Skip To Content

Conformité

ArcGIS est conçu et géré conformément aux réglementations, normes et pratiques conseillées. Les initiatives d'Esri en matière de conformité sont regroupées en quatre catégories :

  • Sécurité des produits et services : conformité en matière de sécurité basée sur les produits et services Esri
  • Initiatives de confidentialité : engagements concernant la confidentialité des produits et de la société
  • Solutions : modèles de déploiement qui respectent les exigences de conformité
  • Fournisseurs cloud : conformité avec les fournisseurs d’infrastructures cloud ArcGIS Online

Sécurité des produits et services

Les initiatives suivantes en termes de conformité sont propres aux produits et services offerts par Esri :

  • SSAE 18/SOC : Fournisseurs de services cloud et EMCS
    • ArcGIS Online ne procède pas à un audit redondant ni distinct, car une autorisation FedRAMP plus avancée (qui inclut des évaluations tierces annuelles) est déjà en place. Procurez-vous des rapports SOC sur les fournisseurs de services cloud directement depuis Amazon Web Services et Microsoft Azure.
    • Les clients qui n’exigent pas la rigueur de la solution EMCS Advanced Plus avec l’autorisation FedRAMP de niveau Moderate (Modéré) peuvent choisir d’utiliser à la place une offre EMCS Advanced, conforme au contrôle SOC 2 de type 2.
  • USGCB & FDCC : exigence des agences fédérales pour les produits reposant sur ArcGIS Desktop
    • Les versions 9.3, 9.3.1 et 10 de ArcGIS Desktop étaient auto-certifiées FDCC. FDCC a été remplacé et est devenu USGCB. ArcGIS Desktop 10.1 et les versions ultérieures sont par conséquent auto-certifiées USGCB.
    • ArcGIS Pro 1.4.1 et les versions ultérieures sont auto-certifiées USGCB.
  • Section 508 - WCAG (Règles pour l’accessibilité des contenus Web), loi ADA (Americans with Disabilities Act) : exigences en termes d’accessibilité logicielle des agences fédérales pour les personnes présentant un handicap
    • L’engagement d’Esri en matière d’accessibilité consiste à concevoir et à implémenter des produits et technologies SIG accessibles qui respectent les directives de la section 508, des règles WCAG et de la loi ADA.
    • L’objectif d’Esri est de concevoir et d’implémenter des produits et technologies SIG accessibles qui respectent les directives de la section 508.

Initiatives de confidentialité

Esri en tant que société, ainsi que ses produits, respectent les normes et les règlements de confidentialité suivants :

  • Health Insurance Portability and Accountability Act (HIPAA)
    • Protège au niveau fédéral les informations de santé personnelles détenues par les entités visées et attribue aux patients une série de droits.
    • Détails de conformité des produits : ArcGIS Trust Center - Confidentialité - HIPAA

Solutions

ArcGIS est fréquemment implémenté dans différents modèles de déploiement géospatial d’entreprise pour respecter de nombreuses normes de sécurité. Cette implémentation a lieu avec des déploiements hybrides ou locaux pouvant être complétés par des composants de sécurité tiers. Esri s’attache à documenter et à valider des pratiques conseillées afin de faciliter le respect des exigences en matière de sécurité, telles que les suivantes :

  • Politique de sécurité Criminal Justice Information Services (CJIS) : application de la loi
    • La politique de sécurite CJIS s’applique à toutes les institutions d’application de la loi afin d’assurer des contrôles appropriés pour protéger l’intégralité du cycle de vie des informations de la justice pénale.
  • Guides STIG : défense
    • Un guide STIG est disponible pour ArcGIS GIS Server. Visitez le site Web de l’agence DISA.
  • FIPS-140-2—Chiffrement
    • Pour les déploiements Windows, les produits Esri sont compatibles avec le paramètre de sécurité Use FIPS compliant algorithms (Utiliser des algorithmes compatibles FIPS) du système d’exploitation.
    • Pour les déploiements Linux, ArcGIS Enterprise peut être configuré de façon à utiliser des algorithmes approuvés FIPS pour le chiffrement du transport et complété par des méthodes tierces pour renforcer le chiffrement compatible FIPS des données au repos (auto-chiffrement des disques durs, par exemple).
  • PCI DSS : secteur des cartes de paiement
    • Remarque : contrairement aux autres solutions répertoriées ci-dessus, la plupart des clients Esri ne cherchent pas à s’aligner sur le secteur des cartes de paiement (PCI), mais utilisent en revanche ce secteur comme méthode de validation élémentaire de la conformité en matière de sécurité, car il est de nos jours intégré à de nombreux scanners.

Fournisseurs cloud

ArcGIS Online utilise des fournisseurs d’infrastructures cloud conformes aux normes suivantes :

  • ISO 27001
  • FedRAMP
  • SOC

Pour en savoir plus, consultez les sites Web Amazon Web Services et Microsoft Azure.

Logo FedRAMP Logo RGPD