Vídeos seguros en Panopto
Panopto estrictas medidas de seguridad que protegen la seguridad, confidencialidad, integridad y privacidad de sus datos.
Nuestro modelo de seguridad compartida
Panopto un modelo de software como servicio (SaaS) en el que la seguridad es una responsabilidad compartida entre Amazon Web Services (AWS), Panopto y nuestros clientes. Panopto AWS como nuestro proveedor de infraestructura en la nube para ofrecer soluciones altamente disponibles, escalables y seguras. A alto nivel, AWS es responsable de la seguridad física, de la red y de la plataforma de virtualización. Panopto responsable de la seguridad del host, del middleware y de las aplicaciones, de la supervisión de eventos y de la recuperación ante desastres. Los clientes son responsables de la gestión de la identidad de los usuarios, el control de acceso y la seguridad de los datos.
Cultura de seguridad y privacidad
El enfoque Panoptoen la seguridad y la privacidad está arraigado en nuestra cultura organizativa, comenzando por el proceso de contratación, continuando durante la incorporación de los empleados, la formación continua y las iniciativas de sensibilización en toda la empresa. Antes de que alguien se incorpore al Panopto , realizamos comprobaciones de antecedentes penales y crediticios, siempre que lo permitan las leyes y normativas locales. Todos los nuevos miembros del equipo deben realizar una formación sobre seguridad de la información y sensibilización sobre la privacidad. Los desarrolladores deben realizar una formación sobre codificación segura en el momento de la contratación y, posteriormente, de forma periódica. Nuestro equipo de seguridad lleva a cabo actividades periódicas de sensibilización y formación, que incluyen boletines informativos sobre seguridad, alertas por correo electrónico y pruebas de phishing.
Panopto que una gobernanza sólida es fundamental para un programa de seguridad de la información eficaz. Hemos implementado un Consejo de Seguridad de la Información multifuncional que representa a todos los departamentos y equipos para supervisar y proporcionar orientación estratégica a nuestro programa de seguridad. Además, el Consejo promueve y proporciona el apoyo empresarial necesario para integrar las políticas, normas y mejores prácticas de seguridad de la información en las operaciones de la empresa.
Seguridad de las aplicaciones
Desde el momento de la captura hasta el momento de la reproducción, Panopto la grabación, la gestión y la transmisión segura de su contenido de vídeo. Como proveedor líder de plataformas de vídeo para las organizaciones más grandes y las universidades más prestigiosas del mundo, hemos realizado una importante inversión en la seguridad de nuestros productos, desde el modo en que los usuarios inician sesión hasta la forma en que almacenamos y distribuimos los vídeos a través de la red.
Nuestra plataforma de vídeo ofrece seguridad multicapa en el perímetro, dentro del repositorio y durante el streaming. Esto garantiza que solo los usuarios autorizados puedan ver vídeos y que los datos estén seguros en reposo y en tránsito.
Panopto el perímetro del repositorio de vídeos con compatibilidad para múltiples tipos de credenciales, incluyendo OAuth, SAML 2.0, Active Directory y varios proveedores de identidades LMS. Nuestra implementación de inicio de sesión único (SSO) admite la sincronización bidireccional continua de credenciales, lo que garantiza que la información del usuario esté siempre actualizada.
Dentro de Panopto, los usuarios navegan y acceden a vídeos, carpetas y listas de reproducción mediante permisos basados en roles. Estos permisos se pueden configurar para grupos o usuarios individuales, lo que proporciona un control granular sobre la grabación de vídeo, la transmisión en directo, la carga, la publicación, la reproducción y la programación. La configuración adicional ofrece a los administradores la posibilidad de aplicar contraseñas seguras, caducidad de contraseñas, autenticación de dos factores mediante SSO y tiempo de espera de sesión.
Seguridad de las infraestructuras
Panopto aloja como un clúster redundante de alta disponibilidad en varias zonas de disponibilidad de AWS, lo que elimina los puntos únicos de fallo y proporciona una mayor fiabilidad a la plataforma. Los servidores web, de codificación y de bases de datos se duplican en todas las zonas de disponibilidad. En caso de que se produzca una interrupción en toda una zona de disponibilidad, el sistema pasa sin problemas a otra zona, lo que garantiza la continuidad del negocio y protege la integridad de sus datos.
AWS también proporciona una protección significativa contra las vulnerabilidades de seguridad de red tradicionales. Por ejemplo, la amenaza de ataques de denegación de servicio distribuidos (DDoS) se mitiga mediante servicios de protección DDoS patentados y redes AWS multi-homed que proporcionan diversidad de acceso a Internet. Los ataques Man-in-the-middle (MITM) se evitan mediante puntos finales de API protegidos por SSL. La suplantación de IP se evita mediante la infraestructura de firewall de AWS, que no permite que las instancias envíen tráfico con una dirección IP o MAC de origen que no sea la suya.
Además, AWS mantiene una seguridad física multiperimetral de última generación en sus centros de datos. Esto incluye prohibir el acceso externo y no compartir la ubicación exacta de sus centros de datos. Las salvaguardas medioambientales incluyen detección y extinción de incendios, sistemas de alimentación totalmente redundantes, control climático y gestión en tiempo real de los sistemas eléctricos y mecánicos.
Seguridad operativa
Panopto adoptado el marco de control NIST SP 800-53 como base para operar un programa de seguridad de la información basado en el riesgo. Nuestros sistemas y procesos internos se gestionan mediante políticas de seguridad que abarcan las familias de control del NIST, incluyendo el control de acceso, la evaluación de riesgos, la concienciación y la formación, la gestión de riesgos de la cadena de suministro, la respuesta a incidentes, la gestión de la configuración y la protección física y medioambiental.
Nuestro equipo de ingenieros utiliza un ciclo de vida de desarrollo de software seguro para garantizar que las actividades de garantía de seguridad, como la revisión del código y el análisis de la arquitectura, sean inherentes al esfuerzo de desarrollo.
También realizamos análisis trimestrales de vulnerabilidades y auditorías internas periódicas de nuestras prácticas de seguridad en la nube y derechos de acceso. Cada año, nos asociamos con una empresa de seguridad independiente de renombre internacional para realizar una prueba de penetración exhaustiva con el fin de identificar vulnerabilidades explotables y minimizar la superficie de ciberataque.
Además, Panopto la ayuda de investigadores externos para identificar vulnerabilidades en nuestros productos y servicios. NuestroPrograma de Divulgación Responsableanima a los investigadores a informar sobre problemas de diseño e implementación que afecten a la confidencialidad o integridad de los datos de los usuarios o que pongan en riesgo los datos de los clientes.
En caso de incidente de seguridad o de continuidad de la actividad, mantenemos un plan de respuesta que abarca todos los aspectos de la respuesta a incidentes, desde la preparación hasta la identificación, contención, erradicación, recuperación y análisis de la causa raíz. El plan se ejercita anualmente para garantizar que contamos con un equipo de personal capacitado para responder con el fin de minimizar el impacto de un incidente y reanudar las operaciones normales lo antes posible.
Privacidad
Panopto muy en serio su responsabilidad de proteger su información personal con cuidado y respeto. Nuestro enfoque de la privacidad comienza con nuestro compromiso de ofrecerle transparencia en la recopilación, el uso y la distribución de sus datos.
El Reglamento General de Protección de Datos (RGPD) de la UE aporta coherencia a la protección de datos en toda Europa, basándose en los principios de transparencia, equidad y responsabilidad.
Como procesador de datos, Panopto compromete a cumplir con la ley del RGPD.
Esto incluye el uso de cifrado y anonimización para proteger la información personal, contratos con socios que desempeñan un papel en nuestro procesamiento de datos, auditorías de terceros de nuestras fuentes de datos para la IIP, y la adhesión a los derechos de acceso, información, rectificación, supresión, portabilidad de datos, objeción y restricción del procesamiento.
Cumplimiento de la norma SOC 2 (Service Organization Control)
Control de la Organización de Servicios (SOC)
Desarrollado por el Instituto Americano de CPA (AICPA), el SOC define criterios para gestionar los datos de los clientes basándose en los cinco principios de los servicios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Panopto una auditoría SOC 2 Tipo 2 anual realizada por una empresa auditora independiente con el fin de evaluar el grado de Panopto de Panopto con los principios de confianza en materia de seguridad y disponibilidad:
- Seguridad:El principio de seguridad se refiere a la protección de los recursos del sistema contra el acceso no autorizado. Panopto cuenta con controles de acceso Panopto ayudan a prevenir posibles abusos del sistema, robos o eliminaciones no autorizadas de datos, usos indebidos del software y alteraciones o divulgaciones inadecuadas de la información. Las herramientas de seguridad informática utilizadas en Panopto , como los cortafuegos de red y de aplicaciones web, la autenticación de dos factores y la detección de intrusiones, Panopto útiles para prevenir violaciones de seguridad que puedan dar lugar a accesos no autorizados a los sistemas y datos.
- Disponibilidad: El principio de disponibilidad se refiere a la accesibilidad del sistema, productos o servicios según lo estipulado en un contrato o acuerdo de nivel de servicio. En este contexto son fundamentales la supervisión del rendimiento y la disponibilidad de la red, la conmutación por error de las instalaciones y la gestión de incidentes de seguridad.
Nuestro informe SOC 2 está disponible para cualquier socio, cliente o cliente potencial, pero solo si el destinatario firma un acuerdo de confidencialidad (NDA) con Panopto. Para obtener más información, consulte:
Informe SOC 3 de Panopto Organization Control
El informe SOC 3 Panoptocondensa la información clave del informe SOC 2 en un resumen fácil de entender sin necesidad de firmar un acuerdo de confidencialidad.
Autoevaluación STAR de Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro dirigida por una amplia coalición de profesionales del sector, empresas y otras partes interesadas importantes. Se dedica a definir las mejores prácticas para ayudar a garantizar un entorno de computación en la nube más seguro y a ayudar a los posibles clientes de la nube a tomar decisiones informadas a la hora de trasladar sus operaciones de TI a la nube. Panopto completado la autoevaluación CSA STAR a través del cuestionario CAIQ (Consensus Assessments Initiative Questionnaire) y ha publicado los resultados en el Registro de Seguridad, Confianza y Garantía de la CSA:Panopto CAIQ (v3.1).
Lista de control de seguridad
| Seguridad de las aplicaciones | INCLUIDO CON PANOPTO |
|---|---|
| Autenticación y cifrado de API | Sí |
| Políticas de autenticación | Sí |
| Validación de datos | Sí |
| Cifrado en reposo | Sí |
| Cifrado en tránsito | Sí |
| Análisis forense mediante registro de auditoría | Sí |
| Seguridad de plataformas alojadas | Sí |
| Infraestructura como código (IaC) | Sí |
| Separación lógica de contenidos | Sí |
| Prevención Man-in-the-middle (MITM) | Sí |
| Seguridad perimetral e inicio de sesión único (SSO) | Sí |
| Autorización basada en funciones | Sí |
| Almacenamiento seguro de credenciales | Sí |
| Tiempos de espera de la sesión | Sí |
| Prevención de descargas de vídeo | Sí |
| Seguridad operativa y de las infraestructuras | INCLUIDO CON PANOPTO |
|---|---|
| Adhesión a un marco de control ampliamente reconocido | Sí |
| Programa de gestión de riesgos | Sí |
| Investigación de antecedentes de empleados y contratistas | Sí |
| Concienciación y formación sobre seguridad y privacidad | Sí |
| Privilegio mínimo y separación de funciones | Sí |
| Necesidad de acceso a información confidencial | Sí |
| Ciclo de vida del desarrollo de software seguro | Sí |
| Separación de los entornos operativo, de desarrollo y de preparación | Sí |
| Supervisión y alerta de eventos anómalos | Sí |
| Evaluaciones periódicas de los controles y análisis de vulnerabilidades | Sí |
| Prueba de penetración exhaustiva anual realizada por terceros | Sí |
| Priorización basada en el riesgo de las vulnerabilidades para su corrección | Sí |
| Eliminación segura de soportes | Sí |
| Protección contra software malintencionado | Sí |
| Prevención de la pérdida de datos | Sí |
| Controles físicos y medioambientales | Sí |
| Planificación y pruebas de la gestión de incidentes | Sí |
| Planificación y pruebas de continuidad de la actividad y recuperación en caso de catástrofe | Sí |
| Planificación de capacidades y recursos | Sí |
| Privacidad y conformidad | INCLUIDO CON PANOPTO |
|---|---|
| Reglamento general de protección de datos (RGPD) | Sí |
| SSAE 18 SOC 2 Tipo II | Sí |
| Autoevaluación STAR de Cloud Security Alliance (CSA) | Sí |
