Panopto bruger en SaaS-model (Software-as-a-Service), hvor sikkerheden er et fælles ansvar mellem Amazon Web Services (AWS), Panopto og kunderne. Panopto bruger AWS som leverandør af cloud-infrastruktur til at levere løsninger, der er meget tilgængelige, skalerbare og sikre. På et højt niveau er AWS ansvarlig for fysisk, netværks- og virtualiseringsplatformssikkerhed. Panopto er ansvarlig for sikkerhed på værts-, middleware- og applikationsniveau, hændelsesovervågning og disaster recovery. Kunderne er ansvarlige for brugeridentitetsstyring, adgangskontrol og datasikkerhed.

Panoptos fokus på sikkerhed og privatliv er rodfæstet i Panoptos organisationskultur, der begynder med ansættelsesprocessen og fortsætter under medarbejdernes onboarding, løbende uddannelse og initiativer i hele virksomheden for at øge bevidstheden. Før nogen bliver en del af Panopto-teamet, foretager Panopto baggrundstjek af kriminelle forhold og kreditværdighed, hvor lokale love og regler tillader det. Alle nye teammedlemmer skal tage kurser i informationssikkerhed og privatlivets fred. Udviklere skal tage et kursus i sikker kodning, når de ansættes og med jævne mellemrum derefter. Panoptos sikkerhedsteam gennemfører regelmæssige opmærksomheds- og træningsaktiviteter, herunder sikkerhedsnyhedsbreve, e-mailadvarsler og phishing-tests.

Panopto forstår, at en stærk ledelse er afgørende for et effektivt informationssikkerhedsprogram. Panopto har implementeret et tværfunktionelt informationssikkerhedsråd, der repræsenterer alle afdelinger og teams, for at give tilsyn og strategisk retning til Panoptos sikkerhedsprogram. Desuden fremmer og yder rådet den forretningsstøtte, der er nødvendig for at integrere informationssikkerhedspolitikker, standarder og bedste praksis i virksomhedens drift.

Fra optagelsespunktet til afspilningspunktet gør Panopto det nemt at optage, administrere og streame dit videoindhold på en sikker måde. Som den førende udbyder af videoplatforme til verdens største organisationer og mest respekterede universiteter har Panopto investeret kraftigt i produktsikkerhed, lige fra den måde, brugerne logger ind på, til hvordan Panopto gemmer og leverer video på tværs af netværket.

Panoptos videoplatform giver sikkerhed i flere lag ved perimeteren, i depotet og under streaming. Dette sikrer, at kun autoriserede brugere kan se videoer, og at data er sikre i hvile og under transport.

Panopto sikrer videolagerets perimeter med understøttelse af flere legitimationstyper, herunder OAuth, SAML 2.0, Active Directory og en række LMS-id-udbydere. Panoptos SSO-implementering (single sign-on) understøtter rullende tovejssynkronisering af legitimationsoplysninger, hvilket sikrer, at brugeroplysningerne altid er opdaterede.

I Panopto kan brugerne navigere og få adgang til videoer, mapper og afspilningslister via rollebaserede tilladelser. Disse tilladelser kan konfigureres for grupper eller individuelle brugere, hvilket giver detaljeret kontrol over videooptagelse, livestreaming, upload, udgivelse, afspilning og planlægning. Yderligere indstillinger giver administratorer mulighed for at håndhæve stærke adgangskoder, udløb af adgangskoder, to-faktor-autentificering via SSO og timeout for sessioner.

Panopto hostes som en redundant klynge med høj tilgængelighed på tværs af flere AWS-tilgængelighedszoner, hvilket eliminerer single points of failure og giver yderligere platformspålidelighed. Web-, kodnings- og databaseservere spejles på tværs af tilgængelighedszoner. I tilfælde af at hele tilgængelighedszonen går ned, skifter systemet problemfrit til en anden zone, hvilket giver forretningskontinuitet og beskytter integriteten af dine data.

AWS giver også betydelig beskyttelse mod traditionelle sårbarheder i netværkssikkerheden. Truslen fra DDoS-angreb (distributed denial of service) afbødes f.eks. gennem proprietære DDoS-beskyttelsestjenester og multi-homed AWS-netværk, som giver forskelligartet internetadgang. Man-in-the-middle-angreb (MITM) forhindres gennem SSL-beskyttede API-slutpunkter. IP-spoofing forhindres gennem AWS’ firewall-infrastruktur, som ikke tillader instanser at sende trafik med en anden kilde-IP eller MAC-adresse end deres egen.

Derudover opretholder AWS topmoderne fysisk sikkerhed med flere perimeter i deres datacentre. Dette omfatter forbud mod ekstern adgang og ikke deling af den nøjagtige placering af deres datacentre. Miljømæssige sikkerhedsforanstaltninger omfatter branddetektering og -undertrykkelse, fuldt redundante strømsystemer, klimakontrol og realtidsstyring af elektriske og mekaniske systemer.

Panopto har vedtaget NIST SP 800-53-kontrolrammen som grundlag for at drive et risikobaseret informationssikkerhedsprogram. Panoptos interne systemer og processer styres gennem sikkerhedspolitikker, der dækker NIST-kontrolfamilierne, herunder adgangskontrol, risikovurdering, bevidsthed og træning, risikostyring af forsyningskæden, hændelsesrespons, konfigurationsstyring samt fysisk og miljømæssig beskyttelse.

Panoptos ingeniørteam bruger en sikker livscyklus for softwareudvikling for at sikre, at sikkerhedsaktiviteter som kodegennemgang og arkitekturanalyse er en del af udviklingsindsatsen.

Panopto udfører også kvartalsvise sårbarhedsscanninger og regelmæssige interne revisioner af deres cloud-sikkerhedspraksis og adgangsrettigheder. Hvert år samarbejder Panopto med et internationalt kendt uafhængigt sikkerhedsfirma om at udføre en omfattende penetrationstest for at identificere sårbarheder, der kan udnyttes, og minimere overfladearealet for cyberangreb.

Derudover værdsætter Panopto hjælp fra eksterne forskere til at identificere sårbarheder i Panoptos produkter og tjenester. Panoptos Responsible Disclosure Program opfordrer forskere til at rapportere design- og implementeringsproblemer, der påvirker fortroligheden eller integriteten af brugerdata eller sætter kundedata i fare.

I tilfælde af en sikkerheds- eller forretningskontinuitetshændelse har Panopto en responsplan, der dækker alle aspekter af hændelsesrespons, fra forberedelse til identifikation, inddæmning, udryddelse, gendannelse og analyse af grundårsagen. Planen afprøves hvert år for at sikre, at Panopto har et team af medarbejdere, der er uddannet til at reagere, så de kan minimere konsekvenserne af en hændelse og genoptage normal drift så hurtigt som muligt.

Panopto tager deres ansvar for at beskytte dine personlige oplysninger med omhu og respekt alvorligt. Panopto tilgang til privatlivets fred begynder med deres forpligtelse til at give dig gennemsigtighed i forhold til indsamling, brug og distribution af dine data.

EU’s generelle databeskyttelsesforordning (GDPR) skaber sammenhæng i databeskyttelsen i hele Europa og bygger på principperne om gennemsigtighed, retfærdighed og ansvarlighed.

Som databehandler er Panopto forpligtet til at overholde GDPR-loven.

Dette omfatter brug af kryptering og anonymisering for at beskytte personlige oplysninger, kontrakter med partnere, der spiller en rolle i Panoptos databehandling, tredjepartsrevisioner af deres datakilder for PII og overholdelse af retten til adgang, information, berigtigelse, sletning, dataportabilitet, indsigelse og begrænsning af behandling.