信息技术安全与合规声明

主题:信息技术解决方案提供商安全声明

概述

解决方案提供商、软件解决方案提供商,或者供应商,以下称为“解决方案提供商”,将会收到这个文件如果奥克兰大学(“大学”或“大学”):万博ManBetX登录

·打算购买或合同外包,主办,软件作为一种服务,网站服务,应用程序服务提供者应用程序本地软件解决方案,或类似的服务从供应商;或

·打算传送或迁移数据目前在一个本地信息技术资源,积极居民之间的解决方案提供商或软件解决方案;或

·打算有一个解决方案提供商或供应商收集或捕获数据代表大学或大学供后续使用。

文档定义了最小安全操作标准,解决方案提供商必须提供从事与大学之间的业务。解决方案提供商必须符合或提交材料符合特定标准的这些语句或安全协议确定。这些协议的合规应当持续时间,采购订单或合同(“协议”)。

安全声明

1.0审计和遵从性

  1. 安全实践的解决方案提供商必须提交相关的语句:

    1. 高等教育云供应商的评估工具所需的云解决方案

    2. 遵守支付卡行业数据安全标准认证https://www.pcisecuritystandards.org/所需解决方案提供商包括支付卡处理的解决方案。语言可能需要特定的合同。请检查支付卡PCI遵从性文档如果付款(信贷)卡处理。

      • 如果你是一个指定TouchNet准备好伴侣或愿意成为一个TouchNet准备好伙伴。

      • 每年提供一个PCI DSS服务提供者SAQ AOC和批准,和PCI认证文件。
        • 一个重获SAQ-D
        • 季度ASV扫描结果
        • 年度渗透测试的执行概要
        • 指定如果你的设备是P2PE认证。
        • 指定你批准的支付解决方案的服务提供商或PCI批准付款应用程序列表
        • 指定如果你销交易系统PCI PTS兼容
        • 指定非接触式支付处理支持
        • 指定你的能力提供一个专门的客户支持个人知识渊博的PCI遵从性需求

    3. 认证产品的通用标准https://www.commoncriteriaportal.org/可选的。

    4. 声明中审计人员为符合ISO / IEC 27001:2013或更高版本。
    5. 声明中审计人员为符合SAS 70 / SSAE 16。
    6. 声明中审计人员为符合健康保险携带和责任法案(HIPAA /高科技)法规;HIPAA所需相关处理。

  2. 大学致力于使同样有效,综合的、和独立获取信息通过信息技术、数据库、服务和资源所有选民残疾人中描述大学政策。解决方案提供商必须提交声明的可访问性。解决方案提供商需要证明建议的解决方案符合W3C或地址的网页内容可访问性指南(WCAG) AA级(包括水平)。解决方案提供商可能会提交一份自愿产品易访问性模板(VPAT) 2.0基于AA WCAG 2.0水平。VPAT 2.0模板可以从信息技术委员会。另外,解决方案提供商可能会提交一个独立的第三方评估从一个合格的可访问性。

  3. 大学积极保护受版权保护的资料,所有大学的标志,标志和图片必须使用只有大学批准。解决方案提供者必须摧毁所有相关材料大学结束的协议。

  4. 根据解决方案提供者必须提供证据保险大学风险管理标准,信息技术服务

  5. 解决方案提供商必须遵守数据隐私法律和有关规定。遵守家庭教育权利和隐私法案》(FERPA)参与这个过程,如果学生记录。解决方案提供商必须提供的信息符合一般的数据隐私的规定,如果个人身份数据参与这个过程。如果涉及医疗记录,解决方案提供商必须提供的声明遵从医疗记录法律、HIPAA、适当。

  6. 声明描述符合欧盟通用数据保护监管(GDPR)如果处理个人数据;包括GDPR隐私声明的副本。
  7. 解决方案提供商必须证明能力符合E-Evidence法律保护的要求大学。

2.0数据控件

  1. 必须讨论数据集成方案。什么大学发送的数据元素被供应商和数据元素被派从供应商到大学吗?
  2. 如果ERP集成计划,描述数据集成Ellucian横幅释放9。包含描述如何使用Ellucian api。描述初始数据装载和持续的数据集成。
  3. 解决方案提供商将大学数据只存储在数据中心位于美国,达到或超出网络、主机和物理安全标准常见由监管机构或组织(即接受。PCI dss 3.2或更高版本)。
  4. 解决方案提供商同意保持大学私人和机密信息和数据,并将信息和数据保密除特别规定的协议。数据不能共享,或卖给第三方。
  5. 常见解决方案提供者将使用数据加密标准可接受的监管机构或组织(即。PCI dss 3.2或更高版本)保护数据匹配的密歇根大学法律的个人身份信息。
  6. 解决方案提供商将提供完整的存储和处理能力的法律名称和首选的名字如果任何名称服务(学生姓名、员工姓名等)包含在解决方案。
  7. 解决方案提供商将在大学请求的响应中提供数据保护标准符合行业最佳实践法医检索,审查和使用与执法部门、人力资源管理、诉讼、或有争议的问题在所有论坛、审计和大学自身的使用。
  8. 解决方案提供商将通知的大学接触分配参与意外数据的事件曝光,未经授权的党派或个人,访问的数据请求数据通过执法,或任何其他第三方访问大学数据请求或48小时内发现。
  9. 数据质量标准建立的大学和实施解决方案提供商。大学解决方案提供者必须满足标准数据的质量和完整性。大学保留权利批准的质量数据显示在网站;解决方案提供商将删除任何大学数据从任何网站基于大学指出缺乏质量。过程,收集、编辑、修改、计算或操作数据必须满足大学的数据质量标准。大学必须批准的数据来源和数据维护方法。

3.0身份访问和帐户管理

  1. 大学和解决方案提供商将决定一个安全访问身份基础设施解决方案的过程,包括一个独特的登录身份和密码是加密存储和静止的用户帐户。大学的最佳实践和解决方案提供商,将决定发行登录账户,密码属性,密码重置,和其他访问身份管理流程使用标准的安全与隐私,行业惯例与大学单独负责决定最终的解决方案。

  2. 大学要求解决方案满足大学的身份访问管理标准。登录进程可以使用单点登录进行身份验证频繁联合会口令IDP 4.1版。x或更高版本,(SAML 2.0或CAS协议2.0或更高版本),Red Hat Directory Server 11或更高,Microsoft Active Directory中的大学身份访问管理环境。ADFS不是一个选择。解决方案提供商必须指明公司的一员频繁联邦。如果不是的一员频繁描述使用口令登录管理流程版本4.1国内流离失所者。x或更高版本,(SAML 2.0或CAS协议2.0或更高版本),或openLDAP / RedHat Directory Server 10.6或更高版本。认证标准

  3. 所有通信时使用批准的加密方法来管理用户和数据在运输过程中(例如TLS 1.2或更高版本)。
  4. 如果没有一个首选的过程是可用的,请描述这个过程。如果解决方案提供商提供身份访问占的解决方案,将提供一个独特的登录身份和密码是加密存储和静止。解决方案提供商将管理发行登录账户、密码属性,密码重置,最小密码长度,密码代指南,密码过期,和其他访问身份管理过程使用标准的行业实践安全与隐私。详细描述以下流程:
    • 创建新账户
    • 暂停账户临时安全原因
    • 终止帐户
    • 密码重置
    • 密码安全协议
    • 名称更改
  5. 解决方案提供商更改系统默认密码和系统管理实施和此后定期安全最佳实践标准。

  6. 之前在可能的情况下应该显示下面的通知后立即(优先)或身份验证。”此系统仅供授权用户。你使用这个系统也表明协议,奥克兰大学的政策和同意监控、记录和审计的用法。万博ManBetX登录禁止未经授权使用这个系统,须受纪律约束和起诉。

4.0技术和网络体系结构

  1. 解决方案提供商必须提供任何特定的防火墙规则,自定义的域名,电子邮件配置、信息集成、或其他所需配置成功的网络和通信连接性解决方案提供商的解决方案。解决方案提供商应该提供一个完整的网络架构图细节流量和通信需求,如网络端口、协议和应用程序。成本和项目延迟与缺失或不完整的文档将解决方案提供商的唯一责任。
  2. 如果提出一个本地解决方案,提供高级图和建议的体系结构的描述。
  3. 可用解决方案提供商将提供一个测试环境升级和大学正在进行产品测试和验证。
  4. 描述如何处理技术升级和大学控制升级的时机。如果提出一个云或saas解决方案,提供计划内停机的节奏包括东部时区的时区问题。
  5. 移动架构实现与响应Web设计优先。
  6. 描述存储限制或限制与解决方案相关记录。描述当购买额外的存储或记录是必要的。如果提出一个云或saas解决方案,描述任何限制存储和归档的数据。有容量限制的年数或数量的数据?学生的数量吗?教师的数量吗?课程的数量吗?

5.0主机安全和服务的健康

  1. 解决方案提供商将保持安全的主机(Linux、Windows等)组成的大学应用程序和服务器基础设施将强硬地反对攻击。
  2. 解决方案提供商将满足最低服务水平协议99.9%正常运行时间。服务时间是保证99.9%(考虑:一年365天、一天24小时= 8760小时x 99.9%时间= 8751 .24小时。这意味着将有大约每年全业务的系统不可用)。
  3. 如果解决方案提供者提出了一项协议,规定大学负责通知或提供证据解决方案提供商的服务利用退化或不可用,那么解决方案提供者应当保持在线,面向客户,接近实时服务健康仪表板。仪表板应当提供给大学一个正在进行的基础,包括应用程序和服务的历史过去的日历季度健康(最低)。服务健康提供模型的例子包括:

6.0电子邮件通信

  1. 描述任何邮件通知流程,系统生成的电子邮件的类型,和行动,引发这些电子邮件。
  2. 描述的能力来定制SMTP信封和邮件标题为了避免生成的电子邮件,是非法的。
  3. 偏好是给系统中个体可以设置个人电子邮件偏好。
  4. 应用程序管理员必须能够禁用特定的电子邮件消息。
  5. 描述定制邮件内容的能力。
  6. 如果消息包含超链接,将收件人看到当悬停和接受者获得点击超链接吗?
  7. 描述所有域用于发送电子邮件;多个域的解决方案发送邮件的服务器?

  8. 解决方案必须符合的要求谷歌工作区邮件在这篇文章中所说的:防止阻塞或邮件Gmail用户发送垃圾邮件

  9. 电子邮件必须留在这里列出的单用户限制:在谷歌Gmail发送限制工作区

  10. 大学将白名单没有相关邮件。大学不会将值添加到其SPF记录。前的解决方案,需要将被拒绝。解决方案必须做以下合同的持续时间和维护:
    • 发布DKIM的钥匙
    • 验证所有电子邮件消息
    • 只发送和接收有效的电子邮件帐户
    • 有一致的值在SMTP信封和邮件标题吗
  11. 解决方案必须描述修改,如添加DKIM钥匙DNS或创建子域,大学建筑这样的消息传递可能是成功的。
  12. 确定地址的电子邮件和答复是否从地址是一样的。
  13. 服务必须有一个有效的MX, a, PTR记录电子邮件服务器。
  14. 偏好是给一个解决方案,验证与谷歌工作区邮件的SMTP。

  15. 一般来说,遵守常见的互联网消息标头预计。

为进一步帮助,请电子邮件< < MailTo ((电子邮件保护))> >

2021年12月