Informe de progreso del plan de seguridad de 90 días: 24 de junio

Informe de progreso del plan de seguridad de 90 días: 24 de junio

Mientras seguimos avanzando en nuestro plan de 90 días para mejorar la seguridad y la privacidad de nuestra plataforma, el seminario web «Pregunte a Eric» de esta semana se centró en las mejoras recientes de seguridad, incluidos nuestros esfuerzos en relación con nuestro programa de recompensa de errores y las actualizaciones integradas en la versión 5.1.1 del cliente.

El director ejecutivo de Zoom, Eric S. Yuan, se reunió con el presidente de productos e ingeniería de Zoom, Velchamy Sankarlingam, el director de productos de Zoom, Oded Gal, y el jefe de la seguridad de productos de Zoom, Randy Barr.

El director de tecnología de Zoom, Brendan Ittelson, el asesor de privacidad y seguridad de Zoom, Alex Stamos, y la subdirectora general y jefa de cumplimiento normativo y ética de Zoom, Lynn Haaland, se unieron a la sesión de preguntas y respuestas.

Anuncio del director de seguridad de la información Jason Lee

Eric inició el seminario web anunciando que Zoom ha contratado a Jason Lee como nuestro nuevo director de seguridad de la información a partir del 29 de junio de 2020. Como antiguo vicepresidente sénior de operaciones de seguridad de Salesforce y director principal de la ingeniería de seguridad de Microsoft, Lee trae consigo 20 años de experiencia en seguridad de la información y en servicios operativos críticos. Jason desempeñará una función decisiva en la creación de una plataforma más segura como parte de nuestro continuo esfuerzo por mejorar la seguridad y la privacidad de nuestro producto.

Actualizaciones de producto

Este fin de semana, vamos a lanzar nuestra versión 5.1.1 del cliente y de la web, que incluye los siguientes cambios:

  • Fondos virtuales con gestión centralizada: Los administradores de cuentas pueden gestionar los fondos virtuales que utilizan sus organizaciones, proporcionando una lista con fondos previamente aprobados para que los usuarios elijan su fondo virtual.
  • Encabezado de seguridad del portal web para configuración de reuniones: El encabezado de seguridad aparecerá en la configuración de reuniones en el portal web, y agrupará los ajustes de configuración relacionados con la seguridad, como contraseñas, sala de espera y métodos de autenticación en un mismo lugar de fácil acceso.
  • Actualizaciones del chat de Zoom: Los usuarios pueden ocultar su estado de presencia a contactos externos, y también podrán evitar que contactos externos añadan nuevos usuarios a un canal o chat de grupo.

Presentación de Velchamy Sankarlingam

Eric presentó a Velchamy Sankarlingam, el antiguo vicepresidente sénior de operaciones y servicios de desarrollo de la nube de VMware, que se ha incorporado a Zoom como el presidente de productos e ingeniería. Como veterano en software de nube y de colaboración con más de dos décadas de experiencia, Velchamy aporta su valiosa experiencia y conocimientos a nuestro equipo, y estamos muy contentos de que supervise nuestro producto, ingeniería y trabajo del equipo de DevOps.

Nuevos requisitos de seguridad de reuniones

A partir del 19 de julio, será obligatorio para todas las reuniones en cuentas gratuitas o de pago habilitar un código de acceso o sala de espera para garantizar reuniones más seguras. Zoom habilitará una sala de espera para sus reuniones si no dispone de ninguna de las dos opciones. Si ya dispone de un código de acceso o sala de espera, no habrá ningún cambio en su programación de reuniones. Si añade códigos de acceso a una reunión existente, debe volver a enviar las invitaciones de Calendar junto con el código de acceso, mientras que en reuniones con códigos de acceso habilitados se incluirán los códigos automáticamente en la invitación a la reunión. Si ya dispone de una sala de espera, no habrá ningún cambio en su programación de reuniones.

Actualizaciones del programa de recompensa de errores

Randy ha proporcionado una actualización del programa de recompensa de errores y divulgación de vulnerabilidades. Como parte de nuestro plan de 90 días, hemos evaluado nuestros procesos de gestión de vulnerabilidades internos y la eficacia de las plataformas de recompensa de errores que utilizamos. Para mejorar nuestro trabajo en el programa de recompensa de errores y divulgación de vulnerabilidades, hemos desarrollado un repositorio de errores central y procesos de flujo de trabajo relacionados de acuerdo con las normas ISO 29147 y 30111. El repositorio recopila entradas de datos de HackerOne, Bugcrowd y security@zoom.us (este último no requiere un acuerdo de confidencialidad) seleccionadas a través de Praetorian. Hemos establecido un proceso de revisión continuo con reuniones diarias, y hemos mejorado nuestra coordinación con investigadores de seguridad y asesores externos.

Preguntas y respuestas

¿Cómo se notifica una recompensa de error a Zoom?

Puede enviar sus propuestas de recompensa de errores a security@zoom.us, donde nuestro equipo especializado revisará cada propuesta y designará a una persona para que solucione el problema.

¿Aún se ofrece cifrado para cuentas gratuitas y de pago?

Sí, todas las reuniones están cifradas con cifrado AES de 256 bits GCM para cuentas gratuitas y de pago. También ofreceremos cifrado de reuniones para cuentas gratuitas y de pago a fin de crear un entorno de reunión altamente seguro.

¿Zoom recopila o vende datos de usuarios?

Cuando los clientes utilizan nuestra plataforma, Zoom recopila la información que necesitamos para ofrecer este servicio, como direcciones IP. Sin embargo, Zoom no vende ni venderá nunca datos de usuarios.

¿Puede Zoom añadir una opción para que los administradores restablezcan la configuración del código de acceso y de la sala de espera globalmente?

Como administrador de cuentas, puede habilitar o incluso bloquear estos ajustes de configuración a nivel de cuenta, lo que por defecto habilitará los ajustes de seguridad para todas las reuniones y usuarios. También puede habilitar códigos de acceso y la sala de espera a nivel de grupo o usuario.

¿Cómo funciona la sala de espera?

Cuando se habilita la sala de espera, los participantes se trasladan a un vestíbulo virtual donde el anfitrión puede revisar quien desea unirse a la reunión y admitirlos de uno en uno o todos de una vez. La función de sala de espera se puede habilitar a nivel de cuenta, grupo, usuario o reunión.

Gracias por su apoyo.

Gracias por asistir a la sesión de esta semana y gracias a todos los que han enviado preguntas. Valoramos enormemente su apoyo en nuestro recorrido para hacer de Zoom la plataforma de comunicaciones empresariales más segura del mundo.

Si se perdió la sesión de esta semana, puede ver la grabación aquí:

Para dar su opinión o hacer una pregunta a Zoom, envíe un correo electrónico a answers@zoom.us. Y no olvide registrarse en el seminario web «Pregunte a Eric» de la próxima semana.

No olvide compartir esta publicación