Réseau ACLs

Nous suivons une architecture de microservices dans laquelle les différents services sont faiblement couplés et chacun d'eux n'est responsable que d'une fonctionnalité ou d'une fonction spécifique au sein de l'application.  

L'accès est limité aux microservices au niveau du réseau. Les services et bases de données hébergés par AWS, par défaut, ne sont pas accessibles de n'importe où. Les règles de trafic entrant explicites doivent être ajoutées manuellement. 
 

Suivi des changements

Pour s'assurer que les changements affectant potentiellement la sécurité de l'infrastructure sont rapidement détectés, une solution automatisée a été développée par l'équipe de sécurité qui crée des alertes dans le système de ticket pour examen. 

Analyse automatisée des vulnérabilités

Des analyses de vulnérabilité automatisées de la boîte noire sont exécutées à la fois périodiquement et en réaction aux changements d'infrastructure dans notre environnement cloud afin d'identifier rapidement les systèmes potentiellement vulnérables.

Tests d'intrusion tiers

Au moins une fois par an, nous engageons un auditeur tiers indépendant pour effectuer un test d'intrusion au niveau de l'infrastructure et des applications.

Programme de divulgation responsable

Grâce à notre programme public de divulgation responsable (https://prezi.com/bug-bounty/), notre infrastructure et notre application sont continuellement analysées par des scanners de vulnérabilité et des chercheurs en sécurité enthousiastes. 

Gestion des événements d'incident de sécurité (SIEM)

Notre solution SIEM collecte, traite et corrèle les journaux détaillés de notre infrastructure cloud, des nœuds qui y sont exécutés et des applications elles-mêmes. L'équipe de sécurité fonctionne comme un centre des opérations de sécurité et est responsable de la surveillance et de la réponse aux menaces internes et externes. L'équipe répond en permanence aux alertes automatisées ouvertes par différents mécanismes de détection (par exemple, AWS GuardDuty, AWS Macie, les journaux d'utilisation AWS, les alertes de détection des menaces de l'infrastructure via Sysdig Falco, les journaux de sécurité détaillés des composants de l'infrastructure, les journaux liés à la sécurité Web, etc.)

Web Application Firewall (WAF)

Nous utilisons une solution de pare-feu d'application Web de nouvelle génération en mode blocage comme première ligne de défense face à tout le trafic Web destiné aux clients.

Cryptage en transit

Par défaut, nous utilisons le cryptage TLS entre le client Prezi (soit le navigateur, soit notre application de bureau/iOS/Android) et le serveur. La connexion TLS est également configurée entre les serveurs exécutés dans différentes régions. 

Les équilibreurs de charge sont utilisés pour terminer TLS avec émission automatique de certificats avec des paramètres de sécurité forts (clés publiques RSA 2048 bits avec algorithme de signature SHA256+RSA).

TLS est également pris en charge pour toutes les communications par e-mail que nous avons avec nos clients.

Cryptage au repos

Les données client critiques (XML Prezi et ressources multimédias) créées après février 2018 sont cryptées côté serveur avec AES-256. Le cryptage est transparent ; les clés sont gérées par notre fournisseur d'infrastructure cloud.

Centre de données

Nous utilisons un fournisseur de services cloud tiers de premier plan qui est conforme à de nombreuses réglementations et normes de confidentialité (Règlement général sur la protection des données de l'UE, HIPAA, GLBA, HITECH) et possède des certifications reconnues par l'industrie (SOC, PCI, FedRAMP, ISO et Suite). 

Examens de sécurité

Analyse de code statique

Nous soutenons notre cycle de vie de développement logiciel sécurisé avec des outils qui détectent automatiquement les modifications de code par rapport aux meilleures pratiques de sécurité. L'équipe de sécurité examine toutes les modifications de code signalées comme des risques potentiels, assure le suivi des problèmes ouverts et communique avec les ingénieurs pour partager quotidiennement les connaissances et les meilleures pratiques liées à la sécurité.

Tests d'intrusion tiers

Au moins une fois par an, nous collaborons avec un cabinet d'audit tiers indépendant pour effectuer un test de pénétration au niveau de l'infrastructure et des applications.

Programme de divulgation responsable

Grâce à notre programme public de divulgation responsable (https://prezi.com/bug-bounty/), notre infrastructure et notre application sont continuellement analysées par des scanners de vulnérabilité et des chercheurs en sécurité enthousiastes. 

Audit

Nous avons une journalisation détaillée des activités des utilisateurs, y compris (mais sans s'y limiter) les événements liés à la sécurité tels que la connexion, le changement de mot de passe, la création/suppression/modification de présentation, les paramètres de confidentialité et les modifications des droits d'accès au niveau de l'application.

Partage de prezis et confidentialité des données

Après avoir créé une présentation, vous pouvez protéger les personnes qui la voient en ajoutant spécifiquement des collaborateurs ou en générant un lien de vue qui peut être envoyé à toute personne de votre choix. Vous pouvez également rendre votre présentation accessible au monde entier en modifiant ses paramètres de confidentialité.

Pour plus d'informations, veuillez consulter :

• https://support.prezi.com/hc/en-us/articles/360003478554-Setting-privacy
• https://support.prezi.com/hc/en-us/articles/360003498553-Collaborating-in-Prezi-Next
• https://support.prezi.com/hc/en-us/articles/360003499433-Sharing-a-presentation

Authentification et stockage des identifiants

Prezi prend en charge l'authentification par e-mail et par mot de passe ainsi que les authentifications tierces telles que Facebook et Google. Les mots de passe ne sont jamais stockés en clair.

Cryptage en transit

Par défaut, nous utilisons le cryptage TLS entre le client Prezi (soit le navigateur, soit notre application de bureau/iOS/Android) et le serveur. La connexion TLS est également configurée entre les serveurs exécutés dans différentes régions. 

Les équilibreurs de charge sont utilisés pour terminer TLS avec émission automatique de certificats avec des paramètres de sécurité forts (clés publiques RSA 2048 bits avec algorithme de signature SHA256+RSA).

TLS est également pris en charge pour toutes les communications par e-mail que nous avons avec vous.

Rapport SOC 2 Type 2 sur la Sécurité

Nous avons passé avec succès un audit externe indépendant et tiers et obtenu un rapport SOC 2 Type 2 sur la sécurité pour Prezi. Le rapport est disponible sur demande pour les abonnés Prezi Entreprise qui signent un accord de non-divulgation. Pour plus d'informations, veuillez contacter notre équipe commerciale.

Confidentialité et protection des données

Vous pouvez lire notre Politique de confidentialité en ligne et trouver plus de détails sur Prezi et GDPR, et CCPA dans notre base de connaissances.

Pour notre livre blanc sur la confidentialité, veuillez contacter notre équipe commerciale.

Livre blanc sur la sécurité

Pour notre livre blanc sur la sécurité, veuillez contacter notre équipe commerciale.

Livre blanc sur la sécurité

Pour notre livre blanc sur la sécurité, veuillez contacter notre équipe commerciale.