发布时间：2026年05月07日

Callnovo 2026版信息安全政策

Callnovo 2026版信息安全政策

资质认证： GB/T 22080—2025 / ISO/IEC 27001:2022，COPC 认证，HIPAA 合规。

在 Callnovo，我们深知信任是每一段成功合作的基石。因此，我们建立的信息安全框架绝不仅仅是为了应付合规检查，而是为了真真切切地保护您托付给我们的每一份数据。这份《2026版信息安全政策》详细说明了我们在全球运营中如何捍卫您的信息资产，确保数据的机密性、完整性和可用性。

我们将职业道德与诚实守信视为重中之重。无论您是我们的客户、员工还是合作伙伴，这份文档都能让您清晰、透明地了解我们每天是如何落实安全保障的。

一、目的与适用范围

1.1 为什么制定本政策

我们的目的很简单：为整个公司的数据安全和隐私保护建立一个坚实的标准。通过将技术防护措施、隐私规则和监管要求整合在这一份文件中，我们确保 Callnovo 的每一位员工在处理敏感信息时，都清楚地知道该怎么做。

1.2 适用对象与范围

本政策适用于我们所有的业务活动及相关人员。具体包括我们的团队（所有员工、承包商、团队主管、质量保证专员以及临时员工，无论他们在全球哪个办公室或远程办公）、我们的技术设施（Callnovo 拥有或管理的所有网络、设备、应用程序和数据存储库）、您的数据（通过我们的平台处理的所有客户数据，包括 HeroDash 客户服务 SaaS 平台），以及我们的合作伙伴（能够接触到 Callnovo 或客户数据的第三方供应商及商业伙伴）。

1.3 遵循的监管标准

我们不仅设定自己的标准，更严格对标全球最严苛的监管框架。我们的运营符合以下要求：

ISO/IEC 27001:2022： 我们的中国运营实体（岳阳亿海服信息科技有限公司广州分公司）已获得完整的 ISO 27001 认证。

COPC 认证： 我们的团队通过了 COPC 认证，确保提供高绩效的客户体验运营。

HIPAA 合规： 我们作为完全合格的业务伙伴 (BA) 在 HIPAA 法规框架下运营，以最严谨的态度保护受保护的健康信息 (PHI)。
增值电信业务经营许可证： 我们持有覆盖全国的国内呼叫中心业务许可证（B2-20254405）。
全球隐私法规： 我们严格遵守欧盟《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）。

二、组织安全治理

安全不仅是 IT 部门的事，更是管理层的首要任务。我们设立了专门的组织架构，确保数据保护工作由专家亲自把关。

2.1 数据保护官

我们的数据保护官是 Callnovo 隐私保护的捍卫者。DPO 负责：

确保本政策不仅停留在纸面上，而是切实落实到行动中。
领导“数据泄露应急响应机制”，保证在发生意外时，能在 72 小时内通知受影响的客户和监管机构。
全年 365 天、7×24 小时随时解答客户的隐私合规疑问（适用于增强版计划客户）。
定期进行评估，确保我们的隐私保护措施始终处于最佳状态。

2.2 信息安全委员会

我们不会将安全决策交给单个人。我们的信息安全委员会由高层管理人员、IT 领导、DPO 和合规专员组成，至少每季度召开一次会议。他们会审查当前的安全状况、分析新出现的威胁，并更新战略，以确保我们始终领先一步。

三、人员安全

如果使用技术的人不可靠，世界上最好的技术也无法保护数据。招对人是我们成功的关键，我们招聘筛选值得信赖的技术人员，并对技术人员进行定期的信息安全培训与考核。

3.1 招聘与背景调查

在任何人加入 Callnovo 团队之前，都会经过全面的背景调查，以确认其没有犯罪记录。如果项目有更高的隐私要求，我们甚至可以在将客服代表分配到您的项目之前，获取正式的无犯罪记录证明。

3.2 保密协议

信任需要落实到书面上。在开始任何工作之前，每位员工都必须签署《保密协议》(NDA) 和《保密与合规承诺书》。即使在他们离职后，这些协议依然具有法律约束力。

3.3 持续培训

安全是一种习惯，而不是一次性的活动。我们通过岗前培训（在开始任何项目之前，必须完成数据隐私协议的签署和法律知识培训）、每月合规培训（所有项目参与者每月至少接受 1 小时的数据隐私培训，并进行考核）、年度反欺诈与安全培训（每年深入讲解安全协议，让员工了解任何违法行为的严重后果），以及 HIPAA 培训（为处理医疗保健项目的客服代表提供专门的持续培训，确保他们掌握最新的法规要求）等方式让团队时刻保持警惕。

3.4 严格的权限撤销

当员工离职或调岗时，他们的权限不会被遗留。我们的身份管理平台会在员工离职记录生效的瞬间，自动撤销其所有系统访问权限、VPN 凭证和数据权限。

四、物理安全

虽然我们的大部分工作都在云端进行，但物理安全依然是一道至关重要的防线。

4.1 标准设施控制

我们的本地机房全天候上锁，仅限授权的 IT 人员进入。同时，办公网络受到严格控制，确保客服代表只能访问工作所需的特定应用程序和网站。此外，我们在物理层面禁用了所有办公电脑的 USB 端口，防止任何人带走未经授权的数据。

4.2 增强型物理隔离（可选附加服务）

如果您的项目处理的是高度敏感的数据，我们提供额外的物理安全层。您的专属团队（客服、TL、QA）可以在物理隔离、上锁的独立办公区内工作，所有出入口均采用生物识别门禁，并配备 7×24 小时闭路电视（CCTV）监控。

五、IT 基础设施与网络安全

我们构建了一个专门用于抵御威胁、保护您数据安全的技术环境。

5.1 安全的电话系统

Callnovo自研AI驱动的Omni-Channel客服SaaS平台托管在美国，新加坡，欧洲的信息安全合规的亚马逊AWS云。我们采用 IP 白名单机制，确保只有经过授权的 Callnovo IT 团队才能访问系统。凭借每周的例行维护和 7×24 小时待命的应急响应团队，我们确保您的通信始终安全可用。

5.2 终端保护

Callnovo 客服代表使用的每一台电脑都经过了严密的加固。设备上安装了最新的防病毒和防间谍软件并开启自动更新，主机级防火墙也始终保持开启状态。最重要的是，我们有一项严格的政策：Callnovo 绝不在本地电脑或云系统中存储客户的支付信息。

5.3 Callnovo CX 安全套件

无论是办公室办公还是远程办公，每一台工作站都运行着我们自主研发的 CX 安全套件。这是我们的数字保镖，通过 10 个独立模块提供实时监控和保护：

1.企业级防火墙：管理网络规则，限制未经授权的访问。

2.入侵检测 (EDR/IDS)：瞬间发现并拦截可疑行为。

3.渗透测试：每季度进行自动扫描，发现并修复漏洞。

4.数据加密：静态数据采用 AES-256 加密，传输中数据采用 TLS 1.3+ 加密。

5.访问控制：严格执行最小权限原则。

6.MFA 与审计日志：敏感操作需进行多因素认证，并记录所有日志以备合规审查。

7.身份管理：员工离职时自动撤销权限。

8.补丁管理：保持软件更新，抵御新威胁。

9.合规自动化：生成符合 ISO 27001 和 GDPR 要求的审计报告。

10.数据防泄露监控：监控异常的数据导出或多设备访问行为。

六、数据保护与隐私

我们像对待自己的数据一样对待您的数据。以下是我们在数据的整个生命周期中如何进行保护的。

6.1 加密标准

即便有人截获了我们的数据，我们也会确保他们无法读取。我们使用 AES-256 算法对服务器上的数据（静态）进行加密，使用 TLS 1.3+ 协议对网络中传输的数据（动态）进行加密。任何通过电子邮件发送的敏感数据都会被严格加密。

6.2 HeroDash 平台隐私保护

6.3 数据最小化与保留

我们只保留必要的数据。当我们的合作结束时，我们会在 60 个工作日内安全删除或物理销毁您的所有数据。对于有更高要求的客户，我们还提供强制性的季度数据匿名化处理服务。

七、针对医疗保健行业的 HIPAA 合规性

对于医疗保健行业的客户，我们作为完全合格的业务伙伴 (BA)，在 HIPAA 法规的框架下运营。我们以最严谨的态度保护受保护的健康信息 (PHI)。

所有 PHI 数据在我们的服务器上都会被严格加密。与医生的文本通信均通过符合 NIST 标准的、安全的云端消息应用进行，绝不使用标准短信。只有经过授权且有明确“知其所需”原则的人员才能访问患者数据。此外，电子健康信息 (ePHI) 无法复制到便携式驱动器中。移动设备受 PIN 码保护，丢失的设备可被远程擦除，包含 ePHI 的消息也会在设定时间后自动过期并删除。

我们欢迎并全力配合医疗保健客户希望进行的任何合规性审计。

八、客户隐私保护服务层级

我们知道不同的企业面临不同的风险状况。我们提供两个层级的隐私保护服务，您可以根据自己的需求进行选择。

8.1 责任与赔偿

我们为自己的安全承诺负责。如果发生非故意的违约事件，基础版计划客户最高可获 1 个月服务费的赔偿（增强版最高 3 个月）。对于恶意违约事件，基础版客户最高可获 3 个月服务费赔偿，增强版客户最高可获 12 个月赔偿。

九、事件响应与报告

即使拥有最好的防御措施，我们也必须为最坏的情况做好准备。我们的事件响应程序是一个结构化的 6 步流程，旨在迅速应对威胁。

流程始于检测阶段，我们的 CX 安全套件会实时检测异常情况。一旦发现问题，我们会立即进入遏制阶段，隔离受影响的系统以防止威胁蔓延。在接下来的 72 小时内，DPO 会完成通知工作，及时告知您和相关监管机构。

随后，我们将展开全面的取证调查，并在 30 天内提交详细报告。在修复阶段，我们会彻底解决漏洞并改进流程。最后，通过全面的审查，我们将更新政策，确保此类事件不再发生。此外，增强版计划客户还会收到详细的季度报告，内容涵盖防火墙状态、渗透测试结果及审计发现等。

十、远程办公安全

现代办公方式很灵活，但我们的安全标准绝不妥协。居家办公的客服代表必须遵守严格的规定。所有工作都必须通过 Callnovo 或客户的 VPN 进行，并且客服代表必须使用专门为您的项目分配的电脑。设备上必须安装 IT 管理工具以便进行实时监督，同时 CX 安全套件必须时刻保持运行状态。此外，硬件层面也进行了锁定，禁用 USB 端口并始终开启主机防火墙。