系统和组织控制 (SOC) 和鉴证业务准则公告 (SSAE) 与服务组织的审计相关。 这些标准由美国注册会计师协会 (AICPA) 制定。
SOC 是在审计期间生成的一系列报告,这些报告用于检查服务组织对于各种主题的控制措施;而 Esri 专注于安全性、可用性、处理完整性、保密性和隐私性。 SOC 报告包括 SOC 1、SOC 2 和 SOC 3 类型,每种报告都有不同的目的,并使用不同的方法论。
Esri 服务范围
ArcGIS Online CSP
ArcGIS Online 不进行单独 SOC 审计,原因是其已获得 FedRAMP 授权,其安全控制措施被视为与 SOC 2 相当甚至更优。 ArcGIS Online 托管在 Microsoft Azure 和 Amazon Web Services 的云服务提供商 (CSP) 中,这两家公司都拥有 SOC 认证,可以通过以下 CSP 直接获取:
Microsoft Azure SOC 报告:
- SOC 3 报告(公开)
- SOC 1 和 SOC 2 报告(免费/受保护)
Amazon Web Services SOC 报告:
- SOC 3 报告
- SOC 1 和 SOC 2 报告(免费/受保护)公开
EMCS Advanced
由 Esri 专业服务提供的 Esri Managed Cloud Services (EMCS) Advanced 服务已完成 SOC 2 和 SOC 3 报告,并根据 AICPA 制定的 SSAE 18 指南发布。 EMCS Advanced 适用于非联邦客户,这些客户需要一个托管的单租户选项,用于符合行业标准 SOC 2 Type 2 安全要求(包括安全性、保密性和可用性)的 ArcGIS Enterprise。
注:
EMCS 报告不适用于 ArcGIS Online,因为它是单独的单租户服务:
- EMCS SOC 2 Type 2 报告(需要 NDA)- 要获取 SOC 2 Type 2 报告,请联系您的客户经理
- EMCS SOC 3 报告(公共信任中心文档)
- 向您的客户经理发送 EMCS SOC 报告请求
My Esri
通过 My Esri 门户,客户可以管理客户帐户信息,并在购买后下载 Esri 软件产品(My Esri 不存储客户拥有的数据)。 登录 My Esri 后,客户可以查看订单、续订 ArcGIS 维护和订阅、生成产品许可、下载安装媒体、请求技术支持,并查看培训历史。
注:
Esri 公司的 My Esri SOC 2 不适用于存储在 Esri 产品和服务中的客户数据(它们完全相互隔离,并且具有不同的保证级别;有关详细信息,请参阅产品和服务的具体指南)。
- 要获取 My Esri SOC 2 报告,请联系您的客户经理。 (需要 NDA)
客户支持数据
Esri 支持部门需确保客户隐私和数据安全。 诊断和解决 Esri 产品问题时很少需要客户数据。 因此,仅在对故障排除至关重要的情况下,Esri 才会存储客户数据。 在必要情况下,我们将与客户协作,在一个符合 SOC2 标准的系统中获取他们的数据并为之提供保护。 对于美国境外的客户,客户支持数据由相应的分销商管理,并存储在他们所在的世界区域内。 例如,如果客户位于欧盟地区,他们将在欧盟区域内获得直接支持。
注:
Esri 公司的客户支持数据 SOC 2 不适用于存储在 Esri 产品和服务中的客户数据(它们完全相互隔离,并且具有不同的保证级别;有关详细信息,请参阅产品和服务的具体指南)。
- 要获取客户支持数据 SOC 2 报告,请联系您的客户经理。 (需要 NDA)