Family Educational Rights and Privacy Act (FERPA) to prawo federalne w Stanach Zjednoczonych, które reguluje dostęp do dokumentacji związanej z edukacją uczniów i zarządzanie nią. FERPA przyznaje pewne prawa uczniom i ich rodzicom w zakresie ochrony prywatności tej dokumentacji, które obejmują prawo do wglądu i przeglądu dokumentacji związanej z edukacją ucznia, prawo do żądania zmiany dokumentacji, którą rodzic lub uprawniony uczeń uważa za niedokładne, oraz prawo do pewnej kontroli nad ujawnieniem danych osobowych z dokumentacji związanej z edukacją.
Produkty i usługi ArcGIS firmy Esri są wykorzystywane przez instytucje edukacyjne do różnych celów, w tym badań, nauczania i administracji. Często platforma ArcGIS nie jest wykorzystywana do obsługi dokumentacji związanej z edukacją przez instytucje edukacyjne i może być skonfigurowana tak, aby zminimalizować konieczność zachowania zgodności z ustawą FERPA. Jeśli jednak te produkty i usługi są wykorzystywane do przechowywania, przetwarzania lub przesyłania dokumentacji związanej z edukacją, mogą podlegać przepisom ustawy FERPA. W związku z tym to klient decyduje, czy jego procedura wykonywania zadań jest zgodna z wymogami ustawy FERPA, czy też nie.
Zobowiązanie Esri do ochrony bezpieczeństwa i prywatności danych naszych klientów obejmuje:
- Poddanie naszych praktyk ochrony prywatności niezależnej ocenie i certyfikacji
- Poddawanie się corocznemu audytowi FedRAMP przez uprawnioną niezależną firmę zewnętrzną
- Przeprowadzanie skanowania luk w zabezpieczeniach co najmniej raz na 30 dni i testowanie w celu oceny naszego stanu bezpieczeństwa i identyfikacji nowych zagrożeń
- Ochrona prywatności uczniów szkół podstawowych i średnich przez wyłączenie plików cookie związanych z odbiorcami
Często zadawane pytania dotyczące ustawy FERPA
Czy istnieją programy certyfikacji FERPA?
- Nie. Obecnie nie istnieją żadne konkretne programy certyfikacji FERPA do oceny zgodności z przepisami stron trzecich. Instytucja akademicka musi przeprowadzić własną ocenę w celu ustalenia, czy produkt lub usługa wpływa na jej zdolność do przestrzegania przepisów.
Jakie środki bezpieczeństwa i ochrony prywatności w usłudze ArcGIS Online pomagają w zapewnieniu zgodności z ustawą FERPA?
- Udostępnianie różnych funkcji zabezpieczeń produktu ArcGIS Online, takich jak kontrola dostępu oparta na rolach.
- Ochrona przesyłu danych za pomocą protokołu TLS 1.2 i w miejscu przechowywania przy użyciu 256-bitowego algorytmu Advanced Encryption Standard (AES-256).
- Wykorzystanie fizycznej i środowiskowej ochrony naszych dostawców usług w chmurze: obiekty Esri przeznaczone do hostowania są całodobowo chronione i monitorowane przez personel za pomocą wielu warstw fizycznych zabezpieczeń, w tym ogrodzeń obwodowych, lobby z personelem, kamer monitorujących (CCTV), pułapek na ludzi, zamykanych klatek, czujników ruchu i zabezpieczeń biometrycznych.
- Nieprzeglądanie niepublicznych zasobów ArcGIS Online klientów, chyba że w ramach odpowiedzi na incydent związany z bezpieczeństwem lub za zgodą klienta w ramach wsparcia.
- Nieudostępnianie danych klientów stronom trzecim.
- „Zamrażanie” danych klienta (dostęp tylko do odczytu) w celu zabezpieczenia prawnego na żądanie zgłoszone do działu pomocy technicznej.
- Nieprzechowywanie danych klientów innych niż informacje o koncie, które składają się z adresu e-mail i nazwy użytkownika.
- Zachowywanie kont tylko przez okres do 60 dni po rozwiązaniu umowy w celu pomocy w ponownej aktywacji produktu (na żądanie klienta): po tym czasie konto jest trwale usuwane.
Jak skonfigurować instytucję ArcGIS Online, aby zminimalizować gromadzenie danych osobowych?
- Administratorzy instytucji mogą zablokować wypełnianie opcjonalnych pól profilu użytkownika (takich jak imię i nazwisko, nazwa firmy, numer telefonu i zdjęcie profilowe), aby zminimalizować przekazywanie danych osobowych.
- Aby uzyskać bardziej szczegółowe wytyczne dotyczące prywatności w zakresie korzystania z naszych produktów w instytucjach edukacyjnych, zapoznaj się z naszymi dokumentami Wskazówki dotyczące usługi ArcGIS Online dla szkół i Najważniejsze wskazówki w zakresie ochrony prywatności podczas udostępniania lokalizacji w systemie ArcGIS w obszarze zasobów poniżej.
Jaki wpływ na zgodność z przepisami ma ustawa COPPA na usługę ArcGIS Online?
- Ustawa o ochronie prywatności dzieci w Internecie (Children's Online Privacy Protection Act — COPPA) jest dodatkowym prawem mającym na celu ochronę prywatności dzieci; nie ma ona jednak bezpośredniego zastosowania do usługi ArcGIS Online. Ustawa Children's Online Privacy Protection Act (COPPA) to federalne prawo Stanów Zjednoczonych uchwalone w celu ochrony prywatności dzieci poniżej 13 roku życia. Zarządza nią Federalna Komisja Handlu (FTC).
- COPPA ma zastosowanie do witryn internetowych i usług online skierowanych do dzieci i stanowi, że te witryny i usługi muszą wymagać zgody rodziców na zbieranie i wykorzystywanie wszelkich danych osobowych należących do dzieci.
- Klienci są odpowiedzialni za uzyskanie zgody rodziców na korzystanie z usługi ArcGIS Online przez użytkownika końcowego, jeśli ma to zastosowanie.
- Usługa ArcGIS Online nie jest skierowany specjalnie do dzieci poniżej 13 roku życia, jednak może być wykorzystywana przez takie dzieci, najprawdopodobniej w ramach szkolnego programu edukacyjnego. Postępując zgodnie z poniższymi Wskazówkami dotyczącymi usługi ArcGIS Online dla szkół, instytucje edukacyjne mogą lepiej dostosować się do powszechnie obowiązujących przepisów dotyczących prywatności uczniów, takich jak COPPA, FERPA, a nawet RODO.
- Aby zapewnić prywatność nieletnich, Esri automatycznie wyłącza pliki cookie związanie z odbiorcami dla uczniów korzystających z kont ArcGIS for Schools Bundle.
Zasoby
- Wskazówki dotyczące usługi ArcGIS Online dla szkół (zasób dostępny publicznie)
- HECVAT Lite (publicznie dostępny dokument Trust Center)
- Narzędzie do weryfikacji ArcGIS Security Advisor (publicznie dostępna strona Trust Center)
- Lista kontrolna najważniejszych wskazówek dotyczących usługi ArcGIS Online i oprogramowania Enterprise (zasób dostępny publicznie)
- Uzupełniająca polityka prywatności firmy Esri w zakresie produktów i usług (zasób dostępny publicznie)
- Najważniejsze wskazówki w zakresie ochrony prywatności podczas udostępniania lokalizacji w systemie ArcGIS (publicznie dostępny dokument Trust Center)