Network ACLs

Seguiamo un'architettura di microservizi in cui i diversi servizi sono liberamente accoppiati e ciascuno di essi è responsabile solo di una caratteristica o funzione specifica all'interno dell'applicazione. 

L'accesso è limitato ai microservizi a livello di rete. I servizi e i database ospitati da AWS, per impostazione predefinita, non sono accessibili da nessuna parte; le regole in entrata esplicite devono essere aggiunte manualmente. 
 

Monitoraggio delle modifiche

Per garantire che le modifiche che potrebbero influire sulla sicurezza dell'infrastruttura vengano rilevate rapidamente, il team di sicurezza ha sviluppato una soluzione automatizzata che crea avvisi nel sistema di ticketing per la revisione. 

Scansione automatica delle vulnerabilità

Le scansioni automatiche delle vulnerabilità black-box vengono eseguite sia periodicamente che in risposta ai cambiamenti infrastrutturali nel nostro ambiente cloud al fine di identificare rapidamente i sistemi potenzialmente vulnerabili.

Test di penetrazione di terze parti

Almeno su base annuale, incarichiamo un revisore terzo indipendente per eseguire un test di penetrazione a livello di infrastruttura e applicazione.

Programma di Divulgazione Responsabile

Come risultato del nostro Programma di Divulgazione Responsabile pubblico (https://prezi.com/bug-bounty/), sia la nostra infrastruttura che l'applicazione vengono continuamente scansionate da scanner di vulnerabilità e ricercatori della sicurezza entusiasti. 

Gestione degli Eventi di Incidenti di Sicurezza (SIEM)

La nostra soluzione SIEM raccoglie, elabora e correla log dettagliati dalla nostra infrastruttura cloud, dai nodi in esecuzione su di essa e dalle applicazioni stesse. Il team di sicurezza opera come un centro operativo di sicurezza ed è responsabile del monitoraggio e della risposta alle minacce sia interne che esterne. Il team risponde su base continuativa agli avvisi automatici aperti da diversi meccanismi di rilevamento (ad es. AWS GuardDuty, AWS Macie, log di utilizzo AWS, avvisi di rilevamento delle minacce dall'infrastruttura tramite Sysdig Falco, log dettagliati relativi alla sicurezza dai componenti dell'infrastruttura, log relativi alla sicurezza web, eccetera.)

Firewall per Applicazioni Web (WAF)

Utilizziamo una soluzione firewall per applicazioni Web di nuova generazione in modalità di blocco come prima linea di difesa di fronte a tutto il traffico Web rivolto ai clienti.

Crittografia in transito

Per impostazione predefinita, utilizziamo la crittografia TLS tra il client Prezi (il browser o la nostra applicazione desktop/iOS/Android) e il server. La connessione TLS viene inoltre configurata tra server in esecuzione in regioni diverse. 

I bilanciatori di carico vengono utilizzati per terminare TLS con emissione automatica di certificati con parametri di sicurezza avanzati (chiavi pubbliche RSA a 2048 bit con algoritmo di firma SHA256+RSA).

TLS è supportato anche per tutte le comunicazioni email che abbiamo con i nostri clienti.

Crittografia a riposo

I dati critici dei clienti (XML Prezi e risorse multimediali) creati dopo febbraio 2018 sono crittografati sul lato server con AES-256. La crittografia è trasparente; le chiavi sono gestite dal nostro provider di infrastruttura cloud.

Datacenter

Utilizziamo un provider di servizi cloud di terze parti di alto livello che è conforme a numerose normative e standard sulla privacy (Regolamento generale sulla protezione dei dati dell'UE, HIPAA, GLBA, HITECH) e possiede certificazioni riconosciute dal settore (SOC, PCI, FedRAMP, ISO e ullteriori). 

Revisioni della sicurezza

Per evidenziare i potenziali rischi per la sicurezza il prima possibile, tutti i piani architetturali vengono esaminati dal team di sicurezza. Di volta in volta, il team di sicurezza esegue anche esercizi di modellazione delle minacce in collaborazione con i team di ingegneri coinvolti.

Di conseguenza, il team di sicurezza interagisce quotidianamente con sviluppatori e ingegneri per condividere mentalità di sicurezza, migliori pratiche e strumenti efficienti.

Analisi del codice statico

Supportiamo il nostro ciclo di vita di sviluppo software sicuro con strumenti che rilevano automaticamente le modifiche al codice rispetto alle migliori pratiche di sicurezza. Il team di sicurezza esamina tutte le modifiche al codice contrassegnate come potenziali rischi, tiene traccia dei problemi aperti e comunica con i tecnici per condividere le conoscenze e le migliori pratiche relative alla sicurezza su base giornaliera.

Test di Penetrazione tramite Terze parti

Almeno su base annuale, incarichiamo un revisore terzo indipendente per eseguire un test di penetrazione a livello di infrastruttura e applicazione.

Programma di Divulgazione Responsabile

Come risultato del nostro Programma di Divulgazione Responsabile pubblico (https://prezi.com/bug-bounty/), sia la nostra infrastruttura che l'applicazione vengono continuamente scansionate da scanner di vulnerabilità e ricercatori della sicurezza entusiasti. 

Auditing

Abbiamo una registrazione dettagliata delle attività degli utenti, inclusi (ma non limitati a) eventi relativi alla sicurezza come login, modifica della password, creazione/cancellazione/modifica di presentazioni, impostazioni sulla privacy e modifiche ai diritti di accesso a livello di applicazione.

Condivisione di prezi e privacy dei dati

Dopo aver creato una presentazione, puoi proteggere chi la vede aggiungendo in modo specifico collaboratori o generando un link di visualizzazione che può essere inviato a chiunque tu scelga. Puoi anche rendere la tua presentazione disponibile per il mondo intero modificando le sue impostazioni della privacy.

Per maggiori informazioni per favore visita:

• https://support.prezi.com/hc/en-us/articles/360003478554-Setting-privacy
• https://support.prezi.com/hc/en-us/articles/360003498553-Collaborating-in-Prezi-Next
• https://support.prezi.com/hc/en-us/articles/360003499433-Sharing-a-presentation

Autenticazione e archiviazione delle credenziali

Prezi supporta l'autenticazione basata su email e password insieme ad autenticazioni di terze parti come Facebook e Google. Le password non vengono mai memorizzate in chiaro

Crittografia in Transito

Per impostazione predefinita, utilizziamo la crittografia TLS tra il client Prezi (il browser o la nostra applicazione desktop/iOS/Android) e il server. La connessione TLS viene inoltre configurata tra server in esecuzione in regioni diverse. 

I bilanciatori di carico vengono utilizzati per terminare TLS con emissione automatica di certificati con parametri di sicurezza avanzati (chiavi pubbliche RSA a 2048 bit con algoritmo di firma SHA256+RSA).

TLS è supportato anche per tutte le comunicazioni email che abbiamo con te.

Report SOC 2 di Tipo 2 sulla Sicurezza

Abbiamo superato con successo un audit indipendente, esterno, di terze parti e ottenuto un rapporto SOC 2 di tipo 2 sulla sicurezza per Prezi. Il report è disponibile su richiesta agli abbonati Prezi Business che sottoscrivono un accordo di non divulgazione. Per ulteriori informazioni, contattare il nostro team di vendita.

Privacy e protezione dei dati

Puoi leggere la nostra Informativa sulla privacy online e trovare maggiori dettagli su Prezi e GDPR e CCPA nella nostra Conoscenza di base.

Per il nostro whitepaper sulla privacy per favore contatta il nostro team di vendita.

Whitepaper sulla Sicurezza

Per il nostro Whitepaper sulla Sicurezza per favore contatta il nostro team di vendita.

Whitepaper sulla Sicurezza

Per il nostro Whitepaper sulla Sicurezza per favore contatta il nostro team di vendita.