Video protetti in Panopto
Panopto Mantiene rigorose misure di sicurezza che proteggono la sicurezza, la riservatezza, l'integrità e la privacy dei tuoi dati.
Il nostro modello di sicurezza condivisa
Panopto utilizza un modello Software-as-a-Service (SaaS) in cui la sicurezza è una responsabilità condivisa tra Amazon Web Services (AWS), Panopto e i nostri clienti. Panopto Sfruttiamo AWS come fornitore di infrastrutture cloud per offrire soluzioni altamente disponibili, scalabili e sicure. In linea generale, AWS è responsabile della sicurezza fisica, di rete e della piattaforma di virtualizzazione. Panopto è responsabile della sicurezza a livello di host, middleware e applicazione, del monitoraggio degli eventi e del ripristino di emergenza. I clienti sono responsabili della gestione delle identità degli utenti, del controllo degli accessi e della sicurezza dei dati.
Cultura orientata alla sicurezza e alla privacy
Panopto L'attenzione di ' alla sicurezza e alla privacy è radicata nella nostra cultura organizzativa, a partire dal processo di assunzione, continuando durante l'inserimento dei dipendenti, la formazione continua e le iniziative aziendali per aumentare la consapevolezza. Prima che qualcuno entri a far parte di Panopto Nel nostro team, effettuiamo controlli sui precedenti penali e creditizi laddove le leggi e i regolamenti locali lo consentano. Tutti i nuovi membri del team sono tenuti a seguire un corso di formazione sulla sicurezza delle informazioni e sulla privacy. Gli sviluppatori sono tenuti a seguire un corso di formazione sulla programmazione sicura al momento dell'assunzione e periodicamente in seguito. Il nostro team di sicurezza conduce regolarmente attività di sensibilizzazione e formazione, tra cui newsletter sulla sicurezza, avvisi via e-mail e test di phishing.
Panopto Comprendiamo che una solida governance è fondamentale per un programma di sicurezza delle informazioni efficace. Abbiamo istituito un Consiglio per la Sicurezza delle Informazioni interfunzionale, che rappresenta tutti i dipartimenti e i team, al fine di fornire supervisione e indirizzo strategico al nostro programma di sicurezza. Inoltre, il Consiglio promuove e fornisce il supporto aziendale necessario per integrare le politiche, gli standard e le migliori pratiche di sicurezza delle informazioni nelle attività aziendali.
Sicurezza delle applicazioni
Dal momento dell'acquisizione al momento della riproduzione, Panopto Consente di registrare, gestire e trasmettere in streaming i contenuti video in modo semplice e sicuro. In qualità di fornitore leader di piattaforme video per le più grandi organizzazioni e le università più prestigiose al mondo, abbiamo investito molto nella sicurezza del prodotto, dalle modalità di accesso degli utenti a come archiviamo e distribuiamo i video sulla rete.
La nostra piattaforma video offre una sicurezza multilivello a livello perimetrale, all'interno dell'archivio e durante lo streaming. Ciò garantisce che solo gli utenti autorizzati possano visualizzare i video e che i dati siano al sicuro sia a riposo che in transito.
Panopto Protegge il perimetro del repository video con il supporto di molteplici tipi di credenziali, tra cui OAuth, SAML 2.0, Active Directory e diversi provider di ID LMS. La nostra implementazione di single sign-on (SSO) supporta la sincronizzazione bidirezionale continua delle credenziali, garantendo che le informazioni degli utenti siano sempre aggiornate.
Entro Panopto Gli utenti navigano e accedono a video, cartelle e playlist tramite autorizzazioni basate sui ruoli. Queste autorizzazioni possono essere configurate per gruppi o singoli utenti, fornendo un controllo granulare su registrazione video, streaming live, caricamento, pubblicazione, riproduzione e programmazione. Ulteriori impostazioni consentono agli amministratori di imporre password complesse, scadenza delle password, autenticazione a due fattori tramite SSO e timeout di sessione.
Sicurezza delle infrastrutture
Panopto Il sistema è ospitato come un cluster ridondante ad alta disponibilità distribuito su più zone di disponibilità AWS, eliminando i singoli punti di guasto e garantendo maggiore affidabilità della piattaforma. I server web, di codifica e di database sono replicati su tutte le zone di disponibilità. In caso di interruzione del servizio in un'intera zona di disponibilità, il sistema passa automaticamente a un'altra zona, garantendo la continuità operativa e proteggendo l'integrità dei dati.
AWS offre anche una protezione significativa contro le vulnerabilità tradizionali della sicurezza di rete. Ad esempio, la minaccia degli attacchi DDoS (Distributed Denial of Service) viene mitigata tramite servizi proprietari di protezione DDoS e reti AWS multi-homed che garantiscono la diversificazione dell'accesso a Internet. Gli attacchi man-in-the-middle (MITM) vengono prevenuti tramite endpoint API protetti da SSL. Lo spoofing IP viene impedito dall'infrastruttura firewall di AWS, che non consente alle istanze di inviare traffico con un indirizzo IP o MAC di origine diverso dal proprio.
Inoltre, AWS mantiene una sicurezza fisica multiperimetrale all'avanguardia presso i propri data center. Ciò include il divieto di accesso esterno e la non divulgazione dell'ubicazione precisa dei data center. Le misure di sicurezza ambientale comprendono il rilevamento e lo spegnimento degli incendi, sistemi di alimentazione completamente ridondanti, controllo climatico e gestione in tempo reale dei sistemi elettrici e meccanici.
Sicurezza operativa
Panopto ha adottato il framework di controllo NIST SP 800-53 come base per la gestione di un programma di sicurezza delle informazioni basato sul rischio. I nostri sistemi e processi interni sono gestiti tramite politiche di sicurezza che coprono le famiglie di controlli NIST, tra cui il controllo degli accessi, la valutazione del rischio, la sensibilizzazione e la formazione, la gestione del rischio della catena di fornitura, la risposta agli incidenti, la gestione della configurazione e la protezione fisica e ambientale.
Il nostro team di ingegneri utilizza un ciclo di vita di sviluppo software sicuro per garantire che le attività di garanzia della sicurezza, come la revisione del codice e l'analisi dell'architettura, siano parte integrante del processo di sviluppo.
Eseguiamo inoltre scansioni trimestrali delle vulnerabilità e audit interni periodici delle nostre pratiche di sicurezza cloud e dei diritti di accesso. Ogni anno, collaboriamo con una società di sicurezza indipendente di fama internazionale per eseguire un penetration test completo al fine di identificare le vulnerabilità sfruttabili e ridurre al minimo la superficie di attacco informatico.
Inoltre, Panopto Apprezziamo il contributo di ricercatori esterni nell'identificazione delle vulnerabilità dei nostri prodotti e servizi. Il nostro Programma di Divulgazione Responsabile incoraggia i ricercatori a segnalare problemi di progettazione e implementazione che compromettono la riservatezza o l'integrità dei dati degli utenti o che mettono a rischio i dati dei clienti.
In caso di incidente di sicurezza o di continuità operativa, manteniamo un piano di risposta che copre tutti gli aspetti della gestione dell'incidente, dalla preparazione all'identificazione, al contenimento, all'eliminazione, al ripristino e all'analisi delle cause profonde. Il piano viene testato annualmente per garantire la presenza di un team di personale addestrato a intervenire, al fine di minimizzare l'impatto di un incidente e ripristinare le normali attività nel più breve tempo possibile.
Privacy
Panopto Ci impegniamo seriamente a proteggere le vostre informazioni personali con cura e rispetto. Il nostro approccio alla privacy inizia con l'impegno a garantirvi la massima trasparenza in merito alla raccolta, all'utilizzo e alla distribuzione dei vostri dati.
Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE uniforma la protezione dei dati in tutta Europa, basandosi sui principi di privacy di trasparenza, equità e responsabilità.
In qualità di elaboratore di dati, Panopto si impegna a rispettare la normativa GDPR.
Ciò include l'utilizzo della crittografia e dell'anonimizzazione per proteggere le informazioni personali, contratti con partner che svolgono un ruolo nel nostro trattamento dei dati, audit di terze parti delle nostre fonti di dati per le informazioni di identificazione personale e il rispetto dei diritti di accesso, informazione, rettifica, cancellazione, portabilità dei dati, opposizione e limitazione del trattamento.
Conformità al Service Organization Control (SOC) 2
Controllo dell'organizzazione dei servizi (SOC)
Sviluppato dall'American Institute of CPAs (AICPA), il principio SOC definisce i criteri per la gestione dei dati dei clienti basandosi sui cinque principi del Trust Service: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy.
Panopto ottiene un audit annuale SOC 2 Tipo 2 da parte di una società di revisione indipendente di terze parti per valutare la misura in cui Panopto rispetta il principio di fiducia in materia di sicurezza e disponibilità:
- Sicurezza: Il principio di sicurezza si riferisce alla protezione delle risorse di sistema contro l'accesso non autorizzato. I controlli di accesso sono in vigore a Panopto e contribuiscono a prevenire potenziali abusi di sistema, furti o rimozione non autorizzata di dati, uso improprio del software e alterazione o divulgazione impropria delle informazioni. Gli strumenti di sicurezza IT, inclusi firewall di rete e per applicazioni web, autenticazione a due fattori e rilevamento delle intrusioni utilizzati presso Panopto sono utili per prevenire violazioni della sicurezza che possono portare ad accessi non autorizzati a sistemi e dati.
- Disponibilità: Il principio di disponibilità si riferisce all'accessibilità del sistema, dei prodotti o dei servizi come stabilito da un contratto o da un accordo sul livello di servizio (SLA). Il monitoraggio delle prestazioni e della disponibilità della rete, il failover del sito e la gestione degli incidenti di sicurezza sono fondamentali in questo contesto.
Il nostro report SOC 2 è disponibile per qualsiasi partner, cliente o potenziale cliente, ma solo se il destinatario firma un accordo di non divulgazione (NDA) con Panopto Per ulteriori informazioni, consultare:
Panopto Rapporto Service Organization Control (SOC) 3
Panopto Il report SOC 3 condensa le informazioni chiave del report SOC 2 in un riepilogo facilmente comprensibile senza la necessità di firmare un accordo di non divulgazione (NDA).
Autovalutazione STAR della Cloud Security Alliance (CSA).
La Cloud Security Alliance (CSA) è un'organizzazione senza scopo di lucro guidata da un'ampia coalizione di professionisti del settore, aziende e altri importanti stakeholder. Si dedica alla definizione delle migliori pratiche per contribuire a garantire un ambiente di cloud computing più sicuro e ad aiutare i potenziali clienti del cloud a prendere decisioni informate durante la migrazione delle proprie operazioni IT al cloud. Panopto ha completato l'autovalutazione CSA STAR tramite il questionario Consensus Assessments Initiative (CAIQ) e ha pubblicato i risultati nel registro CSA Security, Trust, and Assurance: Panopto – CAIQ (v3.1) .
Lista di controllo della sicurezza
| Sicurezza delle applicazioni | INCLUSO CON PANOPTO |
|---|---|
| Autenticazione e crittografia delle API | SÌ |
| Politiche di autenticazione | SÌ |
| Validazione dei dati | SÌ |
| Crittografia a riposo | SÌ |
| Crittografia in transito | SÌ |
| Analisi forense tramite registrazione degli eventi di audit | SÌ |
| Sicurezza della piattaforma ospitata | SÌ |
| Infrastruttura come codice (IaC) | SÌ |
| Separazione logica dei contenuti | SÌ |
| Prevenzione degli attacchi Man-in-the-Middle (MITM) | SÌ |
| Sicurezza perimetrale e accesso singolo (SSO) | SÌ |
| Autorizzazione basata sui ruoli | SÌ |
| Archiviazione sicura delle credenziali | SÌ |
| Timeout di sessione | SÌ |
| Prevenzione del download di video | SÌ |
| Sicurezza delle infrastrutture e delle operazioni | INCLUSO CON PANOPTO |
|---|---|
| Adesione a un quadro di controllo ampiamente riconosciuto | SÌ |
| Programma di gestione del rischio | SÌ |
| Verifica dei precedenti di dipendenti e collaboratori | SÌ |
| Formazione e sensibilizzazione in materia di sicurezza e privacy. | SÌ |
| Principio del minimo privilegio e della separazione dei doveri | SÌ |
| Accesso alle informazioni riservate consentito solo a chi ne ha effettivamente bisogno. | SÌ |
| Ciclo di vita sicuro per lo sviluppo del software | SÌ |
| Separazione degli ambienti operativi, di sviluppo e di staging. | SÌ |
| Monitoraggio e allerta per eventi anomali | SÌ |
| Valutazioni periodiche dei controlli e scansioni di vulnerabilità | SÌ |
| Test di penetrazione completo annuale condotto da terze parti | SÌ |
| Prioritizzazione delle vulnerabilità in base al rischio per la risoluzione dei problemi | SÌ |
| Smaltimento sicuro dei supporti | SÌ |
| Protezione da software dannoso | SÌ |
| Prevenzione della perdita di dati | SÌ |
| Controlli fisici e ambientali | SÌ |
| Pianificazione e test della gestione degli incidenti | SÌ |
| Pianificazione e test della continuità operativa e del ripristino in caso di disastro | SÌ |
| Pianificazione delle capacità e delle risorse | SÌ |
| Privacy e conformità | INCLUSO CON PANOPTO |
|---|---|
| Regolamento generale sulla protezione dei dati (GDPR) | SÌ |
| SSAE 18 SOC 2 Tipo II | SÌ |
| Autovalutazione STAR della Cloud Security Alliance (CSA). | SÌ |
