FERPA

FERPA 常见问题解答

是否有 FERPA 认证计划？

• 否。目前尚未提供专用于评估第三方合规性的 FERPA 认证计划。 学术机构需自行评估，确定产品或服务是否影响其遵守 FERPA 的能力。

ArcGIS Online 提供了哪些有助于遵守 FERPA 的安全和隐私措施？

• ArcGIS Online 提供多种产品安全功能，例如基于角色的访问控制。
• 通过 TLS 1.2 确保数据传输安全，并使用 256 位高级加密标准 (AES-256) 加密静止数据。
• 利用云服务提供商的物理和环境保护措施：Esri 托管设施实行全天候安保和监控，包括多层物理安全控制，如围栏、有人值守的大厅、监控摄像头 (CCTV)、捕人陷阱、带锁牢笼、运动探测器和生物识别访问系统。
• 除非是响应安全事件或客户批准的支持案例，否则不查看客户的 ArcGIS Online 非公开内容。
• 不与第三方共享客户数据。
• 应技术支持的请求，可以“冻结”客户数据（设置为只读状态）以进行法律保全。
• 除账户信息（包括电子邮件地址和用户名）外，不存储客户数据。
• 账户终止后，至多可保留 60 天以便于重新激活产品（应客户请求），在此时间段之后将永久删除账户。

如何配置 ArcGIS Online 组织以最小化 PII 收集？

• 组织管理员可以阻止填写可选的用户个人资料字段（例如名字、姓氏、公司名称、电话号码和个人照片），以最小化个人身份信息的传输。

• 有关在 K-12 学校内使用我们产品的更多隐私指导，请参阅我们的 ArcGIS Schools Bundle 快速入门指南。

COPPA 对 ArcGIS Online 存在哪些合规影响？

• 《儿童在线隐私保护法》(COPPA) 是旨在保护儿童隐私的附加法律，但它并不直接适用于 ArcGIS Online。 《儿童在线隐私保护法》(COPPA) 是美国为保护 13 岁以下儿童隐私而制定的联邦法律。 该法律由联邦贸易委员会 (FTC) 管理。
• COPPA 适用于针对儿童的网站和在线服务，并规定这些网站和服务在收集和使用属于儿童的任何个人信息时必须获得家长同意。
• 对于适用的 ArcGIS Online 终端用户，客户有责任获取其家长的同意。

• ArcGIS Online 并不专门针对 13 岁以下儿童，但这些儿童可能会在学校教育计划中使用 ArcGIS Online。 教育机构应遵循 ArcGIS Schools Bundle 快速入门指南，以更好地遵守 COPPA、FERPA 以及 GDPR 等常见的学生隐私法规。

• 为确保未成年人的隐私安全，Esri 自动关闭了使用 ArcGIS for Schools Bundle 账户的学生的目标 Cookie。

Esri 数据处理附加文件

数据处理附加文件 (DPA) 是一份具有法律约束力的文档，概述了在处理个人数据时各方的角色、责任和义务。 DPA 旨在澄清客户对其数据的控制权，确定其使用方式和目的。 Esri 提供预签名的 DPA 供客户使用（包括教育组织）。

ArcGIS Online HECVAT Lite

Esri 对高等教育信息安全委员会 (HEISC) 提供的高等教育社区供应商评估工具 (HECVAT Lite) 的自我评估回答（适用于 ArcGIS Online）。 它有助于全面了解 ArcGIS Online 实施的使用 HECVAT Lite 框架的安全措施。 HECVAT Lite 有助于确保强有力的信息安全和安全控制措施、更新的安全程序以及有效的事件响应计划，这对高等教育机构而言至关重要。 它专为高等教育领域中的 IT 专业人员和管理员设计，旨在帮助机构做出明智的决策，以安全且符合机构政策的方式使用 ArcGIS Online。