Sécurisez vos vidéos dans Panopto
Panopto des mesures de sécurité rigoureuses afin de protéger la sécurité, la confidentialité, l'intégrité et la confidentialité de vos données.
Notre modèle de sécurité partagée
Panopto un modèle SaaS (Software-as-a-Service) dans lequel la sécurité est une responsabilité partagée entre Amazon Web Services (AWS), Panopto et nos clients. Panopto AWS en tant que fournisseur d'infrastructure cloud pour fournir des solutions hautement disponibles, évolutives et sécurisées. À un niveau élevé, AWS est responsable de la sécurité physique, réseau et de la plate-forme de virtualisation. Panopto responsable de la sécurité au niveau de l'hôte, du middleware et des applications, de la surveillance des événements et de la reprise après sinistre. Les clients sont responsables de la gestion des identités des utilisateurs, du contrôle d'accès et de la sécurité des données.
Une culture axée sur la sécurité et la protection de la vie privée
L'importance Panoptoà la sécurité et à la confidentialité est ancrée dans notre culture d'entreprise, depuis le processus de recrutement jusqu'à l'intégration des nouveaux employés, en passant par la formation continue et les initiatives de sensibilisation à l'échelle de l'entreprise. Avant qu'une personne ne rejoigne Panopto , nous vérifions ses antécédents judiciaires et sa solvabilité, lorsque les lois et réglementations locales le permettent. Tous les nouveaux membres de l'équipe doivent suivre une formation sur la sécurité de l'information et la confidentialité. Les développeurs doivent suivre une formation sur la sécurité du codage au moment de leur embauche, puis périodiquement par la suite. Notre équipe de sécurité organise régulièrement des activités de sensibilisation et de formation, notamment des bulletins d'information sur la sécurité, des alertes par e-mail et des tests de phishing.
Panopto qu'une gouvernance solide est essentielle à l'efficacité d'un programme de sécurité de l'information. Nous avons mis en place un conseil de sécurité de l'information interfonctionnel représentant tous les départements et toutes les équipes afin d'assurer la supervision et l'orientation stratégique de notre programme de sécurité. En outre, le conseil promeut et fournit le soutien commercial nécessaire à l'intégration des politiques, des normes et des meilleures pratiques en matière de sécurité de l'information dans les activités de l'entreprise.
Sécurité des applications
De la capture à la lecture, Panopto l'enregistrement, la gestion et la diffusion en continu de vos contenus vidéo en toute sécurité. En tant que principal fournisseur de plateformes vidéo pour les plus grandes organisations et les universités les plus prestigieuses au monde, nous avons investi massivement dans la sécurité de nos produits, depuis la manière dont les utilisateurs se connectent jusqu'à la façon dont nous stockons et diffusons les vidéos sur le réseau.
Notre plateforme vidéo offre une sécurité multicouche au niveau du périmètre, au sein du référentiel et pendant la diffusion. Ainsi, seuls les utilisateurs autorisés peuvent regarder les vidéos et les données sont sécurisées au repos et en transit.
Panopto le périmètre du référentiel vidéo grâce à la prise en charge de plusieurs types d'identifiants, notamment OAuth, SAML 2.0, Active Directory et plusieurs fournisseurs d'identifiants LMS. Notre implémentation de l'authentification unique (SSO) prend en charge la synchronisation bidirectionnelle continue des identifiants, garantissant ainsi que les informations utilisateur sont toujours à jour.
Dans Panopto, les utilisateurs naviguent et accèdent aux vidéos, dossiers et listes de lecture grâce à des autorisations basées sur les rôles. Ces autorisations peuvent être configurées pour des groupes ou des utilisateurs individuels, offrant ainsi un contrôle précis sur l'enregistrement vidéo, la diffusion en direct, le téléchargement, la publication, la lecture et la programmation. Des paramètres supplémentaires permettent aux administrateurs d'imposer des mots de passe forts, l'expiration des mots de passe, l'authentification à deux facteurs via SSO et l'expiration des sessions.
Sécurité des infrastructures
Panopto hébergé sous forme de cluster redondant à haute disponibilité réparti sur plusieurs zones de disponibilité AWS, ce qui élimine les points de défaillance uniques et renforce la fiabilité de la plateforme. Les serveurs Web, d'encodage et de base de données sont répliqués dans toutes les zones de disponibilité. En cas de panne de l'ensemble d'une zone de disponibilité, le système bascule de manière transparente vers une autre zone, assurant ainsi la continuité des activités et protégeant l'intégrité de vos données.
AWS offre également une protection importante contre les vulnérabilités traditionnelles en matière de sécurité des réseaux. Par exemple, la menace des attaques par déni de service distribué (DDoS) est atténuée par des services propriétaires de protection DDoS et des réseaux AWS multi-homés qui assurent la diversité de l'accès à l'internet. Les attaques de type "Man-in-the-middle" (MITM) sont évitées grâce à des points d'extrémité d'API protégés par SSL. L'usurpation d'adresse IP est évitée grâce à l'infrastructure du pare-feu AWS, qui n'autorise pas les instances à envoyer du trafic avec une adresse IP ou MAC source autre que la leur.
En outre, AWS maintient une sécurité physique multi-périmètre à la pointe de la technologie dans ses centres de données. Elle interdit notamment l'accès à l'extérieur et ne communique pas l'emplacement précis de ses centres de données. Les mesures de protection de l'environnement comprennent la détection et l'extinction des incendies, des systèmes d'alimentation entièrement redondants, le contrôle de la température et la gestion en temps réel des systèmes électriques et mécaniques.
Sécurité opérationnelle
Panopto adopté le cadre de contrôle NIST SP 800-53 comme base pour l'exploitation d'un programme de sécurité de l'information basé sur les risques. Nos systèmes et processus internes sont gérés par des politiques de sécurité qui couvrent les familles de contrôles NIST, notamment le contrôle d'accès, l'évaluation des risques, la sensibilisation et la formation, la gestion des risques liés à la chaîne d'approvisionnement, la réponse aux incidents, la gestion de la configuration et la protection physique et environnementale.
Notre équipe d'ingénieurs utilise un cycle de développement logiciel sécurisé pour garantir que les activités d'assurance de la sécurité, telles que l'examen du code et l'analyse de l'architecture, sont inhérentes à l'effort de développement.
Nous effectuons également des analyses trimestrielles de vulnérabilité et des audits internes réguliers de nos pratiques de sécurité et de nos droits d'accès à l'informatique en nuage. Chaque année, nous nous associons à une société de sécurité indépendante de renommée internationale pour effectuer un test de pénétration complet afin d'identifier les vulnérabilités exploitables et de minimiser la surface d'attaque cybernétique.
De plus, Panopto l'aide apportée par des chercheurs externes pour identifier les vulnérabilités de ses produits et services. Notreprogramme de divulgation responsableencourage les chercheurs à signaler les problèmes de conception et de mise en œuvre qui affectent la confidentialité ou l'intégrité des données des utilisateurs ou qui mettent en danger les données des clients.
En cas d'incident de sécurité ou de continuité des activités, nous disposons d'un plan d'intervention qui couvre tous les aspects de la réponse aux incidents, de la préparation à l'identification, au confinement, à l'éradication, à la récupération et à l'analyse des causes profondes. Ce plan est mis à l'épreuve chaque année afin de s'assurer que nous disposons d'une équipe de personnel formée pour réagir de manière à minimiser l'impact d'un incident et à reprendre le cours normal de nos activités le plus rapidement possible.
Vie privée
Panopto très au sérieux sa responsabilité de protéger vos informations personnelles avec soin et respect. Notre approche en matière de confidentialité commence par notre engagement à vous garantir la transparence quant à la collecte, l'utilisation et la distribution de vos données.
Le règlement général sur la protection des données (RGPD) de l'UE apporte de la cohérence à la protection des données dans toute l'Europe, en s'appuyant sur les principes de transparence, d'équité et de responsabilité en matière de protection de la vie privée.
En tant que responsable du traitement des données, Panopto à respecter la législation RGPD.
Cela inclut l'utilisation du cryptage et de l'anonymisation pour protéger les informations personnelles, les contrats avec les partenaires qui jouent un rôle dans le traitement des données, les audits par des tiers de nos sources de données pour les IPI, et le respect des droits d'accès, d'information, de rectification, d'effacement, de portabilité des données, d'objection et de restriction du traitement.
Conformité au système de contrôle des organismes de services (SOC) 2
Contrôle de l'organisation des services (SOC)
Développé par l'American Institute of CPAs (AICPA), le SOC définit les critères de gestion des données des clients sur la base des cinq principes du Trust Service : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.
Panopto un audit SOC 2 Type 2 annuel réalisé par un cabinet d'audit tiers indépendant afin d'évaluer dans quelle mesure Panopto les principes de confiance en matière de sécurité et de disponibilité :
- Sécurité :Le principe de sécurité fait référence à la protection des ressources du système contre tout accès non autorisé. Des contrôles d'accès sont en place chez Panopto contribuent à prévenir les abus potentiels du système, le vol ou la suppression non autorisée de données, l'utilisation abusive de logiciels et la modification ou la divulgation inappropriée d'informations. Les outils de sécurité informatique utilisés chez Panopto , notamment les pare-feu réseau et d'applications web, l'authentification à deux facteurs et la détection des intrusions, Panopto utiles pour prévenir les failles de sécurité pouvant conduire à un accès non autorisé aux systèmes et aux données.
- Disponibilité : Le principe de disponibilité fait référence à l'accessibilité du système, des produits ou des services comme stipulé dans un contrat ou un accord de niveau de service. Le contrôle des performances et de la disponibilité du réseau, le basculement du site et la gestion des incidents de sécurité sont essentiels dans ce contexte.
Notre rapport SOC 2 est accessible à tous nos partenaires, clients et prospects, mais uniquement si le destinataire signe un accord de confidentialité (NDA) avec Panopto. Pour plus d'informations, consultez :
Rapport SOC 3 (Panopto Organization Control) Panopto
Le rapport SOC 3 Panoptocondense les informations clés du rapport SOC 2 dans un résumé facile à comprendre, sans qu'il soit nécessaire de signer un accord de confidentialité.
Auto-évaluation STAR de la Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une large coalition de professionnels du secteur, d'entreprises et d'autres parties prenantes importantes. Elle se consacre à la définition des meilleures pratiques afin de garantir un environnement de cloud computing plus sécurisé et d'aider les clients potentiels du cloud à prendre des décisions éclairées lors de la transition de leurs opérations informatiques vers le cloud. Panopto réalisé l'auto-évaluation CSA STAR via le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) et a publié les résultats dans le registre CSA Security, Trust, and Assurance Registry :Panopto CAIQ (v3.1).
Liste de contrôle de sécurité
| Sécurité des applications | INCLUS AVEC PANOPTO |
|---|---|
| Authentification et cryptage de l'API | Oui |
| Politiques d'authentification | Oui |
| Validation des données | Oui |
| Chiffrement au repos | Oui |
| Chiffrement en transit | Oui |
| Analyse médico-légale grâce à l'enregistrement des audits | Oui |
| Sécurité de la plate-forme hébergée | Oui |
| Infrastructure as code (IaC) | Oui |
| Séparation logique des contenus | Oui |
| Prévention des attaques de l'homme du milieu (MITM) | Oui |
| Sécurité du périmètre et authentification unique (SSO) | Oui |
| Autorisation basée sur le rôle | Oui |
| Stockage sécurisé des informations d'identification | Oui |
| Délais d'attente de la session | Oui |
| Téléchargement vidéo de la prévention | Oui |
| Sécurité des infrastructures et des opérations | INCLUS AVEC PANOPTO |
|---|---|
| Adhésion à un cadre de contrôle largement reconnu | Oui |
| Programme de gestion des risques | Oui |
| Vérification des antécédents des employés et des contractants | Oui |
| Sensibilisation et formation à la sécurité et à la protection de la vie privée | Oui |
| Le moindre privilège et la séparation des fonctions | Oui |
| Accès aux informations confidentielles selon le principe du besoin d'en connaître | Oui |
| Cycle de développement de logiciels sécurisés | Oui |
| Séparation des environnements opérationnels, de développement et d'essai | Oui |
| Surveillance et alerte en cas d'événements anormaux | Oui |
| Évaluations régulières des contrôles et analyses de vulnérabilité | Oui |
| Test de pénétration annuel complet effectué par un tiers | Oui |
| Priorité aux vulnérabilités à corriger en fonction du risque | Oui |
| Élimination sécurisée des supports | Oui |
| Protection contre les logiciels malveillants | Oui |
| Prévention des pertes de données | Oui |
| Contrôles physiques et environnementaux | Oui |
| Planification et test de la gestion des incidents | Oui |
| Planification et test de la continuité des activités et de la reprise après sinistre | Oui |
| Planification des capacités et des ressources | Oui |
| Vie privée et conformité | INCLUS AVEC PANOPTO |
|---|---|
| Règlement général sur la protection des données (RGPD) | Oui |
| SSAE 18 SOC 2 Type II | Oui |
| Auto-évaluation STAR de la Cloud Security Alliance (CSA) | Oui |
