Skip To Content

Compliance

ArcGIS wurde in Übereinstimmung mit Vorschriften, Normen und Empfehlungen erstellt und wird dementsprechend verwaltet. Die Compliance-Initiativen von Esri gliedern sich in vier Kategorien:

  • Sicherheit der Produkte und Services: Compliance in Bezug auf die Sicherheit der Produkte und Services von Esri
  • Datenschutzinitiativen: Datenschutz auf Unternehmens- und Produktebene
  • Lösungsbasiert: Bereitstellungsmuster, die den Compliance-Anforderungen entsprechen
  • Cloud Provider: Compliance des ArcGIS Online-Cloud-Infrastruktur-Providers

Sicherheit der Produkte und Services

Für die von Esri angebotenen Produkte und Services gelten die folgenden Compliance-Initiativen:

  • FedRAMP Tailored Low: Behördliche Anforderung für cloudbasierte SaaS-Produktionsumgebungen
    • Für ArcGIS Online wurde eine Betriebsgenehmigung (Authority to Operate, ATO) des Typs FedRAMP Tailored Low erteilt. Die Sicherheitsmaßnahmen für diese Genehmigung entsprechen der Sonderveröffentlichung 800-53 (Revision 4) des National Institute of Standards and Technology (NIST), die den Maßnahmen der International Standards Organisation (ISO) 27001 und 15408 zugeordnet sind.
    • Weitere Fragen, Anliegen und Feedback zu ArcGIS Online und den Compliance-Initiativen von Esri für Produkte sind willkommen und können unter SoftwareSecurity@esri.com an das Esri Software Security and Privacy Team gerichtet werden.
  • FedRAMP Moderate: Behördliche Anforderung für cloudbasierte Produktionssysteme
    • Esri Managed Cloud Services (EMCS) Advanced Plus ist ein mit der Sicherheitsstufe "FedRAMP Moderate" genehmigtes Angebot, das ursprünglich vom US Census Bureau gefördert wurde. Hierbei handelt es sich um eine sichere cloudbasierte Infrastruktur und Betriebsumgebung, die den erweiterten Sicherheitsanforderungen für gehostete ArcGIS Enterprise-Bereitstellungen entspricht.
  • Service Organization Controls-Berichte SOC 1, 2 und 3: Das Rahmenwerk Service Organization Controls (SOC) des American Institute of Certified Public Accountants (AICPA).
    • In ArcGIS Online wird keine doppelte/eigene SOC-Prüfung durchgeführt, da bereits eine erweiterte FedRAMP-Autorisierung (die jährliche Bewertungen durch eine unabhängige Prüforganisation umfasst) vorhanden ist. Kunden, die SOC-Berichte zu den von unseren Services genutzten Cloud-Infrastrukturanbietern erhalten möchten, können diese direkt von den jeweiligen Anbietern (Amazon Web Services und Microsoft Azure) beziehen.
    • Kunden, die die strengen Anforderungen von EMCS Advanced Plus mit FedRAMP-Autorisierung der Stufe "Moderate" nicht benötigen, können stattdessen ein EMCS-Angebot mit Bewertung nach SOC 2 Typ 2 und entsprechendem Bericht wählen (gültig ab 14. Dezember 2018). Ein EMCS-Bericht (mit Geheimhaltungsvereinbarung) kann per E-Mail an ManagedCloudServices@esri.com angefordert werden (nicht für ArcGIS Online).
  • USGCB & FDCC: Behördliche Anforderung für auf Desktop basierende Produkte
    • ArcGIS Desktop-Versionen 9.3, 9.3.1 sowie Version 10 wurden FDCC-zertifiziert. FDCC wurde durch USGCB ersetzt, daher sind ArcGIS Desktop-Versionen 10.1 und höher USGCB-zertifiziert.
    • ArcGIS Pro 1.4.1 und höher sind USGCB-zertifiziert.
  • Section 508: Behördliche Anforderungen an den barrierefreien Zugang zu Software für Menschen mit Behinderungen
    • Esri ist bestrebt, GIS-Produkte und -Technologien zu entwickeln und umzusetzen, die den Anforderungen gemäß Section 508 entsprechen.

Datenschutzinitiativen

Das Unternehmen Esri und seine Produkte sind konform mit den folgenden Datenschutzstandards/-verordnungen:

Lösungsbasiert

ArcGIS wird häufig in verschiedenen Enterprise-Architekturen zur Bereitstellung eingesetzt, um den zahlreichen Sicherheitsnormen gerecht zu werden. Dies erfolgt entweder durch Hybrid- oder lokale Bereitstellungen, die durch Sicherheitskomponenten Dritter ergänzt werden können. Esri arbeitet an der Dokumentation und Validierung eines Leitfadens mit bewährten Vorgehensweisen, um die Einhaltung von Sicherheitsanforderungen zu ermöglichen, darunter:

  • CJIS: Strafverfolgung
  • HIPAA: Gesundheitswesen
    • Hinweis: Esri Services sind derzeit nicht für HIPAA-Compliance validiert. Viele unserer Kunden verwenden unsere Produkte zur Bereitstellung HIPAA-konformer Lösungen in Kombination mit entsprechenden Sicherheits-/Datenschutz-Werkzeugen und -Prozessen.
  • STIGs: Verteidigung
  • FIPS 140-2: Verschlüsselungsmodule
    • Hinweis: Esri Produkte sind kompatibel mit den FIPS-konformen Algorithmen der Sicherheitseinstellungen unter Windows XP und späteren Versionen von Windows.
  • PCI DSS: Zahlungskartenindustrie
    • Hinweis: Im Gegensatz zu anderen oben aufgeführten Lösungen, sind die meisten Esri Kunden nicht auf die Zahlungskartenindustrie ausgerichtet, nutzen PCI aber als grundlegenden Mechanismus zur Überprüfung der Sicherheitskonformität, da PCI heute in viele Scanner integriert ist. 2015 beinhalteten PCI-Überprüfungen die Sicherheit durch TLS 1.1 und höher nur für Systeme. Weitere Informationen finden Sie unter TLS guidance with ArcGIS.

Cloud-Provider

ArcGIS Online verwendet Cloudinfrastruktur-Provider, die die folgenden Bedingungen erfüllen:

  • ISO 27001
  • FedRAMP
  • SSAE16 SOC1 Typ 2

Weitere Informationen können Sie den Webseiten Amazon Web Services und Microsoft Azure entnehmen.

FedRAMP-Logo FISMA-LogoPrivacy Shield-Logo