Management-Software für Sicherheit und Datenschutz in Call Centern | Five9

SOC 2 Typ 2-Bescheinigung gem. AICPA-Standard AT 101

Five9 hat ein SOC-2-Audit des Typs 2 gemäß dem Standard AT 101 des American Institute of Certified Public Accountants (AIPCA) und den AICPA Trust Services Principles and Criteria (TSP) für Sicherheit und Verfügbarkeit durchgeführt. Unsere SOC 2 Typ 2-Bescheinigung bietet Kunden eine der höchsten auf dem Markt erhältlichen Sicherheitsstandards. Unser Bericht beschreibt den AICPA-Sicherheitsgrundsatz in Bezug auf das Five9 Intelligent Cloud Contact Center und gibt ein unabhängiges und objektives Urteil darüber ab, dass Five9 die Sicherheitskontrollen entwickelt und implementiert hat und diese so betreibt und aufrechterhält, wie Kunden in puncto Datenschutz und Compliance es erwarten.

Payment Card Industry Data Security Standard (PCI DSS)

Five9 beauftragt als Level 1 PCI DSS-Dienstleister einen unabhängigen qualifizierten Sicherheitsgutachter mit der jährlichen Bewertung der Kontrollumgebung von Five9. Diese Bewertung deckt alle 12 PCI DSS-Anforderungen für die Entwicklung, Implementierung und kontinuierliche Verbesserung von Kontrollen zum Schutz von Karteninhaberdaten und sensiblen Informationen ab. Five9 hat unseren jährlichen Report on Compliance (ROC) und die dazugehörige Attestation of Compliance (AOC) erhalten. Kunden, welche die für die Einhaltung des PCI DSS-Standards erforderlichen Sicherheitsmerkmale wie die Verschlüsselung von Sprache während der Übertragung (sRTP oder VPN) und die Verschlüsselung von Gesprächsaufzeichnungen im Ruhezustand (Encrypted Storage) bestellen, erhalten eine PCI-konforme Umgebung für ihre Contact Center Services.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung, besser bekannt als DSGVO, ist eine Verordnung der Europäischen Union (EU), die sich auf den Datenschutz und die Privatsphäre der EU-Bürger konzentriert und am 25. Mai 2018 in Kraft trat.

Five9 entwickelt und verbessert seinen Virtual Contact Center Service weiter, um unseren Kunden die erforderlichen Funktionen zur Einhaltung der DSGVO zu bieten. Zu den Schwerpunkten gehören: Informationssicherheit, Datenschutzverletzungen, Content Management, Datentransparenz, Verwaltung individueller Datenrechte, Datenaufbewahrung und Aufzeichnungsmanagement.

Bei Five9 bitten wir unsere Kunden, die auch als Datenverantwortliche bezeichnet werden, uns auch über ihre Verarbeitungstätigkeiten in der EU zu informieren, damit wir gemäß den Vorgaben der DSGVO einen genauen Bericht über die Verarbeitungstätigkeiten erstellen können.

Five9 ist bestrebt, Kunden Dienstleistungen anzubieten, welche die Einhaltung der DSGVO ermöglichen.

Internationale Organisation für Normung (ISO 27001)

Die Internationale Organisation für Normung (ISO) bietet mit der ISO/IEC 27000-Normenfamilie einen Leitfaden, mit dem Organisationen ihre Managementsysteme für Informationssicherheit (ISMS) einrichten, umsetzen und verbessern können. ISO/IEC 27001 umreißt die Anforderungen, Best Practices und Sicherheitskontrollen für ISMS zur Verwaltung von Informationsrisiken. Der Standard bietet ein Framework für die umfassende und kontinuierliche Verbesserung der Informationssicherheit. Der Standard ISO/IEC 27001:2013 bietet eine Richtschnur für die Entwicklung eines ISMS, mit der Organisationen die Informationssicherheit im Laufe der Zeit ausarbeiten, umsetzen und verbessern können. Er bezieht außerdem Best Practices aus ISO/IEC 27002:2013 mit ein. Der Standard deckt verschiedene Domänen der Sicherheit ab, wie z. B. die Verwaltung von Vorfällen im Bereich der Informationssicherheit, die Zugriffskontrolle, Informationssysteme, sowie Beschaffung, Entwicklung, Wartung und vieles mehr.

ISO/IEC 27001:2013 spezifiziert Best Practices und Kontrollen für die Sicherheit und schreibt die systematische Bewertung von Risiken, die Implementierung umfassender Sicherheitskontrollen und die Aufrechterhaltung eines kontinuierlichen Managementprozesses vor. Die Zertifizierungen werden von unabhängigen Prüfern durchgeführt und beweisen die Verpflichtung von Five9 zur Informationssicherheit und zur Einhaltung branchenführender Best Practices.

Health Insurance Portability and Accountability Act (HIPAA)

Five9 bedient viele Kunden im Gesundheitswesen, darunter Leistungserbringer, Krankenhäuser, Versicherungsunternehmen und Outsourcing-Unternehmen. Als Geschäftspartner hat Five9 in Übereinstimmung mit dem Health Insurance Portability and Accountability Act (HIPAA) angemessene administrative, physische und technische Schutzmaßnahmen für sensible Gesundheitsdaten (während der Übertragung und im Ruhezustand) entwickelt und umgesetzt. Diese Maßnahmen umfassen unter anderem:

• Prinzip des geringsten Privilegs, Mindestanforderungen an die Zugangskontrolle
• Zwei-Faktor-Authentifizierung für hoch privilegierte Benutzer
• Verschlüsselung von Daten im Transit zwischen Kunden und dem Five9 Intelligent Cloud Contact Center (erfordert sRTP oder VPN Option)
• Verschlüsselung von Daten im Ruhezustand für Anrufaufzeichnungen (erfordert Option für verschlüsselte Speicherung)
• Verschlüsselung von Chat-, E-Mail- und SMS-Protokollen im Ruhezustand
• Strenge Prozesse für das Change Management
• Schutz vor Viren und Malware
• Systeme zur Erkennung und Verhinderung von Angriffen
• Interne und externe Schwachstellenscans
• Regelmäßige Penetrationstests des Netzwerks
• Sicherer Code-Entwicklungszyklus
• Rund um die Uhr verfügbares Network Operations Center (NOC)
• SIEM-Überwachung durch ein 24x7x365 verfügbares Security Operations Center (SOC)
• Prozesse für das Problem- und Störungsmanagement
• Geografische Redundanz für Geschäftskontinuität
• Zertifizierungsberichte gem. AICPA Service Organization Control (SOC2 Typ2)
• Fortlaufende Schulungen und Sensibilisierung zu Informationssicherheit und Datenschutz

Cloud Security Office: Zuverlässiges Cloud Computing

Das Cloud Security Office von Five9 schützt unsere Infrastruktur, Anwendungen und Betriebsabläufe vor Sicherheitsverletzungen und unvorhergesehenen Ereignissen (sogar Naturkatastrophen).

Five9 ist Mitglied der Cloud Security Alliance (CSA). Die CSA ist eine gemeinnützige, anbieterneutrale Organisation, die sich zum Ziel gesetzt hat, den Einsatz von Best Practices für die Gewährleistung der Sicherheit im Cloud Computing zu fördern und über den Einsatz von Cloud Computing aufzuklären, um die Sicherheit aller anderen Formen des Computing zu unterstützen.

Customer Proprietary Network Information (CPNI)

Five9 hält sich an die Vorschriften der US-amerikanischen Bundeskommunikationskommission (Federal Communications Commission, FCC) zum Schutz der Vertraulichkeit von CPNI-Daten. Dies umfasst Telefonnummern, Uhrzeiten, Daten und die Anrufdauer, sowie die Arten von Dienstleistungen und Produkten, die wir Ihnen anbieten. Wir haben Sicherheits- und Datenschutzmaßnahmen entwickelt und implementiert, um CPNI-Daten vor unbefugtem Zugriff oder missbräuchlicher Verwendung zu schützen. Five9 verkauft keine CPNI-Daten an Dritte. Zudem geben wir CPNI-Daten nicht ohne die Zustimmung unserer Kunden weiter, es sei denn, dies ist gesetzlich vorgeschrieben.