TSplus Advanced Security Logo

Vill du se webbplatsen på ett annat språk?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Ändra språk
Innehållsförteckning
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPA är en amerikansk utbildningslag som skyddar studenters utbildningsregister och formar hur skolor hanterar digital åtkomst, distansarbete och tredjepartsprogramvara. För IT-administratörer inom skolor och IT-team inom högre utbildning är FERPA inte bara en registerpolicy. Det är också ett ärende om åtkomstkontroll leverantörshantering och dataskydd.

Vad är FERPA, den amerikanska utbildningslagen?

FERPA står för den Familjens utbildningsrättigheter och sekretesslag Det är en amerikansk federal lag om utbildningsintegritet som skyddar integriteten för studenters utbildningsregister. Det amerikanska utbildningsdepartementet publicerar FERPA-föreskrifter enligt 34 CFR Del 99 av lagen om allmän utbildning (GEPA). De definierar rättigheter, regler för offentliggörande och efterlevnadsåtaganden för täckta utbildningsinstitutioner. Med andra ord reglerar denna amerikanska federala lag från 1974 tillgång till utbildningsinformation och register av offentliga enheter som föräldrar, studenter och institutioner.

Vad står FERPA för?

FERPA betyder Familjens utbildningsrättigheter och sekretesslag I praktiken ger FERPA föräldrar och berättigade studenter rättigheter över utbildningsregister. En berättigad student är vanligtvis en student som har fyllt 18 år eller går på en eftergymnasial institution, vid vilken tidpunkt FERPA-rättigheterna övergår från föräldern till studenten.

För IT-team är den viktigaste punkten enkel: FERPA gäller när ett system lagrar, visar, överför eller ger åtkomst till personligt identifierbar information från utbildningsregister.

Vem gäller FERPA för?

FERPA gäller för utbildningsmyndigheter och institutioner som tar emot medel under tillämpliga program från det amerikanska utbildningsdepartementet. Detta inkluderar många K-12 skolor, skolområden, högskolor och universitet.

FERPA gäller inte för varje företag som använder utbildningsdata. Emellertid kan en programvaruleverantör bli involverad i FERPA-åtaganden när den agerar som en skolrepresentant, entreprenör, konsult eller outsourcad tjänsteleverantör för en täckt institution. Enligt undantaget för skolrepresentanter kan en entreprenör få tillgång till utbildningsregister endast när den utför en institutionell tjänst, förblir under skolans direkta kontroll och följer FERPA-gränser för användning och återutlämnande.

Vilken studentdata skyddar FERPA?

Utbildningsregister

FERPA skyddar utbildningsregister som är direkt relaterade till en student och som upprätthålls av en utbildningsmyndighet, institution eller part som agerar för den myndigheten eller institutionen. I miljöer för fjärråtkomst kan skyddad information inkludera betyg, utskrifter, närvaroregister, disciplinära akter, studentidentifierare, klasslistor, ekonomiska stöduppgifter och register inom ett studentinformationssystem.

Annan personligt identifierbar information

FERPA omfattar också personligt identifierbar information från utbildningsregister. Detta är viktigt eftersom verktyg för fjärråtkomst kanske inte lagrar studentregister direkt, men de kan fortfarande exponera studentdata genom skärmar, filer, urklippsåtgärder, utskriftsjobb, loggar, skärmdumpar eller supportsessioner.

Varför är FERPA viktigt för Remote Access?

Fjärråtkomst expanderar där utbildningssystem kan användas. Lärare kan ansluta hemifrån, administratörer kan få tillgång till studentinformationssystem från utanför campus, och IT-team kan felsöka enheter som används i klassrum, labb eller program för distansutbildning.

Sådan flexibilitet skapar en FERPA-fråga: vem kan få tillgång till studentregister, från vilken plats, genom vilket verktyg och för vilket syfte?

Utbildningsregister i fjärrsessioner

Identifiera huvudvägen för risk och kontroll

En fjärrskrivbordssession kan visa samma känsliga data som en arbetsstation på campus. Om en lärare öppnar en betygsrapport genom en fjärrsession kan sessionen exponera information som skyddas av FERPA. Om en administratör laddar ner en rapport till en icke-hanterad enhet flyttas risken från kontrollerad serveråtkomst till lokal dataspill.

Minimala privilegier ramverk

FERPA kräver att skolor använder rimliga metoder för att identifiera och autentisera parter som får tillgång till personligt identifierbar information från utbildningsregister. Det kräver också rimliga metoder för att säkerställa att skolpersonal endast får tillgång till register där de har legitima utbildningsintressen.

Att anpassa autentisering och åtkomst för att minska riskerna för avslöjande

Medvetenhet och förebyggande

Säkerhetsproblem med fjärråtkomst kommer vanligtvis från svag autentisering, breda behörigheter, ohanterade slutpunkter och exponerade tjänster. Direkt exponering av fjärrskrivbordstjänster mot Internet kan också öka risken för bruteforce och credential-stuffing.

När du är osäker, välj minst privilegium

För FERPA-medvetna implementeringar bör skolans IT-team anpassa fjärråtkomst med minimiåtkomst. Användare bör endast få åtkomst till de applikationer, skrivbord och filplatser som krävs för deras roll.

Avsiktligt definiera grupp- och användartilldelningar

Administratörer bör också separera åtkomstprofiler för lärare, registratorer, ekonomi, IT-support och studenter. Dessa olika grupper kan få olika nivåer och områden av åtkomst, och inom varje bör behörigheter fortfarande anpassas efter behov, användning och ansvar.

Fjärrsupport och IT-administration

Fjärrsupport kan skapa FERPA-exponering även när supportteknikern inte avser att se studentregister. En tekniker kan se ett studentregister medan han hjälper en anställd, eller en obevakad underhållssession kan öppna en skrivbordsmiljö där känslig data redan är synlig. Följaktligen:

  • Av den anledningen bör supportarbetsflöden utformas kring samtycke, syftesbegränsning och minimal synlighet.
  • När användare kan varnas för en intervention bör detta göras så att de kan stänga känsliga dokument, filer och applikationer.
  • På samma sätt, när det är möjligt, bör IT-team stänga studentinformationssystem innan supporten börjar om inte annat föreskrivs, undvika onödig skärminspelning och dokumentera supportåtkomst om utbildningsregister är synliga.

TSplus Fjärrsupport Gratis Testperiod

Kostnadseffektiv bemannad och obemannad fjärrhjälp till/från macOS och Windows-datorer.

Starta en gratis provperiod

FERPA-ansvar för skolor och leverantörer

FERPA-efterlevnad är ett institutionellt ansvar. Programvara kan stödja kontroller, men skolan bestämmer policyer, användarroller, avtal, åtkomstregler och acceptabel användning.

Ansvar för skolans IT-team

Skolans IT-team bör översätta FERPA till operativa kontroller. I miljöer för fjärråtkomst innebär det stark autentisering, rollbaserad åtkomst, säker transport, övervakning, användarutbildning och leverantörsstyrning.

FERPA kräver att skolor upprätthåller register över begärningar om åtkomst och utlämnande av personligt identifierbar information från utbildningsregister, inklusive de involverade parterna och deras legitima intressen. Detta gör att regelefterlevnad är viktigt för alla system som berör studentregister.

Ansvar för programvaruleverantörer

Leverantörer bör inte betrakta FERPA som en produktstämpel. Det amerikanska utbildningsdepartementet ger vägledning specifikt för tredjepartsleverantörer, leverantörer och entreprenörer som hanterar utbildningsdata för skolor.

En leverantör som stöder användning i enlighet med FERPA bör hjälpa kunder att konfigurera säker åtkomst, begränsa onödig databehandling, skydda autentiseringsuppgifter, dokumentera relevanta kontroller och undvika obehörig återpublicering. Kontrakt bör definiera tillåten användning, konfidentialitet, underleverantörer, radering eller återlämnande av data, supportåtkomst och incidentanmälan.

Äg dina efterlevnadsbeslut

Denna artikel ger teknisk och operationell vägledning för IT-team och syftar till att utrusta dig med grunderna för att navigera i säkerställandet av system angående studentinformation. På inget sätt kan den betraktas som juridisk rådgivning. Skolor, distrikt och universitet bör noggrant validera FERPA-regler, klargöra tolkningar, förfina leverantörsavtal och definiera avslöjandepraktiker med kvalificerad juridisk rådgivning eller en dataskyddsombud.

Andra regler för student- och barnens integritet att känna till

US-reglering med en bredare onlineomfattning:

Även om FERPA är centrerad kring USA, arbetar utbildningens IT-team ofta inom bredare sekretessramar. COPPA gäller för operatörer av webbplatser eller onlinetjänster som riktar sig till barn under 13 år, eller operatörer som har faktisk kunskap om att de samlar in personlig information från barn under 13 år.

Skyddet av elevrättighetsändringen, eller PPRA, är en annan amerikansk lag om studenters integritet som administreras av det amerikanska utbildningsdepartementet. Departementet identifierar FERPA och PPRA som lagar om studenters integritet som det administrerar och verkställer.

Globala direktiv från UNICEF:

I 2024 publicerade UNICEF:s regionala kontor för ECA en praktisk fyrdelad rapport om dataskydd i skolor tillgänglig som en PDF. Del 1 sätter scenen och del 2 handlar globalt om dataskydd och integritet vid insamling och behandling och under processen säkerställer efterlevnad. De inkluderar skyldigheter, riktlinjer och steg som är kopplade till viktiga överväganden och relaterade åtgärder.

Under tiden fokuserar del 3 och 4 på teknikstödd undervisning och lärande samt på cybersäkerhetskontroller. De senare områdena relaterar direkt till fjärråtkomst och bearbetning av data, med punkter för övervägande och åtgärder som också lyfts fram.

Europa och GDPR

För globala utbildningsprogram inkluderar den allmänna dataskyddsförordningen (GDPR) från Europeiska unionen specifika skyddsåtgärder för barns personuppgifter. Europeiska kommissionen förklarar att föräldra- eller vårdnadshavares samtycke kan krävas upp till en åldersgräns som varierar mellan 13 och 16 beroende på medlemsstat.

Landsvis regleringar

I länder runt om i världen sätter online-specifika regler ramar för tjänster som riktar sig till en ung publik. Två exempel:

  • UK:s ICO-kod för åldersanpassad design, som ställer 15 standarder för onlinetjänster som sannolikt kommer att användas av barn. Koden betonar inbyggt skydd och barnets bästa i tjänstedesign.
  • Publikationerna från den franska utbildningsdepartementet angående åtgärder för att motverka mobbning eller riktlinjer för att skydda studentdata mitt i dagliga skolaktiviteter.

FERPA Remote Access Checklist för skolor

Innan fjärråtkomst till system som kan innehålla studentregister utökas bör skolans IT-team bekräfta följande kontroller.

  1. Säkerställ att kunskap sprids om grundläggande aspekter som att använda pseudonymer, akronymer och andra medel för identifiering där det är möjligt samt komplicerade efterlevnadslösenord.
  2. Identifiera vilka fjärrapplikationer och skrivbord som kan visa utbildningsregister.
  3. Vet applikationer och tredjepartsleverantörer och använd de som godkänts som mest säkra.
  4. Karta användargrupper till legitima utbildningsintressen.
  5. Tillämpa flerfaktorsautentisering för personal, administratörer och externa supportanvändare.
  6. Planera och granska regelbundet grupper, användare, deras behov och tillåtna appar eller åtkomstområden.
  7. Publicera endast de applikationer som varje användargrupp behöver.
  8. Inaktivera onödiga funktioner för urklipp, filöverföring och utskrift där det är möjligt.
  9. Begränsa fjärråtkomst efter IP-adress, land, roll eller arbetsschema (tider) när det är lämpligt.
  10. Undvik onödiga lokala nedladdningar av studentregister till personliga enheter.
  11. Logga åtkomst till system som innehåller studentdata.
  12. Granska leverantörsavtal för FERPA-användning, återutlämning och raderingsklausuler.
  13. Träna lärare, personal och supportteam på säkert beteende för fjärråtkomst.
  14. Regelbundet öka användarnas medvetenhet om cyberrisker och hur man håller data säkra.

Denna checklista ersätter inte ett FERPA-efterlevnadsprogram. Istället ger den IT-team en praktisk grund för att minska undvikbar exponering i arbetsflöden för fjärråtkomst och fjärrsupport.

Hur TSplus stöder FERPA-anpassad Remote Access

TSplus erbjuder en säker plattform för fjärråtkomst och infrastruktursskydd som hjälper skolor att implementera FERPA-anpassade kontroller. Det skulle dock vara missvisande att tro att programvara ensam gör en institution compliant. Korrekt implementerad och använd, hjälper programvara som TSplus-sviten skolor att upprätthålla åtkomst-, autentisering-, övervaknings- och förstärkningskontroller för att stödja FERPA-medvetna operationer.

TSplus Advanced Security

360° cybersäkerhet för applikationsservrar

TSplus Advanced Security är vår främsta säkerhetsprodukt. Faktum är att FERPA-fjärråtkomst delvis beror på serverns skydd och åtkomstbegränsning. TSplus Advanced Security är utvecklad för applikationsserverns säkerhet och är därför en 360° vakt i frontlinjen mot hot. Brute Force-skydd till exempel, är en funktion som övervakar misslyckade inloggningsförsök i Windows och automatiskt blockerar felfunktioner IP-adresser efter upprepade misslyckanden.

Robusta säkerhetsfunktioner

För utbildningsmiljöer hjälper detta till att minska risken för obehöriga åtkomstförsök mot exponerad infrastruktur för fjärråtkomst. Skolor kan också använda geografiskt skydd för att tillåta fjärråtkomst endast från utvalda länder eller använda IP-restriktion för att begränsa åtkomst till privata och vitlistade IP-adresser.

Konfigurationer för att uppfylla FERPA

Rekommenderade FERPA-medvetna konfigurationer inkluderar att aktivera Brute Force Protection, begränsa åtkomst geografiskt när det är lämpligt, upprätthålla IP-whitelists för administrativ åtkomst och använda Ransomware skydd som en del av en bredare serverhärdning.

TSplus Remote Access

Utbildningsanvändning

TSplus Remote Access hjälper skolor att publicera Windows-applikationer och skrivbord för lärare, studenter och IT-personal. Som en utbildningslösning erbjuder den säker, flermedlems Remote Desktop Access och Application Delivery för utbildnings- och akademiska miljöer.

Tillämpa kontroller anpassade till FERPA

Från ett FERPA-perspektiv är värdet kontrollerad åtkomst. Istället för att ge varje användare bred åtkomst till en fullständig arbetsstation eller nätverk kan IT-team publicera endast de nödvändiga applikationerna. En lärare kan få åtkomst till en betygsapp, medan en registrator får åtkomst till programvara för studentregister och en student får endast åtkomst till en labbapplikation. Grupper och användare kan konfigureras på en detaljerad nivå, även för deras tider och enheter.

MFA och inloggningssäkerhet

Programvaran stöder också tvåfaktorsautentisering för webbportalen, inklusive HTML5 och RemoteApp-anslutningar. För användare med MFA aktiverat framhäver vår dokumentation att standard Microsoft Remote Desktop-klientanslutningar nekas, vilket stöder säkrare webbaserade åtkomstmönster.

TSplus Server Monitoring

FERPA handlar inte bara om att blockera åtkomst. Det handlar också om att upprätthålla insyn i system där studentdata kan bearbetas. TSplus Server Monitoring tillhandahåller historiska och realtidsdata om servrar, webbplatser, applikationer och användare, med realtidsrapporter och varningar för infrastruktur för distansarbete.

För utbildnings-IT-team kan övervakning hjälpa till att upptäcka överbelastade servrar, ovanliga användningsmönster, prestandaproblem och tillgänglighetsfrågor som påverkar distansutbildning eller administrativa system. Övervakning bevisar inte FERPA-efterlevnad i sig, men den stöder ansvarighet och operativ motståndskraft.

TSplus Remote Support

TSplus Remote Support erbjuder närstående och oövervakad fjärrhjälp för team och kunder. TSplus stöder fjärrskrivbordsstyrning, skärmdelning, närstående hjälp, oövervakad underhåll och fjärrutbildning.

För FERPA-medveten support bör skolor konfigurera supportarbetsflöden så att tekniker har tillgång till allt som är nödvändigt men endast det de behöver. Närvarade sessioner kan vara att föredra när studentinformation kan vara synlig. Oövervakad åtkomst bör begränsas till hanterade enheter, dokumenterade syften och auktoriserade underhållsfönster.

TSplus Utvecklingsetik och Positionering

FERPA-efterlevnad tillhör den utbildningsinstitutionen, stödd av juridiska avtal, interna policyer och tekniska skyddsåtgärder. TSplus-programvara hjälper till att tillhandahålla dessa skyddsåtgärder genom sina produkter och tjänster: säker fjärråtkomst, serverhärdning, nätverksövervakning och kontrollerad support.

Från ett utvecklingsetiskt perspektiv är integritet genom design, dataminimering och kundkontroll centrala. Programvara för fjärråtkomst bör undvika onödig åtkomst till studentinnehåll, ge administratörer konfigurationsval, stödja säkra standardinställningar och göra det lättare för skolor att tillämpa minimiåtkomst.

Genom robusta noggrant utvecklade produkter syftar TSplus till att hjälpa IT-administratörer i skolor och team inom högre utbildning att minska FERPA-risker samtidigt som de håller fjärråtkomst praktisk.

Slutsats

FERPA, den amerikanska utbildningslagen, skyddar studenters utbildningsregister och påverkar direkt hur skolor hanterar remote access, remote support och tredjepartsprogramvara. För IT-team innebär FERPA autentisering, minimiåtkomst, säkra sessioner, revisorbarhet, leverantörsstyrning och disciplinerade supportarbetsflöden.

TSplus Advanced Security och hela TSplus programvaruutbudet kan hjälpa skolor att bygga säkrare miljöer för fjärråtkomst samtidigt som institutionerna får utrymme att anpassa varje installation efter sina specifika behov och användning. Slutlig efterlevnad av FERPA beror på varje institutions policyer, konfiguration, avtal och juridisk granskning. Prova TSplus gratis och upptäck hur åtgärder för efterlevnad av FERPA stöds i stor utsträckning av så enkla mångsidiga verktyg som TSplus programvara.

TSplus Fjärråtkomst Gratis Testperiod

Ultimativ Citrix/RDS-alternativ för skrivbords/appåtkomst. Säker, kostnadseffektiv, lokal/moln.

Starta en gratis provperiod

Dela:

Facebook Twitter LinkedIn

Ditt TSplus Team

Vidare läsning

back to top of the page icon