Skip To Content

Zgodność

Oprogramowanie ArcGIS zostało opracowane i jest zarządzane zgodnie z obowiązującymi przepisami, normami i najlepszymi praktykami. Inicjatywy firmy Esri w zakresie zapewniania zgodności są podzielone na cztery kategorie:

  • Bezpieczeństwo produktów i usług — zasady zachowania zgodności produktów i usług firmy Esri
  • Inicjatywy dotyczące prywatności - zobowiązania dotyczące prywatności w firmie i produktach
  • Rozwiązania — procedury wdrożeń, które są zgodne z obowiązującymi wymogami
  • Dostawcy chmury — zasady zachowania zgodności dostawców infrastruktury chmurowej serwisu ArcGIS Online

Bezpieczeństwo produktów i usług

Do produktów i usług oferowanych przez firmę Esri odnoszą się następujące inicjatywy w zakresie zgodności:

  • FedRAMP Tailored Low: Wymogi federalnej agencji rządowej w odniesieniu do systemów produkcyjnych w chmurze
  • FedRAMP Moderate: Wymogi federalnej agencji rządowej w odniesieniu do systemów produkcyjnych w chmurze
    • Esri Managed Cloud Services (EMCS) Advanced Plus to zatwierdzona przez agencje rządowe oferta FedRAMP Moderate, która początkowo była sponsorowana przez biuro spisowe US Census Bureau. Jest to oparta na chmurze, bezpieczna infrastruktura oraz środowisko operacyjne, które umożliwiają spełnienie bardziej restrykcyjnych wymogów w zakresie bezpieczeństwa w odniesieniu do hostowanego portalu ArcGIS Enterprise.
  • Raporty SOC 1, 2 i 3: Struktura Service Organization Controls (SOC) instytutu American Institute of Certified Public Accountants (AICPA)
    • Usługa ArcGIS Online nie powiela ani nie przeprowadza osobnych audytów SOC, ponieważ stosowana jest już bardziej zaawansowana autoryzacja FedRAMP (obejmująca doroczne audyty wykonywane przez podmioty trzecie). Klienci zainteresowani raportami SOC dotyczącymi dostawców infrastruktury chmury, z której korzystają nasze usługi, mogą je uzyskać bezpośrednio u odpowiednich dostawców – Amazon Web Services i Microsoft Azure.
    • Klienci, którzy nie wymagają autoryzacji EMCS Advanced Plus with FedRAMP Moderate, mogą w zamian używać oferty EMCS, która obejmuje oceny i raporty SOC 2 typu 2 (data wejścia w życie: 14 grudnia 2018 r.). Raporty EMCS (podlegające Umowie o Zachowaniu Poufności) można zamawiać, wysyłając wiadomość e-mail na adres ManagedCloudServices@esri.com (nie dotyczy wniosków dotyczących usługi ArcGIS Online).
  • USGCB i FDCC: Wymagania federalnej agencji rządowej w odniesieniu do produktów komputerowych
    • Oprogramowanie w wersji 9.3, 9.3.1 oraz 10 korzystało z własnego certyfikatu zgodnie z listą FDCC. Lista FDCC została przekształcona w listę USGCB, z tego względu oprogramowanie ArcGIS Desktop w wersji 10.1 oraz nowszych korzysta z własnego certyfikatu zgodnie z listą USGCB.
    • Aplikacja ArcGIS Pro 1.4.1 i nowsze jej wersje są certyfikowane zgodnie z wytycznymi USGCB.
  • Sekcja 508: Wymagania agencji federalnej dotyczące dostępności oprogramowania dla osób niepełnosprawnych
    • Celem firmy Esri jest opracowywanie i wprowadzanie na rynek przystępnych produktów i technologii GIS, które są zgodne z założeniami artykułu 508.

Inicjatywy dotyczące prywatności

Firma Esri i jej produkty są zgodne z następującymi standardami i przepisami dotyczącymi prywatności:

  • RODO: Ogólne rozporządzenie o ochronie danych
    • Nasza firma i nasze produkty są zgodne z przepisami dotyczącymi ochrony informacji poufnych mieszkańców Unii Europejskiej.
  • Privacy Shield: Certyfikacja potwierdzająca zachowanie prywatności

Rozwiązania

Platforma ArcGIS jest często wdrażana z zastosowaniem różnych schematów wdrożeń rozwiązań geoprzestrzennych w firmach w celu zapewnienia zgodności z różnorodnymi normami bezpieczeństwa. Do osiągnięcia założonych celów stosowane są wdrożenia hybrydowe lub lokalne, które można uzupełnić o mechanizmy zabezpieczeń innych producentów. Firma Esri pracuje nad udokumentowaniem i zatwierdzeniem wytycznych dotyczących najlepszych praktyk, aby zapewnić dostosowanie do wymogów bezpieczeństwa, takich jak:

  • CJIS: Ochrona porządku publicznego
  • HIPAA: Służba zdrowia
    • Uwaga: Usługi Esri nie są aktualnie weryfikowane pod kątem zgodności z ustawą HIPAA, jednak wielu klientów korzysta z naszych produktów wraz z narzędziami i procesami zapewniającymi prywatność/bezpieczeństwo, tworząc rozwiązania zgodne z ustawą HIPAA.
  • STIGs: Wojsko
  • FIPS 140-2: Moduły kryptograficzne
    • Uwaga: Dla produktów firmy Esri można skonfigurować ustawienie bezpieczeństwa „Użyj zgodnych algorytmów FIPS...” dostępne w systemie Windows XP oraz nowszych wersjach systemu Windows.
  • PCI DSS: Branża kart płatniczych (Payment Card Industry)
    • Uwaga: Inaczej niż w przypadku rozwiązań wymienionych powyżej, większość klientów Esri nie oczekuje zgodności z wymaganiami Payment Card Industry (PCI), ale wykorzystuje standardy PCI jako podstawowy mechanizm weryfikacji zgodności zabezpieczeń, ponieważ zostały one wbudowane w wiele dostępnych dziś skanerów. W 2015 r. kontrole PCI obejmowały zapewnienie zgodności ze standardem TLS 1.1 i wersjami nowszymi tylko w przypadku systemów. Aby uzyskać więcej informacji, zapoznaj się z dokumentem TLS guidance with ArcGIS (Wytyczne TLS dotyczące platformy ArcGIS).

Dostawcy chmury

Serwis ArcGIS Online korzysta z usług dostawców chmury spełniającymi następujące normy:

  • ISO 27001
  • FedRAMP
  • SSAE16 SOC1 Type 2

Więcej informacji można znaleźć w witrynach Amazon Web Services oraz Microsoft Azure.

Logotyp FedRAMP Logotyp FISMALogotyp Privacy Shield