Panopto의 비디오 보안
Panopto는 데이터의 보안, 기밀성, 무결성 및 개인 정보를 보호하는 엄격한 보호 장치를 유지합니다.
우리의 공유 보안 모델
Panopto는 Amazon Web Services(AWS), Panopto 및 고객 간에 보안이 공동 책임인 SaaS(Software-as-a-Service) 모델을 활용합니다. Panopto는 AWS를 클라우드 인프라 공급자로 활용하여 가용성이 높고 확장 가능하며 안전한 솔루션을 제공합니다. 높은 수준에서 AWS는 물리적, 네트워크 및 가상화 플랫폼 보안을 담당합니다. Panopto는 호스트, 미들웨어 및 애플리케이션 수준 보안, 이벤트 모니터링 및 재해 복구를 담당합니다. 고객은 사용자 ID 관리, 액세스 제어 및 데이터 보안에 대한 책임이 있습니다.
보안 및 개인 정보 보호 문화
보안 및 개인 정보 보호에 대한 Panopto의 초점은 고용 프로세스에서 시작하여 직원 온보딩, 지속적인 교육 및 인식 제고를 위한 전사적 이니셔티브 동안 계속되는 조직 문화에 뿌리를 두고 있습니다. 누군가 Panopto 팀에 합류하기 전에 현지 법률 및 규정이 허용하는 경우 범죄 및 신용 배경 조사를 수행합니다. 모든 새 팀원은 정보 보안 및 개인 정보 보호 인식 교육을 이수해야 합니다. 개발자는 고용 시와 그 후 정기적으로 보안 코딩 교육을 받아야 합니다. 당사의 보안 팀은 보안 뉴스레터, 이메일 경고 및 피싱 테스트를 포함하여 정기적인 인식 및 교육 활동을 수행합니다.
Panopto는 강력한 거버넌스가 효과적인 정보 보안 프로그램에 중요하다는 것을 이해합니다. 우리는 보안 프로그램에 대한 감독과 전략적 방향을 제공하기 위해 모든 부서와 팀을 대표하는 다기능 정보 보안 위원회를 구현했습니다. 또한 위원회는 정보 보안 정책, 표준 및 모범 사례를 회사 운영에 통합하는 데 필요한 비즈니스 지원을 촉진하고 제공합니다.
애플리케이션 보안
촬영부터 재생까지, Panopto는 비디오 컨텐츠를 안전하게 촬영, 관리 및 송출할 수 있도록 합니다. 다국적 글로벌 기업과 세계 일류 대학이 사용하는 비디오 플랫폼 제공업체로서 비디오 녹화 및 송출할 때는 물론, 이용자가 플랫폼에 접속하는 순간부터 완벽하게 보안되도록 많은 노력을 기울이고 있습니다.
당사의 비디오 플랫폼은 경계, 리포지토리 내 및 스트리밍 중에 다중 계층 보안을 제공합니다. 이렇게 하면 승인된 사용자만 비디오를 볼 수 있고 저장 및 전송 중인 데이터가 안전합니다.
Panopto는 OAuth, SAML 2.0, Active Directory 및 여러 LMS ID 공급자를 포함한 여러 자격 증명 유형을 지원하여 비디오 저장소 경계를 보호합니다. SSO(Single Sign-On) 구현은 자격 증명의 양방향 동기화를 지원하여 사용자 정보가 항상 최신 상태로 유지되도록 합니다.
Panopto 내에서 사용자는 역할 기반 권한을 통해 비디오, 폴더 및 재생 목록을 탐색하고 액세스합니다. 이러한 권한은 그룹 또는 개별 사용자에 대해 구성할 수 있어 비디오 녹화, 라이브 스트리밍, 업로드, 게시, 재생 및 예약을 세부적으로 제어할 수 있습니다. 추가 설정을 통해 관리자는 강력한 암호, 암호 만료, SSO를 통한 이중 인증 및 세션 시간 초과를 적용할 수 있습니다.
인프라 보안
Panopto는 여러 AWS 가용 영역에서 고가용성 중복 클러스터로 호스팅되어 단일 실패 지점을 제거하고 추가적인 플랫폼 안정성을 제공합니다. 웹, 인코딩 및 데이터베이스 서버는 가용성 영역에서 미러링됩니다. 전체 가용 영역이 중단되는 경우 시스템이 다른 영역으로 원활하게 전환되어 비즈니스 연속성을 제공하고 데이터 무결성을 보호합니다.
AWS는 또한 기존 네트워크 보안 취약점에 대한 상당한 보호 기능을 제공합니다. 예를 들어, DDoS(분산 서비스 거부) 공격의 위협은 인터넷 액세스 다양성을 제공하는 독점 DDoS 보호 서비스와 멀티홈 AWS 네트워크를 통해 완화됩니다. MITM(Man-in-the-Middle) 공격은 SSL로 보호되는 API 엔드포인트를 통해 방지됩니다. IP 스푸핑은 AWS 방화벽 인프라를 통해 방지됩니다. 이 인프라는 인스턴스가 자신의 주소가 아닌 다른 소스 IP 또는 MAC 주소로 트래픽을 보내는 것을 허용하지 않습니다.
또한 AWS는 데이터 센터에서 최첨단 다중 경계 물리적 보안을 유지합니다. 여기에는 외부 액세스를 금지하고 데이터 센터의 정확한 위치를 공유하지 않는 것이 포함됩니다. 환경 보호 장치에는 화재 감지 및 진압, 완전 이중화 전원 시스템, 기후 제어, 전기 및 기계 시스템의 실시간 관리가 포함됩니다.
운영 보안
Panopto는 위험 기반 정보 보안 프로그램을 운영하기 위한 기반으로 NIST SP 800-53 제어 프레임워크를 채택했습니다. 내부 시스템과 프로세스는 액세스 제어, 위험 평가, 인식 및 교육, 공급망 위험 관리, 사고 대응, 구성 관리, 물리적 및 환경적 보호를 포함한 NIST 제어 제품군을 포괄하는 보안 정책을 통해 관리됩니다.
우리 엔지니어링 팀은 보안 소프트웨어 개발 수명 주기를 사용하여 코드 검토 및 아키텍처 분석과 같은 보안 보증 활동이 개발 노력에 내재되어 있는지 확인합니다.
또한 분기별 취약점 스캔과 클라우드 보안 관행 및 액세스 권한에 대한 정기적인 내부 감사를 수행합니다. 매년 우리는 국제적으로 알려진 독립 보안 회사와 협력하여 악용 가능한 취약점을 식별하고 사이버 공격 표면적을 최소화하기 위해 포괄적인 침투 테스트를 수행합니다.
또한 Panopto는 제품 및 서비스의 취약점을 파악하는 데 외부 연구원의 도움을 중요하게 생각합니다. Facebook의 책임 있는 공개 프로그램은 사용자 데이터의 기밀성 또는 무결성에 영향을 미치거나 고객 데이터를 위험에 빠뜨리는 설계 및 구현 문제를 보고하도록 장려합니다.
보안 또는 비즈니스 연속성 사고가 발생할 경우 준비에서 식별, 억제, 근절, 복구 및 근본 원인 분석에 이르기까지 사고 대응의 모든 측면을 포괄하는 대응 계획을 유지합니다. 이 계획은 사고의 영향을 최소화하고 가능한 한 빨리 정상 운영을 재개할 수 있도록 대응 훈련을 받은 직원 팀을 확보하기 위해 매년 실행됩니다.
개인정보 보호정책
Panopto는 신중하고 존중하는 마음으로 귀하의 개인 정보를 보호할 책임이 있습니다. 개인 정보 보호에 대한 당사의 접근 방식은 데이터 수집, 사용 및 배포에 대한 투명성을 제공하겠다는 당사의 약속에서 시작됩니다.
유럽 연합 데이터 보호규정 (EU General Data Protection Regulation, GDPR)은 투명성, 공정성 및 책임이라는 개인 정보 보호 원칙을 기반으로 유럽 전역의 데이터 보호에 일관성을 제공합니다.
Panopto 역시 데이터를 다루는 플랫폼으로서 GDPR을 준수합니다.
개인 정보를 보호하기 위한 암호화 및 익명화, 전문적인 데이터 처리 회사와의 협력, 개인식별정보(PII)에 대한 타사 감사, 액세스 권한, 정보, 수정, 삭제, 데이터 이동성, 데이터 처리에 대한 이의제기 등을 통해 다방면으로 GDPR을 준수하고 있습니다.
규정 준수
서비스 조직 제어(SOC)
미국 공인회계사협회(AICPA)에서 개발한 SOC는 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호라는 5가지 신뢰 서비스 원칙을 기반으로 고객 데이터를 관리하기 위한 기준을 정의합니다.
Panopto는 Panopto가 보안 및 가용성에 대한 신뢰 원칙을 준수하는 정도를 평가하기 위해 독립적인 제3자 감사 회사의 연례 SOC 2 Type 2 감사를 받습니다.
- 보안: 보안 원칙은 무단 액세스로부터 시스템 리소스를 보호하는 것을 말합니다. Panopto는 액세스 제어를 통해 잠재적인 시스템 남용, 도난 또는 데이터 무단 제거, 소프트웨어 오용, 정보의 부적절한 변경 또는 공개를 방지합니다. Panopto에서 사용하는 네트워크 및 웹 애플리케이션 방화벽, 이중 인증, 침입 탐지 등의 IT 보안 도구는 시스템과 데이터에 대한 무단 액세스로 이어질 수 있는 보안 침해를 방지하는 데 유용합니다.
- 가용성: 가용성 원칙은 계약 또는 서비스 수준 계약에 규정된 시스템, 제품 또는 서비스의 접근성을 의미합니다. 이러한 맥락에서 네트워크 성능 및 가용성, 사이트 장애 복구, 보안 사고 처리를 모니터링하는 것은 매우 중요합니다.
SOC 2 보고서는 모든 파트너, 고객 또는 잠재 고객에게 제공되지만, 수신자가 Panopto와 기밀유지계약(NDA)을 체결한 경우에만 제공됩니다. 자세한 내용은 다음을 참조하세요: Panopto의 SOC 2 유형 2 보고서에 대해 알아보세요.
Panopto의 SOC 3 보고서는 NDA에 서명할 필요 없이 SOC 2 보고서의 핵심 정보를 쉽게 이해할 수 있는 요약본으로 압축한 것입니다. SOC 3 보고서를 다운로드하세요.
CSA(Cloud Security Alliance) STAR 자체 평가
클라우드 보안 연합(CSA)은 업계 실무자, 기업 및 기타 중요한 이해관계자로 구성된 광범위한 연합이 이끄는 비영리 단체입니다. 보다 안전한 클라우드 컴퓨팅 환경을 보장하기 위한 모범 사례를 정의하고 잠재적인 클라우드 고객이 IT 운영을 클라우드로 전환할 때 정보에 입각한 결정을 내릴 수 있도록 지원하는 데 전념하고 있습니다. Panopto는 합의 평가 이니셔티브 설문지(CAIQ)를 통해 CSA STAR 자체 평가를 완료하고 그 결과를 CSA 보안, 신뢰 및 보증 레지스트리에 게시했습니다: Panopto - CAIQ (v3.1).
보안 점검 목록
| 애플리케이션 보안 | Panopto 보안 정책 |
|---|---|
| API 인증 및 암호화 | 예 |
| 인증 정책 | 예 |
| 데이터 검증 | 예 |
| 휴면 데이터 암호화 | 예 |
| 전송 중인 데이터 암호화 | 예 |
| 회계 감사 기록 포렌식 분석 | 예 |
| 플랫폼 보안 관리 | 예 |
| 코드형 인프라 관리 (IaC) | 예 |
| 논리 회로 내용 분리 | 예 |
| 중간자 공격 (MITM) 예방 | 예 |
| 경계 보안 및 통합 인증 (SSO) | 예 |
| 역할 기반 권한 부여 | 예 |
| 보안 인증 정보 저장 | 예 |
| 세션 제한시간 초과 | 예 |
| 비디오 다운로드 방지 | 예 |
| 인프라 및 운영 보안 | Panopto 보안 정책 |
|---|---|
| 널리 인정되는 제어 프레임워크 준수 | 예 |
| 리스크 관리 프로그램 | 예 |
| 직원 및 계약자에 대한 배경 조사 | 예 |
| 보안 및 개인 정보 보호 인식 및 교육 | 예 |
| 최소 특권 및 직무 분리 | 예 |
| 기밀 정보에 대해 알아야 할 액세스 | 예 |
| 안전한 소프트웨어 개발 수명 주기 | 예 |
| 운영, 개발 및 스테이징 환경의 분리 | 예 |
| 비정상적인 이벤트 모니터링 및 경고 | 예 |
| 정기적인 통제 평가 및 취약성 스캔 | 예 |
| 연간 타사 종합 침투 테스트 | 예 |
| 개선을 위한 취약성의 위험 기반 우선 순위 지정 | 예 |
| 안전한 미디어 폐기 | 예 |
| 악성 소프트웨어 보호 | 예 |
| 데이터 손실 방지 | 예 |
| 물리적 및 환경적 통제 | 예 |
| 사고 관리 계획 및 테스트 | 예 |
| 비즈니스 연속성 및 재해 복구 계획 및 테스트 | 예 |
| 용량 및 리소스 계획 | 예 |
| 개인정보 보호 및 규정 준수 | Panopto 보안 정책 |
|---|---|
| 일반 데이터 보호 규정 (GDPR) | 예 |
| SSAE 18 SOC 2 유형 II | 예 |
| CSA(Cloud Security Alliance) STAR 자체 평가 | 예 |
