La pandémie et l'Apprentissage virtuel ont exposé les établissement d'eingenment 具有更大的合规风险。decouvrez comment 在虚拟世界中尊重 FERPA 法律的要求。
Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale américaine qui donne aux parents le droit d'accéder aux dossiers scolaires de leurs enfants, le droit de demander des modifications de ces dossiers et le droit d'exercer un certain contrôle sur la divulgation des données à caractère personnel contenues dans les dossiers scolaires. Ces droits sont transférés à l'élève lorsqu'il atteint l'âge de 18 ans ou bien lorsqu'il entre dans un établissement d'enseignement postsecondaire, quel que soit son âge.
Les des élèves comprennent(sans s'y limiter)le leveau scolaire、les releves des listes de leves、les financiers des elèves、les des leves forsiers des leveaux pornet、les des leves des leves des leves fors mediaux secondaires,包括在COVID上列出的个人数据。 在vertu de la loi FERPA中,les établissement d'enseignement doivent protéger les données a caractère (DCP),qui de caractère do caractère protecent do chactère pro
La loi s'applique a tous les les educatifs et establissement d'enseignement qui quivent des lequivent des lecure de le creque de les d'Educatifs 和establisse Lorsqu'un oragime ou en établissement enfreint les règles de la FERPA,il risque un retrait complet du soutien financier Fedéral。 Vouverez la lo ferpa dans le U.S.C. 第 20 名,第 1232g 段,以及 FERPA 在 CFR 第 34 名,第 99 条。
Les prosseurs、le performant et lesleves travaillant a de ferpa
Il n'est surprenant que la pandémie ait 暴露了 les établissementdes d'enseignement a un recformité accru。 Pourtant,beaucoup d'entre eux ne sont pas bien preparés pour éviter d'enfreindre les lois son lo lo lo données,notamment la loi FERPA。
Prenons le cas de l'Université de Californie (UC). Le 24 décembre 2020, le système de transfert de fichiers (FTA) Accellion de l'université a été compromis par une cyberattaque ciblée, ce qui a provoqué une importante violation de données. Selon une FAQ publiée par l'UC, les données à caractère personnel des étudiants qui ont été volées au cours de cet incident comprenaient probablement « des noms complets, des adresses, des numéros de téléphone, des numéros de sécurité sociale, des informations figurant sur les permis de conduire, des informations figurant sur les passeports, des informations financières, dont des codes de banque et des numéros de compte bancaire, des informations sur la santé et la couverture médicale, des informations sur le handicap et des dates de naissance, ainsi que d'autres informations personnelles fournies à l'UC ».
Malheureusement,l'UC a revélé aux studiants(et l'ensemble de l'UC communte)que des des des données a caractère aveant de de persont de de de de de personte de de de de personte
Outre le vol et la publisse des des des caractère des des percancére des alors 在加州大学注册的学生,les carnidats ayant 向加州大学申请 ont equement req de mauvaises nouvelles:“加州大学2020年学年报名申请中包含的信息 2021 ont été affectées。 这些信息可能包括他们的出生日期、他们的性身份、他们门厅的收入等级、他们的原籍种族和/或隶属关系 et leur première lugue、他们的性取向、leur resultats(moyenne générale、seultats aur test)和 s'ils ont béneficié 在 Famille d'accueil 中占有一席之地”,这是 UC 的常见问题解答。
为了 prévenir de telles pertes de données a caractère persones,que soit de studiants or d'autres personnes,l'uc a formantes qu'elle avait pris quarte mosures:
取消了 Accellion 技术公司的服务
Transition amorcée vers une solution plus sécurisée
与联邦调查局的合作
聘请网络安全领域的外部专家来了解调查结果
在 ultérieure de la mème 常见问题解答一节中,l'uc a egalement 宣布 qu'elle travaillait a l'amélioration de securôles、processus 和安全程序。
Les coûts d’un manque de préparation à la conformité FERPA
可以肯定的是,撤回联邦财政的可能性 aurait du motiver l'UC et d'autres étres étres étras établissements/orgimes a mieux se préparer vant l'ataque de 2020 年 12 月的进攻。 如果 cela 还不够,considérez les couts auxquels l'UC a du faire face a suite de la ovaire de de données。 Ces counts compennent aumpornent aumpornent les 以下元素:
网络安全与犯罪主义顾问的荣誉们 très couteux
Les coouts informatiques li a mise hors service et au plusieurs technologiques dans un délai très court
Frais juridiques associés aux éventuelles actions en justice des victimes
Les resourcrées au resoucrées au developement de nouveaux nouvéles、Processus 和 Procedures de securité
La perte des frais de scolarité et des lèves et des elèves et des cont renonce a redudier a l'UC
从长远来看,la marque de la marque UC 的声誉会降低
En résumé, votre établissement d'enseignement doit être mieux préparé à assurer la sécurité des données à caractère personnel des élèves/étudiants, d'autant plus que le taux de cyberattaques a explosé ces dernières années.
在虚拟世界中尊重 FERPA
Depuis deux décennies, Splashtop fournit des services d'accès à distance, de support à distance et de collaboration à des établissements d'enseignement de premier plan. Nous sommes ainsi particulièrement qualifiés pour vous indiquer les meilleures pratiques en matière de conformité à la FERPA pour la mise en place d'un environnement d'apprentissage virtuel pour les élèves/étudiants, le corps enseignant et le personnel. Suivez ces 4 meilleures pratiques éprouvées pour assurer la sécurité des données à caractère personnel de vos élèves/étudiants.
Meilleure pratique n° 1:mettez a jour votre politique de cybersecurité portre la realité du teletravail。
Beaucoup de gens ne sont pas familiers avec les securité des de des de de de de de de de de de de de de de de de de de de de de de de de d Tous les membres de votre et évablissement doivents afineviter l'exposion des personationds personationds des levèvesments des levèvesments des
La meilleure facon d'informer les et d'establir et de partager une cybertique de cybertique les partique les des les en des les securité les des les securité des les securités des les securité des les des les vossiers des elèves/ La politique de securité informatique 可能是一个简单的文档。 我应该解释自己存在的原因,并提供所有员工 doivent suivre 的特定安全协议(用非技术术语来说)。 Elle doit egalement 为不需要补充帮助来理解的员工提供联系来源(电子邮件或电话号码)。
Splashtop applique-t-elle 这个最实用的方法是什么?
Chez Splashtop, par exemple, nous avons développé des « Politiques de sécurité » dans le cadre de nos Mesures techniques et organisationnelles (Technical and Organizational Measures, TOM). Celles-ci décrivent les mesures de sécurité et les contrôles mis en place et appliqués par Splashtop pour protéger et sécuriser les données que nous stockons et traitons.
我们的 securité informatique en securité et modient regulièrement nos securité informatique。 Splashtop 的员工随后接受了信息安全培训,并在商业道德、隐私和安全方面尊重 Splashtop 的政策,这些政策是在我们的 “行为准则” 中定义的。
如果你有一项政策,但你现在不是 l'avez pas mise a jour,因为你已经授权了远程工作,那么你可以迅速制定一项远程工作政策,理解远程工作的规则和建议。 contrez-vous sur la manière dont les emanière donles a manièes a do oivent agir 确保个人信息和企业数据的安全,尤其是 lorsqu'ils travaillent ta homicile。
Meilleure pratique n° 2:formez vos en et service informatique leur 提供支持。
如前所述,Splashtop 的员工随后在信息安全方面接受培训,并尊重 Splashtop 在商业道德、隐私和安全方面的政策,就像 Splashtop 行为准则中的定义一样。
Nous preparons notre equipe informatique a soutenir les de de la minière suivante:
Politiques relatives aux comptes et aux mots de passe :
Splashtop attribue à tous les utilisateurs des identifiants qui leur sont propres et sécurise les accès par le biais de mots de passe forts et d’une authentification à deux ou plusieurs facteurs.
Contrôle de la sécurité des données :
Les contrôles de sécurité des données de Splashtop comprennent un accès basé sur les rôles selon le principe du moindre privilège, la surveillance des accès et la journalisation. Cela signifie que tous les utilisateurs ont un niveau minimal d’accès aux données lorsqu’ils commencent à utiliser le système Splashtop.
Contrôle d’accès :
Splashtop a mis en place des contrôles d’accès pour gérer l’accès électronique aux données et aux systèmes. Nos contrôles d’accès reposent sur les niveaux d’autorité, les critères de « besoin de savoir » ainsi qu’une ségrégation des tâches pour ceux qui accèdent au système.
Réponse aux incidents de sécurité :
Splashtop a mis en place des procédures de « réponse aux incidents de sécurité » qui lui permettent d’enquêter sur les événements liés aux services et aux actifs informatiques de Splashtop, d’y répondre, de les corriger et de les signaler.
Meilleure pratique n° 3:cryptez les données,aussi bien quand elles sont en transit qu'au repos。
Les deux éléments clés pour assurer la protection de vos données lorsque vos employés sont en télétravail sont le chiffrement et les contrôles d’accès.
Chiffrement :
Splashtop chiffre toutes les données des utilisateurs en transit et au repos et toutes les sessions utilisateur sont établies de manière sécurisée en utilisant TLS. Le contenu consulté au cours de chaque session est toujours chiffré au moyen du protocole AES 256 bits.
Contrôle d’accès :
Splashtop a mis en place des contrôles d’accès pour gérer l’accès électronique aux données et aux systèmes. Nos contrôles d’accès reposent sur les niveaux d’autorité, les niveaux de « besoin de savoir » ainsi qu’une séparation des tâches pour ceux qui accèdent au système.
Conseil supplémentaire : Splashtop évite délibérément la collecte excessive de données – ce que trop d'entreprises font sans raison légitime. Nous nous alignons plus facilement sur les réglementations en NE collectant PAS de données/informations sensibles. Nous ne collectons, stockons et traitons que des DCP limitées, telles que le nom d'utilisateur (email), le mot de passe et les journaux de session (pour que les clients puissent les consulter, pour le dépannage, etc.), et Splashtop ne vend pas les informations des clients conformément aux directives du RGPD et de la CCPA.
Meilleure pratique n° 4:使用安全的远程访问权限
Splashtop 的远程访问解决方案采用零信任的方法。 Lorsque les Employés accèdent a de leur de or leur poste de borautail,ils entrent par une connexion Splashtop speciale。 Une connexion qui ne fait partie du reseau de l'entreprise Cela signifie qu'ils peovent peulement visualiser et 在远程办公桌上使用数据(例如 Word 文档)。 Les données ne sortent jamais du reseau de l'entreprise 有了 Splashtop,负责信息安全的人员也选择启用或禁用文件传输和打印功能,为了保持一致性,推荐使用这些功能。
L'accès à distance de Splashtop introduit encore plus de fonctionnalités de sécurité, telles que l'authentification du dispositif, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et bien d'autres. Ces mesures de sécurité modernes n'existent pas dans l'architecture VPN.
结论:bromencez dès Mainnant a protéger les DCP de vos élèves/estudiants
Ces quatre meilleures pratiques sont des measures simples et de bon bon seulement proticues de vos élèves/studiants,mais ausi votre et dan sense。 De plus,elles pervent de prévenir prévenir 因不尊重 FERPA 法而导致的违反一般性数据。 Mieux vaut prévenir quérir,vous vous épargnerez ainsi les countes ainsi countes aimage ainsi counte aimage ainsi counte aimages ainsi contes aintes ain
