Software de gerenciamento de segurança e privacidade de call center | Five9

Atestado SOC 2 Tipo 2 de acordo com a norma AICPA AT 101

A Five9 concluiu uma auditoria SOC 2 Tipo 2 de acordo com a Norma AT 101 do American Institute of Certified Public Accountants (AICPA) e os Princípios e Critérios dos Serviços de Confiança do AICPA para Segurança e Disponibilidade. Nosso atestado SOC 2 Tipo 2 oferece aos clientes uma das mais altas formas de garantia disponíveis no mercado atualmente. Nosso relatório cobre o Princípio de segurança do AICPA em relação ao Intelligent Cloud Contact Center da Five9 e oferece uma opinião independente e objetiva de que a Five9 desenvolveu, implementou, opera e mantém controles de segurança que os clientes esperam para fins de proteção de dados e conformidade regulamentar.

Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)

A Five9, como provedor de serviços PCI DSS de nível 1, contrata um auditor de segurança qualificado (QSA) independente para realizar uma avaliação anual de seu ambiente de controle, cobrindo todos os 12 requisitos do PCI DSS para o projeto, a implementação e a melhoria contínua dos controles de forma a proteger os dados de titulares de cartão e informações confidenciais. A Five9 recebeu nosso Relatório de conformidade (Report on Compliance - ROC) anual e um Atestado de conformidade (Attestation of compliance - AOC) associado. Os clientes que solicitarem os recursos de segurança necessários para cumprir o padrão PCI DSS, incluindo criptografia de voz em trânsito (sRTP ou VPN) e criptografia de gravações de chamadas em repouso (armazenamento criptografado), recebem um ambiente compatível com o PCI para seus serviços de Contact Center.

Regulamento geral de proteção de dados (GDPR)

O Regulamento geral de proteção de dados da União Europeia (UE), mais conhecido como GDPR, é um regulamento focado na proteção de dados e privacidade para cidadãos da UE, que entrou em vigor em 25 de maio de 2018.

A Five9 está evoluindo e melhorando nosso serviço de Contact Center virtual para oferecer os recursos necessários para que nossos clientes estejam em conformidade com o GDPR. As áreas de foco incluem: segurança da informação, gerenciamento de violações, gerenciamento de conteúdo, visibilidade de dados, gerenciamento de direitos de dados individuais e gerenciamento de registros.

A Five9 também está solicitando aos nossos clientes, também conhecidos como os controladores dos dados, que nos avisem sobre suas atividades de processamento na UE para que possamos manter um relatório preciso das atividades de processamento conforme exigido pelo GDPR.

A Five9 está comprometida em oferecer serviços aos nossos clientes que permitem a conformidade com o GDPR.

Organização Internacional de Normalização (ISO 27001)

A Organização Internacional de Normalização (ISO) oferece orientação por meio da família de normas ISO/IEC 27000 para ajudar as organizações a estabelecer, implementar e aprimorar seus sistemas de gerenciamento de segurança da informação (SGSI). A ISO/IEC 27001 descreve os requisitos, as práticas recomendadas e os controles de segurança do SGSI para gerenciar os riscos à informação. O padrão oferece uma estrutura para melhoria abrangente e contínua da segurança da informação. O padrão ISO/IEC 27001:2013 orienta o desenvolvimento de um SGSI, permitindo que as organizações projetem, implementem e melhorem a segurança da informação ao longo do tempo por meio da incorporação das práticas recomendadas da ISO/IEC 27002:2013. O padrão abrange domínios de segurança, como gerenciamento de incidentes de segurança da informação, controle de acesso, sistemas de informação, aquisição, desenvolvimento e manutenção e vários outros.

A ISO/IEC 27001:2013 especifica as práticas recomendadas e os controles de segurança, exigindo que as empresas avaliem sistematicamente os riscos, implementem controles de segurança abrangentes e mantenham um processo de gerenciamento contínuo. As certificações são conduzidas por auditores externos independentes, demonstrando o compromisso da Five9 com a segurança da informação e a adesão às práticas recomendadas de referência no setor.

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

A Five9 tem muitos clientes no setor de saúde, incluindo provedores, hospitais, seguradoras e terceirizadores de processos de negócios. Para cumprir o papel de Associado, a Five9 projetou e implementou salvaguardas administrativas, físicas e técnicas apropriadas para informações de saúde protegidas em trânsito e em repouso, em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Essas salvaguardas incluem, entre outras medidas:

• Controles de acesso dentro dos princípios do menor privilégio e acesso mínimo necessário
• Autenticação de dois fatores para usuários altamente privilegiados
• Criptografia de dados em trânsito entre clientes e o Intelligent Cloud Contact Center da Five9 (requer a opção sRTP ou VPN)
• Criptografia de dados em repouso para gravações de chamada (requer a opção de armazenamento criptografado)
• Criptografia de transcrições de bate-papo, e-mail e SMS em repouso
• Processos rigorosos de gerenciamento de mudanças
• Defesas antivírus e antimalware
• Sistemas de detecção e prevenção de intrusões
• Varredura de vulnerabilidade interna e externa
• Teste periódico de penetração de rede
• Ciclo de vida do desenvolvimento de código seguro
• Centro de Operações de Rede (NOC) ininterrupto
• Monitoramento SIEM por um Centro de Operações de Segurança (SOC) ininterrupto
• Processos de gerenciamento de problemas e incidentes
• Redundância geográfica para continuidade dos negócios
• Relatórios de atestado SOC2 Tipo 2 (Service Organization Control) do AICPA
• Treinamento e conscientização contínuos sobre segurança e privacidade da informação

Cloud Security Office: computação em nuvem confiável

O Cloud Security Office da Five9 é responsável por proteger nossa infraestrutura, nossas aplicações e nossas operações contra violações de segurança e eventos imprevistos, inclusive contra desastres naturais.

A Five9 tem orgulho de ser membro da Cloud Security Alliance (CSA). A CSA é uma organização sem fins lucrativos e neutra em relação ao fornecedor e tem a missão de promover o uso das melhores práticas para dar garantia de segurança na computação em nuvem e oferecer formação relacionada aos usos da computação em nuvem para ajudar a proteger todas as outras formas de computação.

Customer Proprietary Network Information (CPNI)

A Five9 está em conformidade com os regulamentos da Federal Communications Commission (FCC) para proteger a confidencialidade dos dados CPNI, incluindo números de telefone, horários, datas e duração das chamadas, bem como os tipos de serviços e produtos que fornecemos a você. Projetamos e implementamos controles de segurança e privacidade para proteger dados CPNI contra acesso não autorizado ou uso inadequado. A Five9 não vende CPNI a terceiros, e não divulgamos CPNI sem o consentimento do cliente, exceto por imposição legal.