Funktionen für die Call-Center-Netzwerkinfrastruktur
Schutz von Kunden- und Unternehmensdaten
Im Folgenden finden Sie einen Überblick über die Maßnahmen, mit denen Five9 die vertraulichen Daten unserer Kunden und unsere Unternehmensdaten vor Cybersicherheitsbedrohungen schützt.
Was die Aufrechterhaltung angemessener Geschäfts- und IT-Kontrollen angeht, um das Risiko von Angriffen und Datenschutzverletzungen zu mindern, hat Geschäftsleitung von höchster Stelle aus die Richtung vorgegeben. Die Geschäftsleitung spielt auch bei der kontinuierlichen Bewertung und Überwachung von Cybersicherheitsrisiken für die Betriebsumgebung von Five9 eine Schlüsselrolle.
Administrative, physische und technische Sicherheitsvorkehrungen
Five9 hat administrative, physische und technische Sicherheitsvorkehrungen in Übereinstimmung mit einer Reihe von Datenschutzgesetzen, -vorschriften und -standards entwickelt und implementiert – einschließlich, aber nicht beschränkt auf den Health Insurance Portability and Accountability Act (HIPAA), den Payment Card Industry Data Security Standard (PCI DSS), die kalifornischen Datenschutzbestimmungen (CCPA/CRPA), die kanadischen Datenschutzbestimmungen (PIPEDA), die Datenschutz-Grundverordnung (DSGVO) und den UK Data Protection Act 1998.
-
Verwaltung
Zu unseren administrativen Sicherheitsvorkehrungen gehören ein Managementprozess für die Informationssicherheit, der nach dem Standard ISO 27001/27002 entwickelt wurde. Hinzu kommt hauptamtliches Sicherheitspersonal sowie Prozesse für die Steuerung des Informationszugangs, die Schulung und Sensibilisierung der Mitarbeiter und die laufende Bewertung der Kontrollumgebung.
-
Physisch
Unsere physischen Schutzmaßnahmen umfassen Zugangskontrollen zu den Einrichtungen und Sicherheitsmaßnahmen für Arbeitsplätze und Geräte.
-
Technisch
Unsere technischen Sicherheitsvorkehrungen umfassen Kontrollen für rollenbasierten Zugriff, Prüfprotokolle, Datenintegrität und Datenübertragungssicherheit.
Ein „Defense-in-Depth“-Ansatz
Five9 hat Stateful Inspection Firewalls, entmilitarisierte Zonen (DMZs), Systeme zur Erkennung und Verhinderung von Angriffen (IPS/IDS), Schwachstellen-Scans, jährliche Penetrationstests, File Integrity Monitoring (FIM), Schutz vor Viren und Malware, Zwei-Faktor-Authentifizierung und Virtual Private Networking (VPN) implementiert, um sich vor Cyberrisiken zu schützen.
Diese „Defense-in-Depth“-Strategie bietet Sicherheitsebenen für sämtliche Aspekte des Five9-Netzwerks, um das Risiko eines unbefugten Zugriffs oder einer unbefugten Nutzung von Systemen, die vertrauliche Kunden- oder Unternehmensdaten enthalten, zu mindern. Five9 hat zudem rollenbasierte Zugangskontrollen („Prinzip der geringsten Privilegien“) eingeführt, um den Zugang zu Systemen mit vertraulichen Kunden- oder Unternehmensdaten nur denjenigen Mitarbeitern zu gewähren, deren Rolle dies erfordert.
Five9 Information Security ist für die Überwachung von Systemen zur Erkennung und Verhinderung von Angriffen, die regelmäßige Durchführung von Bewertungen der Informationssicherheit und Schwachstellen-Scans, die Ergreifung geeigneter Maßnahmen zur Behebung von Systemschwachstellen, die Überwachung des SIEM-Systems (Security Information and Event Management) durch unser rund um die Uhr verfügbares Security Operations Center und die unverzügliche Untersuchung und Meldung von Sicherheitswarnungen und Bewertungsergebnissen an die Geschäftsleitung verantwortlich. Die Arbeit dieses Teams ist für den Zustand und die Sicherheit der Five9-Umgebung von entscheidender Bedeutung und gewährleistet, dass die Geschäftsleitung von Five9 rechtzeitig Einblick in Sicherheits- und Datenschutzrisiken, Probleme und Vorfälle erhält.
Kontinuierliche Verbesserung
Five9 bietet allen Mitarbeitern fortlaufend Schulungen zu den Themen Informationssicherheit und Datenschutz an. So wird ein breites Verständnis der geltenden Datenschutzgesetze und -vorschriften gewährleistet und zudem vermittelt, wie man Sicherheitsprobleme und Risiken erkennt und der Geschäftsleitung meldet. Damit soll eine Kultur der Compliance gefördert und das Konzept „Know it. Own it. Control it.“ im Hinblick auf die Verantwortlichkeit für den Datenschutz auf allen Ebenen des Unternehmens gestärkt werden.
Five9 unterhält weiterhin ein jährliches SOC 2 Typ 2-Zertifikat (gemäß AICPA-Standard AT 101), das von einer zertifizierten Prüfstelle durchgeführt wird und die Sicherheits- und Verfügbarkeitsprinzipien der Trust Services abdeckt.