 describe los requisitos de ISMS, las mejores prácticas y los controles de seguridad para administrar los riesgos de la información. La norma brinda un marco para la mejora integral y continua de la seguridad de la información. El estándar ISO/IEC 27001:2013 guía el desarrollo de un ISMS, lo que permite a las organizaciones diseñar, implementar y mejorar la seguridad de la información a lo largo del tiempo. Incorpora las mejores prácticas de ISO/IEC 27002:2013. La norma cubre dominios de seguridad como la gestión de incidentes de seguridad de la información, el control de acceso, los sistemas de información, la adquisición, el desarrollo y el mantenimiento, entre otros.

ISO/IEC 27001:2013 especifica las mejores prácticas y controles de seguridad, lo que requiere que las organizaciones evalúen los riesgos sistemáticamente, implementen controles de seguridad integrales y mantengan un proceso de administración continuo. Las certificaciones las realizan los auditores externos independientes, lo que demuestra el compromiso de Five9 con la seguridad de la información y la adhesión a las mejores prácticas del sector.

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)

Five9 tiene muchos clientes en el sector sanitario, incluidos proveedores, hospitales, aseguradoras y subcontratistas de procesos comerciales. Como asociado comercial, Five9 ha diseñado e implementado medidas de seguridad administrativas, físicas y técnicas adecuadas para la información médica protegida en tránsito y en reposo de conformidad con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Estas medidas de seguridad incluyen, entre otras:

• Controles de acceso mínimos necesarios y con privilegios mínimos
• Autenticación de dos factores para usuarios con muchos privilegios
• Cifrado de datos en tránsito entre los clientes y el centro de contacto inteligente en la nube de Five9 (requiere la opción sRTP o VPN)
• Cifrado de datos en reposo para grabaciones de llamadas (requiere la opción de almacenamiento cifrado)
• Cifrado de transcripciones de chat, correo electrónico y SMS en reposo
• Procesos rigurosos de gestión de cambios
• Defensas antivirus y antimalware
• Sistemas de detección y prevención de intrusiones
• Análisis de vulnerabilidades internas y externas
• Pruebas periódicas de penetración de red
• Ciclo de vida del desarrollo de código seguro
• Centro de operaciones de red (NOC) 24x7x365
• Monitoreo SIEM mediante un Centro de operaciones de seguridad (SOC) 24x7x365
• Procesos de gestión de problemas e incidentes
• Redundancia geográfica en busca de continuidad comercial
• Informes de las certificaciones del Control de organización de servicios (SOC2 Tipo 2) del AICPA
• Capacitación y concientización continua sobre la seguridad y privacidad de la información

Oficina de seguridad en la nube: informática confiable en la nube

La Oficina de seguridad en la nube de Five9 es responsable de proteger nuestra infraestructura, aplicaciones y operaciones de las violaciones de seguridad y los eventos imprevistos, incluidos los desastres naturales.

Five9 es un miembro orgulloso de Cloud Security Alliance (CSA). CSA es una organización sin fines de lucro y neutral con respecto a los proveedores con la misión de promover el uso de las mejores prácticas para brindar seguridad dentro de la computación en la nube y educar sobre el uso de la computación en la nube para ayudar a proteger todas las demás formas de computación.

Información de red propiedad del cliente (CPNI)

Five9 cumple con las regulaciones de la Comisión Federal de Comunicaciones (FCC) para proteger la confidencialidad de los datos de la CPNI, incluidos los números de teléfono, los horarios, las fechas y la duración de las llamadas, así como los tipos de servicios y productos que le brindamos. Hemos diseñado e implementado controles de seguridad y privacidad para proteger la CPNI del acceso no autorizado o del uso indebido. Five9 no vende la CPNI a terceros, y no divulgamos la CPNI sin el consentimiento del cliente, excepto según lo exija la ley.