Como parte de nuestra priorización continua de la privacidad y la seguridad, D2L realizó una serie de Compromisos en agosto y septiembre de 2023. A continuación, documentamos nuestros avances para cumplir esas promesas.
El 8 de agosto de 2023, el CEO de D2L, John Baker, fue invitado a anunciar varios compromisos de D2L en un Foro de la Casa Blanca presentado por la primera dama Jill Biden.
En septiembre de 2023, D2L fue uno de los primeros del sector en firmar el documento "Secure by Design" de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) Compromiso voluntario para fabricantes de software de tecnología educativa K-12.
D2L reconoce que un panorama de amenazas en constante evolución requiere que estemos atentos y adaptables para ayudar a mantener el aprendizaje seguro y protegido. A través de estos y otros pasos continuos, D2L continúa trabajando en estrecha colaboración con los clientes para ayudar a implementar fuertes controles de privacidad y seguridad que puedan ayudar a reducir las cargas de ciberseguridad para nuestros clientes. Esto, a su vez, ayuda, por ejemplo, a que nuestros clientes de K-12 se concentren aún más en su misión principal de enseñar y aprender.
Líder de Negocios de Ciberseguridad
Stephen Laster, presidente de D2L, se desempeña como líder senior de negocios de ciberseguridad de D2L para ayudar a llevar una mayor responsabilidad de la ciberseguridad a los niveles más altos de D2L. Stephen es responsable de gestionar el proceso continuo de integración de la seguridad como una función central de la empresa junto con el director de tecnología y el director de seguridad de la información de D2L, Nick Oddson, incluido el desarrollo y la implementación de la hoja de ruta Secure by Design de D2L. [Principio de seguridad por diseño 3.0]
SSO gratuito para clientes
A partir de marzo de 2023, D2L ofrece a todos los clientes un inicio de sesión único (SSO) basado en el lenguaje de marcado de aserción de seguridad (SAML) sin cargo adicional, para ayudar a reducir los ciberataques basados en contraseñas. Los clientes pueden encontrar detalles sobre cómo configurar y administrar su SSO en la página Comunidad de Brightspace. [Principio de seguridad por diseño 1.1]
Asistencia de registros de auditoría de seguridad
D2L ayuda a los clientes sin cargo adicional a responder a preguntas e incidentes de seguridad, incluso con respecto al análisis de registros de productos y servidores para responder a pruebas de seguridad/penetración, cuentas de usuario comprometidas, phishing por correo electrónico y vulnerabilidades. En circunstancias excepcionales, se pueden aplicar tasas para limitar los casos de alcance extraordinario. Los clientes pueden encontrar detalles sobre el alcance del servicio en el Comunidad de Brightspace. [Principio de seguridad por diseño 1.2]
Ayudar a reducir la carga de examinar las herramientas de terceros
D2L está ayudando a reducir la carga para los departamentos de TI de otros clientes que son responsables de revisar numerosas herramientas y aplicaciones de terceros. Si bien este tipo de revisión ya es una práctica estándar para D2L, la insignia "D2L Security Reviewed" agregada más recientemente en el Centro de integración de socios de D2L puede ayudar a indicar qué socios externos han demostrado su compromiso con la seguridad de la información. Los expertos de D2L han confirmado que estos socios cumplen con los siguientes estándares:
- Se sometió a una revisión exhaustiva de la seguridad de la información, incluida la presentación de un informe de terceros SOC2 Tipo 2 o su equivalente, o
- Completar una evaluación de impacto de IA (si corresponde) que es revisada por el grupo de trabajo interno de IA de D2L.
Basado en la validación de terceros
Los controles de privacidad y seguridad de D2L incluyen cifrado de forma predeterminada, certificaciones de seguridad de claves y otras protecciones en capas. D2L continúa trabajando para mejorar su seguridad y la postura de seguridad para sus clientes. D2L logra regularmente actualizaciones Certificaciones verificadas por 3ª parte, incluyendo: ISO 27001, ISO 27017, ISO 27018, certificación de nivel 2 para TX-RAMP y certificación de privacidad 27701. D2L continúa buscando validaciones adicionales de terceros para confirmar aún más el cumplimiento de los estándares de seguridad de la industria.
Curso gratuito de ciberseguridad para líderes escolares K-12
D2L y Sinclair College han lanzado un curso gratuito de ciberseguridad K-12 para ayudar a los líderes del sistema escolar a guiar a sus distritos para ayudar a aumentar su resistencia a las amenazas cibernéticas tanto para los datos de los estudiantes (y el personal) como para la continuidad del aprendizaje. El curso corto y a su propio ritmo está diseñado específicamente para que los superintendentes y administradores de K-12 comprendan las amenazas escolares clave, las prácticas de mitigación esenciales y los marcos de planificación necesarios. Para obtener más información, consulte la anuncio y el Información e inscripciones al curso página.
Hoja de ruta del producto
D2L aumentó aún más su transparencia al actualizar Prácticas de seguridad de D2L y continúa tratando la seguridad como un aspecto integral de su hoja de ruta de productos. El diseño de los productos y servicios de D2L tiene en cuenta la protección de los datos privados y la seguridad en cada etapa de nuestro ciclo de vida de desarrollo de software (SDLC). [Principio de seguridad desde el diseño 2.1]
Política de divulgación de vulnerabilidades
D2L publicó su Política de divulgación de vulnerabilidades (VDP) con la intención de proporcionar a los investigadores de seguridad directrices claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir las preferencias de D2L sobre cómo enviar las vulnerabilidades descubiertas para su revisión. La política aumenta la visibilidad y la colaboración, incluidos los términos relacionados con la autorización de pruebas, el puerto seguro legal, la divulgación pública y los procesos de corrección. [Principio de seguridad desde el diseño 2.2]
¿Dónde puedo obtener más información?
Introducción a SAML y a la publicación de blog de administración de SAML
Entrada de blog sobre la política de asistencia para registros de auditoría de seguridad
Curso de Ciberseguridad K-12 | D2L
Mejores prácticas de seguridad | D2L
Política de divulgación de vulnerabilidades