Sécurité à Livestorm

DANS CET ARTICLE :


Introduction

La mission de Livestorm est de permettre aux entreprises d'améliorer la communication dans un environnement accessible mais sécurisé pour tous.

Nous pensons que nous devons sécuriser vos données et que leur protection est l'une de nos plus grandes responsabilités. Nous nous engageons à être transparents sur nos pratiques de sécurité et à vous aider à comprendre notre approche.

Nous avons un portail de sécurité dédié que vous pouvez également consulter pour plus de détails.

Sécurité organisationnelle

Grâce à des conseils mis à jour, mais aussi des nouvelles et des meilleures pratiques du secteur de l'industrie, Livestorm est en perpetuelle évolution.

L'équipe d'ingénieurs Livestorm, dirigée par notre directeur technique (CTO), est responsable de la mise en œuvre et de la gestion de notre programme de sécurité.

Le CTO se concentre sur :

  • L'Architecture de la Sécurité,
  • La Sécurité du Produit,
  • L'Ingénierie de la Sécurité
  • Opérations
  • et Risque et Conformité

Protection des données client

L'objectif de notre programme de sécurité est d'empêcher tout accès non autorisé aux données clients. À cette fin, notre équipe prend des mesures exhaustives pour identifier et atténuer les risques, mettre en œuvre les meilleures pratiques et développer constamment des moyens de s'améliorer.

Sécurisé par la conception

Notre équipe produit a mis en place un cycle de développement solide et sécurisé. Nous nous efforçons de détecter toutes les failles dans les phases de conception et de test. Toutes les faiblesses identifiées sont validées pour leur pertinence, triées et suivies jusqu'à leur résolution.

Sécurité du streaming

Livestorm utilise le protocole WebRTC pour échanger des packages audio et vidéo dans un navigateur sans aucun téléchargement. Veuillez vous référer à la documentation officielle pour comprendre pourquoi le WebRTC est sécurisé de par sa conception.

Livestorm utilise Transport Layer Security (TLS) pour crypter les données audio et vidéo. Les principaux protocoles utilisés sont SRTP pour le cryptage du trafic média et DTLS-SRTP pour la négociation des clés, tous deux définis par l'IETF. Les points de terminaison utilisent un protocole de cryptage puissant aux deux extrémités pour crypter l'audio et la vidéo et vérifier l'intégrité des données.

SSL

Notre audit SSL a été réalisé avec la Certification des Laboratoires Qualys SSL. Il a obtenu la note A+

Cela signifie que la communication entre nos serveurs et chaque navigateur est sécurisée par des normes de cryptage élevées.

👨💻 à propos de Qualys : Fondée en 1999, Qualys a établi des partenariats stratégiques avec les principaux fournisseurs de services gérés et organisations de conseil, notamment Accenture, BT, Cognizant Technology Solutions, Deutsche Telekom, Fujitsu, HCL, HP Enterprise, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon et Wipro. La société est également un membre fondateur de la Cloud Security Alliance (CSA).

Cryptage

Données en transit

Toutes les données transmises entre les clients de Livestorm et le service Livestorm sont réalisées à l'aide de protocoles de cryptage puissants.

Livestorm prend en charge les dernières suites de chiffrement sécurisées recommandées pour crypter tout le trafic en transit :

Paiements

Le traitement des paiements est effectué selon la certification ISO 27001 et l'attestation SOC-1, SOC-2 . La passerelle de paiement Livestorm est certifiée PCI-DSS niveau 1 . Et se conforme à la législation UE-États-Unis. Privacy Shield et U.S.- Swiss Privacy Shield en adhérant aux principes de protection des droits de toute personne dans l'UE dont les données personnelles sont transférées aux États-Unis et aussi à l'engagement du RGPD . Plus d'informations sur : https://www.chargebee.com/security/

Données au repos

Les données au repos dans Livestorm sont cryptées selon les meilleures pratiques du NIST concernant les directives de cryptographie selon la méthode du salage.

Le service Livestorm est hébergé dans des centres de données gérés par des fournisseurs de premier plan, offrant une protection physique de pointe pour les serveurs et l'infrastructure avec 99,9 % de SLA.

Enfin, les données Livestorm sont localisées dans des bases de données au sein de l'UE et sauvegardées toutes les 24h .

Livestorm assure une transmission sécurisée en utilisant :

Connexion sécurisée : les sessions établies pour accéder aux données sont protégées par des jetons sécurisés qui sont régénérés à intervalles réguliers.

Transmission et cryptage des données : Livestorm utilise le protocole TLS (Transport Layer Security) pour crypter les données audio et vidéo. Les principaux protocoles utilisés sont SRTP pour le cryptage du trafic média et DTLS-SRTP pour la négociation des clés, tous deux définis par l'IETF. Les terminaux utilisent un protocole de cryptage solide aux deux extrémités pour crypter l'audio et la vidéo et vérifier l'intégrité des données.

Contrôle d'Accès

Mise à disposition

Pour minimiser le risque d'exposition des données, Livestorm adhère au principe du moindre privilège et des autorisations basées sur les rôles lors de la mise à disposition de l'accès.

Nos employés ne sont autorisés qu'à accéder aux données qu'ils doivent raisonnablement traiter afin de s'acquitter de leurs responsabilités professionnelles actuelles.

Tout accès à la production est examiné au moins une fois par trimestre.

Authentification

Pour réduire davantage le risque d'accès non autorisé aux données, Livestorm utilise une authentification à plusieurs facteurs pour tous les accès aux systèmes contenant des données hautement classifiées, y compris notre environnement de production, qui abrite les données de nos clients.

Lorsque cela est possible et approprié, Livestorm utilise des clés privées pour l'authentification, en plus de l'authentification à facteurs multiples mentionnée précédemment sur un dispositif séparé.

Gestion des Mots de Passe

Livestorm exige que le personnel utilise un gestionnaire de mots de passe approuvé. Les gestionnaires de mots de passe génèrent, stockent et saisissent des mots de passe uniques et complexes pour éviter la réutilisation des mots de passe, l'hameçonnage et d'autres risques liés aux mots de passe.

Surveillance, Connexion et Alerte du système

Livestorm surveille les serveurs pour conserver et analyser une vue globale de son infrastructure d'entreprise et de production.

L'accès administratif, l'utilisation de commandes privilégiées et les appels système sur tous les serveurs du réseau de production de Livestorm sont enregistrés et conservés pendant au moins deux ans.

L'analyse des journaux est automatisée dans la mesure du possible pour détecter les problèmes potentiels et alerter le personnel responsable.

Conservation et suppression des données

Les données client sont définitivement supprimées sur simple demande à notre service client. Toutes les informations sont ensuite supprimées de notre infrastructure.

Les fournisseurs d'hébergement de Livestorm sont chargés de veiller à ce que le retrait des données des disques soit effectué de manière responsable avant qu'elles ne soient réutilisées.

Plan de Reprise et de Continuité d'Activité après Sinistre

Livestorm utilise les services déployés par son hébergeur pour répartir les opérations de production sur 3 sites physiques distincts. Ces 3 sites sont situés dans une même région géographique, mais protègent le service Livestorm de la perte de connectivité, de l'infrastructure électrique et d'autres défaillances courantes spécifiques à l'emplacement.

Livestorm conserve également une copie de sauvegarde complète des données de production dans un emplacement distant sensiblement éloigné de l'emplacement de l'environnement d'exploitation principal.

Des sauvegardes complètes sont enregistrées sur ce site distant une fois toutes les 24 heures. Livestorm teste les sauvegardes au moins une fois par trimestre pour s'assurer qu'elles peuvent être restaurées avec succès.

Réagir aux Incidents de Sécurité

Livestorm a établi des politiques et des procédures pour répondre à d'éventuels incidents de sécurité. En cas d'incident, les clients concernés seront informés par e-mail, par le chat de notre service clientèle et par notre page de statut. Les procédures d'intervention en cas d'incident sont testées et mises à jour au moins une fois par an.

Abonnez-vous à https://status.livestorm.co afin de recevoir des alertes lorsqu'une maintenance ou un incident est en cours.

Gestion des Fournisseurs

Pour fonctionner efficacement, Livestorm s'appuie sur des organismes de services annexes. Lorsque ces organisations de services annexes peuvent avoir un impact sur la sécurité de l'environnement de production de Livestorm, nous prenons les mesures appropriées pour garantir le maintien de notre sécurité en établissant des accords qui obligent les organisations de services à respecter les engagements de protection des données que nous avons pris envers les utilisateurs.

Application

L'application web est divisée en 4 parties :

  1. Le tableau de bord est l'endroit où vous gérez tous vos événements en ligne. Accessible uniquement aux membres de l'équipe.
  2. La page Entreprise répertorie publiquement tous vos événements publics. Peut être désactivée.
  3. La page d'inscription permet aux visiteurs de s'inscrire à un événement en ligne donné. Elle est publique, mais elle peut être désactivée.
  4. Salle la page événement
    1. Avant le live : Accessible pour les membres de l'équipe et les intervenants
    2. Pendant le live : Accessible pour les membres de l'équipe, les intervenants et les inscrits.
    3. Après le live : Accessible aux membres de l’équipe, aux intervenants externes et aux inscrits. Mais vous pouvez le désactiver à tout moment.

Rôles

Veuillez lire cet article

Participez à notre formation à la demande

Au cours de cette session de formation d'une heure, nous couvrirons tout ce que vous devez savoir pour gérer votre événement en ligne, de sa création à l'analyse de vos données de participation, en passant par l'animation de l'événement en direct.