<kbd id="jepwwjfe"></kbd><address id="m6dn9uc7"><style id="us2aol37"></style></address><button id="i227gdg5"></button>

          数据安全策略

          学校循环数据安全性:
          一般安全实践和政策

          (2017年8月更新)

          介绍

          今天教育技术公司如何保护数据以及它们是否从销售数据或广告中获利,有许多问题。从2004年开始,学校循环从来没有也不会出售任何学生或父数据(或任何系统数据)。我们不销售广告或携带广告。我们经常审查和更新我们的行业标准的安全实践和系统。

          本文件一般讨论数据安全,FERPA合规性,以及AB1584,SB177 SOPIPA遵从性的要求。

          电子邮件: data_security@schoolloop.com.
          电话:(415)952-5667

          第一节:一般安全。

          1. 密码安全性。所有密码都被安全地处理并单向加密。我们无法解密密码,不提供关于管理员帐户(根管理员,容器管理员,本地管理员或域管理员)的信息或它们的相当于任何人。我们鼓励我们的地区使用LDAP集成,以便他们完全控制用户访问和密码。

          2. 地区系统的安全。我们从未获得或尝试取得未经授权的访问或修改区域系统,包括文件服务器,路由器,交换机,NDS和Internet服务。

          3. 隐私。我们遵守联邦家庭教育权和隐私法(FERPA,20 U.C.123G)的所有规定,加州教育法和地区政策有关数据的保护和保密性。我们考虑在职责课程中收集的所有数据受到保护和保密。此数据的发布只能由地区领导层以及适当的国家和联邦官员授权。

            关于FERPA和学校循环的使用,一般来说,地区由此引导 我们。教育部的执政部 在Edline和Clark County学区(内华达州拉斯维加斯)。 Edline是提供类似服务的竞争对手。教育部结论如下:

            根据所提供的信息,似乎该区内的安排学校与Edline符合这些要求,以披露教育记录到Edline作为该FERPA异常的“学校官员”的指定信息。特别是,1)Edline提供在线托管服务,允许家长查看他们的一些孩子的教育记录,Edline使用来自教育记录的信息来执行学校员工提供的这些服务; 2)Edline的在线访问服务在每个学校向Edline披露的信息中提供了“合法的教育利益”; 3)Edline从教育记录中的个人身份信息的使用和维护受到区内每个学校的直接控制。每个学校或该地区都必须确保Edline没有重新选择或允许从教育记录中重新定义任何个人身份信息,除非学校或地区有关合同的专门授权。既然学校(或区)又仍然对其服务提供商犯下的任何FERPA违规行为负责。在这方面,我们注意到Edline采取合理且适当的措施,以确保从教育记录中没有披露或向其他方提供信息,并且不会将这些信息用于任何其他目的。

            基于这一指导,加利福尼亚州和全国各地的地区使用等系统,如学校循环,并留在法律范围内。

            如上所述,学校循环提供了各种帐户类型和设置,帮助地区强制执行其策略。这些帐户可以访问不同类型的内容。可以以各种方式控制对这些帐户的访问。

            学校循环为认证员工(教师,校长和认证员工)提供角色,分类员工(我们称这些帐户员工),父母,学生和一类我们标记兽医专业人员(ASP)。 ASP账户是区的可选地区,允许区和家长批准委托人,社会工作者,课后课程的人,以及他们认为适合的其他人。

            父母和学生只能看到自己的成绩和出勤信息,以及其他此类信息,作为课堂和学校的成员。父母和学生自我登记和学区可以选择在授予任何获取之前批准每个帐户(批准是他们设置的任何过程,以验证注册人是合法的),或者允许有限地访问父母并要求核查成绩和出席。此外,所有父母和学生都有一个工具,允许他们挑战任何其他人作为父母的人的成员资格。此挑战工具向管理员发送警报,然后暂停或删除该帐户,忽略挑战,或询问更多信息。

            学校循环有管理人员,认证的员工,分类员工,其他非工作人员,学生和家长的账户类型。每种账户都旨在与隐私法规对齐。地区分配了这些角色,因此该地区有责任确保个人被分配了正确的账户类型。

            账户类型,访问权限,对帐户注册的组合,并控制对内容的控制已经证明,在帮助数百个地区以不同的方式执行其隐私政策。此外,还有各种微调设置,允许您进一步限制访问,掩盖学生的身份,并限制学生的父账户。

            在我们的历史中,我们一再改进了这些工具,以帮助地区安全使用学校循环,并在其政策指导方面使用学校循环。我们非常关注隐私和保护学生,并采取我们的责任。

          4. 重用:我们不会复制,重复,销售,重新包装或用于演示目的任何地区数据。

          5. 运输:我们提供通过SFTP或SMTP加密的安全频道,为区域发送给我们数据。我们没有直接访问地区系统。

          6. 外部安全性:我们保护我们的系统免受外部黑客和攻击。我们使用CloudFlare来保护我们的服务免受各种拒绝服务攻击。我们的服务器受到保护后的瞻博网络和思科防火墙,并坚固地限制了仅限操作所需的服务。所有管理访问都会通过与双因子身份验证的SSL加密连接发生。

          7. 内部安全性:我们保护我们的系统免于内部黑客攻击和攻击。区域数据通过将数据分段为只能通过区门户网站访问的数据库来保护。当区域上传加密数据时,导入服务器会确定相应的门户,并将加密数据发送到该门户。 Portal上的进程解密和处理数据,将其导入数据库,其中可以仅通过该特定门户访问它。数据永远不会被导入服务器解密,并且在传输到门户时将删除数据的任何暂时性副本。

            数据库备份是每天执行的,并且在它们写入磁盘之前使用256位AES在内存中加密。加密备份在备份服务器上保留三天,在本地存档服务器上45天,并在Offite Archive Server上进行90天。在该地区合同时永久保留每月加密备份。访问所有备份和存档服务器的访问仅限于上述VPN的学校循环管理人员。

          8. 地区访问区数据:在与区域合同期间,该区已完全访问所有地区数据。

          9. 在合同终止时处理数据:终止执行合同后,我们将在60天内将所有个人识别数据的数据分解。 我们还将销毁数据。

          第二节:AB1584合规性

          1. 数据所有权。在所有情况下,该区都保留了对所有学生数据的所有权和控制。

          2. 学生访问学生创建内容。学生可以通过下拉箱中的链接下载他们创建的内容。

          3. 第三方使用数据。我们不允许第三方使用学生信息超出与该地区执行的合同中定义的那些目的。

          4. 学校循环直接从父母,法律监护人和学生提供个人身份信息,并从该区出口并进口到学校循环。父母,法律监护人和学生可以查看他们进入的任何个人身份信息,或者我们从该区进口。 父母,法律监护人和学生可以纠正他们进入的任何信息。 该区必须由该地区的信息更正。

          5. 数据安全。我们采取以下步骤确保学生数据保持安全。机密学生数据存储在数据库中,只能通过学校门户或移动应用程序通过用户登录访问。门户网站申请允许访问学生数据(1)学生(2)学生的父母,(3)学校工作人员的认证成员(4)课后专业人士已获得批准的父母批准。地区可以设定父母访问的批准程序,要求父母对工作人员建立其身份。有关详细信息,请参阅上面的FERPA讨论。

          6. 违规通知。以下是我们与受影响的父母,法律监护人和符合条件的学生沟通的程序,如果有未经授权的学生记录披露:

            学校循环实现行业标准的安全程序,用于存储和访问信息,以避免任何数据的丢失或盗用,重点是保护个人数据,定义为登录凭据,永久学生ID,地址,电话号码。如果我们检测涉及个人数据丢失或盗窃的违规行为,我们的通知计划如下:

            24小时内:

            • 学校循环首席执行官首席执行官,CTO,IT铅,支持领导将讨论违反违约所知并确定解决问题所需的步骤。

            • 支持团队将通知受影响的地区并解释我们所采取的行动,我们的计划向前迈进,以及决议的时间表。我们的目标是在72小时内解决。

            • 如果需要,违约将与该区一起向地方执法部门报告。

            • 我们将通知受影响的用户,解释违约的影响,我们的计划向前迈进,以及决议与该区的分辨率的时间表。区可以选择独立和直接通知用户。

            • 如果有超过500名用户受到影响,违约通知将在我们的公司网站上发布,除非该通知受法人当局限制。

            解决方案:

            • 我们将通知该区,提供决议的详细信息,并概述保障措施,以防止重新发生。

            • 我们将通知受影响的用户,提供决议的详细信息,概述保障措施,以防止重复性,并定义他们可以采取的步骤维护他们的信息,除非此类通知受法人当局限制。

            60天内(仅限CA):

            • 在加利福尼亚州,依法,如果有超过500名居民受到影响,将通知司法部长。

          7. 数据和第三方邮政合同。我们证明,一旦区合同已过期或取消,我们将无法向第三方提供学生记录。

          8. 没有目标广告。我们不使用学生记录的个人身份信息来为学生提供广告。

          第三节:SB 1177 SOPIPA合规性

          1. 没有目标广告。我们不销售或携带广告,我们不会在我们的网站或任何其他网站上使用来自学生获得的信息的广告。

          2. 没有学生档案。除了在与该地区执行的合同中定义的学校目的,我们不会为学生创建个人资料。

          3. 没有销售学生信息。我们不出售学生信息。

          4. 信息披露。除非合法,监管,司法或安全原因,否则我们不会透露学生资料,然后仅向授权缔约方和该区批准。

          5. 合理的安全实践。学生信息通过合理的安全程序和实践保护。学生信息存储在数据库中,该数据库只能通过托管学生学校的门户访问。在离开区电脑之前,从区域传输的学生信息并未解密,直到它由门户网站本身处理。门户数据库的任何备份都会在存储在磁盘上进行加密。

          6. 删除学生数据。终止执行合同后,我们将处理所有个人可识别的数据并在合同结束后60天内将数据转移到区域。

          7. 法律要求时的信息披露。我们将在法律要求时披露学生资料,并在要求时授权教育机构。

              <kbd id="isr3fdw2"></kbd><address id="06nyv2uv"><style id="kjd62nnc"></style></address><button id="dw9rlnia"></button>