ArcGIS è progettato e viene gestito nel rispetto di normative, standard e procedure consigliate. Le iniziative Esri a sostegno della conformità sono raggruppate in quattro categorie:
- Sicurezza dei prodotti e servizi - Conformità di Esri alla sicurezza basata su prodotti e servizi
- Iniziative sulla privacy - Impegno nel rispetto della privacy dell’azienda e dei prodotti
- Basato su soluzioni - Modelli di distribuzione che rispettano i requisiti di conformità
- Provider cloud - Conformità dei provider dell'infrastruttura cloud di ArcGIS Online
Sicurezza dei prodotti e servizi
Le seguenti iniziative per la conformità sono specifiche dei prodotti e servizi offerti da Esri:
- FedRAMP Tailored Low - Operazioni ArcGIS Online basate negli Stati Uniti
- I controlli di sicurezza per questa SaaS multintenant basata su cloud sono conformi a quelli indicati nella pubblicazione speciale 800-53 (Revisione 4) del National Institute of Stadards and Technology (NIST) che sono mappati ai controlli ISO (International Standards Organization) 27001 e 15408.
- Sono disponibili trenta pagine di risposte CSA CAIQ ArcGIS Online nella pagina dei documenti del Trust Center, oppure, se si desidera consultare la valutazione annuale del FedRAMP Tailored Low: operazioni di ArcGIS Online basate negli Stati uniti, contattare il gestore dell'account per ottenerlo previo NDA.
- In caso di domande, contattare SoftwareSecurity@esri.com.
- FedRAMP Moderate—Esri Managed Cloud Services (EMCS) Advanced Plus
- Un'infrastruttura protetta basata su cloud e ambiente operativo che soddisfa i requisiti cliente single-tenant per ArcGIS Enterprise ospitato.
- In caso di domande, contattare ManagedCloudServices@esri.com.
- SSAE 18/SOC - Provider di servizi cloud (CSP) e EMCS
- ArcGIS Online non esegue un audit SOC duplicato o separato in quanto un'autorizzazione FedRAMP più avanzata (che include valutazioni annuali di terze parti) è già in atto. Richiedere rapporti CSP SOC direttamente da Amazon Web Services e Microsoft Azure.
- I clienti che non richiedono il rigore di EMCS Advanced Plus con autorizzazione FedRAMP Moderate, possono invece utilizzare l'offerta EMCS Advanced, conforme a SOC 2 Type 2.
- Per richiedere un rapporto EMCS SOC 2 Type 2 (previo NDA), contattare ManagedCloudServices@esri.com.
- Il rapporto EMCS Advanced SOC 3 è un rapporto di uso generico che non richiede NDA.
- USGCB e FDCC: requisito dell'agenzia federale per i prodotti basati su desktop
- ArcGIS Desktop 9.3, 9.3.1 e 10 sono stati autocertificati per la conformità ai requisiti FDCC. FDCC è stato superato e si è evoluto in USGCB, pertanto ArcGIS Desktop 10.1 e versioni successive hanno l'autocertificazione USGCB.
- ArcGIS Pro 1.4.1 e versioni successive hanno l'autocertificazione USGCB.
- Section 508: WCAG, ADA - requisiti dell'agenzia federale per l'accessibilità del software per le persone con disabilità
- L'impegno di Esri all'accessibilità consiste nel progettare ed implementare prodotti e tecnologie GIS accessibili e in linea con gli obiettivi della Section 508, WCAG e ADA.
- L'obiettivo di Esri è di progettare ed implementare prodotti e tecnologie GIS accessibili e in linea con gli obiettivi della Section 508.
Iniziative sulla privacy
Sia i prodotti di Esri che Esri in quanto azienda sono conformi ai seguenti standard e regolamenti sulla privacy:
- Normativa generale sulla protezione dei dati (GDPR)
- Regolamento per il trattamento dei dati personali dei cittadini dell'Unione Europea (UE).
- Dettagli sull'allineamento del prodotto: ArcGIS Trust Center GDPR Privacy
- Dettagli sull'allineamento dell'azienda: General Esri GDPR Privacy
- California Consumer Privacy Act (CCPA)
- Conferisce ai consumatori in California ulteriori diritti e protezione riguardo il modo in cui le aziende possono utilizzare le loro informazioni personali.
- Dettagli sull'allineamento del prodotto: ArcGIS Trust Center CCPA Privacy
- Dettagli sull'allineamento dell'azienda: General Esri CCPA Notice
- Health Insurance Portability and Accountability Act (HIPAA)
- Fornisce protezioni a livello federale per le informazioni sanitarie personali detenute dalle entità coperte e offre ai pazienti una serie di diritti.
- Dettagli sull'allineamento del prodotto: ArcGIS Trust Center HIPAA Privacy
Basato su soluzioni
ArcGIS è spesso implementato in diversi modelli di distribuzione geospaziale aziendale per allinearsi con molti standard di sicurezza. A tale scopo vengono utilizzate distribuzioni ibride o locali affiancate, se necessario, da componenti di sicurezza di terze parti. Esri sta lavorando alla documentazione e alla convalida delle procedure consigliate per agevolare l'allineamento a requisiti di sicurezza quali:
- Politica di sicurezza dei servizi di informazione sulla giustizia penale (CJIS): forze dell'ordine
- La CJIS si applica a tutte le forze dell'ordine per fornire controlli appropriati per proteggere l'intero ciclo di vita delle informazioni all'interno della giustizia penale.
- STIG: difesa
- STIG è disponibile per ArcGIS GIS Server. Consultare il sito Web DISA.
- FIPS-140-2: moduli di crittografia
- Nota: i prodotti Esri sono compatibili con l'impostazione di sicurezza Utilizza algoritmi FIPS compatibili di Windows.
- PCI DSS: settore delle carte di pagamento
- Nota: a differenza di altre soluzioni elencate in precedenza, la maggior parte dei clienti Esri non sono alla ricerca dell'allineamento con PCI, ma invece utilizzano PCI come meccanismo di convalida dello standard di sicurezza di base così come è attualmente incorporato in molti scanner.
Provider cloud
ArcGIS Online utilizza provider di infrastrutture cloud conformi ai seguenti standard:
- ISO 27001
- FedRAMP
- SOC
Per ulteriori dettagli, visitare i siti Web Amazon Web Services e Microsoft Azure.
