Lorsque vous vous inscrivez pour utiliser notre produit, nous nous engageons protéger vos données.
Nous savons que Prezi est un outil formidable pour diffuser des idées et qu'il peut réinventer la façon dont les gens partagent leurs connaissances, racontent des histoires et inspirent leur public à agir. Nous savons également que la confiance est une composante nécessaire pour qu'un tel outil fonctionne.
C'est pourquoi notre engagement envers vous va au-delà de vous aider à faire de meilleures présentations. Il s'agit de protéger l'actif le plus précieux (et le plus vulnérable) de tous : vos informations personnelles.
Notre équipe de sécurité qualifiée utilise une technologie de pointe pour gérer tous les domaines de la sécurité des réseaux, des systèmes, des données et des applications. Dans les moindres détails. Sans exception.
Voici un bref aperçu des principes stricts que nous respectons afin de gagner votre confiance et de la conserver. Merci d'avoir choisi Prezi.
Réseau ACLs
Nous suivons une architecture de microservices dans laquelle les différents services sont faiblement couplés et chacun d'eux n'est responsable que d'une fonctionnalité ou d'une fonction spécifique au sein de l'application.
L'accès est limité aux microservices au niveau du réseau. Les services et bases de données hébergés par AWS, par défaut, ne sont pas accessibles de n'importe où. Les règles de trafic entrant explicites doivent être ajoutées manuellement.
Suivi des changements
Pour s'assurer que les changements affectant potentiellement la sécurité de l'infrastructure sont rapidement détectés, une solution automatisée a été développée par l'équipe de sécurité qui crée des alertes dans le système de ticket pour examen.
Analyse automatisée des vulnérabilités
Des analyses de vulnérabilité automatisées de la boîte noire sont exécutées à la fois périodiquement et en réaction aux changements d'infrastructure dans notre environnement cloud afin d'identifier rapidement les systèmes potentiellement vulnérables.
Tests d'intrusion tiers
Au moins une fois par an, nous engageons un auditeur tiers indépendant pour effectuer un test d'intrusion au niveau de l'infrastructure et des applications.
Programme de divulgation responsable
Grâce à notre programme public de divulgation responsable (https://prezi.com/bug-bounty/), notre infrastructure et notre application sont continuellement analysées par des scanners de vulnérabilité et des chercheurs en sécurité enthousiastes.
Gestion des événements d'incident de sécurité (SIEM)
Notre solution SIEM collecte, traite et corrèle les journaux détaillés de notre infrastructure cloud, des nœuds qui y sont exécutés et des applications elles-mêmes. L'équipe de sécurité fonctionne comme un centre des opérations de sécurité et est responsable de la surveillance et de la réponse aux menaces internes et externes. L'équipe répond en permanence aux alertes automatisées ouvertes par différents mécanismes de détection (par exemple, AWS GuardDuty, AWS Macie, les journaux d'utilisation AWS, les alertes de détection des menaces de l'infrastructure via Sysdig Falco, les journaux de sécurité détaillés des composants de l'infrastructure, les journaux liés à la sécurité Web, etc.)
Web Application Firewall (WAF)
Nous utilisons une solution de pare-feu d'application Web de nouvelle génération en mode blocage comme première ligne de défense face à tout le trafic Web destiné aux clients.
Cryptage en transit
Par défaut, nous utilisons le cryptage TLS entre le client Prezi (soit le navigateur, soit notre application de bureau/iOS/Android) et le serveur. La connexion TLS est également configurée entre les serveurs exécutés dans différentes régions.
Les équilibreurs de charge sont utilisés pour terminer TLS avec émission automatique de certificats avec des paramètres de sécurité forts (clés publiques RSA 2048 bits avec algorithme de signature SHA256+RSA).
TLS est également pris en charge pour toutes les communications par e-mail que nous avons avec nos clients.
Cryptage au repos
Les données client critiques (XML Prezi et ressources multimédias) créées après février 2018 sont cryptées côté serveur avec AES-256. Le cryptage est transparent ; les clés sont gérées par notre fournisseur d'infrastructure cloud.
Centre de données
Nous utilisons un fournisseur de services cloud tiers de premier plan qui est conforme à de nombreuses réglementations et normes de confidentialité (Règlement général sur la protection des données de l'UE, HIPAA, GLBA, HITECH) et possède des certifications reconnues par l'industrie (SOC, PCI, FedRAMP, ISO et Suite).
Examens de sécurité
Pour mettre en évidence les risques de sécurité potentiels le plus tôt possible, tous les plans architecturaux sont examinés par l'équipe de sécurité. Au cas par cas, l'équipe de sécurité exécute également des exercices de modélisation des menaces en partenariat avec les équipes d'ingénierie impliquées.
En conséquence, l'équipe de sécurité interagit quotidiennement avec les développeurs et les ingénieurs pour partager l'état d'esprit de la sécurité, les meilleures pratiques et des outils efficaces.
Analyse de code statique
Nous soutenons notre cycle de vie de développement logiciel sécurisé avec des outils qui détectent automatiquement les modifications de code par rapport aux meilleures pratiques de sécurité. L'équipe de sécurité examine toutes les modifications de code signalées comme des risques potentiels, assure le suivi des problèmes ouverts et communique avec les ingénieurs pour partager quotidiennement les connaissances et les meilleures pratiques liées à la sécurité.
Tests d'intrusion tiers
Au moins une fois par an, nous collaborons avec un cabinet d'audit tiers indépendant pour effectuer un test de pénétration au niveau de l'infrastructure et des applications.
Programme de divulgation responsable
Grâce à notre programme public de divulgation responsable (https://prezi.com/bug-bounty/), notre infrastructure et notre application sont continuellement analysées par des scanners de vulnérabilité et des chercheurs en sécurité enthousiastes.
Audit
Nous avons une journalisation détaillée des activités des utilisateurs, y compris (mais sans s'y limiter) les événements liés à la sécurité tels que la connexion, le changement de mot de passe, la création/suppression/modification de présentation, les paramètres de confidentialité et les modifications des droits d'accès au niveau de l'application.
Partage de prezis et confidentialité des données
Après avoir créé une présentation, vous pouvez protéger les personnes qui la voient en ajoutant spécifiquement des collaborateurs ou en générant un lien de vue qui peut être envoyé à toute personne de votre choix. Vous pouvez également rendre votre présentation accessible au monde entier en modifiant ses paramètres de confidentialité.
Pour plus d'informations, veuillez consulter :
Authentification et stockage des identifiants
Prezi prend en charge l'authentification par e-mail et par mot de passe ainsi que les authentifications tierces telles que Facebook et Google. Les mots de passe ne sont jamais stockés en clair.
Cryptage en transit
Par défaut, nous utilisons le cryptage TLS entre le client Prezi (soit le navigateur, soit notre application de bureau/iOS/Android) et le serveur. La connexion TLS est également configurée entre les serveurs exécutés dans différentes régions.
Les équilibreurs de charge sont utilisés pour terminer TLS avec émission automatique de certificats avec des paramètres de sécurité forts (clés publiques RSA 2048 bits avec algorithme de signature SHA256+RSA).
TLS est également pris en charge pour toutes les communications par e-mail que nous avons avec vous.
Rapport SOC 2 Type 2 sur la Sécurité
Nous avons passé avec succès un audit externe indépendant et tiers et obtenu un rapport SOC 2 Type 2 sur la sécurité pour Prezi. Le rapport est disponible sur demande pour les abonnés Prezi Entreprise qui signent un accord de non-divulgation. Pour plus d'informations, veuillez contacter notre équipe commerciale.
Confidentialité et protection des données
Vous pouvez lire notre Politique de confidentialité en ligne et trouver plus de détails sur Prezi et GDPR, et CCPA dans notre base de connaissances.
Pour notre livre blanc sur la confidentialité, veuillez contacter notre équipe commerciale.
Livre blanc sur la sécurité
Pour notre livre blanc sur la sécurité, veuillez contacter notre équipe commerciale.
Livre blanc sur la sécurité
Pour notre livre blanc sur la sécurité, veuillez contacter notre équipe commerciale.