Video sicuri in Panopto
Panopto rigorose misure di sicurezza che proteggono la sicurezza, la riservatezza, l'integrità e la privacy dei tuoi dati.
Il nostro modello di sicurezza condivisa
Panopto un modello Software-as-a-Service (SaaS) in cui la sicurezza è una responsabilità condivisa tra Amazon Web Services (AWS), Panopto e i nostri clienti. Panopto AWS come fornitore di infrastruttura cloud per offrire soluzioni altamente disponibili, scalabili e sicure. A livello generale, AWS è responsabile della sicurezza fisica, della rete e della piattaforma di virtualizzazione. Panopto responsabile della sicurezza a livello di host, middleware e applicazioni, del monitoraggio degli eventi e del ripristino di emergenza. I clienti sono responsabili della gestione delle identità degli utenti, del controllo degli accessi e della sicurezza dei dati.
Cultura della sicurezza e della privacy
L'attenzione Panoptoalla sicurezza e alla privacy è radicata nella nostra cultura organizzativa, a partire dal processo di assunzione, passando per l'inserimento dei dipendenti, la formazione continua e le iniziative aziendali volte ad aumentare la consapevolezza. Prima che qualcuno entri a far parte del Panopto , effettuiamo controlli sui precedenti penali e sulla solvibilità, laddove le leggi e le normative locali lo consentono. Tutti i nuovi membri del team sono tenuti a seguire una formazione sulla sicurezza delle informazioni e sulla consapevolezza della privacy. Gli sviluppatori sono tenuti a seguire una formazione sulla codifica sicura al momento dell'assunzione e periodicamente in seguito. Il nostro team di sicurezza conduce regolarmente attività di sensibilizzazione e formazione, tra cui newsletter sulla sicurezza, avvisi via e-mail e test di phishing.
Panopto che una governance forte è fondamentale per un programma di sicurezza delle informazioni efficace. Abbiamo istituito un Consiglio per la sicurezza delle informazioni interfunzionale che rappresenta tutti i reparti e i team per fornire supervisione e direzione strategica al nostro programma di sicurezza. Inoltre, il Consiglio promuove e fornisce il supporto aziendale necessario per integrare le politiche, gli standard e le migliori pratiche di sicurezza delle informazioni nelle operazioni dell'azienda.
Sicurezza delle applicazioni
Dal momento della cattura a quello della riproduzione, Panopto la registrazione, la gestione e lo streaming dei contenuti video in modo sicuro. In qualità di fornitore leader di piattaforme video per le più grandi organizzazioni e le università più prestigiose al mondo, abbiamo investito molto nella sicurezza dei prodotti, dal modo in cui gli utenti effettuano l'accesso a come archiviamo e distribuiamo i video attraverso la rete.
La nostra piattaforma video offre una sicurezza multilivello sul perimetro, all'interno del repository e durante lo streaming. Questo garantisce che solo gli utenti autorizzati possano guardare i video e che i dati siano al sicuro a riposo e in transito.
Panopto il perimetro dell'archivio video con il supporto di diversi tipi di credenziali, tra cui OAuth, SAML 2.0, Active Directory e una serie di provider di ID LMS. La nostra implementazione del single sign-on (SSO) supporta la sincronizzazione bidirezionale continua delle credenziali, garantendo che le informazioni degli utenti siano sempre aggiornate.
All'interno Panopto, gli utenti navigano e accedono a video, cartelle e playlist tramite autorizzazioni basate sui ruoli. Queste autorizzazioni possono essere configurate per gruppi o singoli utenti, fornendo un controllo granulare su registrazione video, streaming live, caricamento, pubblicazione, riproduzione e programmazione. Impostazioni aggiuntive offrono agli amministratori la possibilità di imporre password complesse, scadenza delle password, autenticazione a due fattori tramite SSO e timeout della sessione.
Sicurezza dell'infrastruttura
Panopto ospitato come cluster ridondante ad alta disponibilità su più zone di disponibilità AWS, eliminando i singoli punti di errore e garantendo una maggiore affidabilità della piattaforma. I server web, di codifica e di database sono replicati in tutte le zone di disponibilità. In caso di interruzione dell'intera zona di disponibilità, il sistema passa senza soluzione di continuità a un'altra zona, garantendo la continuità operativa e proteggendo l'integrità dei dati.
AWS offre anche una protezione significativa contro le vulnerabilità tradizionali della sicurezza di rete. Ad esempio, la minaccia di attacchi DDoS (Distributed Denial of Service) è mitigata grazie ai servizi di protezione DDoS proprietari e alle reti AWS multi-homed che forniscono una diversità di accesso a Internet. Gli attacchi Man-in-the-middle (MITM) sono prevenuti attraverso endpoint API protetti da SSL. Lo spoofing IP è impedito dall'infrastruttura del firewall AWS, che non consente alle istanze di inviare traffico con un indirizzo IP o MAC di origine diverso dal proprio.
Inoltre, AWS mantiene una sicurezza fisica all'avanguardia e multiperimetrale nei propri data center. Ciò include il divieto di accesso dall'esterno e la non condivisione dell'ubicazione precisa dei propri data center. Le protezioni ambientali comprendono il rilevamento e la soppressione degli incendi, sistemi di alimentazione completamente ridondanti, controllo del clima e gestione in tempo reale dei sistemi elettrici e meccanici.
Sicurezza operativa
Panopto adottato il quadro di controllo NIST SP 800-53 come base per la gestione di un programma di sicurezza delle informazioni basato sul rischio. I nostri sistemi e processi interni sono gestiti attraverso politiche di sicurezza che coprono le famiglie di controllo NIST, tra cui controllo degli accessi, valutazione dei rischi, sensibilizzazione e formazione, gestione dei rischi della catena di fornitura, risposta agli incidenti, gestione della configurazione e protezione fisica e ambientale.
Il nostro team di ingegneri utilizza un ciclo di vita di sviluppo del software sicuro per garantire che le attività di garanzia della sicurezza, come la revisione del codice e l'analisi dell'architettura, siano inerenti allo sforzo di sviluppo.
Eseguiamo inoltre scansioni trimestrali delle vulnerabilità e regolari audit interni delle nostre pratiche di sicurezza del cloud e dei diritti di accesso. Ogni anno collaboriamo con una società di sicurezza indipendente di fama internazionale per eseguire un test di penetrazione completo al fine di identificare le vulnerabilità sfruttabili e ridurre al minimo la superficie di attacco informatico.
Inoltre, Panopto l'assistenza dei ricercatori esterni nell'aiutarci a identificare le vulnerabilità dei nostri prodotti e servizi.IlnostroProgramma di divulgazione responsabileincoraggia i ricercatori a segnalare problemi di progettazione e implementazione che compromettono la riservatezza o l'integrità dei dati degli utenti o mettono a rischio i dati dei clienti.
In caso di incidente di sicurezza o di continuità aziendale, manteniamo un piano di risposta che copre tutti gli aspetti della risposta agli incidenti, dalla preparazione all'identificazione, al contenimento, all'eliminazione, al recupero e all'analisi delle cause. Il piano viene esercitato su base annuale per garantire la presenza di un team di personale addestrato a rispondere per ridurre al minimo l'impatto di un incidente e riprendere le normali attività il più rapidamente possibile.
La privacy
Panopto molto sul serio la propria responsabilità di proteggere le informazioni personali degli utenti con cura e rispetto. Il nostro approccio alla privacy inizia con l'impegno a garantire trasparenza nella raccolta, nell'utilizzo e nella distribuzione dei dati degli utenti.
Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE rende coerente la protezione dei dati in tutta Europa, basandosi sui principi di trasparenza, equità e responsabilità in materia di privacy.
In qualità di responsabile del trattamento dei dati, Panopto impegna a rispettare la normativa GDPR.
Ciò include l'uso della crittografia e dell'anonimizzazione per proteggere le informazioni personali, i contratti con i partner che svolgono un ruolo nell'elaborazione dei dati, le verifiche da parte di terzi delle nostre fonti di dati per le PII e l'adesione ai diritti di accesso, informazione, rettifica, cancellazione, portabilità dei dati, obiezione e limitazione dell'elaborazione.
Conformità SOC (Service Organization Control) 2
Controllo dell'organizzazione dei servizi (SOC)
Sviluppato dall'American Institute of CPAs (AICPA), il SOC definisce i criteri per la gestione dei dati dei clienti sulla base dei cinque Trust Service Principles: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy.
Panopto una verifica SOC 2 Tipo 2 annuale da parte di una società di revisione indipendente per valutare la misura in cui Panopto i principi di affidabilità in materia di sicurezza e disponibilità:
- Sicurezza:il principio di sicurezza si riferisce alla protezione delle risorse di sistema contro accessi non autorizzati. Panopto dispone di controlli di accesso Panopto aiutano a prevenire potenziali abusi del sistema, furti o rimozioni non autorizzate di dati, uso improprio del software e alterazione o divulgazione indebita di informazioni. Gli strumenti di sicurezza IT utilizzati da Panopto , tra cui firewall di rete e applicazioni web, autenticazione a due fattori e rilevamento delle intrusioni, Panopto utili per prevenire violazioni della sicurezza che possono portare ad accessi non autorizzati a sistemi e dati.
- Disponibilità: Il principio della disponibilità si riferisce all'accessibilità del sistema, dei prodotti o dei servizi come stabilito da un contratto o da un accordo sul livello di servizio. Il monitoraggio delle prestazioni e della disponibilità della rete, il failover del sito e la gestione degli incidenti di sicurezza sono fondamentali in questo contesto.
Il nostro rapporto SOC 2 è disponibile per tutti i partner, i clienti o i potenziali clienti, ma solo se il destinatario firma un accordo di non divulgazione (NDA) con Panopto. Per ulteriori informazioni, consultare:
Rapporto SOC 3 (Panopto Organization Control) Panopto
Il rapporto SOC 3 Panoptosintetizza le informazioni chiave del rapporto SOC 2 in un riassunto di facile comprensione senza richiedere la firma di un accordo di riservatezza.
Autovalutazione STAR della Cloud Security Alliance (CSA)
La Cloud Security Alliance (CSA) è un'organizzazione senza scopo di lucro guidata da un'ampia coalizione di professionisti del settore, aziende e altri importanti stakeholder. Si dedica alla definizione delle migliori pratiche per garantire un ambiente di cloud computing più sicuro e per aiutare i potenziali clienti cloud a prendere decisioni informate quando trasferiscono le loro operazioni IT sul cloud. Panopto completato l'autovalutazione CSA STAR tramite il questionario CAIQ (Consensus Assessments Initiative Questionnaire) e ha pubblicato i risultati nel registro CSA Security, Trust, and Assurance Registry:Panopto CAIQ (v3.1).
Lista di controllo per la sicurezza
| Sicurezza delle applicazioni | INCLUSO CON PANOPTO |
|---|---|
| Autenticazione e crittografia API | Sì |
| Politiche di autenticazione | Sì |
| Convalida dei dati | Sì |
| Crittografia a riposo | Sì |
| Crittografia in transito | Sì |
| Analisi forense tramite registrazione di audit | Sì |
| Sicurezza della piattaforma in hosting | Sì |
| Infrastruttura come codice (IaC) | Sì |
| Separazione logica dei contenuti | Sì |
| Prevenzione del Man-in-the-middle (MITM) | Sì |
| Sicurezza perimetrale e single-sign on (SSO) | Sì |
| Autorizzazione basata sui ruoli | Sì |
| Archiviazione sicura delle credenziali | Sì |
| Timeout della sessione | Sì |
| Prevenzione del download di video | Sì |
| Sicurezza infrastrutturale e operativa | INCLUSO CON PANOPTO |
|---|---|
| Aderenza a un quadro di controllo ampiamente riconosciuto | Sì |
| Programma di gestione del rischio | Sì |
| Controllo dei precedenti di dipendenti e appaltatori | Sì |
| Formazione e sensibilizzazione su sicurezza e privacy | Sì |
| Privilegio minimo e separazione dei compiti | Sì |
| Accesso alle informazioni riservate in base alla necessità di conoscerle | Sì |
| Ciclo di vita dello sviluppo del software sicuro | Sì |
| Separazione degli ambienti operativi, di sviluppo e di staging | Sì |
| Monitoraggio e segnalazione di eventi anomali | Sì |
| Valutazioni periodiche dei controlli e scansioni delle vulnerabilità | Sì |
| Test di penetrazione completo annuale di terze parti | Sì |
| Priorità alle vulnerabilità per la bonifica in base al rischio | Sì |
| Smaltimento sicuro dei supporti | Sì |
| Protezione da software dannoso | Sì |
| Prevenzione della perdita di dati | Sì |
| Controlli fisici e ambientali | Sì |
| Pianificazione e test della gestione degli incidenti | Sì |
| Pianificazione e verifica della continuità operativa e del disaster recovery | Sì |
| Pianificazione della capacità e delle risorse | Sì |
| Privacy e conformità | INCLUSO CON PANOPTO |
|---|---|
| Regolamento generale sulla protezione dei dati (GDPR) | Sì |
| SSAE 18 SOC 2 Tipo II | Sì |
| Autovalutazione STAR della Cloud Security Alliance (CSA) | Sì |
