Adakah FERPA terpakai kepada alat penyelidikan yang digunakan hanya oleh fakulti?

Ia bergantung. FERPA melindungi rekod pendidikan pelajar, jadi jika alat itu digunakan hanya oleh fakulti untuk penyelidikan mereka sendiri (tanpa data pelajar), FERPA biasanya tidak terpakai. Walau bagaimanapun, jika pelajar menggunakan platform tersebut sebagai sebahagian daripada kursus, atau jika nama, gred atau pengecam pelajar disimpan dalam sistem, FERPA terpakai. Banyak universiti mengenakan keperluan FERPA secara meluas kepada semua SaaS sebagai strategi pengurusan risiko, walaupun kebolehterapan yang ketat tidak pasti.

Apakah HECVAT dan mengapa vendor perlu melengkapkannya?

HECVAT (Higher Education Community Vendor Assessment Toolkit) ialah soal selidik keselamatan piawai yang dibangunkan oleh EDUCAUSE dan Internet2. Ia menggantikan keperluan setiap universiti untuk mencipta soal selidik mereka sendiri, sekali gus menjimatkan masa bagi vendor dan institusi. Terdapat dua versi: HECVAT Lite (untuk alat berisiko lebih rendah) dan HECVAT Full (untuk alat yang mengendalikan data sensitif). Kebanyakan pejabat perolehan universiti tidak akan meneruskan proses tanpa HECVAT yang telah dilengkapkan.

Bolehkah vendor tanpa pensijilan SOC 2 masih diluluskan?

Secara teknikal ya, tetapi ia menambah geseran yang ketara. Tanpa SOC 2, pasukan keselamatan universiti biasanya akan memerlukan semakan yang lebih meluas — termasuk dokumentasi seni bina terperinci, keputusan ujian penembusan dan mungkin audit di lokasi. Banyak universiti mempunyai dasar yang mewajibkan SOC 2 Type II untuk sebarang alat yang mengendalikan data institusi. Vendor yang lebih kecil kadangkala boleh menggunakan bukti alternatif (ISO 27001, CAIQ yang telah dilengkapkan atau laporan audit keselamatan bebas), tetapi jangkakan proses perolehan mengambil masa lebih lama.

Artikel Penyelidikan

SSO, FERPA dan Pematuhan: Apa yang Universiti Perlukan daripada Research SaaS

Senarai semak IT dan perolehan untuk menilai platform Research SaaS. Meliputi SSO/SAML, FERPA, SOC 2, residensi data, HECVAT, kebolehcapaian dan cara menjalankan semakan keselamatan.

Pasukan IT universiti memerlukan Research SaaS yang memenuhi keperluan SSO, FERPA, SOC 2 dan kebolehcapaian. Panduan ini menyediakan senarai semak penilaian yang praktikal dan menerangkan pertimbangan pematuhan khusus untuk pendidikan tinggi.

Jika anda bekerja dalam IT universiti, keselamatan maklumat atau perolehan, anda tahu bahawa mengguna pakai perisian baharu tidak pernah semudah mencari alat yang disukai oleh penyelidik. Setiap platform SaaS yang melibatkan data institusi mesti melalui pelbagai semakan keselamatan, pemeriksaan pematuhan dan rundingan kontrak. Bagi alat yang berfokus pada penyelidikan — yang mungkin mengendalikan kerja pelajar, data yang belum diterbitkan dan output projek yang dibiayai oleh kerajaan persekutuan — keperluannya amat ketat.

Panduan ini menyediakan senarai semak praktikal untuk menilai platform SaaS penyelidikan, dengan tumpuan pada keperluan yang khusus untuk pendidikan tinggi.

Single sign-on bukan pilihan bagi perisian institusi. Universiti menjalankan sistem identiti berpusat, dan sebarang alat yang memerlukan nama pengguna dan kata laluan berasingan mewujudkan risiko keselamatan, menambah beban meja bantuan dan menyebabkan kesukaran kepada pengguna.

Perkara yang Perlu Ditetapkan Sokongan SAML 2.0 — protokol standard untuk SSO perusahaan dalam pendidikan tinggi Keserasian Shibboleth — banyak universiti menggunakan Shibboleth sebagai penyedia identiti SAML mereka, khususnya yang berada dalam persekutuan InCommon Integrasi Azure AD / Entra ID — semakin lazim apabila universiti beralih ke Microsoft 365 Sokongan Okta — digunakan oleh semakin banyak institusi, terutamanya di AS Peruntukan SCIM — penciptaan dan penyahaktifan pengguna secara automatik berdasarkan perubahan direktori (kritikal untuk mengurus akaun apabila pelajar tamat pengajian atau pekerja berhenti) Penguatkuasaan MFA — platform sepatutnya mematuhi dasar MFA institusi, bukan memintasnya

Baca seterusnya

Terokai lebih lanjut tentang sso
Terokai lebih lanjut tentang ferpa
Terokai lebih lanjut tentang compliance
Terokai lebih lanjut tentang university
Terokai lebih lanjut tentang procurement
Terokai lebih lanjut tentang security

Mulakan secara percuma Lihat Doxa

Artikel berkaitan

Pelesenan Konsortium Perpustakaan untuk Alat Penyelidikan AI: Panduan Praktikal Bagaimana konsortium perpustakaan boleh merundingkan lesen alat penyelidikan AI. Meliputi model konsortium, prinsip ICOLC, formula perkongsian kos, laluan daripada perintis kepada lesen, dan contoh daripada Overleaf dan Zotero. Diskaun 30% untuk PapersFlow bagi Pelajar dan Fakulti Universiti PapersFlow menawarkan diskaun akademik 30% untuk pelajar dan fakulti di lebih 1,100 universiti merentasi 80 negara. Sahkan e-mel universiti anda — tiada kod promo diperlukan. Berikut ialah siapa yang layak dan cara ia berfungsi.

Terokai PapersFlow

Alat penyelidikan Lihat aliran kerja AI yang disokong oleh PapersFlow. Bandingkan PapersFlow Panduan peralihan untuk Elicit, Zotero, Overleaf dan banyak lagi. Kes penggunaan mengikut bidang Cari aliran kerja penyelidikan khusus mengikut disiplin.

Frequently Asked Questions

Adakah FERPA terpakai kepada alat penyelidikan yang digunakan hanya oleh fakulti?: Ia bergantung. FERPA melindungi rekod pendidikan pelajar, jadi jika alat itu digunakan hanya oleh fakulti untuk penyelidikan mereka sendiri (tanpa data pelajar), FERPA biasanya tidak terpakai. Walau bagaimanapun, jika pelajar menggunakan platform tersebut sebagai sebahagian daripada kursus, atau jika nama, gred atau pengecam pelajar disimpan dalam sistem, FERPA terpakai. Banyak universiti mengenakan keperluan FERPA secara meluas kepada semua SaaS sebagai strategi pengurusan risiko, walaupun kebolehterapan yang ketat tidak pasti.
Apakah HECVAT dan mengapa vendor perlu melengkapkannya?: HECVAT (Higher Education Community Vendor Assessment Toolkit) ialah soal selidik keselamatan piawai yang dibangunkan oleh EDUCAUSE dan Internet2. Ia menggantikan keperluan setiap universiti untuk mencipta soal selidik mereka sendiri, sekali gus menjimatkan masa bagi vendor dan institusi. Terdapat dua versi: HECVAT Lite (untuk alat berisiko lebih rendah) dan HECVAT Full (untuk alat yang mengendalikan data sensitif). Kebanyakan pejabat perolehan universiti tidak akan meneruskan proses tanpa HECVAT yang telah dilengkapkan.
Bolehkah vendor tanpa pensijilan SOC 2 masih diluluskan?: Secara teknikal ya, tetapi ia menambah geseran yang ketara. Tanpa SOC 2, pasukan keselamatan universiti biasanya akan memerlukan semakan yang lebih meluas — termasuk dokumentasi seni bina terperinci, keputusan ujian penembusan dan mungkin audit di lokasi. Banyak universiti mempunyai dasar yang mewajibkan SOC 2 Type II untuk sebarang alat yang mengendalikan data institusi. Vendor yang lebih kecil kadangkala boleh menggunakan bukti alternatif (ISO 27001, CAIQ yang telah dilengkapkan atau laporan audit keselamatan bebas), tetapi jangkakan proses perolehan mengambil masa lebih lama.