如何在啟用虛擬學習的同時導航 FERPA 合規性

大流行和虛擬學習使教育機構面臨更多合規風險。了解如何在虛擬世界中導航 FERPA 合規性。

家庭教育權利和隱私法》 (FERPA)是一項美國聯邦法律,它賦予父母訪問其子女教育記錄的權利、尋求對其進行修改的權利,以及對披露個人身份信息有一定控制權的權利。教育記錄中的信息。這些權利轉移給年滿 18 歲或在任何年齡進入高等教育機構的學生。

學生記錄包括(但不限於)成績、成績單、班級列表、學生課程表、學生財務信息、學生紀律檔案和 K-12 級別的健康記錄——包括個人 COVID 相關數據。根據 FERPA,教育機構必須保護每個學生記錄中的個人身份信息 (PII)。

該法律適用於根據教育部長管理的任何計劃獲得資金的所有教育機構和機構。當一個機構或機構違反 FERPA 規則時,就有可能完全撤回聯邦資金支持。您可以在 20 USC § 1232g 中找到 FERPA 法規,在 34 CFR Part 99 中找到 FERPA 法規。

 

遠程教職員工和學生提高 FERPA 合規風險

大流行使教育機構面臨更多合規風險也就不足為奇了。然而,許多人並沒有做好充分的準備來避免違反包括 FERPA 在內的數據隱私法。

考慮加州大學 (UC) 的案例。 2020 年 12 月 24 日,該大學的 Accellion 文件傳輸設備 (FTA) 在一次有針對性的網絡攻擊中遭到破壞,造成重大數據洩露。根據加州大學發布的常見問題解答,在違規行為中被盜的學生 PII 可能包括“全名、地址、電話號碼、社會安全號碼、駕駛執照信息、護照信息、財務信息(包括銀行路由和帳號、健康和相關福利信息、殘疾信息和出生日期,以及提供給 UC 的其他個人信息。”

遺憾的是,UC 向學生(以及更大的 UC 社區)透露,一些 PII 已在 2021 年 3 月 29 日之前發佈到互聯網上。

除了當時學生的 PII 被盜和張貼外,加州大學系統的新申請者也收到了壞消息:“加州大學 2020-2021 學年提交申請的信息受到影響。這些信息可能包括出生日期、性別認同、家庭收入水平、種族和/或部落歸屬和第一語言、性取向、學術信息(GPA、考試成績),以及您是否接受過寄養,”加州大學表示常問問題。

為了防止學生 PII(和其他人的 PII)在未來丟失,UC 通知社區它已經採取了四個主要步驟:

  1. 停用 Accellion 技術
  2. 開始過渡到更安全的解決方案
  3. 與聯邦調查局合作
  4. 聘請外部網絡安全專家進行進一步調查

在同一常見問題解答的後續部分中,UC 還表示正在加強安全控制、流程和程序。

 

沒有為 FERPA 合規做好準備的成本

當然,撤回聯邦資金的可能性應該促使加州大學和其他機構/機構在 2020 年 12 月的襲擊之前更好地做好準備。如果這還不夠,請考慮 UC 因數據洩露而產生的其他成本。至少,額外費用包括以下內容:

  • 高價網絡安全和取證顧問的費用
  • 在沒有通知的情況下“淘汰和替換”一種或多種技術解決方案的 IT 成本
  • 與受害者可能採取的法律行動相關的法律費用
  • 用於快速開發新的安全控制、流程和程序的資源
  • 決定放棄加州大學的學生和申請人的學雜費損失
  • UC品牌聲譽長期受損

最重要的是,您的教育機構需要做好更好的準備,以確保學生 PII 的安全,尤其是在近年來網絡攻擊率飆升的情況下。

 

虛擬世界中的 FERPA 合規性

二十年來,Splashtop 一直為頂級教育機構提供遠程訪問、遠程支持和協作。這使我們有資格為您提供 FERPA 合規性的最佳實踐,同時您為學生、教職員工提供虛擬學習環境。遵循這 4 個經過驗證的最佳實踐,以確保學生的 PII 更安全。

 

最佳實踐 #1:更新您的網絡安全政策以反映“遠程工作”現實

許多人不熟悉數據安全問題,根本不知道他們的行為如何導致數據洩露。您機構中的每個人都必須被告知和了解,以防止學生 PII 暴露。

通知員工的最佳方式是製定和共享網絡安全政策,指導他們如何保護學生記錄數據的安全。 IT 安全策略可以是一個簡單的文檔。它應該解釋它存在的原因,並提供所有員工都應該遵循的特定安全協議(以非技術術語)。它還應該為需要額外幫助理解它的員工提供聯繫來源(電子郵件或電話號碼)。

Splashtop 如何遵循此最佳實踐

例如,在 Splashtop,我們開發了“安全策略”作為我們的技術和組織措施 (TOM) 的一個子集。這些描述了 Splashtop 實施和維護的安全措施和控制措施,以保護和保護我們存儲和處理的數據。

我們的 IT 安全專家會定期審查和修改我們的 IT 安全政策。 Splashtop 員工每年完成信息安全培訓,並遵守我們的“行為準則”中規定的 Splashtop 道德商業行為、保密和安全政策。

如果您有策略但在允許遠程工作後未對其進行更新,您可以快速創建包含遠程工作規則和提示的遠程工作策略。關注遠程員工應如何保護個人信息和公司數據的安全,尤其是在家工作時。

 

最佳實踐 #2:培訓員工並確保 IT 能夠支持他們

如上所述,Splashtop 員工每年完成信息安全培訓,並遵守 Splashtop 行為準則中規定的 Splashtop 道德商業行為、保密和安全政策。

我們準備我們的 IT 團隊通過以下方式支持遠程員工:

  • 帳戶和密碼策略: Splashtop 為所有用戶分配自己的登錄名,並通過強密碼和雙因素/多因素身份驗證授予訪問權限。
  • 數據安全控制: Splashtop 的數據安全控制包括基於最小權限原則的基於角色的訪問、訪問監控和日誌記錄。這意味著所有用戶在開始使用 Splashtop 系統時都擁有最低級別的數據訪問權限。
  • 訪問控制: Splashtop 實施了訪問控制來管理對數據和系統的電子訪問。我們的訪問控制基於權限級別、需要知道的參數和訪問系統的人員的明確職責分離。
  • 安全事件響應: Splashtop 已建立“安全事件響應”程序,使 Splashtop 能夠調查、響應、緩解和通知與 Splashtop 服務和信息資產相關的事件。

 

最佳實踐#3:在傳輸和靜止時保持數據加密

當您的員工遠程工作時,維護數據保護的兩個關鍵是加密和訪問控制。

  • 加密: Splashtop 對所有傳輸中和靜態的用戶數據進行加密,而且所有用戶會話都使用 TLS 安全地建立。每個會話中訪問的內容始終通過 256 位 AES 加密。
  • 訪問控制: Splashtop 實施了訪問控制來管理對數據和系統的電子訪問。我們的訪問控制基於權限級別、需要知道的級別以及訪問系統的人員的職責分離。

附加提示: Splashtop 故意避免過度收集數據——太多企業在沒有正當理由的情況下這樣做。通過不收集敏感數據/信息,我們更容易與法規保持一致。我們僅收集、存儲和處理有限的 PII,例如用戶名(電子郵件)、密碼和會話日誌(供客戶查看、故障排除等),並且 Splashtop 不會根據 GDPR 和 CCPA 指南出售客戶信息。

 

最佳實踐#4:使用安全遠程訪問

Splashtop 的遠程訪問解決方案遵循零信任方法。當員工遠程訪問他們的辦公室計算機或工作站時,他們通過特殊的 Splashtop 連接進入。不屬於公司網絡的連接。這意味著他們只能在遠程桌面上查看和使用數據(即 Word 文檔)。數據永遠不會在公司網絡之外傳播。 IT 安全領導者還可以選擇使用 Splashtop 來啟用或禁用文件傳輸和打印功能,強烈建議這樣做以確保合規性。

Splashtop 遠程訪問引入了更多安全功能,例如設備身份驗證、雙重身份驗證 (2FA)、單點登錄 (SSO) 等。 VPN 架構中不存在這些現代安全措施。

 

結論:從現在開始確保學生 PII 的安全

這四個最佳實踐代表了簡單的常識性步驟,不僅可以保護學生的 PII,還可以保護整個機構。此外,防止因違反 FERPA 引起的廣泛數據洩露。一盎司的預防可以使您免於補救成本和品牌損害。

 

訪問我們的遠程桌面遠程、遠程和混合學習頁面,了解有關 Splashtop 如何增強遠程學習的更多信息。

 

 

相關內容

Splashtop 入選 2021 年 EdTech 十大學生互動解決方案

如何確保您的遠程員工符合 HIPAA

管理遠程員工的 GDPR 和 CCPA 合規性

 

部落格下方的免費試用橫幅
Splashtop 最佳價值

訂閱部落格

RSS

遠程訪問和支持中的速度很重要

2022 年 4 月 27 日,星期三

如何從 PC 操作移動設備

2022 年 4 月 27 日,星期三

MSP 如何減輕網絡攻擊造成的損失

2022 年 4 月 26 日,星期二

靈活工作時代的遠程用戶軟件

2022 年 4 月 26 日,星期二

從電話訪問您的遠程桌面

2022 年 4 月 21 日星期四

樹莓派遠程桌面 |如何遠程訪問和控制

2022 年 4 月 19 日,星期二

遠程桌面如何工作?

2022 年 4 月 19 日,星期二