Family Educational Rights and Privacy Act (FERPA)
Panoramica di FERPA
Il Family Educational Rights and Privacy Act (FERPA) è una legge federale degli Stati Uniti che protegge la privacy dei registri scolastici degli studenti, incluse le informazioni personali e di directory. Il FERPA è stato emanato per garantire che i genitori e gli studenti di età superiore ai 18 anni possano accedere a tali record, richiedere modifiche e controllare la divulgazione delle informazioni, ad eccezione dei casi specifici e limitati in cui FERPA consente la divulgazione senza consenso.
La legge si applica alle scuole, ai distretti scolastici e a qualsiasi altra istituzione che riceve finanziamenti dal Dipartimento dell'Istruzione degli Stati Uniti, ovvero praticamente tutte le scuole pubbliche K-12 e i distretti scolastici, nonché la maggior parte degli istituti post-secondari, sia pubblici che privati.
La sicurezza è fondamentale per la conformità con FERPA, che richiede la protezione delle informazioni degli studenti da divulgazioni non autorizzate. Gli istituti di istruzione che usano il cloud computing necessitano di garanzie contrattuali che un fornitore di tecnologia gestisce in modo appropriato i dati sensibili degli studenti.
Microsoft e FERPA
FERPA non richiede o riconosce audit o altre certificazioni, quindi qualsiasi istituto accademico soggetto a FERPA deve valutare autonomamente se e come l'uso di un servizio cloud influisca sulla sua capacità di rispettare i requisiti FERPA. Nel componente aggiuntivo per la protezione dei dati (DPA) delle condizioni dei servizi online, Microsoft accetta di essere designato come "funzionario dell'istituto di istruzione" con "interessi educativi legittimi" nei dati dei clienti come definito in FERPA. I dati dei clienti includono tutti i record degli studenti forniti tramite l'uso di Azure da parte di un istituto di istruzione. Quando Microsoft gestisce i record di formazione degli studenti, Microsoft accetta di rispettare le limitazioni e i requisiti imposti da 34 CFR 99.33(a) proprio come fanno i funzionari scolastici. Microsoft ha pubblicato la documentazione di materiale sussidiario per aiutare i clienti di Azure a soddisfare i requisiti di conformità FERPA.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
I servizi per i quali Microsoft accetta di essere designato come "funzionario dell'istituto di istruzione" con "interessi educativi legittimi" nei dati dei clienti includono:
- Azure e Azure per enti pubblici
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365, Office 365 governo degli Stati Uniti, Office 365 governo degli Stati Uniti - Alto e Office 365 difesa del governo degli Stati Uniti
Documenti di guida di Azure
È possibile scaricare i documenti seguenti per assistenza per soddisfare i requisiti di conformità FERPA:
Office 365 e FERPA
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender per Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Cloud App Security, Office 365 Gruppi, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Controlli, report e certificati di Office 365
FERPA non richiede o riconosce controlli o certificazioni.
Domande frequenti
Perché ferpa è importante?
Questa legge federale degli Stati Uniti impone la protezione della privacy dei registri scolastici degli studenti. Fornisce inoltre ai genitori e agli studenti idonei l'accesso a tali record e la possibilità di correggerli, nonché alcuni diritti relativi al rilascio dei record a terze parti.
Quali implicazioni di conformità hanno COPPA e CIPA in Azure?
COPPA e CIPA sono leggi aggiuntive destinate a proteggere la privacy dei bambini; tuttavia, non sono direttamente applicabili ad Azure. Il Children's Online Privacy Protection Act (COPPA) è una legge federale degli Stati Uniti emanata per proteggere la privacy dei minori di 13 anni. La Federal Trade Commission (FTC) gestisce coppa. COPPA si applica ai siti Web e Servizi online indirizzati ai bambini e stabilisce che tali siti e servizi devono richiedere il consenso dei genitori per la raccolta e l'uso di qualsiasi informazione personale appartenente ai bambini. Il Children's Internet Protection Act (CIPA) è stato emanato per affrontare le preoccupazioni circa l'accesso dei bambini a contenuti dannosi su Internet. La Federal Communications Commission (FCC) ha emanato regole che implementano il CIPA e hanno definito i requisiti per le scuole e le librerie soggette al CIPA. I clienti che hanno domande su COPPA e CIPA nel contesto dell'adozione di Azure devono esaminare la sezione Intitolata Istituti di istruzione nella DPA Condizioni per i servizi online in cui si spiega che i clienti sono responsabili di ottenere qualsiasi consenso dei genitori per l'uso di Microsoft Servizi online da parte di qualsiasi utente finale.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.