Os Controles de Sistema e Organização (SOC) e a Declaração sobre Padrões para Engajamentos de Atestado (SSAE) estão relacionados a auditorias de organizações de serviços. São padrões estabelecidos pelo Instituto Americano de Contadores Públicos Certificados (AICPA).
SOC é um conjunto de relatórios produzidos durante uma auditoria e esses relatórios examinam os controles em uma organização de serviços relacionados a vários tipos de assuntos, mas aqui na Esri nos concentramos em segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Existem diferentes tipos de relatórios SOC: SOC 1, SOC 2 e SOC 3, cada um servindo a uma finalidade diferente e usando metodologias diferentes.
Serviços no escopo da Esri
CSPs do ArcGIS Online
O ArcGIS Online não executa uma auditoria SOC separada, pois é FedRAMP Autorizado que é considerado atendendo a controles de segurança equivalentes ou melhores que o SOC 2. O ArcGIS Online está hospedado nos provedores de serviços em nuvem (CSP) do Microsoft Azure e Amazon Web Services, ambos com certificações SOC que podem ser obtidas através dos CSPs diretamente abaixo:
Relatórios SOC do Microsoft Azure:
- Relatório SOC 3 (Público)
- Relatórios SOC 1 e SOC 2 (Gratuito/Protegido)
Relatórios SOC da Amazon Web Services:
- Relatório SOC 3
- Relatórios SOC1 e SOC 2 (Gratuito/Protegido) Público
EMCS Avançado
A oferta de serviços avançados Esri Managed Cloud Services (EMCS) da Esri Professional Services completa os relatórios SOC 2 e SOC 3 e é emitida sob a orientação SSAE 18 desenvolvida pelo AICPA. A oferta EMCS Advanced está disponível para clientes não federais que necessitam de uma opção hospedada e de locatário único para ArcGIS Enterprise que atenda aos requisitos de segurança SOC 2 Tipo 2 do padrão da indústria para Segurança, Confidencialidade e Disponibilidade.
Anotação:
Os relatórios EMCS NÃO são aplicáveis ao ArcGIS Online, pois é uma oferta separada de serviço de locatário único:
- Relatório EMCS SOC 2 Tipo 2 (NDA exigido) - para obter o relatório SOC 2 Tipo 2, entre em contato com seu gerente de conta
- Relatório EMCS SOC 3 (Documento do Centro de Confiança Público)
- Envie solicitações de relatório EMCS SOC ao seu gerente de conta
My Esri
Os clientes utilizam o portal do My Esri para gerenciar informações da conta do cliente e baixar produtos de software da Esri no momento da compra (My Esri NÃO armazena dados de propriedade do cliente). Depois de entrar no My Esri, os clientes podem revisar pedidos, renovar a manutenção e assinaturas do ArcGIS, gerar licenças de produtos, baixar mídia de instalação, solicitar suporte técnico e revisar o histórico de treinamento.
Anotação:
O SOC 2 corporativo da Esri para My Esri NÃO é aplicável onde os dados do cliente são armazenados nos produtos e serviços da Esri (eles são totalmente segmentados entre si e têm diferentes níveis de garantia; consulte as orientações específicas de produtos e serviços para obter detalhes).
- Para obter um relatório My Esri SOC 2, entre em contato com seu gerente de conta. (NDA exigido)
Dados de suporte ao cliente
O Suporte da Esri garante a privacidade do cliente e a segurança dos dados. Os dados do cliente raramente são necessários para diagnosticar e resolver problemas com produtos Esri. Portanto, a Esri só armazena dados do cliente se forem cruciais para a solução de problemas. Se considerado necessário, colaboramos com os clientes para obter e proteger os seus dados num sistema compatível com SOC2. Para clientes fora dos Estados Unidos, os dados de suporte ao cliente são gerenciados pelo distribuidor correspondente e armazenados em sua região do mundo. Por exemplo, se o cliente estiver localizado na região da União Europeia (UE) do mundo, ele receberá suporte direto na UE.
Anotação:
O SOC 2 corporativo da Esri para dados de suporte ao cliente NÃO é aplicável onde os dados do cliente são armazenados nos produtos e serviços da Esri (eles são totalmente segmentados entre si e têm diferentes níveis de garantia; consulte as orientações específicas de produtos e serviços para obter detalhes).
- Para obter um relatório SOC 2 de dados de suporte ao cliente, entre em contato com seu gerente de conta. (NDA exigido)