Sichere Videos in Panopto
Panopto unterhält strenge Sicherheitsvorkehrungen, um die Sicherheit, Vertraulichkeit, Integrität und den Schutz Ihrer Daten zu gewährleisten.
Unser gemeinsames Sicherheitsmodell
Panopto nutzt ein Software-as-a-Service (SaaS)-Modell, bei dem die Sicherheit in der gemeinsamen Verantwortung von Amazon Web Services (AWS), Panopto und unseren Kunden liegt. Panopto nutzt AWS als Cloud-Infrastrukturanbieter, um hochverfügbare, skalierbare und sichere Lösungen bereitzustellen. AWS ist für die Sicherheit der physischen, Netzwerk- und Virtualisierungsplattform verantwortlich. Panopto ist für die Sicherheit auf Host-, Middleware- und Anwendungsebene, die Ereignisüberwachung und die Notfallwiederherstellung verantwortlich. Die Kunden sind für die Verwaltung der Benutzeridentität, die Zugriffskontrolle und die Datensicherheit verantwortlich.
Kultur der Sicherheit und des Datenschutzes
Panoptos Fokus auf Sicherheit und Datenschutz ist in unserer Unternehmenskultur verwurzelt, beginnend mit dem Einstellungsprozess, über die Einarbeitung der Mitarbeiter, laufende Schulungen und unternehmensweite Initiativen zur Sensibilisierung. Bevor ein neuer Mitarbeiter in das Panopto-Team aufgenommen wird, führen wir, soweit es die lokalen Gesetze und Vorschriften zulassen, eine Überprüfung des strafrechtlichen Hintergrunds und der Kreditwürdigkeit durch. Alle neuen Teammitglieder müssen eine Schulung zum Thema Informationssicherheit und Datenschutz absolvieren. Entwickler müssen zum Zeitpunkt der Einstellung und danach in regelmäßigen Abständen eine Schulung zur sicheren Codierung absolvieren. Unser Sicherheitsteam führt regelmäßig Sensibilisierungs- und Schulungsmaßnahmen durch, einschließlich Sicherheits-Newslettern, E-Mail-Warnungen und Phishing-Tests.
Panopto ist sich darüber im Klaren, dass eine starke Governance für ein effektives Informationssicherheitsprogramm entscheidend ist. Wir haben einen funktionsübergreifenden Informationssicherheitsrat eingerichtet, in dem alle Abteilungen und Teams vertreten sind, um unser Sicherheitsprogramm zu überwachen und strategisch zu steuern. Darüber hinaus fördert und unterstützt der Rat die Unternehmen bei der Integration von Informationssicherheitsrichtlinien, Standards und Best Practices in die Betriebsabläufe des Unternehmens.
Anwendungssicherheit
Von der Aufnahme bis zur Wiedergabe - Panopto macht es einfach, Ihre Videoinhalte sicher aufzuzeichnen, zu verwalten und zu streamen. Als führender Anbieter von Videoplattformen für die größten Unternehmen und angesehensten Universitäten der Welt haben wir viel in die Produktsicherheit investiert - von der Art und Weise, wie sich Benutzer anmelden, bis hin zur Speicherung und Bereitstellung von Videos im Netzwerk.
Unsere Videoplattform bietet mehrschichtige Sicherheit an der Peripherie, im Repository und beim Streaming. Dadurch wird sichergestellt, dass nur autorisierte Benutzer Videos ansehen können und die Daten im Ruhezustand und bei der Übertragung sicher sind.
Panopto sichert den Umfang des Video-Repositorys mit Unterstützung für mehrere Anmeldeinformationen, darunter OAuth, SAML 2.0, Active Directory und eine Reihe von LMS-ID-Anbietern. Unsere Single Sign-On (SSO)-Implementierung unterstützt die fortlaufende Zwei-Wege-Synchronisation von Anmeldeinformationen, um sicherzustellen, dass die Benutzerinformationen immer auf dem neuesten Stand sind.
In Panopto navigieren Benutzer durch Videos, Ordner und Wiedergabelisten und greifen auf diese über rollenbasierte Berechtigungen zu. Diese Berechtigungen können für Gruppen oder einzelne Benutzer konfiguriert werden und bieten eine granulare Kontrolle über Videoaufzeichnung, Live-Streaming, Hochladen, Veröffentlichen, Wiedergabe und Zeitplanung. Zusätzliche Einstellungen bieten Administratoren die Möglichkeit, sichere Kennwörter, den Ablauf von Kennwörtern, die Zwei-Faktor-Authentifizierung über SSO und Sitzungszeitüberschreitungen zu erzwingen.
Sicherheit der Infrastruktur
Panopto wird als hochverfügbarer, redundanter Cluster in mehreren AWS-Verfügbarkeitszonen gehostet, wodurch einzelne Ausfallpunkte eliminiert und die Zuverlässigkeit der Plattform erhöht wird. Web-, Codierungs- und Datenbankserver werden über die Verfügbarkeitszonen hinweg gespiegelt. Im Falle eines Ausfalls einer gesamten Verfügbarkeitszone geht das System nahtlos in eine andere Zone über, wodurch die Geschäftskontinuität gewährleistet und die Integrität Ihrer Daten geschützt wird.
AWS bietet auch einen erheblichen Schutz gegen herkömmliche Netzwerksicherheitsschwachstellen. So wird beispielsweise die Bedrohung durch verteilte Denial-of-Service-Angriffe (DDoS) durch proprietäre DDoS-Schutzdienste und AWS-Netzwerke mit mehreren Hosts, die eine Vielfalt an Internetzugängen bieten, gemindert. Man-in-the-Middle-Angriffe (MITM) werden durch SSL-geschützte API-Endpunkte verhindert. IP-Spoofing wird durch die AWS-Firewall-Infrastruktur verhindert, die es Instanzen nicht erlaubt, Datenverkehr mit einer anderen Quell-IP oder MAC-Adresse als der eigenen zu senden.
Darüber hinaus unterhält AWS hochmoderne physische Sicherheitsvorkehrungen in seinen Rechenzentren, die mehrere Perimeter umfassen. Dazu gehört das Verbot des Zugangs von außen und die Nichtweitergabe des genauen Standorts der Rechenzentren. Zu den Umgebungsschutzmaßnahmen gehören Branderkennung und -unterdrückung, vollständig redundante Stromversorgungssysteme, Klimakontrolle und Echtzeit-Management der elektrischen und mechanischen Systeme.
Operative Sicherheit
Panopto hat den Kontrollrahmen NIST SP 800-53 als Grundlage für die Durchführung eines risikobasierten Informationssicherheitsprogramms übernommen. Unsere internen Systeme und Prozesse werden durch Sicherheitsrichtlinien verwaltet, die die NIST-Kontrollfamilien abdecken, einschließlich Zugangskontrolle, Risikobewertung, Sensibilisierung und Schulung, Risikomanagement in der Lieferkette, Reaktion auf Vorfälle, Konfigurationsmanagement sowie physischer und ökologischer Schutz.
Unser Entwicklungsteam verwendet einen sicheren Softwareentwicklungszyklus, um sicherzustellen, dass Sicherheitsmaßnahmen wie Codeüberprüfung und Architekturanalyse fester Bestandteil der Entwicklungsarbeit sind.
Außerdem führen wir vierteljährliche Schwachstellen-Scans und regelmäßige interne Audits unserer Cloud-Sicherheitspraktiken und Zugangsrechte durch. Jedes Jahr führen wir in Zusammenarbeit mit einem international bekannten unabhängigen Sicherheitsunternehmen einen umfassenden Penetrationstest durch, um ausnutzbare Schwachstellen zu ermitteln und die Angriffsfläche für Cyberangriffe zu minimieren.
Darüber hinaus schätzt Panopto die Unterstützung von externen Forschern bei der Identifizierung von Schwachstellen in unseren Produkten und Diensten. Unser Responsible Disclosure Program ermutigt Forscher, Design- und Implementierungsprobleme zu melden, die die Vertraulichkeit oder Integrität von Benutzerdaten beeinträchtigen oder Kundendaten gefährden.
Für den Fall eines Sicherheits- oder Geschäftskontinuitätsvorfalls verfügen wir über einen Reaktionsplan, der alle Aspekte der Reaktion auf einen Vorfall abdeckt, von der Vorbereitung über die Identifizierung, Eindämmung, Beseitigung und Wiederherstellung bis hin zur Ursachenanalyse. Der Plan wird jährlich geübt, um sicherzustellen, dass wir über ein Team von geschultem Personal verfügen, das in der Lage ist, die Auswirkungen eines Vorfalls zu minimieren und den normalen Betrieb so schnell wie möglich wieder aufzunehmen.
Datenschutz
Panopto nimmt die Verantwortung für den sorgfältigen und respektvollen Schutz Ihrer persönlichen Daten sehr ernst. Unser Ansatz zum Schutz der Privatsphäre beginnt damit, dass wir uns verpflichten, Ihnen Transparenz über die Erfassung, Verwendung und Verteilung Ihrer Daten zu bieten.
Die EU-Datenschutz-Grundverordnung (GDPR) sorgt für einen einheitlichen Datenschutz in ganz Europa, der auf den Datenschutzgrundsätzen Transparenz, Fairness und Verantwortlichkeit beruht.
Als Datenverarbeiter verpflichtet sich Panopto zur Einhaltung des GDPR-Gesetzes.
Dazu gehören die Verwendung von Verschlüsselung und Anonymisierung zum Schutz personenbezogener Daten, Verträge mit Partnern, die bei unserer Datenverarbeitung eine Rolle spielen, Prüfungen unserer Datenquellen auf personenbezogene Daten durch Dritte und die Einhaltung der Rechte auf Zugang, Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Einschränkung der Verarbeitung.
Kontrolle der Dienstleistungsorganisation (SOC) 2 Konformität
Kontrolle der Dienstleistungsorganisation (SOC)
Das vom American Institute of CPAs (AICPA) entwickelte SOC definiert Kriterien für die Verwaltung von Kundendaten auf der Grundlage der fünf Trust-Service-Prinzipien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Panopto unterzieht sich jährlich einem SOC 2 Typ 2-Audit durch eine unabhängige Wirtschaftsprüfungsgesellschaft, um zu bewerten, inwieweit Panopto das Vertrauensprinzip für Sicherheit und Verfügbarkeit einhält:
- Sicherheit: Das Sicherheitsprinzip bezieht sich auf den Schutz der Systemressourcen vor unberechtigtem Zugriff.Bei Panopto gibt es Zugangskontrollen, die dazu beitragen, potenziellen Systemmissbrauch, Diebstahl oder unbefugtes Entfernen von Daten, den Missbrauch von Software und die unzulässige Änderung oder Weitergabe von Informationen zu verhindern. Die bei Panopto eingesetzten IT-Sicherheitstools wie Netzwerk- und Webanwendungs-Firewalls, Zwei-Faktor-Authentifizierung und Intrusion Detection sind nützlich, um Sicherheitsverletzungen zu verhindern, die zu einem unbefugten Zugriff auf Systeme und Daten führen können.
- Verfügbarkeit: Der Verfügbarkeitsgrundsatz bezieht sich auf die Erreichbarkeit des Systems, der Produkte oder Dienstleistungen, wie sie in einem Vertrag oder einer Dienstgütevereinbarung festgelegt ist. Die Überwachung der Netzleistung und -verfügbarkeit, die Ausfallsicherung von Standorten und die Behandlung von Sicherheitsvorfällen sind in diesem Zusammenhang von entscheidender Bedeutung.
Unser SOC-2-Bericht steht jedem Partner, Kunden oder Interessenten zur Verfügung - allerdings nur, wenn der Empfänger eine Geheimhaltungsvereinbarung (Non-Disclosure Agreement, NDA) mit Panopto unterzeichnet. Für weitere Informationen siehe:
Panopto Service Organisation Control (SOC) 3 Bericht
Der SOC-3-Bericht von Panopto fasst die wichtigsten Informationen aus dem SOC-2-Bericht in einer leicht verdaulichen Zusammenfassung zusammen, ohne dass ein NDA unterzeichnet werden muss.
Cloud Security Alliance (CSA) STAR-Selbstbeurteilung
Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, die von einer breiten Koalition aus Branchenexperten, Unternehmen und anderen wichtigen Interessengruppen geleitet wird. Sie hat es sich zur Aufgabe gemacht, Best Practices zu definieren, um eine sicherere Cloud-Computing-Umgebung zu gewährleisten und potenziellen Cloud-Kunden zu helfen, fundierte Entscheidungen zu treffen, wenn sie ihre IT-Abläufe in die Cloud verlagern. Panopto hat das CSA STAR Self-Assessment über den Consensus Assessments Initiative Questionnaire (CAIQ) abgeschlossen und die Ergebnisse im CSA Security, Trust, and Assurance Registry veröffentlicht: Panopto - CAIQ (v3.1).
Checkliste Sicherheit
| Anwendungssicherheit | IM LIEFERUMFANG VON PANOPTO ENTHALTEN |
|---|---|
| API-Authentifizierung und Verschlüsselung | Ja |
| Authentifizierungsrichtlinien | Ja |
| Validierung der Daten | Ja |
| Verschlüsselung im Ruhezustand | Ja |
| Verschlüsselung bei der Übertragung | Ja |
| Forensische Analyse über Audit-Protokollierung | Ja |
| Sicherheit der gehosteten Plattform | Ja |
| Infrastruktur als Code (IaC) | Ja |
| Logische Trennung der Inhalte | Ja |
| Man-in-the-Middle (MITM)-Verhinderung | Ja |
| Perimetersicherheit und Single-Sign-On (SSO) | Ja |
| Rollenbasierte Autorisierung | Ja |
| Sichere Speicherung von Anmeldeinformationen | Ja |
| Sitzungszeitüberschreitungen | Ja |
| Video-Download-Verhinderung | Ja |
| Infrastruktur und betriebliche Sicherheit | IM LIEFERUMFANG VON PANOPTO ENTHALTEN |
|---|---|
| Einhaltung eines allgemein anerkannten Kontrollrahmens | Ja |
| Programm zur Risikoverwaltung | Ja |
| Überprüfung des Hintergrunds von Mitarbeitern und Auftragnehmern | Ja |
| Sensibilisierung und Schulung für Sicherheit und Datenschutz | Ja |
| Least Privilege und Aufgabentrennung | Ja |
| Zugang zu vertraulichen Informationen nach dem Need-to-know-Prinzip | Ja |
| Sicherer Lebenszyklus der Softwareentwicklung | Ja |
| Trennung von Betriebs-, Entwicklungs- und Staging-Umgebungen | Ja |
| Überwachung und Alarmierung bei anomalen Ereignissen | Ja |
| Regelmäßige Kontrollbewertungen und Schwachstellen-Scans | Ja |
| Jährlicher umfassender Penetrationstest durch Dritte | Ja |
| Risikobasierte Priorisierung der zu behebenden Schwachstellen | Ja |
| Sichere Medienentsorgung | Ja |
| Schutz vor bösartiger Software | Ja |
| Vermeidung von Datenverlusten | Ja |
| Physische und Umweltkontrollen | Ja |
| Planung und Prüfung des Störungsmanagements | Ja |
| Planung und Prüfung der Geschäftskontinuität und Wiederherstellung im Katastrophenfall | Ja |
| Kapazitäts- und Ressourcenplanung | Ja |
| Datenschutz und Compliance | IM LIEFERUMFANG VON PANOPTO ENTHALTEN |
|---|---|
| Allgemeine Datenschutzverordnung (GDPR) | Ja |
| SSAE 18 SOC 2 Typ II | Ja |
| Cloud Security Alliance (CSA) STAR-Selbstbeurteilung | Ja |
