ArcGIS est conçu et géré conformément aux réglementations, normes et pratiques conseillées. Les initiatives d'Esri en matière de conformité sont regroupées en quatre catégories :
- Sécurité des produits et services : conformité en matière de sécurité basée sur les produits et services Esri
- Initiatives de confidentialité : engagements concernant la confidentialité des produits et de la société
- Solutions : modèles de déploiement qui respectent les exigences de conformité
- Fournisseurs cloud : conformité avec les fournisseurs d’infrastructures cloud ArcGIS Online
Sécurité des produits et services
Les initiatives suivantes en termes de conformité sont propres aux produits et services offerts par Esri :
- Autorisation FedRAMP Tailored de niveau Low (Faible) pour les opérations ArcGIS Online basées aux États-Unis
- Les contrôles de sécurité de ce logiciel en tant que service (SaaS) mutualisé reposant sur le cloud respectent la publication spéciale 800-53 (Révision 4) du NIST (National Institute of Standards and Technology), qui est conforme aux contrôles de sécurité ISO (International Standards Organization) 27001 et 15408.
- Trente pages de réponses au questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) de la CSA (Cloud Security Alliance) sur ArcGIS Online sont disponibles sur la page Documents de Trust Center. Si vous préférez consulter l’évaluation annuelle relative à l’autorisation FedRAMP Tailored de niveau Low (Faible) pour les opérations ArcGIS Online basées aux États-Unis, contactez votre gestionnaire de compte pour vous la procurer dans le cadre de l’accord de confidentialité.
- Pour toute question, contactez SoftwareSecurity@esri.com.
- Autorisation FedRAMP de niveau Moderate (Modéré) : Esri Managed Cloud Services (EMCS) Advanced Plus
- Environnement d’opérations et d’infrastructure sécurisé basé sur le cloud qui répond aux besoins des clients uniques concernant les instances ArcGIS Enterprise hébergées.
- Pour toute question, contactez ManagedCloudServices@esri.com.
- SSAE 18/SOC : Fournisseurs de services cloud et EMCS
- ArcGIS Online ne procède pas à un audit redondant ni distinct, car une autorisation FedRAMP plus avancée (qui inclut des évaluations tierces annuelles) est déjà en place. Procurez-vous des rapports SOC sur les fournisseurs de services cloud directement depuis Amazon Web Services et Microsoft Azure.
- Les clients qui n’exigent pas la rigueur de la solution EMCS Advanced Plus avec l’autorisation FedRAMP de niveau Moderate (Modéré) peuvent choisir d’utiliser à la place une offre EMCS Advanced, conforme au contrôle SOC 2 de type 2.
- Pour vous procurer un rapport EMCS SOC 2 de type 2 (dans le cadre de l’accord de confidentialité), adressez votre demande à ManagedCloudServices@esri.com.
- Le rapport EMCS Advanced SOC 3 est un rapport à usage général ne requérant pas d’accord de confidentialité.
- USGCB & FDCC : exigence des agences fédérales pour les produits reposant sur ArcGIS Desktop
- Les versions 9.3, 9.3.1 et 10 de ArcGIS Desktop étaient auto-certifiées FDCC. FDCC a été remplacé et est devenu USGCB. ArcGIS Desktop 10.1 et les versions ultérieures sont par conséquent auto-certifiées USGCB.
- ArcGIS Pro 1.4.1 et les versions ultérieures sont auto-certifiées USGCB.
- Section 508 - WCAG (Règles pour l’accessibilité des contenus Web), loi ADA (Americans with Disabilities Act) : exigences en termes d’accessibilité logicielle des agences fédérales pour les personnes présentant un handicap
- L’engagement d’Esri en matière d’accessibilité consiste à concevoir et à implémenter des produits et technologies SIG accessibles qui respectent les directives de la section 508, des règles WCAG et de la loi ADA.
- L’objectif d’Esri est de concevoir et d’implémenter des produits et technologies SIG accessibles qui respectent les directives de la section 508.
Initiatives de confidentialité
Esri en tant que société, ainsi que ses produits, respectent les normes et les règlements de confidentialité suivants :
- Règlement général sur la protection des données (RGPD)
- Réglementation régissant le traitement des informations personnelles des citoyens des pays de l’Union européenne
- Détails de conformité des produits : ArcGIS Trust Center - Confidentialité - RGPD
- Détails de conformité des sociétés : Esri - Confidentialité - Règlement général sur la protection des données (RGPD)
- California Consumer Privacy Act (CCPA)
- Attribue aux consommateurs en Californie des droits et des protections supplémentaires concernant l’utilisation de leurs informations personnelles par les entreprises.
- Détails de conformité des produits : ArcGIS Trust Center - Confidentialité - CCPA
- Détails de conformité des sociétés : Esri - Avis concernant la loi CCPA
- Health Insurance Portability and Accountability Act (HIPAA)
- Protège au niveau fédéral les informations de santé personnelles détenues par les entités visées et attribue aux patients une série de droits.
- Détails de conformité des produits : ArcGIS Trust Center - Confidentialité - HIPAA
Solutions
ArcGIS est fréquemment implémenté dans différents modèles de déploiement géospatial d’entreprise pour respecter de nombreuses normes de sécurité. Cette implémentation a lieu avec des déploiements hybrides ou locaux pouvant être complétés par des composants de sécurité tiers. Esri s’attache à documenter et à valider des pratiques conseillées afin de faciliter le respect des exigences en matière de sécurité, telles que les suivantes :
- Politique de sécurité Criminal Justice Information Services (CJIS) : application de la loi
- La politique de sécurite CJIS s’applique à toutes les institutions d’application de la loi afin d’assurer des contrôles appropriés pour protéger l’intégralité du cycle de vie des informations de la justice pénale.
- Guides STIG : défense
- Un guide STIG est disponible pour ArcGIS GIS Server. Visitez le site Web de l’agence DISA.
- FIPS-140-2—Chiffrement
- Pour les déploiements Windows, les produits Esri sont compatibles avec le paramètre de sécurité Use FIPS compliant algorithms (Utiliser des algorithmes compatibles FIPS) du système d’exploitation.
- Pour les déploiements Linux, ArcGIS Enterprise peut être configuré de façon à utiliser des algorithmes approuvés FIPS pour le chiffrement du transport et complété par des méthodes tierces pour renforcer le chiffrement compatible FIPS des données au repos (auto-chiffrement des disques durs, par exemple).
- PCI DSS : secteur des cartes de paiement
- Remarque : contrairement aux autres solutions répertoriées ci-dessus, la plupart des clients Esri ne cherchent pas à s’aligner sur le secteur des cartes de paiement (PCI), mais utilisent en revanche ce secteur comme méthode de validation élémentaire de la conformité en matière de sécurité, car il est de nos jours intégré à de nombreux scanners.
Fournisseurs cloud
ArcGIS Online utilise des fournisseurs d’infrastructures cloud conformes aux normes suivantes :
- ISO 27001
- FedRAMP
- SOC
Pour en savoir plus, consultez les sites Web Amazon Web Services et Microsoft Azure.
Vous avez un commentaire à formuler concernant cette rubrique ?