Il Family Educational Rights and Privacy Act (FERPA) è una legge federale degli Stati Uniti che governa l'accesso e la gestione dei record sull'istruzione degli studenti. FERPA garantisce alcuni diritti agli studenti e ai loro genitori in materia di privacy di questi record, che includono il diritto di ispezionare e visionare i record sull'istruzione dello studente, il diritto di richiedere la modifica di record che il genitore o lo studente in questione ritiene imprecisi e il diritto a esercitare controllo sulla diffusione di informazioni di identificazione personale (PII) provenienti dai record di istruzione.
I prodotti e servizi ArcGIS di Esri sono utilizzati da istituzioni educative per diversi scopi, inclusi ricerca, istruzione e amministrazione. Di frequente ArcGIS non viene utilizzato per gestire i record sull'istruzione dalle istituzioni educative, ma può essere configurato per minimizzare le richieste di conformità FERPA. Tuttavia, quando questi prodotti e servizi vengono utilizzati per memorizzare, elaborare o trasmettere i record sull'istruzione, possono rientrare nell'ambito di competenza della FERPA. Pertanto, è responsabilità del cliente determinare se il suo flusso di lavoro è in linea con i requisiti FERPA o meno.
L'impegno di Esri nel proteggere la sicurezza e la privacy dei dati dei nostri clienti include:
- Sottoporre le nostre pratiche sulla privacy a valutazioni e certificazioni indipendenti
- Sottoporsi a un audit FedRAMP annuale da parte di una terza parte indipendente qualificata
- Eseguire test di vulnerabilità almeno ogni 30 giorni e test per valutare il nostro livello di sicurezza e identificare nuove minacce
- Proteggere la privacy degli studenti delle scuole primarie e secondarie disabilitando i cookie di targeting
Domande frequenti su FERPA
Esistono programmi di certificazione FERPA?
- No. Attualmente non esistono programmi di certificazione FERPA specifici per valutare la conformità di terze parti. L'istituzione educativa deve eseguire un'autovalutazione per determinare se un prodotto o servizio influisce sulla sua abilità di essere conforme.
Quali misure di sicurezza e privacy di ArcGIS Online aiutano a essere conformi con FERPA?
- Fornire una varietà di funzioni di sicurezza di ArcGIS Online, come controllo dell'accesso basato su ruoli.
- Proteggere i dati in transito con TLS 1.2 e dati statici usando lo standard di crittografia avanzata AES-256 a 256 bit.
- Sfruttare la protezione fisica e ambientale dei nostri fornitori di cloud: i servizi di hosting di Esri dispongono di personale di sicurezza 24 ore su 24, 7 giorni su 7 e di monitoraggio tramite più livelli fisici di sicurezza, inclusi perimetri, lobby dotate di personale, telecamere di sorveglianza (CCTV), doppie porte, gabbie chiuse, sensori di movimento e requisiti biometrici di accesso.
- Non visionare i contenuti privati dei clienti di ArcGIS Online, a eccezione dei casi di risposta a un evento di sicurezza o in caso di supporto con approvazione del cliente.
- Non condividere i dati del cliente con terze parti.
- "Congelare" i dati del cliente (accesso di sola lettura) per una conservazione legale, su richiesta al supporto tecnico.
- Non conservare dati del cliente diversi dalle informazioni sull'account, che consistono in indirizzo email e nome utente.
- Conservare gli account solo fino a 60 giorni dopo la risoluzione per facilitare la riattivazione del prodotto (se richiesto dal cliente): dopo questo periodo l'account verrà eliminato definitivamente.
Come si configura un'organizzazione ArcGIS Online per minimizzare l'acquisizione di informazioni di identificazione personale?
- Gli amministratori dell'organizzazione possono impedire ai campi facoltativi di profilo utente (come nome e cognome, nome dell'azienda, numero di telefono e immagine del profilo) di essere compilati per minimizzare il trasferimento di informazioni di identificazione personale.
- Per una guida alla privacy più completa riguardante l'uso dei nostri prodotti in ambito delle istituzioni educative, consultare il nostro documento di guida ArcGIS per le scuole e il documento sulle pratiche consigliate nella privacy della condivisione della posizione in ArcGIS nell'area delle risorse sottostante.
Quali implicazioni di conformità ha COPPA su ArcGIS Online?
- Il Children's Online Privacy Protection Act (COPPA) è una norma aggiuntiva intesa a proteggere la privacy dei bambini; tuttavia, non è direttamente applicabile ad ArcGIS Online. Il Children's Online Privacy Protection Act (COPPA) è una legge federale degli Stati Uniti che protegge la privacy dei bambini sotto i 13 anni. Viene gestita dalla Federal Trade Commission (FTC).
- Il COPPA si applica ai siti Web e ai servizi online diretti ai bambini e stipula che tali siti e servizi devono richiedere il consenso dei genitori per la raccolta e l'uso delle informazioni personali appartenenti ai bambini.
- I clienti sono responsabili per l'ottenimento del consenso genitoriale per qualsiasi uso dell'utente finale di ArcGIS, se applicabile.
- ArcGIS Online non è specificatamente destinato ai bambini sotto i 13 anni, ma potrebbe essere utilizzato da tali bambini come parte di un programma didattico scolastico. Seguendo la guida di ArcGIS Online per le scuole riportata di seguito, le istituzioni educative possono allinearsi al meglio con le normative sulla privacy degli studenti come COPPA, FERPA e anche GDPR.
- Per garantire la privacy dei minorenni, Esri disattiva automaticamente i cookie di targeting per gli studenti che utilizzano account ArcGIS for Schools Bundle.
Risorse
- Guida di ArcGIS per le scuole (Pubblico)
- HECVAT Lite (Documento pubblico del Centro di trust)
- Strumento di validazione ArcGIS Security Advisor (Pagina pubblica del Centro di trust)
- Checklist delle pratiche consigliate di ArcGIS Online e Enterprise (Pubblico)
- Informativa supplementare sulla privacy di Esri per prodotti e servizi (Pubblico)
- Pratiche consigliate sulla privacy nella condivisione della posizione in ArcGIS (Documento pubblico del Centro di trust)