Family Educational Rights and Privacy Act (FERPA) - федеральный закон Соединенных Штатов, регулирующий доступ к записям об образовании учащихся и управление ими. FERPA предоставляет определенные права учащимся и их родителям в отношении конфиденциальности этих записей, включая право проверять и пересматривать записи об образовании учащегося, право запрашивать внесение изменений в записи, которые родитель или имеющий на это право учащийся считает неточными, и право иметь некоторый контроль над раскрытием личной идентифицируемой информации (PII) из записей об образовании.
Продукты и сервисы Esri ArcGIS используются образовательными учреждениями для различных целей, включая исследования, обучение и администрирование. Часто ArcGIS не используется учебными заведениями для обработки записей об образовании и может быть сконфигурирован таким образом, чтобы свести к минимуму требования соответствия требованиям FERPA. Однако когда эти продукты и услуги используются для хранения, обработки или передачи образовательных записей, они могут подпадать под компетенцию FERPA. Таким образом, в руках заказчика находится определение того, соответствует ли его рабочий процесс требованиям FERPA или нет.
Приверженность Esri защите безопасности и конфиденциальности данных наших клиентов включает в себя:
- Представление нашей политики конфиденциальности на независимую оценку и сертификацию
- Прохождение ежегодного аудита FedRAMP квалифицированной независимой третьей стороной
- Выполнение сканирования уязвимостей не реже чем каждые 30 дней и тестирование для оценки состояния нашей безопасности и выявления новых угроз
- Защита конфиденциальности учащихся K-12 путем отключения целевых файлов cookie
FERPA FAQ
Существуют ли какие-либо программы сертификации FERPA?
- Нет. В настоящее время не существует каких-либо специальных программ сертификации FERPA для оценки соответствия требованиям третьих сторон. Учебное заведение должно провести собственную оценку, чтобы определить, влияет ли продукт или услуга на его способность соответствовать требованиям.
Какие меры безопасности и конфиденциальности ArcGIS Online помогают соблюдать требования FERPA?
- Предоставление различных функций для безопасности продукта ArcGIS Online, таких как управление доступом на основе ролей.
- Защита передаваемых данных с помощью TLS 1.2 и в состоянии покоя с использованием 256-битного расширенного стандарта шифрования (AES-256).
- Использование физической защиты и защиты окружающей среды наших облачных провайдеров: в хостинговых центрах Esri обеспечивается круглосуточная безопасность и мониторинг с помощью нескольких уровней контроля физической безопасности, включая ограждения по периметру, вестибюли с персоналом, камеры наблюдения (CCTV), ловушки для людей, запертые клетки, детекторы движения и требования к биометрическому доступу.
- Отсутствие просмотра непубличного контента ArcGIS Online клиентов, за исключением случаев реагирования на инцидент безопасности или обращения в службу поддержки с одобрения клиента.
- Отсутствие передачи данных о клиентах третьим лицам.
- "Замораживание" клиентских данных (доступ только для чтения) на законных основаниях по запросу в службу технической поддержки.
- Отсутствие хранения данных клиентов, отличных от информации об учетной записи, которая состоит из адреса электронной почты и имени пользователя.
- Сохранение учетных записей только на срок до 60 дней после прекращения действия для содействия повторной активации продукта (по запросу клиента): по истечении этого срока учетная запись удаляется безвозвратно.
Как мне настроить организацию ArcGIS Online таким образом, чтобы свести к минимуму сбор личных данных?
- Администраторы организации могут заблокировать заполнение необязательных полей профиля пользователя (таких как имя и фамилия, название компании, номер телефона и фотография профиля), чтобы свести к минимуму передачу личной информации.
- Для получения более подробных рекомендаций по обеспечению конфиденциальности, касающихся использования наших продуктов в образовательных учреждениях, ознакомьтесь с нашим руководством для школ ArcGIS Online School Guidance и документом ArcGIS Location Sharing Privacy Best Practices в разделе ресурсов ниже.
Какие последствия для ArcGIS Online имеет COPPA?
- Children's Online Privacy Protection Act (COPPA) является дополнительным законом, направленным на защиту конфиденциальности детей; однако он напрямую не применим к ArcGIS Online. Children's Online Privacy Protection Act (COPPA) - федеральный закон США, принятый для защиты конфиденциальности детей младше 13 лет. Им управляет Федеральная торговая комиссия (FTC).
- COPPA применяется к веб-сайтам и онлайн-сервисам, предназначенным для детей, и предусматривает, что эти сайты и сервисы должны требовать согласия родителей на сбор и использование любой личной информации, принадлежащей детям.
- Клиенты несут ответственность за получение любого родительского согласия на использование ArcGIS Online любым конечным пользователем, если это применимо.
- ArcGIS Online не ориентирован на детей младше 13 лет, однако он может использоваться такими детьми, скорее всего, в рамках школьной образовательной программы. Следуя приведенному ниже руководству ArcGIS Online School Guidance, учебные заведения могут лучше соответствовать общепринятым правилам конфиденциальности учащихся, таким как COPPA, FERPA и даже GDPR.
- Чтобы обеспечить конфиденциальность несовершеннолетних, Esri автоматически отключает целевые файлы cookie для учащихся, использующих учетные записи пакета ArcGIS for Schools.
Ресурсы
- ArcGIS Online School Guidance (Public)
- HECVAT Lite (документ Public Trust Center)
- ArcGIS Security Advisor Validation Tool (документ Public Trust Center)
- ArcGIS Online and Enterprise Best Practices Checklist (Public)
- Esri Products and Services Privacy Statement Supplement (Public)
- ArcGIS Location Sharing Privacy Best Practices (документ Public Trust Center)