Hálózati ACL-ek

Mikroszolgáltatási architektúrát követünk, amelyben a különböző szolgáltatások lazán vannak összekapcsolva, és mindegyikük kizárólag egyetlen konkrét funkcióért vagy függvényért felel az alkalmazásban. 

A mikroszolgáltatásokhoz való hozzáférés hálózati szinten van korlátozva. Az AWS által hostolt szolgáltatásokhoz és adatbázisokhoz alapértelmezés szerint sehonnan nem lehet hozzáférni; manuálisan kell felvenni bejövő szabályokat. 
 

Változásfigyelés

Az infrastruktúra biztonságát potenciálisan befolyásoló változások gyors észlelése érdekében a biztonsági csapat egy automatizált megoldást fejlesztett ki, amely felülvizsgálandó riasztásokat hoz létre a jegykezelő rendszerben. 

Automatizált sebezhetőségkeresés

Automatizált feketedobozos sebezhetőségi vizsgálatok kerülnek végrehajtásra rendszeresen, valamint a felhőkörnyezetünkben bekövetkezett infrastrukturális változásokra reagálva egyaránt, így gyorsan észlelhetők a potenciális sebezhető rendszerek.

Harmadik fél általi behatolási tesztek

Évente legalább egyszer felkérünk egy független külsős auditort, hogy végezzen infrastruktúra- és alkalmazásszintű behatolási tesztet.

Felelősségteljes nyilvánosságra hozatali program

A publikus felelősségteljes nyilvánosságra hozatali programunk (https://prezi.com/bug-bounty/) eredményeképp sebezhetőségkeresők és lelkes biztonsági kutatók egyaránt folyamatosan vizsgálják az infrastruktúránkat és az alkalmazásunkat. 

Biztonsági információk és események kezelése (SIEM)

SIEM-megoldásunk összegyűjti, feldolgozza és korrelálja a felhő-infrastruktúránkból, a rajta futó csomópontokból, valamint magukból az alkalmazásokból származó részletes naplókat. A biztonsági csapat biztonsági műveleti központként üzemelve felelős a belső és külső veszélyforrások figyeléséért és a rájuk való reagálásért. A csapat folyamatos jelleggel reagál a különböző észlelési mechanizumusok (pl. AWS GuardDuty, AWS Macia, AWS használati naplók, veszélyforrás-észlelési riasztások az infrastruktúrából a Sysdig Falco rendszeren keresztül, releváns részletes biztonsági naplók az infrastruktúra-összetevőkből, kapcsolódó webes biztonsági naplók stb.) által nyitott automatizált riasztásokra.

Webalkalmazási tűzfal (WAF)

Első védelmi vonalként újgenerációs webalkalmazási tűzfalas megoldást használunk blokkolási módban az ügyfél felé néző webes forgalom teljes egésze előtt.

Titkosítás az úton lévő adatok számára

Alapértelmezés szerint TLS-titkosítást használunk a Prezi kliens (legyen az a böngésző vagy az asztali/iOS-/Android-alkalmazásun) és a kiszolgáló között. Emellett a különböző régiókban üzemelő kiszolgálók között is TLS-kapcsolat van kialakítva. 

Terheléselosztók szakítják meg a TLS-t erős biztonsági paraméterekkel (2048 bites RSA nyilvános kulcsok SHA256+RSA aláírási algoritmussal) rendelkező tanúsítványok automatikus kibocsátásával.

A TLS az ügyfelekkel folytatott minden e-mailes kommunikációnknál is támogatott.

Titkosítás az inaktív adatok számára

A 2018 februárja után létrehozott kritikus ügyféladatok (a Prezi XML-jei és a médiaanyagok) kiszolgálóoldali AES-256 titkosítással rendelkeznek. A titkosítás transzparens; a kulcsokat a felhőinfrastruktúra-szolgáltatónk kezeli.

Adatközpont

Élvonalbeli felhőszolgáltatót alkalmazunk, amely számos szabályozásnak és adatvédelmi szabványnak (EU-s általános adatvédelmi rendelkezés, HIPAA, GLBA, HITECH) megfelel, és az iparágban elismert tanúsítványokkal (SOC, PCI, FedRAMP, ISO és mások) rendelkezik. 

Biztonsági felülvizsgálatok

A potenciális biztonsági kockázatok minél előbbi felismerése érdekében a biztonsági csapat minden architekturális tervet felülvizsgál. A biztonsági csapat ezenkívül eseti alapon az érintett mérnöki csapatokkal partnerségi kapcsolatban veszélyforrás-modellezési gyakorlatokat hajt végre.

Ennek eredményeképp a biztonsági csapat napi rendszerességgel kommunikál a fejlesztőkkel és a mérnökökkel, hogy megosszák a biztonsággal kapcsolatos gondolkodásmódot, bevált gyakorlatokat és hatásos eszközöket.

Statikus kódelemzés

A biztonságos szoftverfejlesztési életciklusunkat olyan eszközök támogatják, amelyek automatikusan észlelik a kódváltozásokat a bevált biztonsági gyakorlatok tükrében. A biztonsági csapat minden olyan kódváltozást felülvizsgál, amelyek potenciális kockázatként kerülnek megjelölésre, nyomon követi a nyitott problémákat, és a mérnökökkel kommunikál, hogy napi szinten megossza a biztonsággal kapcsolatos ismereteket és bevált gyakorlatokat.

Harmadik fél általi behatolási tesztek

Évente legalább egyszer felkérünk egy független külsős auditorcéget, hogy végezzen infrastruktúra- és alkalmazásszintű behatolási tesztet.

Felelősségteljes nyilvánosságra hozatali program

A publikus felelősségteljes nyilvánosságra hozatali programunk (https://prezi.com/bug-bounty/) eredményeképp sebezhetőségkeresők és lelkes biztonsági kutatók egyaránt folyamatosan vizsgálják az infrastruktúránkat és az alkalmazásunkat. 

Auditálás

Részletes felhasználói tevékenységnaplózást alkalmazunk, beleértve (nem kizárólagos jelleggel) az olyan biztonsággal kapcsolatos eseményeket, mint a bejelentkezés, a jelszómódosítás, a prezentációk létrehozása/törlése/módosítása, az adatvédelmi beállítások, valamint az alkalmazásszintű hozzáférésijog-változások.

A prezik megosztása és az adatvédelem

A prezentáció létrehozása után a védelem érdekében konkrét együttműködők hozzáadásával korlátozhatja a megtekinteni képes személyek közért, illetve megtekintési hivatkozást generálhat, melyet tetszőleges személyeknek küldhet el. A prezentációt az adatvédelmi beállításainak módosításával az egész világ számára elérhetővé teheti.

További információ:

• https://support.prezi.com/hc/hu/articles/360003478554-Setting-privacy
• https://support.prezi.com/hc/hu/articles/360003498553-Collaborating-in-Prezi-Next
• https://support.prezi.com/hc/hu/articles/360003499433-Sharing-a-presentation

Hitelesítés és a hitelesítő adatok tárolása

A Prezi támogatja az e-mail-címen és jelszón alapuló hitelesítést, továbbá a harmadik felek – például Facebook vagy Google – általi hitelesítést. A jelszavakat soha nem tároljuk nyílt szövegként.

Titkosítás az úton lévő adatok számára

Alapértelmezés szerint TLS-titkosítást használunk a Prezi kliens (legyen az a böngésző vagy az asztali/iOS-/Android-alkalmazásun) és a kiszolgáló között. Emellett a különböző régiókban üzemelő kiszolgálók között is TLS-kapcsolat van kialakítva. 

Terheléselosztók szakítják meg a TLS-t erős biztonsági paraméterekkel (2048 bites RSA nyilvános kulcsok SHA256+RSA aláírási algoritmussal) rendelkező tanúsítványok automatikus kibocsátásával.

A TLS az Önnel folytatott minden e-mailes kommunikációnknál is támogatott.

SOC 2 Type 2 biztonsági jelentés

Sikeresen átestünk egy független, külső, harmadik fél általi auditon, így megszereztük a Prezire vonatkozó SOC 2 Type 2 biztonsági jelentést. A jelentés kérésre áll rendelkezésre azon Prezi Business-előfizetők számára, akik aláírnak egy titoktartási szerződést. További információért forduljon az értékesítési csapatunkhoz.

Adatvédelem

Online elolvasható az adatvédelmi szabályzatunk, a tudásbázisunkban pedig további részletek állnak rendelkezésre a Prezi és a GDPR kapcsolatáról, valamint a CCPA törvényről.

Az adatvédelmi tanulmányunk beszerzéséhez forduljon az értékesítési csapatunkhoz.

Biztonsági tanulmány

A biztonsági tanulmányunk beszerzéséhez forduljon az értékesítési csapatunkhoz.

Adatvédelmi tanulmány

Az adatvédelmi tanulmányunk beszerzéséhez forduljon az értékesítési csapatunkhoz.