Systémové a organizační kontroly (SOC, System and Organization Controls) a Prohlášení o auditorských standardech (SSAE, Statement on Standards for Attestation Engagements) se týkají auditů organizací poskytujících služby. Jedná se o standardy stanovené americkým institutem AICPA (American Institute of Certified Public Accountants).
SOC představuje soubor zpráv vypracovaných během auditu a tyto zprávy zkoumají organizace poskytující služby týkající se různých typů témat, nicméně v Esri se zaměřujeme na bezpečnost, dostupnost, integritu zpracování, důvěrnost a soukromí. Existují různé typy zpráv SOC: SOC 1, SOC 2 a SOC 3, přičemž každá slouží k jinému účelu a používá jinou metodiku.
Rozsah služeb Esri
ArcGIS Online CSPs
ArcGIS Online neprochází samostatným auditem SOC, protože má autorizaci FedRAMP, která se považuje za rovnocennou nebo lepší bezpečnostní kontrolu než SOC 2. ArcGIS Online je hostován u poskytovatelů cloudových služeb (CSP) Microsoft Azure a Amazon Web Services, kteří mají certifikaci SOC, kterou lze získat přímo u níže uvedených poskytovatelů:
Zprávy SOC Microsoft Azure:
- Zpráva SOC 3 (veřejné)
- Zprávy SOC 1 a SOC 2 (zdarma/chráněné)
Zprávy SOC Amazon Web Services:
- Zpráva SOC 3
- Zprávy SOC 1 a SOC 2 (zdarma/chráněné) veřejné
EMCS Advanced
Nabídka spravovaných cloudových služeb Esri Managed Cloud Services (EMCS) Advanced od Profesionálních služeb Esri doplňuje zprávy SOC 2 a SOC 3, a jsou vydávány podle pokynů SSAE 18 vypracovaných dle AICPA. Nabídka EMCS Advanced je k dispozici zákazníkům, kteří nepřichází ze státní sféry a požadují hostovanou variantu ArcGIS Enterprise s jedním klientem, která splňuje požadavky standardu SOC 2 typu 2 na zabezpečení, důvěrnost a dostupnost.
Poznámka:
Zprávy EMCS nelze použít pro ArcGIS Online, protože se jedná o samostatnou nabídku služeb pro jednoho klienta:
- EMCS SOC 2 zprávy typu 2 (vyžaduje NDA) – Pro získání zprávy SOC 2 typu 2 kontaktujte prosím technického manažera svého účtu.
- EMCS zpráva SOC 3 (veřejný dokument Trust Center)
- Odeslat žádosti o zprávu EMCS SOC technickému manažerovi vašeho účtu
My Esri
Zákazníci využívají portál My Esri ke správě informací o zákaznickém účtu a ke stahování softwaru Esri po jeho zakoupení (portál My Esri neukládá data vlastněná zákazníkem). Po přihlášení do aplikace My Esri mohou zákazníci prohlížet objednávky, obnovit systémovou podporu ArcGIS (tzv. maintenance), spravovat předplatné, generovat licence k produktům, stahovat instalační média, žádat o technickou podporu a prohlížet historii školení.
Poznámka:
Firemní certifikace SOC 2 společnosti Esri pro službu My Esri se nevztahuje na případy, kdy jsou data zákazníků uložena v rámci produktů a služeb Esri (ty jsou od sebe plně odděleny a mají různé úrovně zabezpečení, podrobnosti jsou k dispozici v pokynech u jednotlivých produktů a služeb).
- Chcete-li získat zprávu My Esri SOC 2, obraťte se na technického manažera svého účtu (nutné NDA).
Údaje o zákaznické podpoře
Podpora Esri zaručuje soukromí a bezpečnost dat zákazníků. K diagnostice a řešení problémů s produkty Esri jsou zřídkakdy zapotřebí údaje o zákaznících. Esri proto ukládá údaje o zákaznících pouze v případě, že jsou pro řešení problémů klíčové. Pokud to považujeme za nutné, spolupracujeme se zákazníky na získání a ochraně jejich dat v systému splňujícím požadavky SOC 2. U zákazníků mimo Spojené státy spravuje údaje zákaznické podpory příslušný distributor a ukládá je v rámci příslušného regionu. Pokud se například zákazník nachází v regionu Evropské unie (EU), získá přímou podporu v EU.
Poznámka:
Firemní certifikace SOC 2 společnosti Esri pro údaje o zákaznické podpoře se nevztahuje na případy, kdy jsou data zákazníků uložena v rámci produktů a služeb Esri (ty jsou od sebe plně odděleny a mají různé úrovně zabezpečení, podrobnosti jsou k dispozici v pokynech u jednotlivých produktů a služeb).
- Chcete-li získat zprávu SOC 2 s údaji o zákaznické podpoře, obraťte se na technického manažera svého účtu (nutné NDA).