大流行和虛擬學習使教育機構面臨更大的合規風險。 瞭解如何在虛擬世界中駕馭 FERPA 合規性。
《家庭教育權利與隱私法》(FERPA) 是一項美國聯邦法律,使父母有權存取其子女的教育記錄、尋求修正其權利,以及有權控制從教育記錄中披露個人身份資訊的權利。 這些權利轉讓給年滿 18 歲的學生或進入任何年齡的高等教育機構。
學生記錄包括(但不限於)成績,成績單,班級列表,學生課程時間表,學生財務信息,學生紀律文件和 K-12 級別的健康記錄-包括與 COVID-19 相關的個人數據。 根據 FERPA,教育機構必須保護每個學生記錄中存在的個人身份信息(PII)。
該法律適用於根據教育部長管理的任何計劃獲得資金的所有教育機構和機構。 當機構或機構違反 FERPA 規則時,可能會有完全撤回聯邦資助的風險。 您可以在 20 美國法規 § 1232 克找到 FERPA 法規,並在 34 CFR 第 99 部分找到 FERPA 法規。
遠程教職員和學生提高了 FERPA 法規遵循風險
這一點也不奇怪,大流行使教育機構面臨更多的合規風險。 然而,許多人還沒有做好充分的準備,以避免違反數據隱私法律,包括 FERPA。
考慮加州大學(UC)的情況。 2020 年 12 月 24 日,大學的 Accellion 文件傳輸設備(FTA)在針對性網絡攻擊中遭到入侵,導致重大數據洩露。 根據 UC 發布的常見問題解答,在違規行為中被盜的學生 PII 可能包括「全名,地址,電話號碼,社會安全號碼,駕駛執照信息,護照信息,包括銀行路由和帳戶號碼,健康和相關福利信息,殘疾信息和出生日期,以及提供給 UC 的其他個人信息。」
可悲的是,UC 向學生(以及更大的 UC 社區)透露,一些 PII 已經在 2021 年 3 月 29 日之前發佈到互聯網上。
除了當時學生的 PII 被盜和發布之外,UC 系統的新申請人還收到了壞消息:「加州大學 2020-2021 學年提交的申請所提交的信息受到了影響。 此信息可能包括出生日期,性別認同,家庭家庭收入水平,種族和/或部落隸屬關係以及第一語言,性取向,學術信息(GPA,考試成績)以及您是否已接受寄養,」UC 常見問題解答說。
為了防止未來學生 PII(以及其他人的 PII)的損失,UC 通知社區,它已經採取了四個主要步驟:
停用加速技術
開始過渡到更安全的解決方案
正在與聯邦調查局合作
聘請外部網路安全專家進一步調查
在同一常見問題集的後續部分中,UC 還指出,它正在加強安全控制,流程和程序。
為 FERPA 法規遵循做好準備的成本
當然,撤回聯邦資金的可能性應該促使加州大學和其他機構/機構在 2020 年 12 月襲擊之前更好地做好準備。 如果這還不夠,請考慮 UC 因數據洩露而產生的其他費用。 至少,額外費用包括以下內容:
高價網絡安全和鑑識顧問的費用
在沒有通知的情況下,「撕裂和更換」一個或多個技術解決方案的 IT 成本
與受害者的潛在法律訴訟相關的法律費用
花費在快速開發新的安全控制、流程和程序上的資源
決定放棄加州大學的學生和申請人失去學費和費用
對 UC 品牌聲譽造成長期損害
最重要的是,您的教育機構需要做好更好的準備,以確保學生 PII 的安全,尤其是近年來網絡攻擊的速度飆升。
虛擬世界中的 FERPA 法規遵循
Splashtop 二十年來一直為頂級教育機構提供遠端存取、遠端支援和協作。 這使我們具有獨特的資格,可以為您提供符合 FERPA 法規遵循的最佳實踐,同時為學生,教職員和員工提供虛擬學習環境。 遵循以下 4 個經過驗證的最佳做法,以確保學生的 PII 更安全。
最佳實踐 #1:更新您的網絡安全策略以反映「遠程工作」現實
許多人不熟悉數據安全問題,只是不知道他們的行為如何導致數據洩露。 您機構中的每個人都必須得到通知和意識,以防止學生 PII 暴露。
通知員工的最佳方法是建立並共享網絡安全政策,指導他們如何保護學生記錄數據的安全。 IT 安全政策可以是一個簡單的文件。 它應該解釋它存在的原因,並提供所有員工都應遵循的特定安全協議(以非技術術語言)。 它還應該為需要額外幫助了解它的員工提供聯繫人來源(電子郵件或電話號碼)。
Splashtop 如何遵循這種最佳實踐
例如,在 Splashtop,我們開發了「安全政策」作為技術和組織措施(ToMS)的一部分。 這些內容描述了 Splashtop 實施和維護的安全措施和控制,以保護和保護我們存儲和處理的數據。
我們的資訊科技保安專家會定期檢討及修訂我們的資訊科技保 Splashtop 員工每年完成信息安全培訓,並遵守 Splashtop 的道德業務行為,機密性和安全政策,如我們的「行為準則」中所述。
如果您有策略,但由於允許遠程工作而未對其進行更新,則可以快速創建包含遠程工作規則和提示的遠程工作策略。 專注於遠端員工應如何採取行動來保護個人資訊和公司資料的安全,尤其是在家工作時。
最佳實踐 #2: 培訓員工,並確保 IT 可以支持他們
如上所述,Splashtop 員工每年完成信息安全培訓,並遵守 Splashtop 行為準則中規定的 Splashtop 道德業務行為,機密性和安全政策。
我們為 IT 團隊做好準備,以下列方式為遠端員工提供支援:
帳號與密碼策略:
Splashtop 為所有用戶分配自己的登錄名,並通過強密碼和雙因素/多因素身份驗證授予訪問權限。
數據安全控制:
Splashtop 的數據安全控制包括基於最低權限原則的基於角色的訪問,訪問監控和日誌記錄。 這意味著所有用戶在開始使用 Splashtop 系統時都具有最低級別的數據訪問權限。
存取控制:
Splashtop 實施了訪問控制以管理對數據和系統的電子訪問。 我們的存取控制是基於權限層級、需要知道的參數,以及為存取系統的人員提供明確的職責分離。
保安事故應變:
Splashtop 建立了「安全事件響應」程序,使 Splashtop 能夠調查,響應,緩解和通知與 Splashtop 服務和信息資產相關的事件。
最佳做法 #3: 在傳輸過程中和靜態時保持資料加密
當員工遠端工作時,維護資料保護的兩個關鍵是加密和存取控制。
加密:
Splashtop 對傳輸中和靜態中的所有用戶數據進行加密,並且使用 TLS 安全地建立所有用戶會話。 每個會話中訪問的內容始終通過 256 位 AES 加密。
存取控制:
Splashtop 實施了訪問控制以管理對數據和系統的電子訪問。 我們的訪問控制基於權威級別,需要知道的級別以及訪問系統的人員的職責分離。
附加提示:Splashtop 故意避免了過多的數據收集-這是太多企業在沒有合法原因的情況下做的事情。 通過不收集敏感數據/信息,我們更容易與法規保持一致。 我們僅收集,存儲和處理有限的 PII,例如用戶名(電子郵件),密碼和會話日誌(供客戶查看,故障排除等),Splashtop 不根據 GDPR 和 CCPA 準則出售客戶信息。
最佳做法 #4: 使用安全的遠端存取
Splashtop 的遠端存取解決方案遵循零信任方法。 當員工遠端存取辦公室電腦或工作站時,他們會通過特殊的 Splashtop 連接進入。 不屬於公司網路一部分的連線。 這意味著他們只能查看和使用其遠程桌面上的數據(即 Word 文檔)。 數據永遠不會在企業網絡之外傳輸。 IT 安全領導者還可以選擇 Splashtop 來啟用或禁用文件傳輸和打印功能,強烈建議您使用這些功能以確保合規性。
Splashtop 遠端存取引入了更多安全功能,例如設備身份驗證,兩因素身份驗證(2FA),單點登錄(SSO)等。 VPN 架構中不存在這些現代安全措施。
結論:立即開始確保學生 PII 安全
這四個最佳做法代表簡單、常識的步驟,這些步驟不僅可以保護學生的 PII,還能保護您的機構整體。 此外,防止由於 FERPA 違規引起的廣泛數據洩露。 一盎司的預防措施可以為您節省修復成本和品牌損害。
訪問我們的遠端桌面進行遠端&混合學習頁面,以了解有關 Splashtop 如何增強遠距離學習的更多信息。
