买方应该要求的安全控制
公司拥有数据平面
聊天记录、客户历史和操作日志存放在公司控制的环境中。
账号隔离
员工通过受控账号服务客户,而不是拥有客户关系。
PIN 与设备控制
通过会话和设备治理降低账号泄露风险。
远程清理
离职或事故时撤销访问并清理受控会话。
角色权限
区分查看、导出、管理账号、监督员工和配置 AI 辅助的权限。
审计日志
记录访问、交接、导出、管理员操作和敏感动作。
部署模型
| 层级 | 实现 | 业务原因 |
|---|---|---|
| 应用层 | 员工、主管和管理员使用 IM Protector 工作台。 | 公司可以看见并治理客户沟通。 |
| 数据存储 | 按需使用自托管数据库和文件存储。 | 客户记录保留在企业控制范围。 |
| 渠道连接 | Telegram 和 WhatsApp 通过受控流程接入。 | 客户继续使用熟悉渠道。 |
| 运维访问 | 供应商支持需授权并留痕。 | 减少隐藏访问风险。 |
审计应该覆盖什么
Offboarding
谁在什么时候失去访问,客户如何交接
离职应该是流程,不是与员工协商。
Customer record
谁在什么渠道说过什么
对话记录保护销售连续性和纠纷处理。
Admin action
谁导出、删除、修改或重新分配数据
管理员控制客户关系图,必须可追责。
Incident
事故时撤销了哪些访问
远程清理和会话控制可以降低损失。
评估 IM 供应商时要问
| 问题 | 为什么重要 |
|---|---|
| 聊天数据库存在哪里? | 决定谁真正拥有客户历史。 |
| 员工是否可以不拥有个人账号也服务客户? | 降低客户被带走和离职损失。 |
| 能否立即撤销访问? | 离职和事故响应必需。 |
| 能否审计导出和管理员动作? | 客户记录是敏感商业资产。 |