Новости компании Безопасность и конфиденциальность

Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 24 июня

На этой неделе веб-семинар «Спросите Эрика что-нибудь» был посвящен обновлениям безопасности продукта, включая нашу программу поиска ошибок и выпуск клиента 5.1.1.
5 мин. на чтение

Обновлено: September 08, 2022

Опубликовано: June 24, 2020

90 Day Security Plan Progress Report: June 24
Zoom
Zoom

Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен последним обновлениям безопасности продуктов, в том числе мероприятиям, связанным с нашей премиальной программой по выявлению ошибок, и обновлениям, включенным в версию клиента 5.1.1.

К генеральному директору компании Zoom Эрику С. Юаню присоединились Велчами Санкарлингам, президент по инженерным разработкам и продукции компании Zoom, Одед Галь, директор по продукции компании Zoom, и Рэнди Барр, руководитель отдела безопасности продуктов компании Zoom.

К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон, Алекс Стамос, советник по вопросам конфиденциальности и безопасности компании Zoom, и Линн Холанд, заместитель генерального юрисконсульта компании Zoom, директор по надзору за нормативно-правовыми соответствиями и вопросами этики.

Анонс: Джейсон Ли, директор по вопросам информационной безопасности

Эрик начал вебинар с объявления, что с 29 июня 2020 года Джейсон Ли вступает в должность нового директора по вопросам информационной безопасности компании Zoom. Ли имеет 20-летний опыт работы в сфере информационной безопасности и эксплуатации критически важных сервисов и ранее занимал должности старшего вице-президента по операциям безопасности в Salesforce и начальника отдела инженерных разработок в области безопасности в Microsoft. Джейсон будет играть важную роль в укреплении безопасности нашей платформы и внесет свой вклад в наше постоянное стремление к повышению уровня безопасности и конфиденциальности нашего продукта.

Обновления продуктов

На этих выходных мы собираемся выпустить клиент версии 5.1.1 и новую версию веб-портала, которые будут содержать следующие изменения.

  • Виртуальные фоны с возможностью централизованного управления: Администраторы учетных записей могут управлять виртуальными фонами в своей организации, загрузив для пользователей набор предварительно одобренных фонов.
  • Верхний колонтитул безопасности в настройках конференций на веб-портале: В верхнем колонтитуле в настройках конференций на веб-портале будут отображаться параметры, связанные с безопасностью, например, пароли, зал ожидания и методы аутентификации, чтобы их можно было легко найти в одном месте.
  • Обновления чата Zoom: Пользователи смогут скрывать свой статус присутствия от внешних контактов и запрещать внешним контактам добавлять новых пользователей в канал или групповой чат.

Знакомьтесь: Велчами Санкарлингам

Эрик представил аудитории нового президента по инженерным разработкам и продукции компании Zoom Велчами Санкарлингама, который ранее занимал должность старшего вице-президента по разработке и эксплуатации облачных сервисов в VMware. Велчами, ветеран в области облачных технологий и решений для совместной работы, поделится с нашей командой своим богатым опытом и знаниями, и мы, в свою очередь, очень рады тому, что он будет курировать деятельность наших групп разработчиков продукта, инжиниринга и DevOps.

Новые требования к безопасности конференций

В целях повышения безопасности и конфиденциальности с 19 июля все конференции — как на платных, так и на бесплатных учетных записях — будут требовать наличие код-пароля или зала ожидания. Если ни одна из этих функций безопасности не будет включена в конференциях, сервис Zoom принудительно активирует зал ожидания. Если у вас уже задан код-пароль или активирован зал ожидания, процесс планирования конференций для вас не изменится. Если вы решите добавить код-пароли к существующим конференциям, вы должны будете отправить календарные приглашения повторно вместе с новым код-паролем. В случае новых конференций с включенным код-паролем, последний будет автоматически включен в текст приглашения на конференцию. Если вы активировали залы ожидания, процесс планирования конференций для вас не изменится.

Обновления премиальной программы по выявлению ошибок

Рэнди рассказал нам об изменениях в премиальной программе по выявлению ошибок и раскрытию уязвимостей. В рамках нашего 90-дневного плана мы выполняли оценку внутреннего процесса обработки уязвимостей и эффективности используемой нами премиальной программы по выявлению ошибок. В целях усовершенствования премиальной программы по выявлению ошибок и мероприятий по раскрытию уязвимостей мы разработали центральный репозиторий ошибок и сопутствующий рабочий процесс для обеспечения соответствия требованиям стандартов ISO 29147 и 30111. Репозиторий принимает входные данные из таких источников, как HackerOne, Bugcrowd и security@zoom.us (последний не требует подписания соглашения о неразглашении), с расстановкой приоритетов при рассмотрении через Praetorian. Мы внедрили непрерывный процесс анализа с ежедневными планерками и усовершенствовали координацию с инженерами-исследователями проблем безопасности и сторонними экспертами.

ВОПРОСЫ И ОТВЕТЫ

Как можно сообщить об ошибке в Zoom для получения премии?

Отправлять сообщения о найденных ошибках в рамках премиальной программы можно по адресу security@zoom.us, после чего наша специальная группа рассмотрит каждое из них и назначит ответственного специалиста для устранения проблемы.

Вы все еще предоставляете шифрование для платных и бесплатных учетных записей?

Да, все конференции на платных и бесплатных учетных записях шифруются с помощью 256-разрядного шифрования AES GCM. Мы также сделаем доступным сквозное шифрование конференций для бесплатных и платных учетных записей, чтобы создать надежно защищенную среду для проведения конференций.

Занимается ли Zoom сбором и продажей данных о пользователях?

Когда клиенты используют платформу Zoom, мы собираем информацию, необходимую для предоставления услуг, например, IP-адреса; однако компания Zoom никогда не занималась и не будет заниматься продажей данных о пользователях.

Может ли Zoom добавить возможность глобального сброса настроек код-пароля и залов ожидания для администраторов?

Администраторы учетных записей могут включать и даже блокировать эти настройки на уровне учетной записи, что позволит использовать эти настройки безопасности для всех конференций и пользователей по умолчанию. Вы также можете включать код-пароли и зал ожидания на уровне группы или пользователя.

Как работает зал ожидания?

Когда зал ожидания включен, пользователи сначала попадают в виртуальное лобби. Затем организатор сможет проверить потенциальных участников конференции и допустить их по одному или всех разом. Функцию «Зал ожидания» можно включать на уровне учетной записи, группы, пользователя или конференции.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

 

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес answers@zoom.us. И обязательно подпишитесь на вебинар «Спросите Эрика», который пройдет на следующей неделе.

 

Наши клиенты нас любят

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom — единая платформа для совместной работы