我们的安全框架
我们实施符合行业认可框架的安全实践,并保持对适用法规的合规性。
HIPAA 合规
支持业务伙伴协议(BAA)的医疗数据处理。有完整的PHI处理程序文档,包含加密和访问控制。
GDPR 合规
完全符合欧盟数据保护要求,包括数据主体权利、合法依据文档和删除程序。
ISO 27001 对标
我们遵循ISO 27001信息安全框架的风险管理和安全控制实践。
SOC 2 对标
我们在运营中实施SOC 2的安全性、可用性和保密性原则。
关于认证的说明: 我们遵循公认的安全框架,并在必要时保持法规合规。"对标"表示我们实施框架实践;"合规"表示我们满足监管要求。
技术安全
为传输中和静态的数据提供多层保护。
1
传输中数据
- 所有网络连接使用HTTPS/TLS加密
- 语音通话使用SRTP(安全实时传输协议)
- 与客户系统的API连接均加密
2
终端安全
- 所有工作站安装BitDefender终端安全软件
- 实时威胁检测和防护
- 定期安全更新和补丁管理
3
访问控制
- 所有访问强制要求多因素认证(MFA)
- 基于角色的访问控制(RBAC)
- 所有数据访问的完整审计追踪
"我们根据数据敏感度和客户需求实施技术控制。安全措施可按合作需求定制。"
数据处理
我们收集的数据
- 通话录音 — 静态加密存储,可配置保留期限
- 聊天记录 — 加密存储,可用于质检搜索
- 客户元数据 — 来自CRM集成的姓名、邮箱、工单ID
- 坐席活动日志 — 用于质量保证和合规审计
数据存储位置
US 美国 默认位置
自定义位置 可按客户需求安排
默认数据处理在美国进行。可根据您的监管要求安排自定义数据中心位置。
保留与删除
| 数据类型 | 默认保留期 | 可配置范围 |
|---|---|---|
| 通话录音 | 90天 | 30天 - 7年 |
| 聊天记录 | 1年 | 30天 - 7年 |
| 审计日志 | 2年 | 固定(合规要求) |
| 坐席绩效数据 | 1年 | 30天 - 3年 |
可按需提供销毁证明。GDPR删除请求在30天内处理。
物理安全
对于有更高安全要求的客户,我们提供具有增强物理管控的安全设施选项。
禁止个人电子设备
安全工作区域禁止携带手机和个人设备
24/7视频监控
对所有运营区域进行持续视频监控
受控环境
封闭窗户,外部无法看到工作区域
门禁管控
刷卡进入,访客登记制度
"欢迎现场参观。联系我们安排设施参观或运营安全评估。"
常见问题
你们能签BAA吗?
可以。我们为所有处理PHI的医疗客户提供业务伙伴协议。通常2-3个工作日内完成。
你们进行哪些安全评估?
我们定期进行内部安全审查,并实施符合ISO 27001和SOC 2框架的控制措施。可按需提供安全实践文档。
如果发生数据泄露怎么办?
我们有完整的事件响应程序文档。会及时通知受影响的客户,并完全透明地说明范围、影响和已采取的补救措施。
如何处理GDPR删除请求?
数据主体请求在30天内处理。我们提供删除确认,并可按需提供销毁证明文档。
你们的坐席能访问我们的系统吗?
可选且可配置。我们支持VPN、VDI和多种访问方式。所有访问都有日志记录,可即时撤销。大多数客户倾向于API集成。
我们可以审计你们的设施吗?
可以。我们欢迎现场参观和对运营中心的安全评估。联系我们安排参观或审计。
你们提供高安全级别的工作环境吗?
是的。对于有更高安全要求的客户,我们提供禁止个人电子设备、24/7视频监控和受控工作环境的安全设施。
对我们的安全实践有疑问?
联系我们的团队 →