System and Organization Controls (SOC) и Statement on Standards for Attestation Engagements (SSAE) связаны с аудитами сервисных организаций. Это стандарты, установленные American Institute of Certified Public Accountants (AICPA).
SOC - это набор отчетов, подготовленных в ходе аудита, и в этих отчетах рассматриваются средства контроля в сервисной организации, относящиеся к различным типам объектов, но здесь, в Esri, мы фокусируемся на безопасности, доступности, целостности обработки, конфиденциальности и неприкосновенности частной жизни. Существуют различные типы отчетов SOC: SOC 1, SOC 2 и SOC 3, каждый из которых служит своей цели и использует разные методологии.
Сервисы Esri
ArcGIS Online CSP
ArcGIS Online не выполняет отдельный аудит SOC, поскольку он авторизован FedRAMP, который считается соответствующим эквивалентным или лучшим средствам контроля безопасности, чем SOC 2. ArcGIS Online размещен у поставщиков облачных сервисов (CSP) Microsoft Azure и Amazon Web Services, которые имеют сертификаты SOC, получаемые непосредственно через CSP, указанные ниже:
Отчеты Microsoft Azure SOC:
- Отчет SOC 3 (Public)
- Отчеты SOC 1 и SOC 2 (бесплатные/защищенные)
Отчеты Amazon Web Services SOC:
- Отчет SOC 3
- Отчеты SOC 1 и SOC 2 (бесплатные/защищенные) Public
EMCS Advanced
Сервис Esri Managed Cloud Services (EMCS) Advanced от Esri Professional Services дополняет отчеты SOC 2 и SOC 3 и выпускается в соответствии с руководством SSAE 18, разработанным AICPA. Предложение EMCS Advanced доступно для клиентов из других стран, которым требуется размещенный однопользовательский вариант ArcGIS Enterprise, соответствующий требованиям отраслевого стандарта SOC 2 Type 2 для безопасности, конфиденциальности и доступности.
Примечание:
Отчеты EMCS неприменимы к ArcGIS Online, поскольку это отдельное предложение услуг для одного пользователя:
- Отчет EMCS SOC 2 Type 2 (требуется NDA) - для получения отчета SOC 2 Type 2, пожалуйста, свяжитесь с вашим менеджером по работе с клиентами
- Отчет EMCS SOC 3 (документ Public Trust Center)
- Отправляйте запросы на отчет EMCS SOC своему менеджеру по работе с клиентами
My Esri
Клиенты используют портал My Esri для управления информацией об учетной записи клиента и загрузки программных продуктов Esri при покупке (My Esri не хранит данные, принадлежащие клиенту). После входа в My Esri клиенты могут просматривать заказы, продлевать обслуживание ArcGIS и подписки, генерировать лицензии на продукт, загружать установочные носители, запрашивать техническую поддержку и просматривать историю обучения.
Примечание:
Корпоративный SOC 2 Esri для My Esri неприменим в тех случаях, когда данные клиентов хранятся в продуктах и услугах Esri (они полностью отделены друг от друга и имеют разные уровни надежности, подробности см. в руководстве по конкретным продуктам и услугам).
- Чтобы получить отчет My Esri SOC 2, пожалуйста, свяжитесь со своим менеджером по работе с клиентами. (Требуется NDA)
Данные поддержки пользователей
Служба поддержки Esri обеспечивает конфиденциальность клиентов и безопасность данных. Данные клиентов редко требуются для диагностики и устранения проблем с продуктами Esri. Таким образом, Esri сохраняет данные клиента только в том случае, если это имеет решающее значение для устранения неполадок. При необходимости мы сотрудничаем с клиентами для получения и защиты их данных в системе, совместимой с SOC 2. Для клиентов за пределами Соединенных Штатов данные службы поддержки управляются соответствующим дистрибьютором и хранятся в пределах их региона мира. Например, если клиент находится в регионе Европейского союза (ЕС), он получает прямую поддержку в ЕС.
Примечание:
Корпоративный SOC 2 Esri для данных поддержки пользователей неприменим в тех случаях, когда данные клиентов хранятся в продуктах и услугах Esri (они полностью отделены друг от друга и имеют разные уровни надежности, подробности см. в руководстве по конкретным продуктам и услугам).
- Чтобы получить отчет SOC 2 для данных поддержки пользователей, пожалуйста, свяжитесь со своим менеджером по работе с клиентами. (Требуется NDA)