Videos seguros en Panopto
Panopto mantiene estrictas salvaguardias que protegen la seguridad, confidencialidad, integridad y privacidad de sus datos.
Nuestro modelo de seguridad compartida
Panopto utiliza un modelo de software como servicio (SaaS) en el que la seguridad es una responsabilidad compartida entre Amazon Web Services (AWS), Panopto y nuestros clientes. Panopto utiliza AWS como proveedor de infraestructura en la nube para ofrecer soluciones altamente disponibles, escalables y seguras. A un alto nivel, AWS es responsable de la seguridad de la plataforma física, de red y de virtualización. Panopto es responsable de la seguridad a nivel de host, middleware y aplicaciones, la monitorización de eventos y la recuperación de desastres. Los clientes son responsables de la gestión de la identidad de los usuarios, el control del acceso y la seguridad de los datos.
Cultura de seguridad y privacidad
El enfoque de Panopto en la seguridad y la privacidad está arraigado en nuestra cultura organizativa, empezando por el proceso de contratación, continuando durante la incorporación de los empleados, la formación continua y las iniciativas de concienciación en toda la empresa. Antes de que alguien se incorpore al equipo de Panopto, realizamos comprobaciones de antecedentes penales y crediticios cuando las leyes y normativas locales lo permiten. Todos los nuevos miembros del equipo deben recibir formación sobre seguridad de la información y privacidad. Los desarrolladores deben recibir formación sobre codificación segura en el momento de su contratación y, posteriormente, de forma periódica. Nuestro equipo de seguridad lleva a cabo actividades periódicas de concienciación y formación, como boletines de seguridad, alertas por correo electrónico y pruebas de phishing.
Panopto entiende que una gobernanza sólida es fundamental para un programa eficaz de seguridad de la información. Hemos puesto en marcha un Consejo de Seguridad de la Información interfuncional en el que están representados todos los departamentos y equipos para supervisar y dar una dirección estratégica a nuestro programa de seguridad. Además, el Consejo promueve y proporciona el apoyo empresarial necesario para integrar las políticas, normas y mejores prácticas de seguridad de la información en las operaciones de la empresa.
Seguridad de las aplicaciones
Desde el punto de captura hasta el punto de reproducción, Panopto facilita la grabación, gestión y transmisión segura de sus contenidos de vídeo. Como proveedor líder de plataformas de vídeo para las organizaciones más grandes del mundo y las universidades más respetadas, hemos invertido mucho en la seguridad del producto, desde la forma en que los usuarios inician sesión hasta cómo almacenamos y distribuimos vídeo a través de la red.
Nuestra plataforma de vídeo ofrece seguridad multicapa en el perímetro, dentro del repositorio y durante el streaming. Esto garantiza que solo los usuarios autorizados puedan ver vídeos y que los datos estén seguros en reposo y en tránsito.
Panopto asegura el perímetro del repositorio de vídeo con soporte para múltiples tipos de credenciales, incluyendo OAuth, SAML 2.0, Active Directory, y un número de proveedores de LMS ID. Nuestra implementación de inicio de sesión único (SSO) admite la sincronización bidireccional continua de credenciales, lo que garantiza que la información del usuario esté siempre actualizada.
En Panopto, los usuarios navegan y acceden a vídeos, carpetas y listas de reproducción a través de permisos basados en roles. Estos permisos pueden configurarse para grupos o usuarios individuales, proporcionando un control granular sobre la grabación de vídeo, la transmisión en directo, la carga, la publicación, la reproducción y la programación. Otras opciones permiten a los administradores imponer contraseñas seguras, la caducidad de las contraseñas, la autenticación de dos factores mediante SSO y el tiempo de espera de la sesión.
Seguridad de las infraestructuras
Panopto se aloja como un clúster redundante de alta disponibilidad en varias zonas de disponibilidad de AWS, lo que elimina los puntos únicos de error y proporciona fiabilidad adicional a la plataforma. Los servidores web, de codificación y de bases de datos se replican en todas las zonas de disponibilidad. En caso de que se produzca una interrupción en toda la zona de disponibilidad, el sistema pasa sin problemas a otra zona, lo que proporciona continuidad empresarial y protege la integridad de sus datos.
AWS también proporciona una protección significativa contra las vulnerabilidades de seguridad de red tradicionales. Por ejemplo, la amenaza de ataques de denegación de servicio distribuidos (DDoS) se mitiga mediante servicios de protección DDoS patentados y redes AWS multi-homed que proporcionan diversidad de acceso a Internet. Los ataques Man-in-the-middle (MITM) se evitan mediante puntos finales de API protegidos por SSL. La suplantación de IP se evita mediante la infraestructura de firewall de AWS, que no permite que las instancias envíen tráfico con una dirección IP o MAC de origen que no sea la suya.
Además, AWS mantiene una seguridad física multiperimetral de última generación en sus centros de datos. Esto incluye prohibir el acceso externo y no compartir la ubicación exacta de sus centros de datos. Las salvaguardas medioambientales incluyen detección y extinción de incendios, sistemas de alimentación totalmente redundantes, control climático y gestión en tiempo real de los sistemas eléctricos y mecánicos.
Seguridad operativa
Panopto ha adoptado el marco de control NIST SP 800-53 como base para operar un programa de seguridad de la información basado en el riesgo. Nuestros sistemas y procesos internos se gestionan mediante políticas de seguridad que abarcan las familias de control del NIST, incluidos el control de acceso, la evaluación de riesgos, la concienciación y formación, la gestión de riesgos de la cadena de suministro, la respuesta a incidentes, la gestión de la configuración y la protección física y medioambiental.
Nuestro equipo de ingenieros utiliza un ciclo de vida de desarrollo de software seguro para garantizar que las actividades de garantía de seguridad, como la revisión del código y el análisis de la arquitectura, sean inherentes al esfuerzo de desarrollo.
También realizamos análisis trimestrales de vulnerabilidades y auditorías internas periódicas de nuestras prácticas de seguridad en la nube y derechos de acceso. Cada año, nos asociamos con una empresa de seguridad independiente de renombre internacional para realizar una prueba de penetración exhaustiva con el fin de identificar vulnerabilidades explotables y minimizar la superficie de ciberataque.
Además, Panopto valora la asistencia de investigadores externos para ayudar a identificar vulnerabilidades en nuestros productos y servicios. Nuestro Programa de Divulgación Responsable anima a los investigadores a informar sobre problemas de diseño e implementación que afecten a la confidencialidad o integridad de los datos de los usuarios o pongan en riesgo los datos de los clientes.
En caso de incidente de seguridad o de continuidad de la actividad, mantenemos un plan de respuesta que abarca todos los aspectos de la respuesta a incidentes, desde la preparación hasta la identificación, contención, erradicación, recuperación y análisis de la causa raíz. El plan se ejercita anualmente para garantizar que contamos con un equipo de personal capacitado para responder con el fin de minimizar el impacto de un incidente y reanudar las operaciones normales lo antes posible.
Privacidad
Panopto se toma muy en serio nuestra responsabilidad de proteger su información personal con cuidado y respeto. Nuestro enfoque de la privacidad comienza con nuestro compromiso de ofrecerle transparencia sobre la recopilación, el uso y la distribución de sus datos.
El Reglamento General de Protección de Datos (RGPD) de la UE aporta coherencia a la protección de datos en toda Europa, basándose en los principios de transparencia, equidad y responsabilidad.
Como procesador de datos, Panopto se compromete a cumplir con la ley GDPR.
Esto incluye el uso de cifrado y anonimización para proteger la información personal, contratos con socios que desempeñan un papel en nuestro procesamiento de datos, auditorías de terceros de nuestras fuentes de datos para la IIP, y la adhesión a los derechos de acceso, información, rectificación, supresión, portabilidad de datos, objeción y restricción del procesamiento.
Cumplimiento de la norma SOC 2 (Service Organization Control)
Control de la Organización de Servicios (SOC)
Desarrollado por el Instituto Americano de CPA (AICPA), el SOC define criterios para gestionar los datos de los clientes basándose en los cinco principios de los servicios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Panopto obtiene una auditoría anual SOC 2 Tipo 2 por parte de una empresa auditora externa independiente para evaluar en qué medida Panopto cumple el principio de confianza en materia de seguridad y disponibilidad:
- Seguridad: El principio de seguridad se refiere a la protección de los recursos del sistema contra el acceso no autorizado.En Panopto existen controles de acceso que ayudan a prevenir posibles abusos del sistema, robos o sustracciones no autorizadas de datos, usos indebidos de software y alteraciones o divulgaciones indebidas de información. Las herramientas de seguridad de TI, incluidos los cortafuegos de red y de aplicaciones web, la autenticación de dos factores y la detección de intrusiones que se utilizan en Panopto son útiles para prevenir brechas de seguridad que pueden conducir al acceso no autorizado a sistemas y datos.
- Disponibilidad: El principio de disponibilidad se refiere a la accesibilidad del sistema, productos o servicios según lo estipulado en un contrato o acuerdo de nivel de servicio. En este contexto son fundamentales la supervisión del rendimiento y la disponibilidad de la red, la conmutación por error de las instalaciones y la gestión de incidentes de seguridad.
Nuestro informe SOC 2 está disponible para cualquier socio, cliente o posible cliente, pero sólo si el destinatario firma un acuerdo de confidencialidad con Panopto. Si desea más información, consulte:
Informe Panopto Service Organization Control (SOC) 3
El informe SOC 3 de Panopto condensa la información clave del informe SOC 2 en un resumen fácil de digerir sin necesidad de firmar un acuerdo de confidencialidad.
Autoevaluación STAR de Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro dirigida por una amplia coalición de profesionales del sector, empresas y otras partes interesadas importantes. Se dedica a definir las mejores prácticas para ayudar a garantizar un entorno de computación en nube más seguro, y a ayudar a los clientes potenciales de la nube a tomar decisiones informadas cuando realicen la transición de sus operaciones de TI a la nube. Panopto ha completado la autoevaluación STAR de la CSA a través del Cuestionario de la Iniciativa de Evaluaciones de Consenso (CAIQ) y ha publicado los resultados en el Registro de Seguridad, Confianza y Garantía de la CSA: Panopto - CAIQ (v3.1).
Lista de control de seguridad
| Seguridad de las aplicaciones | INCLUIDO CON PANOPTO |
|---|---|
| Autenticación y cifrado de API | Sí |
| Políticas de autenticación | Sí |
| Validación de datos | Sí |
| Cifrado en reposo | Sí |
| Cifrado en tránsito | Sí |
| Análisis forense mediante registro de auditoría | Sí |
| Seguridad de plataformas alojadas | Sí |
| Infraestructura como código (IaC) | Sí |
| Separación lógica de contenidos | Sí |
| Prevención Man-in-the-middle (MITM) | Sí |
| Seguridad perimetral e inicio de sesión único (SSO) | Sí |
| Autorización basada en funciones | Sí |
| Almacenamiento seguro de credenciales | Sí |
| Tiempos de espera de la sesión | Sí |
| Prevención de descargas de vídeo | Sí |
| Seguridad operativa y de las infraestructuras | INCLUIDO CON PANOPTO |
|---|---|
| Adhesión a un marco de control ampliamente reconocido | Sí |
| Programa de gestión de riesgos | Sí |
| Investigación de antecedentes de empleados y contratistas | Sí |
| Concienciación y formación sobre seguridad y privacidad | Sí |
| Privilegio mínimo y separación de funciones | Sí |
| Necesidad de acceso a información confidencial | Sí |
| Ciclo de vida del desarrollo de software seguro | Sí |
| Separación de los entornos operativo, de desarrollo y de preparación | Sí |
| Supervisión y alerta de eventos anómalos | Sí |
| Evaluaciones periódicas de los controles y análisis de vulnerabilidades | Sí |
| Prueba de penetración exhaustiva anual realizada por terceros | Sí |
| Priorización basada en el riesgo de las vulnerabilidades para su corrección | Sí |
| Eliminación segura de soportes | Sí |
| Protección contra software malintencionado | Sí |
| Prevención de la pérdida de datos | Sí |
| Controles físicos y medioambientales | Sí |
| Planificación y pruebas de la gestión de incidentes | Sí |
| Planificación y pruebas de continuidad de la actividad y recuperación en caso de catástrofe | Sí |
| Planificación de capacidades y recursos | Sí |
| Privacidad y conformidad | INCLUIDO CON PANOPTO |
|---|---|
| Reglamento general de protección de datos (RGPD) | Sí |
| SSAE 18 SOC 2 Tipo II | Sí |
| Autoevaluación STAR de Cloud Security Alliance (CSA) | Sí |
