TSplus Advanced Security Logo

Czy chciałbyś zobaczyć stronę w innym języku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmień język
Spis treści
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

Ustawa FERPA o edukacji w USA chroni dokumenty edukacyjne uczniów i kształtuje sposób, w jaki szkoły zarządzają dostępem cyfrowym, pracą zdalną i oprogramowaniem osób trzecich. Dla administratorów IT w szkołach i zespołów IT w szkolnictwie wyższym, FERPA to nie tylko polityka dotycząca dokumentów. To także kwestia kontroli dostępu zarządzanie dostawcami i prywatność danych.

Co to jest ustawa FERPA w prawie edukacyjnym USA?

FERPA oznacza Ustawa o prawach edukacyjnych rodzin i prywatności Jest to amerykańska federalna ustawa o prywatności w edukacji, która chroni prywatność zapisów edukacyjnych studentów. Departament Edukacji USA publikuje przepisy FERPA na podstawie 34 CFR Część 99 Ustawy o Ogólnych Przepisach Edukacyjnych (GEPA). Określają one prawa, zasady ujawniania i obowiązki zgodności dla objętych instytucji edukacyjnych. Innymi słowy, ta federalna ustawa z 1974 roku reguluje dostęp do informacji edukacyjnych i zapisów przez publiczne podmioty, takie jak rodzice, studenci i instytucje.

Co oznacza akronim FERPA?

FERPA oznacza Ustawa o prawach edukacyjnych rodzin i prywatności W praktyce FERPA przyznaje rodzicom i uprawnionym uczniom prawa do dokumentów edukacyjnych. Uprawniony uczeń to zazwyczaj uczeń, który ukończył 18 lat lub uczęszcza do instytucji szkolnictwa wyższego, w którym to momencie prawa FERPA przechodzą z rodzica na ucznia.

Dla zespołów IT najważniejszy punkt jest prosty: FERPA ma zastosowanie, gdy system przechowuje, wyświetla, przesyła lub udostępnia dostęp do informacji umożliwiających identyfikację osób z dokumentów edukacyjnych.

Do kogo odnosi się FERPA?

FERPA dotyczy agencji edukacyjnych i instytucji otrzymujących fundusze w ramach odpowiednich programów Departamentu Edukacji USA. Obejmuje to wiele szkół K-12, dystryktów szkolnych, uczelni i uniwersytetów.

FERPA nie dotyczy każdej firmy korzystającej z danych edukacyjnych. Jednak dostawca oprogramowania może być zaangażowany w zobowiązania FERPA, gdy działa jako przedstawiciel szkoły, wykonawca, konsultant lub zewnętrzny dostawca usług dla objętej instytucji. Zgodnie z wyjątkiem przedstawiciela szkoły, wykonawca może uzyskać dostęp do dokumentów edukacyjnych tylko wtedy, gdy wykonuje usługę instytucjonalną, pozostaje pod bezpośrednią kontrolą szkoły i przestrzega ograniczeń FERPA dotyczących użycia i ponownego ujawnienia.

Jakie dane studentów chroni FERPA?

Rekordy edukacyjne

FERPA chroni dokumenty edukacyjne, które są bezpośrednio związane z uczniem i są przechowywane przez agencję edukacyjną, instytucję lub stronę działającą w imieniu tej agencji lub instytucji. W środowiskach zdalnego dostępu chronione informacje mogą obejmować oceny, transkrypty, rejestry obecności, akta dyscyplinarne, identyfikatory uczniów, listy klasowe, dokumenty dotyczące pomocy finansowej oraz dokumenty w systemie informacji o uczniach.

Inne informacje umożliwiające identyfikację osoby

FERPA obejmuje również informacje umożliwiające identyfikację osób z dokumentów edukacyjnych. Ma to znaczenie, ponieważ narzędzia do zdalnego dostępu mogą nie przechowywać bezpośrednio rekordów uczniów, ale mogą nadal ujawniać dane uczniów poprzez ekrany, pliki, działania w schowku, zadania drukowania, dzienniki, zrzuty ekranu lub sesje wsparcia.

Dlaczego FERPA ma znaczenie dla zdalnego dostępu?

Zdalny dostęp rozszerza się tam, gdzie systemy edukacyjne może być używane. Nauczyciele mogą łączyć się z domu, administratorzy mogą uzyskiwać dostęp do systemów informacji o studentach z poza kampusu, a zespoły IT mogą rozwiązywać problemy z urządzeniami używanymi w klasach, laboratoriach lub programach nauki zdalnej.

Taka elastyczność rodzi pytanie dotyczące FERPA: kto może uzyskać dostęp do rekordów studentów, skąd, za pomocą jakiego narzędzia i w jakim celu?

Rekordy edukacyjne w sesjach zdalnych

Identyfikacja głównej trasy ryzyka i kontroli

Sesja zdalnego pulpitu może wyświetlać te same wrażliwe dane co stacja robocza na kampusie. Jeśli nauczyciel otworzy dziennik ocen podczas sesji zdalnej, sesja może ujawnić informacje chronione przez FERPA. Jeśli administrator pobierze raport na niezarządzane urządzenie, ryzyko przenosi się z kontrolowanego dostępu do serwera na lokalne rozprzestrzenienie danych.

Ramowe zasady minimalnych uprawnień

FERPA wymaga, aby szkoły stosowały rozsądne metody identyfikacji i uwierzytelniania stron, które uzyskują dostęp do informacji umożliwiających identyfikację osób z dokumentów edukacyjnych. Wymaga również rozsądnych metod zapewnienia, że pracownicy szkoły mają dostęp tylko do dokumentów, w których mają uzasadnione interesy edukacyjne.

Dostosowanie uwierzytelniania i dostępu w celu ograniczenia ryzyka ujawnienia

Świadomość i zapobieganie

Problemy z bezpieczeństwem dostępu zdalnego zazwyczaj wynikają z słabej autoryzacji, szerokich uprawnień, niezarządzanych punktów końcowych i narażonych usług. Bezpośrednie wystawienie usług pulpitu zdalnego na Internet może również zwiększyć ryzyko ataków typu brute-force i kradzieży poświadczeń.

W razie wątpliwości wybierz najmniejsze uprawnienia

Dla wdrożeń zgodnych z FERPA, zespoły IT szkół powinny dostosować zdalny dostęp do zasady minimalnych uprawnień. Użytkownicy powinni mieć dostęp tylko do aplikacji, pulpitów i lokalizacji plików wymaganych do ich roli.

Celowo zdefiniuj przypisania grup i użytkowników

Administratorzy powinni również oddzielić profile dostępu nauczycieli, rejestratorów, finansów, wsparcia IT i studentów. Te różne grupy mogą otrzymywać różne poziomy i obszary dostępu, a w ramach każdej z nich uprawnienia powinny być nadal dostosowane do potrzeb, użytkowania i odpowiedzialności.

Wsparcie zdalne i administracja IT

Wsparcie zdalne może stworzyć narażenie na FERPA, nawet gdy technik wsparcia nie ma zamiaru przeglądać rekordów studentów. Technik może zobaczyć rekord studenta, pomagając pracownikowi, lub nieobserwowana sesja konserwacyjna może otworzyć pulpit, na którym wrażliwe dane są już widoczne. W konsekwencji:

  • Z tego powodu procesy wsparcia powinny być zaprojektowane z uwzględnieniem zgody, ograniczenia celu i minimalnej widoczności.
  • Kiedy użytkownicy mogą być uprzedzeni o interwencji, powinno to być zrobione, aby mogli zamknąć wrażliwe dokumenty, pliki i aplikacje.
  • Podobnie, gdy to możliwe, zespoły IT powinny zamykać systemy informacji o studentach przed rozpoczęciem wsparcia, chyba że inaczej określono, unikać niepotrzebnego nagrywania ekranu i dokumentować dostęp do wsparcia w przypadku, gdy widoczne są dokumenty edukacyjne.

TSplus Darmowy okres próbny pomocy zdalnej

Kosztowo skuteczna pomoc zdalna z obsługą i bez obsługi dla komputerów z systemem macOS i Windows.

Rozpocznij bezpłatny okres próbny

Obowiązki FERPA dla szkół i dostawców

Zgodność z FERPA jest odpowiedzialnością instytucji. Oprogramowanie może wspierać kontrole, ale szkoła określa polityki, role użytkowników, umowy, zasady dostępu i akceptowalne użytkowanie.

Obowiązki zespołów IT w szkołach

Zespoły IT w szkołach powinny przetłumaczyć FERPA na kontrole operacyjne. W środowiskach zdalnego dostępu oznacza to silną autoryzację, dostęp oparty na rolach, bezpieczny transport, monitorowanie, szkolenie użytkowników i zarządzanie dostawcami.

FERPA wymaga, aby szkoły prowadziły rejestry wniosków o dostęp i ujawnienia informacji osobowych z dokumentów edukacyjnych, w tym stron zaangażowanych i ich uzasadnionych interesów. To sprawia, że audytowalność jest ważna dla każdego systemu, który dotyka rekordów uczniów.

Obowiązki dostawców oprogramowania

Dostawcy nie powinni traktować FERPA jako oznaczenia produktu. Departament Edukacji USA dostarcza wytyczne szczególnie dla dostawców usług zewnętrznych, dostawców i wykonawców, którzy zajmują się danymi edukacyjnymi dla szkół.

Dostawca wspierający użycie zgodne z FERPA powinien pomóc klientom w skonfigurowaniu bezpiecznego dostępu, ograniczeniu niepotrzebnego przetwarzania danych, ochronie poświadczeń, dokumentowaniu odpowiednich kontroli oraz unikaniu nieautoryzowanego ujawnienia. Umowy powinny definiować dozwolone użycie, poufność, podwykonawcy, usunięcie lub zwrot danych, dostęp do wsparcia i powiadomienie o incydencie.

Zarządzaj swoimi decyzjami dotyczącymi zgodności

Ten artykuł dostarcza wskazówek technicznych i operacyjnych dla zespołów IT i ma na celu wyposażenie Cię w podstawy do zabezpieczania systemów dotyczących informacji o studentach. W żaden sposób nie może być traktowany jako porada prawna. Szkoły, dystrykty i uniwersytety powinny odpowiednio zweryfikować przepisy FERPA, wyjaśnić interpretacje, dopracować umowy z dostawcami i zdefiniować praktyki ujawniania z kwalifikowanym doradcą prawnym lub inspektorem ochrony prywatności.

Inne przepisy dotyczące prywatności uczniów i dzieci, które warto znać

Regulacja USA o szerszym zasięgu online:

Choć FERPA koncentruje się na USA, zespoły IT w edukacji często działają w ramach szerszych przepisów dotyczących prywatności. COPPA dotyczy operatorów stron internetowych lub usług online skierowanych do dzieci poniżej 13. roku życia lub operatorów, którzy mają rzeczywistą wiedzę, że zbierają dane osobowe od dzieci poniżej 13. roku życia.

Ochrona praw uczniów, znana jako PPRA, jest kolejnym amerykańskim prawem dotyczącym prywatności uczniów, zarządzanym przez Departament Edukacji USA. Departament identyfikuje FERPA i PPRA jako prawa dotyczące prywatności uczniów, którymi zarządza i które egzekwuje.

Globalne dyrektywy UNICEF:

W 2024 roku regionalne biuro UNICEF dla ECA opublikowało praktyczny czteroczęściowy raport na temat ochrona danych w szkołach dostępny jako PDF. Część 1 wprowadza w temat, a część 2 dotyczy globalnie ochrony danych i prywatności podczas zbierania i przetwarzania oraz zapewnienia zgodności w tym procesie. Zawierają one obowiązki, wytyczne i kroki związane z kluczowymi zagadnieniami i powiązanymi działaniami.

Tymczasem części 3 i 4 koncentrują się na nauczaniu i uczeniu się wspieranym przez technologię oraz na kontrolach cyberbezpieczeństwa. Te ostatnie obszary bezpośrednio odnoszą się do zdalnego dostępu i przetwarzania danych, z uwzględnieniem również punktów do rozważenia i działań.

Europa i RODO

Dla globalnych programów edukacyjnych, ogólne rozporządzenie o ochronie danych osobowych Unii Europejskiej (RODO) zawiera szczególne zabezpieczenia dla danych osobowych dzieci. Komisja Europejska wyjaśnia, że zgoda rodziców lub opiekunów może być wymagana do osiągnięcia progu wiekowego, który różni się w zależności od państwa członkowskiego i wynosi od 13 do 16 lat.

Regulacje krajowe

W krajach na całym świecie regulacje specyficzne dla internetu ustanawiają ramy dla usług skierowanych do młodej publiczności. Dwa przykłady:

  • Kodeks projektowania odpowiedniego dla wieku ICO w Wielkiej Brytanii, który ustala 15 standardów dla usług online, które mogą być dostępne dla dzieci. Kodeks podkreśla wbudowaną ochronę i najlepsze interesy dziecka w projektowaniu usług.
  • Publikacje francuskiego ministerstwa edukacji dotyczące kroków mających na celu ograniczenie przemocy w szkołach oraz wytycznych dotyczących ochrony danych uczniów w trakcie codziennych zajęć szkolnych.

Lista kontrolna dostępu zdalnego FERPA dla szkół

Przed rozszerzeniem zdalnego dostępu do systemów, które mogą zawierać dane uczniów, zespoły IT szkół powinny potwierdzić następujące kontrole.

  1. Zadbaj o to, aby wiedza była rozpowszechniana na temat podstawowych kwestii, takich jak używanie pseudonimów, akronimów i innych środków identyfikacji tam, gdzie to możliwe, a także skomplikowanych haseł zgodnych z wymaganiami.
  2. Zidentyfikuj, które zdalne aplikacje i pulpity mogą wyświetlać rekordy edukacyjne.
  3. Weryfikuj aplikacje i dostawców zewnętrznych oraz korzystaj z tych zatwierdzonych jako najbardziej bezpieczne.
  4. Mapuj grupy użytkowników do uzasadnionych interesów edukacyjnych.
  5. Wymuś uwierzytelnianie wieloskładnikowe dla pracowników, administratorów i zewnętrznych użytkowników wsparcia.
  6. Planuj i regularnie audytuj grupy, użytkowników, ich potrzeby oraz dozwolone aplikacje lub obszary dostępu.
  7. Publikuj tylko aplikacje, których potrzebuje każda grupa użytkowników.
  8. Wyłącz niepotrzebne funkcje schowka, transferu plików i drukowania, gdzie to możliwe.
  9. Ogranicz zdalny dostęp według adresu IP, kraju, roli lub wzorca pracy (godzin) w razie potrzeby.
  10. Unikaj niepotrzebnego pobierania lokalnych rekordów studentów na urządzenia osobiste.
  11. Rejestrowanie dostępu do systemów zawierających dane studentów.
  12. Przejrzyj umowy z dostawcami pod kątem użycia FERPA, klauzul ponownego ujawnienia i usunięcia.
  13. Szkolenie nauczycieli, personelu i zespołów wsparcia w zakresie bezpiecznego zachowania podczas zdalnego dostępu.
  14. Regularnie zwiększaj świadomość użytkowników na temat zagrożeń cybernetycznych i sposobów ochrony danych.

Ta lista kontrolna nie zastępuje programu zgodności z FERPA. Raczej daje zespołom IT praktyczną podstawę do zmniejszenia unikanego narażenia w przepływach pracy związanych z dostępem zdalnym i wsparciem zdalnym.

Jak TSplus wspiera zdalny dostęp zgodny z FERPA

TSplus zapewnia bezpieczną platformę do zdalnego dostępu i ochrony infrastruktury, która pomaga szkołom wdrażać kontrole zgodne z FERPA. Jednak myleniem byłoby sądzić, że samo oprogramowanie czyni instytucję zgodną. Prawidłowo wdrożone i używane, oprogramowanie takie jak zestaw TSplus pomaga szkołom egzekwować kontrole dostępu, uwierzytelniania, monitorowania i wzmacniania, aby wspierać operacje świadome FERPA.

TSplus Advanced Security

360° ochrona cybernetyczna dla serwerów aplikacji

TSplus Advanced Security to nasz wiodący produkt zabezpieczający. Rzeczywiście, częściowo, zdalny dostęp FERPA zależy od ochrony serwera i ograniczenia dostępu. TSplus Advanced Security jest opracowywany z myślą o bezpieczeństwie serwera aplikacji i dlatego stanowi 360° ochrony na pierwszej linii frontu przeciwko zagrożeniom. Ochrona przed atakami siłowymi jest funkcją, która monitoruje nieudane próby logowania do systemu Windows i automatycznie blokuje naruszające adresy IP po powtarzających się niepowodzeniach.

Funkcje solidnego zabezpieczenia

Dla środowisk edukacyjnych pomaga to zmniejszyć ryzyko nieautoryzowanych prób dostępu do wystawionej infrastruktury zdalnego dostępu. Szkoły mogą również korzystać z Ochrony Geograficznej, aby umożliwić zdalny dostęp tylko z wybranych krajów lub użyć ograniczenia IP, aby ograniczyć dostęp do prywatnych i dozwolonych adresów IP.

Konfiguracje spełniające FERPA

Zalecane konfiguracje zgodne z FERPA obejmują włączenie ochrony przed atakami typu brute force, ograniczenie dostępu geograficznie, gdy to odpowiednie, utrzymanie białych list adresów IP dla dostępu administracyjnego oraz używanie Ochrona przed ransomware jako część szerszego wzmacniania serwera.

TSplus Zdalny Dostęp

Użycie edukacyjne

TSplus Remote Access pomaga szkołom publikować aplikacje Windows i pulpity dla nauczycieli, uczniów i personelu IT. Jako rozwiązanie edukacyjne zapewnia bezpieczny, wieloosobowy dostęp do pulpitu zdalnego i dostarczanie aplikacji dla środowisk edukacyjnych i akademickich.

Zastosowanie kontroli dostosowanych do FERPA

Z punktu widzenia FERPA wartość to kontrolowany dostęp. Zamiast dawać każdemu użytkownikowi szeroki dostęp do pełnego stanowiska roboczego lub sieci, zespoły IT mogą publikować tylko wymagane aplikacje. Nauczyciel może uzyskać dostęp do aplikacji do ocen, podczas gdy rejestrator otrzymuje dostęp do oprogramowania do rejestracji studentów, a student ma dostęp tylko do aplikacji laboratoryjnej. Grupy i użytkownicy są konfigurowalni na szczegółowym poziomie, nawet w odniesieniu do ich czasów i urządzeń.

MFA i bezpieczeństwo logowania

Oprogramowanie obsługuje również uwierzytelnianie dwuskładnikowe dla portalu internetowego, w tym połączenia HTML5 i RemoteApp. Dla użytkowników z włączonym MFA nasza dokumentacja podkreśla, że standardowe połączenia klienta Microsoft Remote Desktop są odrzucane, co wspiera bezpieczniejsze wzorce dostępu opartego na sieci.

TSplus Monitorowanie Serwera

FERPA nie dotyczy tylko blokowania dostępu. Chodzi również o utrzymanie widoczności w systemach, w których mogą być przetwarzane dane studentów. TSplus Server Monitoring zapewnia dane historyczne i w czasie rzeczywistym o serwerach, stronach internetowych, aplikacjach i użytkownikach, z raportami i powiadomieniami w czasie rzeczywistym dla infrastruktury pracy zdalnej.

Dla zespołów IT w edukacji monitorowanie może pomóc w wykrywaniu przeciążonych serwerów, nietypowych wzorców użytkowania, problemów z wydajnością oraz problemów z dostępnością, które wpływają na zdalne nauczanie lub systemy administracyjne. Monitorowanie samo w sobie nie dowodzi zgodności z FERPA, ale wspiera odpowiedzialność i odporność operacyjną.

TSplus Remote Support

TSplus Remote Support zapewnia zdalną pomoc z udziałem i bez udziału dla zespołów i klientów. TSplus wspiera zdalne sterowanie pulpitem, udostępnianie ekranu, pomoc z udziałem, konserwację bez udziału oraz zdalne szkolenie.

Aby zapewnić wsparcie zgodne z FERPA, szkoły powinny skonfigurować przepływy pracy wsparcia, aby technicy mieli dostęp do wszystkiego, co jest konieczne, ale tylko do tego, co jest im potrzebne. Sesje z udziałem użytkownika mogą być preferowane, gdy informacje o uczniach mogą być widoczne. Dostęp bez nadzoru powinien być ograniczony do zarządzanych urządzeń, udokumentowanych celów i autoryzowanych okien konserwacyjnych.

Etyka i pozycjonowanie rozwoju TSplus

Zgodność z FERPA należy do instytucji edukacyjnej, wspieranej przez umowy prawne, wewnętrzne polityki i zabezpieczenia techniczne. Oprogramowanie TSplus pomaga zapewnić te zabezpieczenia poprzez swoje produkty i usługi: bezpieczny dostęp zdalny, wzmocnienie serwera, monitorowanie sieci i kontrolowane wsparcie.

Z perspektywy etyki rozwoju, prywatność w projektowaniu, minimalizacja danych i kontrola klienta są kluczowe. Oprogramowanie do zdalnego dostępu powinno unikać niepotrzebnego dostępu do treści uczniów, dawać administratorom wybór konfiguracji, wspierać bezpieczne domyślne ustawienia i ułatwiać szkołom stosowanie zasady najmniejszych uprawnień.

Poprzez solidne, starannie opracowane produkty, TSplus ma na celu pomoc administratorom IT w szkołach oraz zespołom wyższego wykształcenia w redukcji ryzyka FERPA, jednocześnie utrzymując praktyczny zdalny dostęp.

Wniosek

FERPA amerykańskie prawo oświatowe chroni dokumenty edukacyjne uczniów i bezpośrednio wpływa na to, jak szkoły zarządzają zdalnym dostępem, zdalnym wsparciem i oprogramowaniem stron trzecich. Dla zespołów IT, FERPA przekłada się na uwierzytelnianie, minimalne uprawnienia, bezpieczne sesje, możliwość audytu, zarządzanie dostawcami i zdyscyplinowane przepływy pracy wsparcia.

TSplus Advanced Security , a cała oferta oprogramowania TSplus może pomóc szkołom w budowaniu bezpieczniejszych środowisk zdalnego dostępu, jednocześnie pozostawiając instytucjom przestrzeń do dostosowania każdego ustawienia do ich specyficznych potrzeb i użytkowania. Ostateczna zgodność z FERPA zależy od polityki, konfiguracji, umów i przeglądu prawnego każdej instytucji. Wypróbuj TSplus za darmo i odkryj, jak działania związane z zgodnością z FERPA są w dużym stopniu wspierane przez tak proste i wszechstronne narzędzia, jak oprogramowanie TSplus.

TSplus Darmowy okres próbny dostępu zdalnego

Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe

Rozpocznij bezpłatny okres próbny

Udostępnij:

Facebook Twitter LinkedIn

Twój zespół TSplus

Dalsza lektura

back to top of the page icon