云托管

Follett数据安全

Follett致力于数据安全性并支持客户的数据隐私需求。随着学生数据收集的发展,Follett继续提供并增强必要的安全水平,以确保您的学生信息是安全和私密的学习管理和教育系统。

保护个人敏感和个人身份信息(PII)是Follett的优先事项。为确保遵守所有适用的隐私立法,Follett已建立专注于保护所有可能敏感客户数据的政策和流程。Follett投资于支持保护和在运输过程中或休息时为数据提供安全性的技术。

Follett的学生隐私承诺
Follett很自豪能成为国家的第一个签名者之一学生隐私承诺关于学生个人信息的收集,维护和使用。誓言国家:“学校服务提供商负责支持有效使用学生信息和保障学生隐私和信息安全。”

Follett认真地提出学生隐私承诺,并努力远远超出内部定义的隐私建筑。


Follett Aspen.®

Follett Aspen.®学生信息系统(SIS)提供了几个级别的安全性,可控制对组织内部的人员,您的组织内部的人员的访问权限,甚至是您正在使用的其他Follett产品。

白杨在心中创造了安全性。
我们建造了Aspen,将安全性作为其设计的核心组成部分。这种设计包括严格遵守应用中不同层的分离。用户与严格的HTML的演示层交互。所有业务逻辑在应用程序服务器上运行在演示文稿和数据库访问中孤立的业务层。

所有数据通过HTTPS协议安全地发送。这包括页面内容,图像,字体和用户数据。所有数据库访问都由第三个和孤立的持久层处理。在最终用户和敏感数据的实际存储之间,ASPEN应用中有三个独立的图层,所有这些层都在确保仅适当的数据到每个用户时扮演重要角色。

ASPen数据模型由单个数据库组成,这意味着数据不需要复制到其他数据存储。在创建时,普遍普遍应用于每个数据库实例的安全规则,并且无法从数据中心防火墙外部访问数据库。每个Aspen客户都有一个单独的逻辑数据库,每个Aspen实例只有该实例的数据库的用户帐户。

我们在设计级别的安全性方面意味着典型的黑客攻击技术,如SQL注入和跨站点脚本(XSS)被阻止,而不是由修补程序和修复到定期基础上出来的漏洞,而是通过基本设计每层的应用和封装。

安全性和渗透测试在Aspen上经常运行,以验证我们的安全性是否完好无损。此测试允许我们验证我们开发的安全措施 - 例如通过SQL注入防止数据库访问的跨站点脚本保护层 - 正在努力防止已知的攻击向量。

Aspen具有多个数据安全级别。
通过应用程序管理对数据库的所有访问权限,数据仅对具有特定权限和权限的用户可见。要完成此操作,您可以以多种方式应用数据安全性,包括现场级,组件级,记录级别或范围和导航安全性。

用户组配置文件和维护
Aspen提供基于角色的安全性。定义和授予权限的角色,以在特定表中创建,读取,更新,删除或批量更新(CRUD-M)记录。还有归档学生或访问教师等级书籍等特殊操作的业务特权。然后将角色分配给用户。Aspen允许用户与多个角色相关联以及多所学校。用户获得这些角色允许的累积权限。

审核系统和应用程序访问的报告
Aspen具有审计能力,允许您审核并确认您的策略正在按照您的意图工作。Aspen包括可以为数据字典中的任何表和字段启用的审计跟踪组件。对于修改的每个记录,审计跟踪显示谁取得了变化,改变了什么(原始和新值)以及更改时。只有用户有适当的权限查看记录的审计历史记录可以这样做。

Aspen还利用安全角色来限制用户从有意地删除数据,警报和提示,以防止用户意外删除数据,并且审计跟踪记录数据可能丢失的数据。

阿斯彭符合FERPA指南。
家庭教育权和隐私法案(FERPA)业务规则建立在系统中,以便自动强制执行指导方针(例如,教师只能访问学生的学生数据)。系统范围搜索仅显示在FERPA指南内的目录信息,可以由该区自行决定禁用。也支持了可比的加拿大隐私法,信息自由和保护隐私法案(FOIPPA)。

学生可识别的信息未共享或上传到来自Aspen的任何其他系统 - 包括其他Follett软件解决方案。与Follett Destiny共享赞助人的能力®存在,但必须明确和主动配置。未分享未在命运中存储的学生识别信息。


Follett Destiny.®

Follett Destiny.®套件共享许多与ASPEN相同的安全属性 - 包括多级别的支持数据安全性。

Follett Destiny.®数据安全

  • 命运数据模型由单个数据库组成。数据不需要将其复制到其他数据存储。
  • 每个Destiny District都有一个单独的物理数据库文件。
  • 安全规则普遍应用于每个数据库实例。
  • 对于Follett托管客户,所有数据都通过HTTPS协议进行了安全传输。对于托管该命运现场的客户,支持HTTPS并与客户提供的SSL证书一起使用,该证书与本地域匹配。该安全传输包括页面内容,图像,字体和用户数据。
  • 如果位于Follett-Managed数据中心的命运产品,则无法从数据中心防火墙外访问数据库。
  • 数据库不可通过公共互联网直接访问。
  • 通过应用程序管理对数据库的所有访问,数据仅对具有特定权限和权限的用户可见。
  • 使用自动验收测试,例如旨在揭示SQL注入漏洞的练习和示例数据,常规测试命运。通过自动单元测试进行身份验证方法,以验证数据访问限制为具有适当权限的用户。

Follett建议将网络威胁最小化到当地K-12学校服务器
作为Prek-12教育技术工具和应用程序的领导亚博的银行卡解绑不了者,Follett不断监控潜在的安全威胁,并根据需要提供增强,以保护我们的所有产品和客户数据。

2018年7月,Follett发布了命运了16.0,该命令将我们的命运应用程序的潜在架构更新为更现代版本的Java技术。Follett强烈鼓励所有本地安装的客户更新到命运版本16.0,并采取适当的预防措施,以最大限度地减少对本地服务器环境的潜在威胁。

Follett强烈鼓励其客户将其命运版本的最新自动更新应用于命运版本15.0,并采取适当的预防措施,以最大限度地减少对本地服务器环境的潜在威胁。

具体来说,在本地服务器上运行命运的客户应该采取以下步骤:

  1. 更新到命运16.0。如果您在命运12.0-15.5上运行,则可以使用一轻松更新将系统更新为命运16.0或更高版本。如果您正在尝试比Destiny 12.0早期的版本,则需要安装所需的更新以在更新命令16.0之前将所需的更新达到命运12.0。提供其他信息这里
  2. 考虑从本地托管的服务器转换到云。命运云确保访问安全环境中的最新软件发布,无需现场安全监控和管理。

可以在877.899.8550,选项3.提供帮助和援助,选项3.在命运应用范围之外的服务器安全问题,学校可以联系多状态信息共享和分析中心(MS-ISAC)有关信息和支持。

注意:2016年4月,Follett在本地学校服务器上安装的命运应用程序的潜在漏洞确定了潜在的漏洞,并于2016年5月提供了消除漏洞的补丁。那时,Follett为命运版本9.0-13.5提供了补丁。世界领先的网络安全公司之一已验证了补丁在结束漏洞时的有效性。所有后续版本(命运14.0-16.0)包含使这些补丁不必要的安全修补程序或技术升级。