Forschungsartikel

SSO, FERPA und Compliance: Was Universitäten von Research SaaS benötigen

Eine Checkliste für IT- und Beschaffungsteams zur Bewertung von Research SaaS-Plattformen. Behandelt SSO/SAML, FERPA, SOC 2, Datenresidenz, HECVAT, Barrierefreiheit und die Durchführung einer Sicherheitsprüfung.

IT-Teams an Universitäten benötigen Research SaaS, das die Anforderungen an SSO, FERPA, SOC 2 und Barrierefreiheit erfüllt. Dieser Leitfaden bietet eine praktische Checkliste zur Bewertung und erläutert Compliance-Aspekte speziell für den Hochschulbereich.

Wenn Sie in der Universitäts-IT, Informationssicherheit oder Beschaffung arbeiten, wissen Sie, dass die Einführung neuer Software nie so einfach ist, wie ein Tool zu finden, das Forschenden gefällt. Jede SaaS-Plattform, die institutionelle Daten verarbeitet, muss einen Hürdenlauf aus Sicherheitsprüfungen, Compliance-Kontrollen und Vertragsverhandlungen durchlaufen. Für forschungsorientierte Tools — die möglicherweise studentische Arbeiten, unveröffentlichte Daten und Ergebnisse aus staatlich geförderten Projekten verarbeiten — sind die Anforderungen besonders streng.

Dieser Leitfaden bietet eine praktische Checkliste zur Bewertung von Forschungs-SaaS-Plattformen, mit Fokus auf Anforderungen, die speziell für den Hochschulbereich gelten.

Single Sign-on ist für institutionelle Software nicht optional. Universitäten betreiben zentralisierte Identitätssysteme, und jedes Tool, das einen separaten Benutzernamen und ein separates Passwort erfordert, schafft Sicherheitsrisiken, erhöht die Belastung des Helpdesks und verursacht Reibung für Nutzende.

Was erforderlich sein sollte SAML 2.0-Unterstützung — das Standardprotokoll für Enterprise-SSO im Hochschulbereich Shibboleth-Kompatibilität — viele Universitäten verwenden Shibboleth als ihren SAML-Identitätsanbieter, insbesondere jene in der InCommon-Föderation Azure AD / Entra ID-Integration — zunehmend verbreitet, da Universitäten zu Microsoft 365 wechseln Okta-Unterstützung — wird von einer wachsenden Zahl von Institutionen genutzt, insbesondere in den USA SCIM-Bereitstellung — automatisierte Erstellung und Deaktivierung von Benutzerkonten auf Basis von Verzeichnisänderungen (entscheidend für die Kontoverwaltung, wenn Studierende ihren Abschluss machen oder Mitarbeitende ausscheiden) MFA-Durchsetzung — die Plattform sollte die MFA-Richtlinien der Institution respektieren und nicht umgehen

Als Nächstes lesen

  • Mehr zu sso entdecken
  • Mehr zu ferpa entdecken
  • Mehr zu compliance entdecken
  • Mehr zu universität entdecken
  • Mehr zu beschaffung entdecken
  • Mehr zu sicherheit entdecken
Kostenlos startenDoxa ansehen

Ähnliche Artikel

Lizenzierung von KI-Forschungstools durch Bibliothekskonsortien: Ein praktischer Leitfaden Wie Bibliothekskonsortien Lizenzen für KI-Forschungstools verhandeln können. Behandelt Konsortialmodelle, ICOLC-Prinzipien, Kostenverteilungsformeln, Wege vom Pilotprojekt zur Lizenz und Beispiele von Overleaf und Zotero. 30 % Rabatt auf PapersFlow für Universitätsstudierende und Lehrende PapersFlow bietet einen akademischen Rabatt von 30 % für Studierende und Lehrende an über 1.100 Universitäten in 80 Ländern. Verifizieren Sie Ihre Universitäts-E-Mail — keine Promo-Codes erforderlich. Hier erfahren Sie, wer berechtigt ist und wie es funktioniert.

PapersFlow entdecken

Forschungstools Sehen Sie sich die KI-Workflows an, die PapersFlow unterstützt. PapersFlow vergleichen Wechselleitfäden für Elicit, Zotero, Overleaf und mehr. Anwendungsfälle nach Fachgebiet Finden Sie fachspezifische Forschungs-Workflows.

Frequently Asked Questions

Gilt FERPA auch für Forschungstools, die nur von Lehrenden genutzt werden?
Das kommt darauf an. FERPA schützt Bildungsunterlagen von Studierenden. Wenn das Tool also nur von Lehrenden für ihre eigene Forschung genutzt wird (ohne Studierendendaten), greift FERPA in der Regel nicht. Wenn Studierende die Plattform jedoch im Rahmen eines Kurses nutzen oder wenn Namen, Noten oder Identifikatoren von Studierenden im System gespeichert werden, gilt FERPA. Viele Universitäten wenden FERPA-Anforderungen im Sinne des Risikomanagements pauschal auf alle SaaS-Lösungen an, selbst wenn die genaue Anwendbarkeit unklar ist.
Was ist HECVAT und warum müssen Anbieter es ausfüllen?
HECVAT (Higher Education Community Vendor Assessment Toolkit) ist ein standardisierter Sicherheitsfragebogen, der von EDUCAUSE und Internet2 entwickelt wurde. Er ersetzt die Notwendigkeit, dass jede Universität ihren eigenen Fragebogen erstellt, und spart so sowohl Anbietern als auch Institutionen Zeit. Es gibt zwei Versionen: HECVAT Lite (für Tools mit geringerem Risiko) und HECVAT Full (für Tools, die sensible Daten verarbeiten). Die meisten universitären Beschaffungsstellen setzen den Prozess ohne ein ausgefülltes HECVAT nicht fort.
Kann ein Anbieter ohne SOC 2-Zertifizierung trotzdem zugelassen werden?
Technisch ja, aber das führt zu erheblichen Reibungen im Prozess. Ohne SOC 2 verlangt das Sicherheitsteam der Universität in der Regel eine umfangreichere Prüfung — einschließlich detaillierter Architekturdokumentation, Ergebnissen von Penetrationstests und möglicherweise sogar eines Audits vor Ort. Viele Universitäten haben die Richtlinie, für jedes Tool, das institutionelle Daten verarbeitet, SOC 2 Type II zu verlangen. Kleinere Anbieter können manchmal alternative Nachweise nutzen (ISO 27001, ein ausgefülltes CAIQ oder Berichte unabhängiger Sicherheitsaudits), aber der Beschaffungsprozess wird voraussichtlich länger dauern.

Ähnliche Artikel