云托管

福利特数据安全

Follett致力于数据安全性并支持客户的数据隐私需求。随着学生数据收集的发展,Follett继续提供并增强必要的安全水平,以确保您的学生信息是安全和私密的学习管理和教育系统。

保护个人敏感和个人身份信息(PII)是Follett的优先事项。为确保遵守所有适用的隐私立法,Follett已建立专注于保护所有可能敏感客户数据的政策和流程。Follett投资于支持保护和在运输过程中或休息时为数据提供安全性的技术。

Follett的学生隐私承诺
福莱特很自豪能成为国家的第一批签约者之一学生隐私的承诺关于学生个人信息的收集、维护和使用。该承诺指出:“学校服务提供者有责任支持学生信息的有效利用,并保护学生的隐私和信息安全。”

Follett认真地提出学生隐私承诺,并努力远远超出内部定义的隐私建筑。


Follett Aspen.®

Follett Aspen.®学生信息系统(SIS)提供了几个级别的安全性,可控制对组织内部的人员,您的组织内部的人员的访问权限,甚至是您正在使用的其他Follett产品。

白杨在心中创造了安全性。
我们建造了Aspen,将安全性作为其设计的核心组成部分。这种设计包括严格遵守应用中不同层的分离。用户与严格的HTML的演示层交互。所有业务逻辑在应用程序服务器上运行在演示文稿和数据库访问中孤立的业务层。

所有数据通过HTTPS协议安全地发送。这包括页面内容,图像,字体和用户数据。所有数据库访问都由第三个和孤立的持久层处理。在最终用户和敏感数据的实际存储之间,ASPEN应用中有三个独立的图层,所有这些层都在确保仅适当的数据到每个用户时扮演重要角色。

Aspen数据模型由单个数据库组成,这意味着数据不需要复制到其他数据存储中。在创建数据库实例时,安全规则普遍应用于每个数据库实例,并且不能从数据中心防火墙外部访问数据库。每个Aspen客户都有一个独立的逻辑数据库,每个Aspen实例只拥有该实例的数据库的用户帐户。

我们的安全设计方法水平意味着典型的黑客技术,如SQL注入和跨站点脚本(XSS)受阻,而不是补丁和修复的漏洞出来定期,但应用程序的基本设计和封装的每一层。

安全性和渗透测试在Aspen上经常运行,以验证我们的安全性是否完好无损。此测试允许我们验证我们开发的安全措施 - 例如通过SQL注入防止数据库访问的跨站点脚本保护层 - 正在努力防止已知的攻击向量。

阿斯彭有多个级别的数据安全。
通过应用程序管理对数据库的所有访问权限,数据仅对具有特定权限和权限的用户可见。要完成此操作,您可以以多种方式应用数据安全性,包括现场级,组件级,记录级别或范围和导航安全性。

用户组配置文件和维护
Aspen提供基于角色的安全性。定义和授予权限的角色,以在特定表中创建,读取,更新,删除或批量更新(CRUD-M)记录。还有归档学生或访问教师等级书籍等特殊操作的业务特权。然后将角色分配给用户。Aspen允许用户与多个角色相关联以及多所学校。用户获得这些角色允许的累积权限。

系统和应用程序访问审计报告
Aspen具有审计功能,允许您审查和确认您的政策正按照您的预期方式运行。Aspen包含一个审计跟踪组件,可以对数据字典中的任何表和字段启用该组件。对于每个被修改的记录,审计跟踪显示了谁做了更改、更改了什么(原始值和新值)以及何时进行更改。只有具有查看记录审计跟踪历史的适当特权的用户才能这样做。

Aspen还利用安全角色来限制用户从有意地删除数据,警报和提示,以防止用户意外删除数据,并且审计跟踪记录数据可能丢失的数据。

阿斯彭符合FERPA指南。
家庭教育权和隐私法案(FERPA)业务规则建立在系统中,以便自动强制执行指导方针(例如,教师只能访问学生的学生数据)。系统范围搜索仅显示在FERPA指南内的目录信息,可以由该区自行决定禁用。也支持了可比的加拿大隐私法,信息自由和保护隐私法案(FOIPPA)。

学生可识别的信息未共享或上传到来自Aspen的任何其他系统 - 包括其他Follett软件解决方案。与Follett Destiny共享赞助人的能力®存在,但必须明确和主动配置。未分享未在命运中存储的学生识别信息。


福利特的命运®

Follett Destiny.®套件共享许多与ASPEN相同的安全属性 - 包括多级别的支持数据安全性。

福利特的命运®数据安全

  • 命运数据模型由单个数据库组成。数据不需要将其复制到其他数据存储。
  • 每个Destiny区域都有一个单独的物理数据库文件。
  • 安全规则普遍应用于每个数据库实例。
  • 对于Follett托管的客户,所有数据都通过HTTPS协议安全地传输。对于现场托管Destiny的客户,HTTPS受到支持,并与客户提供的与现场域匹配的SSL证书一起工作。这种安全传输包括页面内容、图像、字体和用户数据。
  • 如果Destiny产品位于follett管理的数据中心,则无法从数据中心防火墙外部访问该数据库。
  • 数据库不可通过公共互联网直接访问。
  • 通过应用程序管理对数据库的所有访问,数据仅对具有特定权限和权限的用户可见。
  • 使用自动验收测试(例如旨在发现SQL注入漏洞的练习和示例数据)对Destiny进行常规的攻击测试。通过自动化单元测试执行身份验证方法,以验证数据访问被限制为具有适当权限的用户。

Follett建议将网络威胁最小化到当地K-12学校服务器
作为Prek-12教育技术工具和应用程序的领导beplay体育网络不顺畅者,Follett不断监控潜在的安全威胁,并根据需要提供增强,以保护我们的所有产品和客户数据。

2018年7月,Follett发布了Destiny 16.0,它将我们的Destiny应用程序的底层架构更新为Java技术的更现代版本。Follett强烈鼓励所有本地安装的客户更新到Destiny 16.0版本,并采取适当的预防措施,以最大限度地减少对本地服务器环境的潜在威胁。

Follett强烈鼓励其客户对其Destiny版本应用最新的自动更新或升级到Destiny版本15.0,并采取适当的预防措施,以最大限度地减少对本地服务器环境的潜在威胁。

具体来说,在本地服务器上运行Destiny的客户应该采取以下步骤:

  1. 命运16.0更新。如果你运行的是Destiny 12.0-15.5,你可以通过一个简单的更新将你的系统升级到Destiny 16.0或更高。如果您运行的版本低于Destiny 12.0,则需要在更新到Destiny 16.0之前安装所需的更新以到达Destiny 12.0。可获得其他信息在这里
  2. 考虑从本地托管的服务器转换到云。命运云确保访问安全环境中的最新软件发布,无需现场安全监控和管理。

可以在877.899.8550,选项3.提供帮助和援助,选项3.在命运应用范围之外的服务器安全问题,学校可以联系多州信息共享与分析中心获取信息和支持。

注意:2016年4月,Follett在本地学校服务器上安装的命运应用程序的潜在漏洞确定了潜在的漏洞,并于2016年5月提供了消除漏洞的补丁。那时,Follett为命运版本9.0-13.5提供了补丁。世界领先的网络安全公司之一已验证了补丁在结束漏洞时的有效性。所有后续版本(命运14.0-16.0)包含使这些补丁不必要的安全修补程序或技术升级。