При разработке ArcGIS учитывались существующие правила, стандарты и накопленный опыт. Инициативы соответствия Esri сгруппированы в четыре категории:
- Безопасность продуктов и услуг – соответствие нормам безопасности продуктов и сервисов Esri
- Инициативы конфиденциальности - обязательства компании по конфиденциальности продуктов
- Решения – шаблоны развертывания, соответствующие имеющимся требованиям
- Облачные провайдеры – соответствие провайдера облачной инфраструктуре ArcGIS Online
Безопасность продуктов и услуг
Следующие инициативы соответствия являются типичными для продуктов и услуг, предлагаемых Esri:
- FedRAMP Tailored Low—ArcGIS Online Операцивная деятельность в США
- Контроль безопасности этой многопользовательской, облачной SaaS соответствует документам National Institute of Standards and Technology (NIST) Special Publication 800-53 (Revision 4), которые ссылаются на директивы International Standards Organization (ISO) 27001 и 15408.
- Тридцать страниц ответов ArcGIS Online CSA CAIQ доступны на странице Trust Center Documents или, если вы хотите увидеть ежегодный FedRAMP Tailored Low: ArcGIS Online оценка оперативной деятельности в США, свяжитесь с менеджером учетных записей, чтобы получить их в NDA.
- Для получения ответов на вопросы свяжитесь с SoftwareSecurity@esri.com.
- FedRAMP Moderate—Управляемые облачные сервисы Esri (EMCS) Advanced Plus
- Это безопасная облачная инфраструктура и операционная среда, которые отвечают требованиям однопользовательской установки к размещенным ArcGIS Enterprise.
- Для получения ответов на вопросы свяжитесь с ManagedCloudServices@esri.com.
- SSAE 18/SOC—Провайдеры облачных сервисов (CSP) и EMCS
- ArcGIS Online не выполняет повторный или отдельный аудит SOC продуктов, как имеющих расширенную сертификацию FedRAMP (которая включает в себя ежегодные оценки третьей стороной), как описано выше. Запросите отчеты CSP SOC напрямую из Amazon Web Services и Microsoft Azure.
- Клиенты, которым нет необходимости использовать строгую сертификацию EMCS Advanced Plus с управлением FedRAMP, могут использовать предложение EMCS Advanced, которое удовлетворяют требованиям SOC 2 Type 2.
- Чтобы запросить отчет EMCS SOC 2 Type 2 (в NDA) свяжитесь ManagedCloudServices@esri.com.
- Отчет EMCS Advanced SOC 3 - это общий отчет, для которого не нужен NDA.
- USGCB и FDCC - требования федерального агентства к продуктам на основе Desktop
- ArcGIS Desktop 9.3, 9.3.1 и 10 были самостоятельно сертифицированы FDCC. FDCC были замещены и развернуты в USGCB, поэтому ArcGIS Desktop 10.1 и более поздний сертифицированы USGCB.
- ArcGIS Pro 1.4.1 и более поздние версии сертифицированы USGCB
- Раздел 508: WCAG, ADA - Требования Федерального агентства по доступности программного обеспечения для людей с ограниченными возможностями (Federal Agency Software Accessibility Requirements for People with Disabilities)
- Вклад Esri в доступность предназначен для разработки и внедрения доступных ГИС-продуктов и технологий, которые соответствуют нормам Раздела 508, WCAG и ADA.
- Целью Esri является разработка и внедрение доступных ГИС-продуктов и технологий, которые соответствуют нормам Раздела 508.
Инициативы конфиденциальности
Компания Esri и производимые ею продукты соответствуют следующим стандартам и положениям конфиденциальности личной информации:
- Общие правила защиты данных (GDPR)
- Регламент для обработки персональной информации граждан Европейского Союза (ЕС)
- Подробная информация о соответствии продукта: Конфиденциальность ArcGIS Trust Center GDPR
- Подробная информация о соответствии компании: Конфиденциальность Esri GDPR Privacy
- Акт конфиденциальности клиентов в Калифорнии (CCPA)
- Предоставляет клиентам в Калифорнии дополнительные права и защиту касательно того, как бизнес-компании могут использовать их персональную информацию.
- Подробная информация о соответствии продукта: Конфиденциальность ArcGIS Trust Center CCPA
- Подробная информация о соответствии компании: Примечание Esri CCPA
- Акт об ответственности и мобильность (HIPAA)
- Дает защиту персональной информации о здоровье, хранящейся в охваченных структурах, и предоставляет пациентам набор прав.
- Подробная информация о соответствии продукта: Конфиденциальность ArcGIS Trust Center HIPAA
Обоснованное решение
ArcGIS часто реализуется в различных корпоративных геопространственных схемах развертывания, чтобы соответствовать множеству стандартов безопасности. Это достигается посредством реализации либо гибридной, либо локальной схем развертывания в сочетании с компонентами безопасности сторонних разработчиков. Esri занимается подготовкой документации и разработкой рекомендаций, отвечающих таким требованиям безопасности, как следует:
- Политика безопасности службы информации об уголовном правосудии (CJIS): Обеспечение правопорядка (Law Enforcement)
- CJIS применяется ко всем организациям обеспечения порядка для предоставления управления защитой полного цикла информации об уголовном правосудии.
- STIGs - Оборона (Defense)
- STIG доступно для ArcGIS GIS Server. См. веб-сайт DISA.
- FIPS-140-2 — Криптография
- Для развертываний Windows продукты Esri совместимы с настройками параметров безопасности операционной системы Использования алгоритмов соответствия FIPS.
- Для развертываний Linux deploymen, ArcGIS Enterprise можно настроить для использования одобренных FIPS алгоритмов кодировки при транспортировке и дополнении сторонними механизмами, что обеспечивает кодировку данных в состоянии покоя, совместимую с FIPS (например, самошифруемые жесткие диски).
- PCI DSS: индустрия платежных карт
- Примечание: в отличие от других решений, описанных выше, большинство клиентов Esri не применяют требования индустрии платежных карт, используя вместо нее PCI, как базовый механизм проверки безопасности, поскольку сегодня он встроен в большинство сканеров.
Облачные провайдеры
ArcGIS Online использует провайдеров облачной инфраструктуры, отвечающих следующим требованиям:
- ISO 27001
- FedRAMP
- SOC
Подробнее см. на веб-сайтах Amazon Web Services и Microsoft Azure.