Vidéos sécurisées dans Panopto
Panopto maintient des mesures de protection rigoureuses qui garantissent la sécurité, la confidentialité, l'intégrité et la vie privée de vos données.
Notre modèle de sécurité partagé
Panopto utilise un modèle de logiciel en tant que service (SaaS) dans lequel la sécurité est une responsabilité partagée entre Amazon Web Services (AWS), Panopto et nos clients. Panopto Nous utilisons AWS comme fournisseur d'infrastructure cloud pour proposer des solutions hautement disponibles, évolutives et sécurisées. AWS est notamment responsable de la sécurité des plateformes physiques, réseau et de virtualisation. Panopto est responsable de la sécurité au niveau de l'hôte, des intergiciels et des applications, de la surveillance des événements et de la reprise après sinistre. Les clients sont responsables de la gestion des identités des utilisateurs, du contrôle d'accès et de la sécurité des données.
Culture axée sur la sécurité et la confidentialité
Panopto L'importance accordée à la sécurité et à la confidentialité est ancrée dans notre culture d'entreprise, dès le processus de recrutement, en passant par l'intégration des employés, la formation continue et les initiatives de sensibilisation à l'échelle de l'entreprise. Avant de rejoindre l'entreprise Panopto Au sein de notre équipe, nous effectuons des vérifications des antécédents judiciaires et de solvabilité lorsque la législation et la réglementation locales le permettent. Tous les nouveaux membres de l'équipe doivent suivre une formation de sensibilisation à la sécurité et à la protection des données. Les développeurs doivent suivre une formation en programmation sécurisée lors de leur embauche, puis régulièrement. Notre équipe de sécurité organise des actions de sensibilisation et de formation régulières, notamment des newsletters, des alertes par e-mail et des tests d'hameçonnage.
Panopto Nous sommes convaincus qu'une gouvernance solide est essentielle à l'efficacité de notre programme de sécurité de l'information. C'est pourquoi nous avons mis en place un Conseil de sécurité de l'information transversal, composé de représentants de tous les départements et équipes, afin d'assurer la supervision et l'orientation stratégique de notre programme de sécurité. De plus, ce Conseil promeut et apporte le soutien nécessaire à l'intégration des politiques, normes et bonnes pratiques de sécurité de l'information dans les activités de l'entreprise.
Sécurité des applications
Du point de capture au point de lecture, Panopto Notre plateforme facilite l'enregistrement, la gestion et la diffusion sécurisée de vos contenus vidéo. Fournisseur leader de plateformes vidéo pour les plus grandes organisations et les universités les plus prestigieuses au monde, nous avons investi massivement dans la sécurité de nos produits, depuis la connexion des utilisateurs jusqu'au stockage et à la diffusion des vidéos sur le réseau.
Notre plateforme vidéo assure une sécurité multicouche au niveau du périmètre, au sein du système de stockage et pendant la diffusion. Ainsi, seuls les utilisateurs autorisés peuvent visionner les vidéos et les données sont protégées, qu'elles soient stockées ou en transit.
Panopto Notre solution sécurise le périmètre du référentiel vidéo grâce à la prise en charge de plusieurs types d'authentification, notamment OAuth, SAML 2.0, Active Directory et divers fournisseurs d'identifiants LMS. Notre implémentation d'authentification unique (SSO) assure une synchronisation bidirectionnelle continue des identifiants, garantissant ainsi l'actualisation permanente des informations utilisateur.
Dans Panopto Les utilisateurs naviguent et accèdent aux vidéos, dossiers et listes de lecture grâce à des autorisations basées sur les rôles. Ces autorisations peuvent être configurées pour des groupes ou des utilisateurs individuels, offrant un contrôle précis sur l'enregistrement vidéo, la diffusion en direct, le chargement, la publication, la lecture et la planification. Des paramètres supplémentaires permettent aux administrateurs d'imposer des mots de passe robustes, l'expiration des mots de passe, l'authentification à deux facteurs via SSO et la durée d'expiration des sessions.
Sécurité des infrastructures
Panopto L'infrastructure est hébergée sur un cluster haute disponibilité redondant réparti sur plusieurs zones de disponibilité AWS, éliminant ainsi les points de défaillance uniques et renforçant la fiabilité de la plateforme. Les serveurs web, d'encodage et de base de données sont dupliqués entre les zones de disponibilité. En cas de panne d'une zone de disponibilité, le système bascule automatiquement vers une autre zone, assurant la continuité de l'activité et la protection de l'intégrité des données.
AWS offre également une protection importante contre les vulnérabilités de sécurité réseau classiques. Par exemple, la menace d'attaques par déni de service distribué (DDoS) est atténuée grâce à des services de protection DDoS propriétaires et aux réseaux AWS multihébergés qui assurent une diversification de l'accès à Internet. Les attaques de type « homme du milieu » (MITM) sont bloquées grâce à des points de terminaison d'API protégés par SSL. L'usurpation d'adresse IP est empêchée par l'infrastructure de pare-feu AWS, qui bloque l'envoi de trafic depuis une adresse IP ou MAC source autre que la sienne.
De plus, AWS assure une sécurité physique multipérimètre de pointe dans ses centres de données. Cela inclut l'interdiction d'accès externe et la non-divulgation de l'emplacement précis de ses centres de données. Les mesures de protection environnementale comprennent la détection et l'extinction des incendies, des systèmes d'alimentation électrique entièrement redondants, la climatisation et la gestion en temps réel des systèmes électriques et mécaniques.
Sécurité opérationnelle
Panopto a adopté le cadre de contrôle NIST SP 800-53 comme base de son programme de sécurité de l'information fondé sur les risques. Nos systèmes et processus internes sont gérés par des politiques de sécurité qui couvrent les familles de contrôles NIST, notamment le contrôle d'accès, l'évaluation des risques, la sensibilisation et la formation, la gestion des risques liés à la chaîne d'approvisionnement, la réponse aux incidents, la gestion de la configuration et la protection physique et environnementale.
Notre équipe d'ingénierie utilise un cycle de vie de développement logiciel sécurisé afin de garantir que les activités d'assurance de la sécurité, telles que la revue de code et l'analyse de l'architecture, soient inhérentes au processus de développement.
Nous effectuons également des analyses de vulnérabilité trimestrielles et des audits internes réguliers de nos pratiques de sécurité cloud et de nos droits d'accès. Chaque année, nous collaborons avec une entreprise de sécurité indépendante de renommée internationale pour réaliser un test d'intrusion complet afin d'identifier les vulnérabilités exploitables et de minimiser la surface d'attaque.
En outre, Panopto Nous apprécions l'aide des chercheurs externes pour identifier les vulnérabilités de nos produits et services. Notre programme de divulgation responsable encourage les chercheurs à signaler les problèmes de conception et de mise en œuvre qui affectent la confidentialité ou l'intégrité des données des utilisateurs ou qui mettent en danger les données des clients.
En cas d'incident de sécurité ou de continuité d'activité, nous disposons d'un plan d'intervention couvrant tous les aspects de la gestion des incidents : préparation, identification, confinement, éradication, rétablissement et analyse des causes profondes. Ce plan est mis en pratique chaque année afin de garantir la présence d'une équipe formée pour intervenir efficacement, minimiser l'impact d'un incident et reprendre les activités normales dans les meilleurs délais.
Confidentialité
Panopto Nous prenons très au sérieux notre responsabilité de protéger vos renseignements personnels avec soin et respect. Notre approche en matière de confidentialité repose sur notre engagement à vous offrir une transparence totale quant à la collecte, l'utilisation et la diffusion de vos données.
Le Règlement général sur la protection des données (RGPD) de l'UE assure une protection des données uniforme en Europe, fondée sur les principes de transparence, d'équité et de responsabilité en matière de protection de la vie privée.
En tant que processeur de données, Panopto s'engage à respecter le RGPD.
Cela inclut le recours au chiffrement et à l'anonymisation pour protéger les informations personnelles, les contrats avec les partenaires qui interviennent dans le traitement de nos données, les audits par des tiers de nos sources de données concernant les informations personnelles identifiables, et le respect des droits d'accès, d'information, de rectification, d'effacement, de portabilité des données, d'opposition et de limitation du traitement.
Conformité au SOC 2 (Service Organization Control)
Contrôle de l'organisation des services (SOC)
Développé par l'American Institute of CPAs (AICPA), le SOC définit des critères de gestion des données clients basés sur les cinq principes de service de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée.
Panopto obtient un audit annuel SOC 2 Type 2 réalisé par un cabinet d'audit tiers indépendant afin d'évaluer dans quelle mesure Panopto respecte le principe de confiance en matière de sécurité et de disponibilité :
- Sécurité : Le principe de sécurité concerne la protection des ressources du système contre les accès non autorisés. Des contrôles d'accès sont en place à Panopto et contribuent à prévenir les abus potentiels du système, le vol ou le retrait non autorisé de données, l'utilisation abusive de logiciels et la modification ou la divulgation inappropriée d'informations. Les outils de sécurité informatique utilisés comprennent les pare-feu réseau et d'applications Web, l'authentification à deux facteurs et la détection d'intrusion. Panopto sont utiles pour prévenir les failles de sécurité pouvant entraîner un accès non autorisé aux systèmes et aux données.
- Disponibilité : Le principe de disponibilité désigne l’accessibilité du système, des produits ou des services telle que stipulée dans un contrat ou un accord de niveau de service. La surveillance des performances et de la disponibilité du réseau, la reprise après incident et la gestion des incidents de sécurité sont essentielles dans ce contexte.
Notre rapport SOC 2 est accessible à tout partenaire, client ou prospect – mais uniquement si le destinataire signe un accord de non-divulgation (NDA) avec Panopto Pour plus d'informations, voir :
Panopto Rapport SOC 3 (Service Organization Control)
Panopto Le rapport SOC 3 de [Nom de l'entreprise] condense les informations clés du rapport SOC 2 en un résumé facile à assimiler sans signature d'accord de confidentialité.
Auto-évaluation STAR de la Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) est une organisation à but non lucratif pilotée par une large coalition de professionnels du secteur, d'entreprises et d'autres acteurs clés. Elle a pour mission de définir les meilleures pratiques pour garantir un environnement de cloud computing plus sécurisé et d'aider les clients potentiels à prendre des décisions éclairées lors de la migration de leurs opérations informatiques vers le cloud. Panopto a complété l’auto-évaluation CSA STAR via le questionnaire de l’Initiative d’évaluations consensuelles (CAIQ) et a publié les résultats dans le registre CSA sur la sécurité, la confiance et l’assurance : Panopto – CAIQ (v3.1) .
Liste de contrôle de sécurité
| Sécurité des applications | INCLUS AVEC PANOPTO |
|---|---|
| Authentification et chiffrement de l'API | Oui |
| Politiques d'authentification | Oui |
| Validation des données | Oui |
| Chiffrement au repos | Oui |
| Chiffrement en transit | Oui |
| Analyse forensique via la journalisation d'audit | Oui |
| Sécurité des plateformes hébergées | Oui |
| Infrastructure en tant que code (IaC) | Oui |
| Séparation logique du contenu | Oui |
| Prévention de l'attaque de l'homme du milieu (MITM) | Oui |
| Sécurité périmétrique et authentification unique (SSO) | Oui |
| autorisation basée sur les rôles | Oui |
| stockage sécurisé des identifiants | Oui |
| Expiration de session | Oui |
| Prévention du téléchargement de vidéos | Oui |
| Sécurité des infrastructures et des opérations | INCLUS AVEC PANOPTO |
|---|---|
| Adhésion à un cadre de contrôle largement reconnu | Oui |
| programme de gestion des risques | Oui |
| Vérification des antécédents des employés et des sous-traitants | Oui |
| Sensibilisation et formation à la sécurité et à la protection de la vie privée | Oui |
| Principe du moindre privilège et séparation des devoirs | Oui |
| Accès aux informations confidentielles uniquement si nécessaire | Oui |
| cycle de vie de développement logiciel sécurisé | Oui |
| Séparation des environnements opérationnels, de développement et de préproduction | Oui |
| Surveillance et alerte en cas d'événements anormaux | Oui |
| Évaluations régulières des contrôles et analyses de vulnérabilité | Oui |
| Test d'intrusion complet annuel réalisé par un tiers | Oui |
| Priorisation des vulnérabilités en fonction des risques pour correction | Oui |
| Élimination sécurisée des supports | Oui |
| Protection contre les logiciels malveillants | Oui |
| Prévention des pertes de données | Oui |
| Contrôles physiques et environnementaux | Oui |
| Planification et tests de gestion des incidents | Oui |
| Planification et tests de continuité des activités et de reprise après sinistre | Oui |
| Planification des capacités et des ressources | Oui |
| Confidentialité et conformité | INCLUS AVEC PANOPTO |
|---|---|
| Règlement général sur la protection des données (RGPD) | Oui |
| SSAE 18 SOC 2 Type II | Oui |
| Auto-évaluation STAR de la Cloud Security Alliance (CSA) | Oui |
