Sécuriser les vidéos dans Panopto
Panopto maintient des garanties strictes qui protègent la sécurité, la confidentialité, l'intégrité et la vie privée de vos données.
Notre modèle de sécurité partagée
Panopto utilise un modèle SaaS (Software-as-a-Service) dans lequel la sécurité est une responsabilité partagée entre Amazon Web Services (AWS), Panopto et nos clients. Panopto s'appuie sur AWS en tant que fournisseur d'infrastructure cloud pour fournir des solutions hautement disponibles, évolutives et sécurisées. À un niveau élevé, AWS est responsable de la sécurité physique, du réseau et de la plate-forme de virtualisation. Panopto est responsable de la sécurité au niveau de l'hôte, du middleware et de l'application, de la surveillance des événements et de la reprise après sinistre. Les clients sont responsables de la gestion de l'identité des utilisateurs, du contrôle d'accès et de la sécurité des données.
Une culture axée sur la sécurité et la protection de la vie privée
L'importance accordée par Panopto à la sécurité et à la protection de la vie privée est ancrée dans notre culture organisationnelle, en commençant par le processus d'embauche, en continuant pendant l'intégration des employés, la formation continue et les initiatives de sensibilisation à l'échelle de l'entreprise. Avant qu'une personne ne rejoigne l'équipe Panopto, nous vérifions ses antécédents criminels et sa solvabilité lorsque les lois et réglementations locales le permettent. Tous les nouveaux membres de l'équipe doivent suivre une formation de sensibilisation à la sécurité de l'information et à la protection de la vie privée. Les développeurs doivent suivre une formation sur le codage sécurisé au moment de leur embauche et périodiquement par la suite. Notre équipe de sécurité mène régulièrement des activités de sensibilisation et de formation, y compris des bulletins d'information sur la sécurité, des alertes par courrier électronique et des tests d'hameçonnage.
Panopto comprend qu'une gouvernance forte est essentielle pour un programme de sécurité de l'information efficace. Nous avons mis en place un Conseil de sécurité de l'information interfonctionnel représentant tous les départements et toutes les équipes afin d'assurer la supervision et l'orientation stratégique de notre programme de sécurité. En outre, le Conseil promeut et fournit le soutien nécessaire à l'intégration des politiques, des normes et des meilleures pratiques en matière de sécurité de l'information dans les opérations de la société.
Sécurité des applications
Du point de capture au point de lecture, Panopto facilite l'enregistrement, la gestion et la diffusion de votre contenu vidéo en toute sécurité. En tant que premier fournisseur de plateforme vidéo pour les plus grandes organisations et les universités les plus respectées au monde, nous avons beaucoup investi dans la sécurité de nos produits, de la façon dont les utilisateurs s'identifient à la façon dont nous stockons et diffusons la vidéo sur le réseau.
Notre plateforme vidéo offre une sécurité multicouche au niveau du périmètre, au sein du référentiel et pendant la diffusion. Ainsi, seuls les utilisateurs autorisés peuvent regarder les vidéos et les données sont sécurisées au repos et en transit.
Panopto sécurise le périmètre du référentiel vidéo en prenant en charge plusieurs types d'identifiants, notamment OAuth, SAML 2.0, Active Directory et un certain nombre de fournisseurs d'identifiants LMS. Notre implémentation de l'authentification unique (SSO) prend en charge la synchronisation bidirectionnelle des informations d'identification, ce qui garantit que les informations sur les utilisateurs sont toujours à jour.
Dans Panopto, les utilisateurs naviguent et accèdent aux vidéos, aux dossiers et aux listes de lecture grâce à des autorisations basées sur les rôles. Ces autorisations peuvent être configurées pour des groupes ou des utilisateurs individuels, offrant un contrôle granulaire sur l'enregistrement vidéo, la diffusion en direct, le téléchargement, la publication, la lecture et la planification. D'autres paramètres permettent aux administrateurs d'imposer des mots de passe forts, l'expiration des mots de passe, l'authentification à deux facteurs via SSO et le délai d'attente de la session.
Sécurité des infrastructures
Panopto est hébergé en tant que cluster redondant à haute disponibilité sur plusieurs zones de disponibilité AWS, éliminant ainsi les points de défaillance uniques et offrant une fiabilité supplémentaire à la plateforme. Les serveurs web, d'encodage et de base de données sont dupliqués dans les zones de disponibilité. En cas de panne de l'ensemble de la zone de disponibilité, le système passe de manière transparente à une autre zone, assurant la continuité des activités et protégeant l'intégrité de vos données.
AWS offre également une protection importante contre les vulnérabilités traditionnelles en matière de sécurité des réseaux. Par exemple, la menace des attaques par déni de service distribué (DDoS) est atténuée par des services propriétaires de protection DDoS et des réseaux AWS multi-homés qui assurent la diversité de l'accès à l'internet. Les attaques de type "Man-in-the-middle" (MITM) sont évitées grâce à des points d'extrémité d'API protégés par SSL. L'usurpation d'adresse IP est évitée grâce à l'infrastructure du pare-feu AWS, qui n'autorise pas les instances à envoyer du trafic avec une adresse IP ou MAC source autre que la leur.
En outre, AWS maintient une sécurité physique multi-périmètre à la pointe de la technologie dans ses centres de données. Elle interdit notamment l'accès à l'extérieur et ne communique pas l'emplacement précis de ses centres de données. Les mesures de protection de l'environnement comprennent la détection et l'extinction des incendies, des systèmes d'alimentation entièrement redondants, le contrôle de la température et la gestion en temps réel des systèmes électriques et mécaniques.
Sécurité opérationnelle
Panopto a adopté le cadre de contrôle NIST SP 800-53 comme base pour la mise en œuvre d'un programme de sécurité de l'information fondé sur les risques. Nos systèmes et processus internes sont gérés par des politiques de sécurité qui couvrent les familles de contrôle du NIST, notamment le contrôle d'accès, l'évaluation des risques, la sensibilisation et la formation, la gestion des risques de la chaîne d'approvisionnement, la réponse aux incidents, la gestion de la configuration et la protection physique et environnementale.
Notre équipe d'ingénieurs utilise un cycle de développement logiciel sécurisé pour garantir que les activités d'assurance de la sécurité, telles que l'examen du code et l'analyse de l'architecture, sont inhérentes à l'effort de développement.
Nous effectuons également des analyses trimestrielles de vulnérabilité et des audits internes réguliers de nos pratiques de sécurité et de nos droits d'accès à l'informatique en nuage. Chaque année, nous nous associons à une société de sécurité indépendante de renommée internationale pour effectuer un test de pénétration complet afin d'identifier les vulnérabilités exploitables et de minimiser la surface d'attaque cybernétique.
En outre, Panopto apprécie l'aide des chercheurs externes pour identifier les vulnérabilités de ses produits et services. Notre programme de divulgation responsable encourage les chercheurs à signaler les problèmes de conception et de mise en œuvre qui affectent la confidentialité ou l'intégrité des données des utilisateurs ou qui mettent en danger les données des clients.
En cas d'incident de sécurité ou de continuité des activités, nous disposons d'un plan d'intervention qui couvre tous les aspects de la réponse aux incidents, de la préparation à l'identification, au confinement, à l'éradication, à la récupération et à l'analyse des causes profondes. Ce plan est mis à l'épreuve chaque année afin de s'assurer que nous disposons d'une équipe de personnel formée pour réagir de manière à minimiser l'impact d'un incident et à reprendre le cours normal de nos activités le plus rapidement possible.
Vie privée
Panopto prend au sérieux sa responsabilité de protéger vos informations personnelles avec soin et respect. Notre approche de la protection de la vie privée commence par notre engagement à vous donner la transparence sur la collecte, l'utilisation et la distribution de vos données.
Le règlement général sur la protection des données (RGPD) de l'UE apporte de la cohérence à la protection des données dans toute l'Europe, en s'appuyant sur les principes de transparence, d'équité et de responsabilité en matière de protection de la vie privée.
En tant que responsable du traitement des données, Panopto s'engage à respecter la loi GDPR.
Cela inclut l'utilisation du cryptage et de l'anonymisation pour protéger les informations personnelles, les contrats avec les partenaires qui jouent un rôle dans le traitement des données, les audits par des tiers de nos sources de données pour les IPI, et le respect des droits d'accès, d'information, de rectification, d'effacement, de portabilité des données, d'objection et de restriction du traitement.
Conformité au système de contrôle des organismes de services (SOC) 2
Contrôle de l'organisation des services (SOC)
Développé par l'American Institute of CPAs (AICPA), le SOC définit les critères de gestion des données des clients sur la base des cinq principes du Trust Service : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.
Panopto fait l'objet d'un audit annuel SOC 2 de type 2 par un cabinet d'audit tiers indépendant afin d'évaluer dans quelle mesure Panopto respecte le principe de confiance en matière de sécurité et de disponibilité :
- Sécurité : Le principe de sécurité fait référence à la protection des ressources du système contre les accès non autorisés.Des contrôles d'accès sont en place chez Panopto et aident à prévenir les abus potentiels du système, le vol ou la suppression non autorisée de données, l'utilisation abusive de logiciels et la modification ou la divulgation inappropriée d'informations. Les outils de sécurité informatique, notamment les pare-feu de réseau et d'application web, l'authentification à deux facteurs et la détection d'intrusion utilisés par Panopto, sont utiles pour prévenir les failles de sécurité qui peuvent conduire à un accès non autorisé aux systèmes et aux données.
- Disponibilité : Le principe de disponibilité fait référence à l'accessibilité du système, des produits ou des services comme stipulé dans un contrat ou un accord de niveau de service. Le contrôle des performances et de la disponibilité du réseau, le basculement du site et la gestion des incidents de sécurité sont essentiels dans ce contexte.
Notre rapport SOC 2 est disponible pour tout partenaire, client ou prospect - mais seulement si le destinataire signe un accord de non-divulgation (NDA) avec Panopto. Pour plus d'informations, voir :
Rapport Panopto Service Organization Control (SOC) 3
Le rapport SOC 3 de Panopto condense les informations clés du rapport SOC 2 en un résumé facile à digérer, sans signature d'un accord de confidentialité.
Auto-évaluation STAR de la Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une large coalition de professionnels du secteur, d'entreprises et d'autres parties prenantes importantes. Elle se consacre à la définition des meilleures pratiques afin de garantir un environnement de cloud computing plus sûr et d'aider les clients potentiels du cloud à prendre des décisions éclairées lors de la transition de leurs opérations informatiques vers le cloud. Panopto a réalisé l'auto-évaluation CSA STAR via le questionnaire de l'initiative d'évaluation consensuelle (CAIQ) et a publié les résultats dans le registre de sécurité, de confiance et d'assurance de la CSA : Panopto - CAIQ (v3.1).
Liste de contrôle de sécurité
| Sécurité des applications | INCLUS AVEC PANOPTO |
|---|---|
| Authentification et cryptage de l'API | Oui |
| Politiques d'authentification | Oui |
| Validation des données | Oui |
| Chiffrement au repos | Oui |
| Chiffrement en transit | Oui |
| Analyse médico-légale grâce à l'enregistrement des audits | Oui |
| Sécurité de la plate-forme hébergée | Oui |
| Infrastructure as code (IaC) | Oui |
| Séparation logique des contenus | Oui |
| Prévention des attaques de l'homme du milieu (MITM) | Oui |
| Sécurité du périmètre et authentification unique (SSO) | Oui |
| Autorisation basée sur le rôle | Oui |
| Stockage sécurisé des informations d'identification | Oui |
| Délais d'attente de la session | Oui |
| Téléchargement vidéo de la prévention | Oui |
| Sécurité des infrastructures et des opérations | INCLUS AVEC PANOPTO |
|---|---|
| Adhésion à un cadre de contrôle largement reconnu | Oui |
| Programme de gestion des risques | Oui |
| Vérification des antécédents des employés et des contractants | Oui |
| Sensibilisation et formation à la sécurité et à la protection de la vie privée | Oui |
| Le moindre privilège et la séparation des fonctions | Oui |
| Accès aux informations confidentielles selon le principe du besoin d'en connaître | Oui |
| Cycle de développement de logiciels sécurisés | Oui |
| Séparation des environnements opérationnels, de développement et d'essai | Oui |
| Surveillance et alerte en cas d'événements anormaux | Oui |
| Évaluations régulières des contrôles et analyses de vulnérabilité | Oui |
| Test de pénétration annuel complet effectué par un tiers | Oui |
| Priorité aux vulnérabilités à corriger en fonction du risque | Oui |
| Élimination sécurisée des supports | Oui |
| Protection contre les logiciels malveillants | Oui |
| Prévention des pertes de données | Oui |
| Contrôles physiques et environnementaux | Oui |
| Planification et test de la gestion des incidents | Oui |
| Planification et test de la continuité des activités et de la reprise après sinistre | Oui |
| Planification des capacités et des ressources | Oui |
| Vie privée et conformité | INCLUS AVEC PANOPTO |
|---|---|
| Règlement général sur la protection des données (RGPD) | Oui |
| SSAE 18 SOC 2 Type II | Oui |
| Auto-évaluation STAR de la Cloud Security Alliance (CSA) | Oui |
