Family Educational Rights and Privacy Act (FERPA) to prawo federalne w Stanach Zjednoczonych, które reguluje dostęp do dokumentacji związanej z edukacją uczniów i zarządzanie nią. FERPA przyznaje pewne prawa uczniom i ich rodzicom w zakresie ochrony prywatności tej dokumentacji, które obejmują prawo do wglądu i przeglądu dokumentacji związanej z edukacją ucznia, prawo do żądania zmiany dokumentacji, którą rodzic lub uprawniony uczeń uważa za niedokładne, oraz prawo do pewnej kontroli nad ujawnieniem danych osobowych z dokumentacji związanej z edukacją.
Produkty i usługi ArcGIS firmy Esri są wykorzystywane przez instytucje edukacyjne do różnych celów, w tym badań, nauczania i administracji. Często platforma ArcGIS nie jest wykorzystywana do obsługi dokumentacji związanej z edukacją przez instytucje edukacyjne i może być skonfigurowana tak, aby zminimalizować konieczność zachowania zgodności z ustawą FERPA. Jeśli jednak te produkty i usługi są wykorzystywane do przechowywania, przetwarzania lub przesyłania dokumentacji związanej z edukacją, mogą podlegać przepisom ustawy FERPA. W związku z tym to klient decyduje, czy jego procedura wykonywania zadań jest zgodna z wymogami ustawy FERPA, czy też nie.
Zobowiązanie Esri do ochrony bezpieczeństwa i prywatności danych naszych klientów obejmuje:
- Poddanie naszych praktyk ochrony prywatności niezależnej ocenie i certyfikacji
- Poddawanie się corocznemu audytowi FedRAMP przez uprawnioną niezależną firmę zewnętrzną
- Przeprowadzanie skanowania luk w zabezpieczeniach co najmniej raz na 30 dni i testowanie w celu oceny naszego stanu bezpieczeństwa i identyfikacji nowych zagrożeń
- Ochrona prywatności uczniów szkół podstawowych i średnich przez wyłączenie plików cookie związanych z odbiorcami
Często zadawane pytania dotyczące ustawy FERPA
Czy istnieją programy certyfikacji FERPA?
- Nie. Obecnie nie istnieją żadne konkretne programy certyfikacji FERPA do oceny zgodności z przepisami stron trzecich. Instytucja akademicka musi przeprowadzić własną ocenę w celu ustalenia, czy produkt lub usługa wpływa na jej zdolność do przestrzegania przepisów.
Jakie środki bezpieczeństwa i ochrony prywatności w usłudze ArcGIS Online pomagają w zapewnieniu zgodności z ustawą FERPA?
- Udostępnianie różnych funkcji zabezpieczeń produktu ArcGIS Online, takich jak kontrola dostępu oparta na rolach.
- Ochrona przesyłu danych za pomocą protokołu TLS 1.2 i w miejscu przechowywania przy użyciu 256-bitowego algorytmu Advanced Encryption Standard (AES-256).
- Wykorzystanie fizycznej i środowiskowej ochrony naszych dostawców usług w chmurze: obiekty Esri przeznaczone do hostowania są całodobowo chronione i monitorowane przez personel za pomocą wielu warstw fizycznych zabezpieczeń, w tym ogrodzeń obwodowych, lobby z personelem, kamer monitorujących (CCTV), pułapek na ludzi, zamykanych klatek, czujników ruchu i zabezpieczeń biometrycznych.
- Nieprzeglądanie niepublicznych zasobów ArcGIS Online klientów, chyba że w ramach odpowiedzi na incydent związany z bezpieczeństwem lub za zgodą klienta w ramach wsparcia.
- Nieudostępnianie danych klientów stronom trzecim.
- „Zamrażanie” danych klienta (dostęp tylko do odczytu) w celu zabezpieczenia prawnego na żądanie zgłoszone do działu pomocy technicznej.
- Nieprzechowywanie danych klientów innych niż informacje o koncie, które składają się z adresu e-mail i nazwy użytkownika.
- Zachowywanie kont tylko przez okres do 60 dni po rozwiązaniu umowy w celu pomocy w ponownej aktywacji produktu (na żądanie klienta): po tym czasie konto jest trwale usuwane.
Jak skonfigurować instytucję ArcGIS Online, aby zminimalizować gromadzenie danych osobowych?
- Administratorzy instytucji mogą zablokować wypełnianie opcjonalnych pól profilu użytkownika (takich jak imię i nazwisko, nazwa firmy, numer telefonu i zdjęcie profilowe), aby zminimalizować przekazywanie danych osobowych.
- Bardziej szczegółowe wytyczne dotyczące prywatności w zakresie korzystania z naszych produktów w szkołach podstawowych i średnich można znaleźć w skróconej instrukcji obsługi pakietu ArcGIS for Schools
Jaki wpływ na zgodność z przepisami ma ustawa COPPA na usługę ArcGIS Online?
- Ustawa o ochronie prywatności dzieci w Internecie (Children's Online Privacy Protection Act — COPPA) jest dodatkowym prawem mającym na celu ochronę prywatności dzieci; nie ma ona jednak bezpośredniego zastosowania do usługi ArcGIS Online. Ustawa Children's Online Privacy Protection Act (COPPA) to federalne prawo Stanów Zjednoczonych uchwalone w celu ochrony prywatności dzieci poniżej 13 roku życia. Zarządza nią Federalna Komisja Handlu (FTC).
- COPPA ma zastosowanie do witryn internetowych i usług online skierowanych do dzieci i stanowi, że te witryny i usługi muszą wymagać zgody rodziców na zbieranie i wykorzystywanie wszelkich danych osobowych należących do dzieci.
- Klienci są odpowiedzialni za uzyskanie zgody rodziców na korzystanie z usługi ArcGIS Online przez użytkownika końcowego, jeśli ma to zastosowanie.
- Usługa ArcGIS Online nie jest skierowany specjalnie do dzieci poniżej 13 roku życia, jednak może być wykorzystywana przez takie dzieci, najprawdopodobniej w ramach szkolnego programu edukacyjnego. Postępując zgodnie ze skróconą instrukcją obsługi pakietu ArcGIS for Schhols, instytucje edukacyjne mogą lepiej dostosować się do powszechnie obowiązujących przepisów dotyczących prywatności uczniów, takich jak COPPA, FERPA, a nawet RODO.
- Aby zapewnić prywatność nieletnich, Esri automatycznie wyłącza pliki cookie związanie z odbiorcami dla uczniów korzystających z kont ArcGIS for Schools Bundle.
Aneks firmy Esri dotyczący przetwarzania danych
Aneks dotyczący przetwarzania danych (DPA) jest prawnie wiążącym dokumentem, który określa role, obowiązki i zobowiązania stron podczas przetwarzania i obsługi danych osobowych. Zasadniczo DPA wyjaśnia, że klient ma kontrolę nad swoimi danymi, decydując o tym, w jaki sposób są one wykorzystywane i w jakim celu. Firma Esri oferuje wstępnie podpisany aneks DPA do użycia przez klientów, w tym instytucje edukacyjne.
ArcGIS Online HECVAT Lite
Odpowiedzi w ramach samooceny firmy Esri na pytania zawarte w narzędziu Higher Education Community Vendor Assessment Tool (HECVAT Lite) rady Higher Education Information Security Council (HEISC) dotyczące usługi ArcGIS Online. Udostępniają obszerne omówienie środków bezpieczeństwa wdrożonych w usłudze ArcGIS Online z użyciem ram HECVAT Lite. Ramy HECVAT Lite mają podstawowe znaczenie dla instytucji szkolnictwa wyższego, gdyż pomagają zapewnić stosowanie zaawansowanych zasad bezpieczeństwa informacji i kontroli zabezpieczeń, zaktualizowanych programów bezpieczeństwa oraz skutecznych planów reagowania na incydenty. Są przeznaczone dla specjalistów i administratorów IT w szkołach wyższych, by pomóc instytucjom w podejmowaniu świadomych decyzji w zakresie bezpiecznego korzystania z usługi ArcGIS Online oraz zgodności z ich zasadami.
- Skrócona instrukcja obsługi pakietu ArcGIS for Schools (zasób dostępny publicznie)
- Aneks firmy Esri dotyczący przetwarzania danych (DPA) (zasób dostępny publicznie)
- HECVAT Lite 2024 (publicznie dostępny dokument Trust Center)
- Narzędzie do weryfikacji ArcGIS Security Adviser (publicznie dostępna strona Trust Center)
- Lista kontrolna najważniejszych wskazówek dotyczących usługi ArcGIS Online i oprogramowania Enterprise (zasób dostępny publicznie)
- Uzupełniająca polityka prywatności firmy Esri w zakresie produktów i usług (zasób dostępny publicznie)
- Najważniejsze wskazówki w zakresie ochrony prywatności podczas udostępniania lokalizacji w systemie ArcGIS (publicznie dostępny dokument Trust Center)