Vídeos seguros en Panopto
Panopto Mantiene estrictas medidas de seguridad que protegen la seguridad, la confidencialidad, la integridad y la privacidad de sus datos.
Nuestro modelo de seguridad compartida
Panopto utiliza un modelo de Software como Servicio (SaaS) en el que la seguridad es una responsabilidad compartida entre Amazon Web Services (AWS), Panopto y nuestros clientes. Panopto Utilizamos AWS como nuestro proveedor de infraestructura en la nube para ofrecer soluciones altamente disponibles, escalables y seguras. En términos generales, AWS es responsable de la seguridad física, de la red y de la plataforma de virtualización. Panopto Es responsable de la seguridad a nivel de host, middleware y aplicación, la monitorización de eventos y la recuperación ante desastres. Los clientes son responsables de la gestión de identidades de usuario, el control de acceso y la seguridad de los datos.
Cultura orientada a la seguridad y la privacidad
Panopto El enfoque de la empresa en la seguridad y la privacidad está arraigado en nuestra cultura organizacional, comenzando con el proceso de contratación, continuando durante la incorporación de empleados, la capacitación continua y las iniciativas de toda la empresa para crear conciencia. Antes de que alguien se una a la empresa Panopto Para nuestro equipo, realizamos verificaciones de antecedentes penales y crediticios donde lo permiten las leyes y regulaciones locales. Todos los nuevos miembros del equipo deben recibir capacitación sobre seguridad de la información y privacidad. Los desarrolladores deben recibir capacitación en codificación segura al momento de su contratación y periódicamente después. Nuestro equipo de seguridad lleva a cabo actividades regulares de concientización y capacitación, que incluyen boletines informativos sobre seguridad, alertas por correo electrónico y pruebas de phishing.
Panopto Comprendemos que una gobernanza sólida es fundamental para un programa de seguridad de la información eficaz. Hemos implementado un Consejo de Seguridad de la Información multifuncional, integrado por representantes de todos los departamentos y equipos, para supervisar y orientar estratégicamente nuestro programa de seguridad. Además, el Consejo promueve y brinda el apoyo empresarial necesario para integrar las políticas, los estándares y las mejores prácticas de seguridad de la información en las operaciones de la empresa.
Seguridad de las aplicaciones
Desde el punto de captura hasta el punto de reproducción, Panopto Facilita la grabación, gestión y transmisión segura de tu contenido de vídeo. Como proveedor líder de plataformas de vídeo para las organizaciones más grandes del mundo y las universidades más prestigiosas, hemos invertido considerablemente en la seguridad de nuestros productos, desde el inicio de sesión de los usuarios hasta el almacenamiento y la distribución de vídeo a través de la red.
Nuestra plataforma de vídeo ofrece seguridad multicapa en el perímetro, dentro del repositorio y durante la transmisión. Esto garantiza que solo los usuarios autorizados puedan ver los vídeos y que los datos estén seguros tanto en reposo como en tránsito.
Panopto Protege el perímetro del repositorio de vídeo con soporte para múltiples tipos de credenciales, incluyendo OAuth, SAML 2.0, Active Directory y varios proveedores de ID de LMS. Nuestra implementación de inicio de sesión único (SSO) admite la sincronización bidireccional continua de credenciales, lo que garantiza que la información del usuario esté siempre actualizada.
Dentro Panopto Los usuarios navegan y acceden a vídeos, carpetas y listas de reproducción mediante permisos basados en roles. Estos permisos se pueden configurar para grupos o usuarios individuales, lo que permite un control preciso sobre la grabación, la transmisión en directo, la carga, la publicación, la reproducción y la programación de vídeos. La configuración adicional permite a los administradores exigir contraseñas seguras, establecer la caducidad de las contraseñas, implementar la autenticación de dos factores mediante SSO y limitar el tiempo de espera de la sesión.
Seguridad de la infraestructura
Panopto Se aloja como un clúster redundante de alta disponibilidad en varias zonas de disponibilidad de AWS, lo que elimina los puntos únicos de fallo y proporciona mayor fiabilidad a la plataforma. Los servidores web, de codificación y de bases de datos se replican en todas las zonas de disponibilidad. En caso de que se produzca una interrupción total de una zona de disponibilidad, el sistema realiza una transición automática a otra zona, lo que garantiza la continuidad del negocio y protege la integridad de sus datos.
AWS también ofrece una protección significativa contra las vulnerabilidades de seguridad de red tradicionales. Por ejemplo, la amenaza de ataques de denegación de servicio distribuido (DDoS) se mitiga mediante servicios de protección DDoS propios y redes AWS con múltiples conexiones que brindan diversidad de acceso a internet. Los ataques de intermediario (MITM) se previenen mediante puntos finales de API protegidos con SSL. La suplantación de IP se evita mediante la infraestructura de firewall de AWS, que no permite que las instancias envíen tráfico con una dirección IP o MAC de origen distinta a la suya.
Además, AWS mantiene una seguridad física de vanguardia con perímetros múltiples en sus centros de datos. Esto incluye prohibir el acceso externo y no compartir la ubicación exacta de sus centros de datos. Las medidas de protección ambiental incluyen detección y extinción de incendios, sistemas de alimentación totalmente redundantes, control climático y gestión en tiempo real de los sistemas eléctricos y mecánicos.
Seguridad Operacional
Panopto Hemos adoptado el marco de control NIST SP 800-53 como base para operar un programa de seguridad de la información basado en riesgos. Nuestros sistemas y procesos internos se gestionan mediante políticas de seguridad que abarcan las familias de controles NIST, incluyendo control de acceso, evaluación de riesgos, concienciación y capacitación, gestión de riesgos de la cadena de suministro, respuesta a incidentes, gestión de la configuración y protección física y ambiental.
Nuestro equipo de ingeniería utiliza un ciclo de vida de desarrollo de software seguro para garantizar que las actividades de garantía de seguridad, como la revisión de código y el análisis de arquitectura, sean inherentes al proceso de desarrollo.
También realizamos análisis trimestrales de vulnerabilidades y auditorías internas periódicas de nuestras prácticas de seguridad en la nube y derechos de acceso. Cada año, nos asociamos con una firma de seguridad independiente de renombre internacional para realizar una prueba de penetración exhaustiva con el fin de identificar vulnerabilidades explotables y minimizar la superficie de ataque cibernético.
Además, Panopto Valoramos la colaboración de investigadores externos para identificar vulnerabilidades en nuestros productos y servicios. Nuestro Programa de Divulgación Responsable anima a los investigadores a informar sobre problemas de diseño e implementación que afecten la confidencialidad o la integridad de los datos de los usuarios o que pongan en riesgo los datos de los clientes.
En caso de un incidente de seguridad o de continuidad del negocio, contamos con un plan de respuesta integral que abarca todos los aspectos, desde la preparación hasta la identificación, contención, erradicación, recuperación y análisis de la causa raíz. Este plan se pone a prueba anualmente para garantizar que contamos con un equipo capacitado para responder, minimizar el impacto del incidente y reanudar las operaciones normales lo antes posible.
Privacidad
Panopto Nos tomamos muy en serio nuestra responsabilidad de proteger su información personal con cuidado y respeto. Nuestro enfoque de privacidad comienza con nuestro compromiso de brindarle transparencia sobre la recopilación, el uso y la distribución de sus datos.
El Reglamento General de Protección de Datos (RGPD) de la UE aporta coherencia a la protección de datos en toda Europa, basándose en los principios de privacidad de transparencia, equidad y responsabilidad.
Como procesador de datos, Panopto se compromete a cumplir con la ley GDPR.
Esto incluye el uso de cifrado y anonimización para proteger la información personal, contratos con socios que participan en el procesamiento de nuestros datos, auditorías de terceros de nuestras fuentes de datos para detectar información de identificación personal y el respeto de los derechos de acceso, información, rectificación, supresión, portabilidad de datos, oposición y limitación del tratamiento.
Cumplimiento de la norma SOC 2 (Control de la Organización de Servicios)
Control de la Organización de Servicios (SOC)
Desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA), el SOC define criterios para la gestión de datos de clientes basados en los cinco Principios de Servicio de Confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Panopto obtiene una auditoría anual SOC 2 Tipo 2 realizada por una firma de auditoría externa independiente para evaluar el grado en que Panopto Cumple con el principio de confianza en materia de seguridad y disponibilidad:
- Seguridad: El principio de seguridad se refiere a la protección de los recursos del sistema contra el acceso no autorizado. Los controles de acceso están implementados en Panopto y ayudan a prevenir posibles abusos del sistema, robo o eliminación no autorizada de datos, mal uso del software y alteración o divulgación indebida de información. Las herramientas de seguridad de TI, incluidos los firewalls de red y de aplicaciones web, la autenticación de dos factores y la detección de intrusiones utilizadas en Panopto Son útiles para prevenir brechas de seguridad que pueden conducir al acceso no autorizado a sistemas y datos.
- Disponibilidad: El principio de disponibilidad se refiere a la accesibilidad del sistema, los productos o los servicios según lo estipulado en un contrato o acuerdo de nivel de servicio. La monitorización del rendimiento y la disponibilidad de la red, la conmutación por error del sitio y la gestión de incidentes de seguridad son fundamentales en este contexto.
Nuestro informe SOC 2 está disponible para cualquier socio, cliente o cliente potencial, pero solo si el destinatario firma un Acuerdo de confidencialidad (NDA) con Panopto Para obtener más información, consulte:
Panopto Informe SOC 3 (Control de la Organización de Servicios)
Panopto El informe SOC 3 condensa la información clave del informe SOC 2 en un resumen fácil de digerir sin necesidad de firmar un acuerdo de confidencialidad.
Autoevaluación STAR de la Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) es una organización sin fines de lucro liderada por una amplia coalición de profesionales del sector, empresas y otras partes interesadas clave. Su objetivo es definir las mejores prácticas para garantizar un entorno de computación en la nube más seguro y ayudar a los potenciales clientes a tomar decisiones informadas al migrar sus operaciones de TI a la nube. Panopto ha completado la autoevaluación CSA STAR a través del Cuestionario de la Iniciativa de Evaluaciones por Consenso (CAIQ) y ha publicado los resultados en el Registro de Seguridad, Confianza y Garantía de CSA: Panopto – CAIQ (v3.1) .
Lista de verificación de seguridad
| Seguridad de las aplicaciones | INCLUIDO CON PANOPTO |
|---|---|
| Autenticación y cifrado de API | Sí |
| Políticas de autenticación | Sí |
| Validación de datos | Sí |
| Cifrado en reposo | Sí |
| Cifrado en tránsito | Sí |
| Análisis forense mediante registro de auditoría | Sí |
| Seguridad de la plataforma alojada | Sí |
| Infraestructura como código (IaC) | Sí |
| Separación lógica del contenido | Sí |
| Prevención de ataques de intermediario (MITM) | Sí |
| Seguridad perimetral e inicio de sesión único (SSO) | Sí |
| autorización basada en roles | Sí |
| Almacenamiento seguro de credenciales | Sí |
| Tiempos de espera de sesión | Sí |
| Prevención de descargas de vídeo | Sí |
| Seguridad operativa y de infraestructura | INCLUIDO CON PANOPTO |
|---|---|
| Adherencia a un marco de control ampliamente reconocido | Sí |
| programa de gestión de riesgos | Sí |
| Verificación de antecedentes de empleados y contratistas | Sí |
| Sensibilización y formación en seguridad y privacidad. | Sí |
| Principio de mínimo privilegio y separación de funciones | Sí |
| Acceso a información confidencial solo a quienes lo necesiten | Sí |
| Ciclo de vida de desarrollo de software seguro | Sí |
| Separación de entornos operativos, de desarrollo y de prueba. | Sí |
| Monitoreo y alerta de eventos anómalos | Sí |
| Evaluaciones de control y análisis de vulnerabilidades periódicos. | Sí |
| Prueba de penetración integral anual realizada por terceros | Sí |
| Priorización de vulnerabilidades basada en el riesgo para su remediación. | Sí |
| Eliminación segura de soportes | Sí |
| Protección contra software malicioso | Sí |
| prevención de pérdida de datos | Sí |
| Controles físicos y ambientales | Sí |
| Planificación y pruebas de gestión de incidentes | Sí |
| Planificación y pruebas de continuidad del negocio y recuperación ante desastres | Sí |
| Planificación de capacidades y recursos | Sí |
| Privacidad y cumplimiento | INCLUIDO CON PANOPTO |
|---|---|
| Reglamento General de Protección de Datos (RGPD) | Sí |
| SSAE 18 SOC 2 Tipo II | Sí |
| Autoevaluación STAR de la Cloud Security Alliance (CSA) | Sí |
