90天資安計劃進度報告:6月10日

2020-06-12_1

隨著我們用於改善平台的安全性和隱私性90天的資安強化計劃推展,本週的"Ask Eric Anything"網路研討會著重於最新的產品安全更新、關於Zoom的加密規格以及使用密碼和等候室保護會議的安全。

Zoom執行長Eric S. Yuan偕同Zoom產品總監Oded Gal和前Google隱私技術全球負責人,現為Zoom在隱私和加密方面的顧問Lea Kissner一起參加了本週的會議。

Zoom技術長Brendan Ittelson、Zoom安全工程負責人Max Krohn和Zoom的副法律總顧問暨道德行為準則長Lynn Haaland一同參與隨後的問與答時段。

本週更新焦點

關於Zoom加密的規格

Zoom在平台上使用加密技術並持續的為所有用戶提供加密相關功能。

AES 256位元的GCM加密是當今被使用的最安全加密標準之一,目前已在Zoom系統內全面啟用,並對所有用戶(免費和付費)開放。我們想再強調一些事項:

  • Zoom僅會回應合法執法的要求。如果當收到要求提供資訊的需求時,我們的政策是只有當該要求有遵循有效的法律程序且有適當管轄權的情況下才會遵從。
  • Zoom不會為政府機構提供直接及無設限方式來接觸用戶資料,我們也不提供政府機構我們的加密密鑰。

Zoom的點對點加密計劃

Zoom在5月7日宣布我們打算建立起點對點加密(E2EE)產品的計劃。於5月22日在GitHub上公開了原始的密碼設計以徵求回饋;Lea表示該文件的更新版本即將發布。E2EE是一項重要的安全工具,將這工具大規模的運用在像Zoom這類產品上是沒有過的。我們要讓點對點加密能被廣泛運用,並正探索安全的實現此目的的方法。

產品更新-等候室和密碼設定

在過去的幾個月中,我們一直在增強Zoom的安全功能,以確保我們的用戶擁有完整的會議控制體驗。Oded回顧了使用等候室和密碼設定的好處:

在4月,我們進行了改變,預設啟用"等候室"功能,並要求免費的Basic和K-12教育帳戶輸入密碼。不久後,我們將要求付費帳戶下安排的所有會議都必須啟用"等候室"或密碼功能。執行時間尚未確定。

在上述變更啟用之前所安排的會議若無設定會議密碼,將預設開啟等候室功能;然而,管理員和用戶可以選擇強制執行密碼設置,強制開啟等候室或同時兩者功能皆開啟。在未來幾週內,我們將提供更多相關資訊更新。

問與答

我可以得到帳戶中未啟用密碼的用戶的報告嗎?

擁有50個以上付費帳號的客戶,可以取得其組織內沒有設定會議密碼的排程會議報告。

加入會議的與會者是否需要輸入會議密碼?

會議密碼嵌入在會議邀請連結(URL)中,因此,如果您點擊會議邀請連結(URL),是不需要另輸入密碼的。然而,如果通過直接輸入會議ID(而不是點擊會議邀請連結)加入受密碼保護的會議,則必須手動輸入密碼。

使用電話撥入功能時,密碼如何運作?

透過電話加入會議的與會者,將使用較短的數字密碼進入會議,利用電話上的數字鍵盤輸入該密碼。

對免費用戶來說,付費用戶會議之密碼和等候室功能會如何運作?

參加Zoom會議的任何免費或付費與會者都必須遵守付費主持人的會議設定要求,其中可能包括輸入會議密碼和/或等候室功能。

我們期望的多重要素驗證(MFA)功能何時可以出現在Zoom

大型方案導入用戶可以透過任何支援SAML協定之單點登錄(SSO)的身分提供者/供應商(Identity Provider,IDP)來使用MFA。

Zoom是否被符合HIPAA

是的,我們可以幫助醫療服務單位提供符合HIPAA標準的服務。我們提供許多功能來建立符合HIPAA要求的環境,包括禁止錄音/錄影和創建商業夥伴協議(business associate agreements,BAA)。我們甚至在COVID-19之前就針對這類使用案例設計了Zoom。提出您的需求吧!我們可以協助您進行導入。

有沒有方法可以保護您的網路研討會內容免受螢幕側錄軟體的侵害?

Zoom對大型方案導入用戶提供浮水印功能。當您進行螢幕共享時,參與者的姓名將在其所截取的任何螢幕截圖中附加識別資訊,因此您可以得知誰洩露了會議內容。我們還提供音頻浮水印功能,以防止側錄並協助識別可能是哪個用戶分享錄音檔案。

90天計劃何時結束?

90天資安計畫將於7月1日結束,但我們始終視安全和隱私為我們的首要任務,也是我們公司組織文化及產品設計中不可或缺的部分。

我們可以在帳戶層級或是群組層級下控制虛擬背景的使用嗎?

我們正在為帳戶管理員新增一個選項,以控制虛擬背景的使用。管理員可以上傳受許可的背景圖,並允許主持人/與會者僅能使用這些背景圖,我們將在未來幾週中開發該項功能。

您計畫如何讓使用Zoom進行會議的用戶滿意?

Eric表示,最終歸結為我們的公司文化,即滿足客戶需求。我們始終致力於解決用戶在商務通訊上所面臨各種難題與挑戰,並根據回饋採取謹慎的措施來為客戶提供服務和支援。

謝謝您的支持

感謝所有參加今天會議並提出問題的人!衷心感謝您的參與及支持,讓Zoom能成為世界上最安全的企業通訊平台。

如果您錯過了本週的對談,可以在這裡觀看錄影:

若想提供您的意見回饋或詢問Zoom問題,請發送電子郵件至answers@zoom.us。並請不要忘記註冊下週的"Ask Eric Anything"網路研討會。

原文: 90-Day Security Plan Progress Report: June 10