Não sou a pessoa mais qualificada aqui sobre este tópico, mas vou tentar dar uma resposta…
-
Sim, o conteúdo das mensagens só pode ser visualizado por usuários adicionados e administradores. Para criptografia de ponta a ponta real, você pode adicionar este plugin.
-
Não… eles só rastreiam o que têm acesso (e isso não inclui mensagens privadas).
-
Os próprios anexos serão privados, a menos que alguém encontre ou distribua o link direto. Você pode querer considerar a implementação de isto para ajudar a protegê-los ainda mais, embora. Esse plugin ajudará a impedir que esses anexos vão mais longe do que o pretendido, bloqueando esses links para usuários logados, garantindo ainda mais que os arquivos não vão mais longe do que o pretendido.
Em uma nota separada, sugiro que você analise cuidadosamente o que considera “informações comerciais sensíveis”, pois pode ter outras obrigações legais a considerar. Se você estiver armazenando PII (informações de identificação pessoal) sensíveis, pode querer conversar com sua equipe de RH e/ou equipe jurídica para garantir que você esteja lidando com essas informações de forma apropriada. Dependendo de sua organização, você pode ter que atender a diferentes requisitos, como HIPAA (para entidades de saúde ou entidades que incorporam certos tipos de serviços), FERPA (para instituições educacionais), GDPR (para certas entidades com funcionários na UE) PCI (para certas instituições que processam transações financeiras), ou qualquer outra lei local. Se você está apenas falando sobre práticas de negócios e similares em suas MPs, você ficará bem. Mas se você está falando de registros de pessoal sensíveis… você vai querer dar uma olhada em como você planeja processar esses registros e garantir que armazená-los em uma plataforma como o Discourse não aumente sua responsabilidade. Nesses casos, você pode querer terceirizar algumas dessas funções para um serviço que foi criado para isso e pode lhe dar algo como um BAA, se necessário.
“Sensível” significa muitas coisas diferentes para pessoas diferentes. Eu apenas encorajaria você a ter certeza de que sabe qual é a sua responsabilidade legal antes de se aprofundar muito.