Como parte de nossa priorização contínua de privacidade e segurança, a D2L fez uma série de Compromissos em agosto e setembro de 2023. Documentamos nossos avanços para cumprir essas promessas abaixo.
Em 8 de agosto de 2023, o CEO da D2L, John Baker, foi convidado a anunciar vários compromissos da D2L em um Fórum da Casa Branca apresentado pela primeira-dama Jill Biden.
Em setembro de 2023, a D2L foi uma das primeiras do setor a assinar o 'Secure by Design' da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) Compromisso voluntário para fabricantes de software de tecnologia educacional K-12.
A D2L reconhece que um cenário de ameaças em constante evolução exige que estejamos vigilantes e adaptáveis para ajudar a manter o aprendizado seguro e protegido. Por meio dessas e de outras etapas contínuas, a D2L continua a trabalhar em estreita colaboração com os clientes para ajudar a implementar fortes controles de privacidade e segurança que podem ajudar a reduzir a carga de segurança cibernética para nossos clientes. Isso, por sua vez, ajuda, por exemplo, nossos clientes K-12 a se concentrarem ainda mais em sua missão principal de ensino e aprendizagem.
Líder de negócios de segurança cibernética
Stephen Laster, presidente da D2L, atua como líder sênior de negócios de segurança cibernética da D2L para ajudar a trazer mais responsabilidade pela segurança cibernética para os níveis mais altos da D2L. Stephen é responsável por gerenciar o processo contínuo de integração da segurança como uma função central do negócio, juntamente com o diretor de tecnologia e diretor de segurança da informação de longa data da D2L, Nick Oddson, incluindo o desenvolvimento e a implementação do roteiro Secure by Design da D2L. [Princípio 3.0 de segurança por design]
SSO gratuito para clientes
A partir de março de 2023, a D2L oferece logon único (SSO) baseado em Security Assertion Markup Language (SAML) para todos os clientes sem custo adicional, para ajudar a reduzir ataques cibernéticos baseados em senha. Os clientes podem encontrar detalhes sobre como configurar e gerenciar seu SSO no Comunidade Brightspace. [Princípio 1.1 de segurança por design]
Assistência de registro de auditoria de segurança
A D2L auxilia os clientes sem custo adicional a responder a perguntas e incidentes de segurança, inclusive no que diz respeito à análise de logs de produtos e servidores para resposta a testes de segurança/penetração, contas de usuário comprometidas, phishing por e-mail e vulnerabilidades. Em circunstâncias excecionais, podem aplicar-se taxas a casos limite de âmbito extraordinário. Os clientes podem encontrar detalhes sobre o escopo do serviço no Comunidade Brightspace. [Princípio 1.2 do Secure-by-Design]
Ajudando a reduzir o fardo de examinar ferramentas de terceiros
A D2L está ajudando a reduzir a carga para os departamentos de TI de outros clientes que são responsáveis pela revisão de várias ferramentas e aplicativos de terceiros. Embora esse tipo de revisão já seja uma prática padrão para a D2L, o selo "D2L Security Reviewed" adicionado mais recentemente no D2L Partner Integration Hub pode ajudar a indicar quais parceiros terceirizados demonstraram seu compromisso com a segurança da informação. Esses parceiros foram confirmados pelos especialistas da D2L para atender aos seguintes padrões:
- Passou por uma revisão abrangente de segurança da informação, incluindo o envio de um relatório de terceiros SOC2 Tipo 2 ou equivalente, ou
- Concluiu uma avaliação de impacto de IA (se relevante) que é revisada pelo grupo de trabalho interno de IA da D2L
Construindo sobre a validação de terceiros
Os controles de privacidade e segurança da D2L incluem criptografia por padrão, certificações de segurança importantes e outras proteções em camadas. A D2L continua trabalhando para melhorar sua segurança e a postura de segurança de seus clientes. A D2L alcança regularmente atualizações Certificações verificadas por terceiros, incluindo: ISO 27001, ISO 27017, ISO 27018, certificação de nível 2 para TX-RAMP e certificação de privacidade 27701. A D2L continua buscando validação adicional de terceiros para confirmar ainda mais a conformidade com os padrões de segurança do setor.
Curso gratuito de segurança cibernética para líderes escolares K-12
A D2L e o Sinclair College lançaram um curso gratuito de segurança cibernética K-12 para ajudar os líderes do sistema escolar a orientar seus distritos para ajudar a aumentar sua resiliência a ameaças cibernéticas aos dados dos alunos (e funcionários) e à continuidade do aprendizado. O curso curto e individualizado foi desenvolvido especificamente para superintendentes e administradores K-12 para entender as principais ameaças escolares, práticas essenciais de mitigação e estruturas de planejamento necessárias. Para obter mais informações, consulte o anúncio e o Informações e inscrições no curso página.
Roteiro do produto
A D2L aumentou ainda mais sua transparência ao atualizar Práticas de segurança da D2L e continua a tratar a segurança como um aspecto integral de seu roteiro de produtos. O design dos produtos e serviços da D2L tem a proteção de dados privados e a segurança em mente em todas as etapas do nosso ciclo de vida de desenvolvimento de software (SDLC). [Princípio 2.1 do Secure-by-Design]
Política de divulgação de vulnerabilidades
A D2L publicou seu Política de divulgação de vulnerabilidades (VDP) com a intenção de fornecer aos pesquisadores de segurança diretrizes claras para a realização de atividades de descoberta de vulnerabilidades e transmitir as preferências da D2L sobre como enviar vulnerabilidades descobertas para revisão. A política aumenta a visibilidade e a colaboração, incluindo termos relacionados à autorização de testes, porto seguro legal, divulgação pública e processos de remediação. [Princípio 2.2 do Secure-by-Design]
Onde posso saber mais?
Postagem no blog Apresentando SAML e Administração SAML
Postagem no blog da Política de Assistência ao Log de Auditoria de Segurança
Curso de Segurança Cibernética K-12 | D2L
Melhores práticas de segurança | D2L
Política de divulgação de vulnerabilidades