Skip To Content

合规性

ArcGIS 的设计和管理均符合法规、标准和最佳做法。 Esri 的合规性举措分为四个类别:

  • 产品和服务安全性 - 基于 Esri 产品和服务的安全合规性
  • 隐私倡议 - 公司和产品隐私承诺
  • 基于解决方案 - 部署模式符合合规性要求
  • 云提供商 - ArcGIS Online 云基础架构提供商的合规性

产品和服务安全性

以下合规性举措特定于 Esri 发布的产品和服务:

  • FedRAMP Tailored 低级:基于云的生产 SaaS 的联邦机构要求
  • FedRAMP 中等认证:基于云的生产系统的联邦机构要求
    • Esri Managed Cloud Services (EMCS) Advanced Plus 是一种 FedRAMP 中等机构授权的服务,最初由美国人口普查局赞助。 它是基于云的安全基础架构和执行环境,可以满足托管 ArcGIS Enterprise 更高的安全要求。
  • SOC 1、2 和 3 报告:美国注册会计师协会 (AICPA) 服务性机构控制体系鉴证 (SOC) 框架。
    • ArcGIS Online 不会执行重复/单独 SOC 审计,因为已取得更高级的 FedRAMP 授权(其中包括年度第三方评估)。 对 SOC 报告中涉及服务所使用的云架构提供商的相关信息感兴趣的客户,可以直接从相应的提供商 Amazon Web ServicesMicrosoft Azure 处获取报告。
    • 不需要严格的 EMCS Advanced Plus 和 FedRAMP 中等授权的客户可以选择使用具有 SOC 2 Type 2 评估和报告的 EMCS 服务(2018 年 12 月 14 日生效)。 可以通过发送电子邮件至 ManagedCloudServices@esri.com 来请求 EMCS 的报告(包括在保密协议中)(不适用于 ArcGIS Online 请求)。
  • USGCB 和 FDCC:基于 Desktop 的产品的联邦机构要求
    • ArcGIS Desktop 版本 9.3、9.3.1 和版本 10 经 FDCC 自行认证。 FDCC 已被取代并演化为 USGCB,因此 ArcGIS Desktop 版本 10.1 及更高版本是 USGCB 自行认证的。
    • ArcGIS Pro 1.4.1 及更高版本是经 USGCB 自行认证的
  • Section 508:针对残障人士的联邦机构软件无障碍性要求
    • Esri 的目标是设计并实施符合 Section 508 法案的无障碍 GIS 产品和技术。

隐私倡议

Esri 作为一家公司,其产品符合以下隐私标准/法规:

  • GDPR:一般数据保护条例
    • 在处理欧盟公民的私人信息方面,我们的公司和产品符合此法规。
  • 隐私之盾:隐私保证认证

基于解决方案

ArcGIS 经常应用于不同的企业级地理空间部署模式,因此符合多种安全标准。 这通过混合部署或本地部署完成,并能由第三方安全组件进行补充。 Esri 正在记录并验证最佳做法指导,以促进满足各项安全要求,例如:

  • CJIS:执法人员
  • HIPAA:医疗保健
    • 注意:虽然 Esri 服务目前尚未通过 HIPAA 合规性验证,但我们的许多客户仍将我们的产品与安全/隐私工具和流程结合使用,以提供符合 HIPAA 的解决方案。
  • STIGs:国防
  • FIPS 140-2:加密模块
    • 注意:在 Windows XP 及更高 Windows 版本中,Esri 产品可以兼容“使用 FIPS 合规性算法...”安全设置。
  • PCI DSS:支付卡行业
    • 注意:与以上列出的其他解决方案不同,由于 PCI 目前已内置在许多扫描仪中,因此大多数 Esri 客户并未要求符合支付卡行业认证,而是将 PCI 用作基本安全合规性验证机制。 2015 年,PCI 校验包括仅适用于系统的 TLS 1.1 及更高版本保证。 有关详细信息,请参阅 ArcGIS 的 TLS 指南

云提供商

ArcGIS Online 使用符合以下要求的云基础设施提供商:

  • ISO 27001
  • FedRAMP
  • SSAE16 SOC1 类型 2

有关详细信息,请参阅 Amazon Web ServicesMicrosoft Azure 网站。

FedRAMP 徽标 FISMA 徽标隐私之盾徽标