System and Organization Controls (SOC) und Statement on Standards for Attestation Engagements (SSAE) beziehen sich auf die Audits von Serviceorganisationen. Es handelt sich um Standards, die vom American Institute of Certified Public Accountants (AICPA) festgelegt wurden.
SOC ist eine Reihe von Berichten, die während einer Prüfung erstellt werden. Darin werden die Maßnahmen in einer Serviceorganisation in Bezug auf verschiedene Themen untersucht. Hier bei Esri legen wir den Fokus auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Es gibt verschiedene Arten von SOC-Berichten: SOC 1, SOC 2 und SOC 3, die jeweils einem anderen Zweck dienen und unterschiedliche Methoden verwenden.
Relevante Services von Esri
ArcGIS Online-Cloudserviceanbieter
ArcGIS Online führt kein separates SOC-Audit durch, da es FedRAMP-autorisiert ist, was als Erfüllung der SOC 2-Sicherheitsmaßnahmen (oder besser) angesehen wird. ArcGIS Online wird bei den Cloudserviceanbietern Microsoft Azure und Amazon Web Services gehostet, die über SOC-Zertifizierungen verfügen. Diese können wie folgt direkt über die Anbieter abgerufen werden:
Microsoft Azure SOC-Berichte:
- SOC 3-Bericht (öffentlich)
- SOC 1- und SOC 2-Berichte (kostenlos/Zugang geschützt)
Amazon Web Services SOC-Berichte:
- SOC 3-Bericht
- SOC 1- und SOC 2-Berichte (kostenlos/Zugang geschützt) (öffentlich)
EMCS Advanced
Das Serviceangebot Esri Managed Cloud Services (EMCS) Advanced von Esri Professional Services schließt SOC 2- und SOC 3-Berichte ab, die gemäß den vom AICPA entwickelten SSAE 18-Richtlinien ausgestellt werden. Das EMCS Advanced-Angebot ist für lokale Kunden verfügbar, die eine gehostete Option für einen Mandanten in ArcGIS Enterprise benötigen, die den Industriestandard SOC 2 Typ 2 für Sicherheit, Vertraulichkeit und Verfügbarkeit erfüllt.
Hinweis:
EMCS-Berichte sind NICHT auf ArcGIS Online anwendbar, da dies ein separates Angebot für einzelne Mandanten ist:
- Bericht für EMCS SOC 2 Typ 2 (NDA erforderlich): Um den SOC 2 Typ 2-Bericht zu erhalten, wenden Sie sich bitte an Ihren Kundenbetreuer.
- EMCS SOC 3-Bericht (öffentliches Trust Center-Dokument)
- Senden Sie Anforderungen für EMCS SOC-Berichte an Ihren Kundenbetreuer
My Esri
Kunden nutzen das Portal "My Esri", um ihre Kundenkontoinformationen zu verwalten und Esri Softwareprodukte während des Kaufs herunterzuladen (in My Esri werden KEINE Daten gespeichert, die den Kunden gehören). Sobald Sie sich bei My Esri angemeldet haben, können Kunden Bestellungen überprüfen, ArcGIS-Wartung und -Abonnements verlängern, Produktlizenzen generieren, Installationsmedien herunterladen, technischen Support anfordern und die Schulungshistorie einsehen.
Hinweis:
Das unternehmerische SOC 2 von Esri für My Esri gilt NICHT für Kundendaten, die innerhalb von Esri Produkten und Services gespeichert werden (diese sind vollständig voneinander getrennt und haben unterschiedliche Sicherheitsstufen, siehe die produkt- und servicespezifischen Anleitungen für Details).
- Um einen My Esri SOC 2-Bericht zu erhalten, wenden Sie sich bitte an Ihren Kundenbetreuer. (NDA erforderlich)
Daten des Kundensupports
Der Esri Support gewährleistet den Datenschutz und die Datensicherheit für Kunden. Kundendaten sind nur selten erforderlich, um Probleme mit Esri Produkten zu diagnostizieren und zu beheben. Daher speichert Esri Kundendaten nur, wenn sie für die Fehlerbehebung entscheidend sind. Falls erforderlich, unterstützen wir unsere Kunden dabei, ihre Daten in einem SOC 2-konformen System zu erhalten und zu schützen. Für Kunden außerhalb der Vereinigten Staaten werden die Daten des Kundensupports vom jeweiligen Distributor verwaltet und in der jeweiligen Region gespeichert. Wenn der Kunde zum Beispiel in der Europäischen Union (EU) ansässig ist, erhält er direkten Support in der EU.
Hinweis:
Das unternehmerische SOC 2 von Esri für Kundensupportdaten gilt NICHT für Kundendaten, die innerhalb von Esri Produkten und Services gespeichert werden (diese sind vollständig voneinander getrennt und haben unterschiedliche Sicherheitsstufen, siehe die produkt- und servicespezifischen Anleitungen für Details).
- Um einen SOC 2-Bericht zu Kundensupportdaten zu erhalten, wenden Sie sich bitte an Ihren Kundenbetreuer. (NDA erforderlich)