Lei de Privacidade e Direitos Educacionais familiares (FERPA)
Visão geral do FERPA
A Lei de Direitos Educacionais e Privacidade da Família (FERPA) é uma lei federal dos EUA que protege a privacidade dos registros educacionais dos alunos, incluindo informações de diretório e identificáveis pessoalmente. A FERPA foi promulgada para garantir que pais e alunos com 18 anos ou mais possam acessar esses registros, solicitar alterações e controlar a divulgação de informações, exceto em casos específicos e limitados em que a FERPA permite a divulgação sem consentimento.
A lei se aplica a escolas, distritos escolares e a qualquer outra instituição que receba financiamento do Departamento de Educação dos EUA , ou seja, praticamente todas as escolas públicas K-12 e distritos escolares, bem como a maioria das instituições pós-secundárias, públicas e privadas.
A segurança é central para a conformidade com a FERPA, o que requer a proteção das informações dos alunos contra divulgações não autorizadas. Instituições educacionais que usam computação em nuvem precisam de garantias contratuais de que um fornecedor de tecnologia gerencia dados confidenciais de alunos adequadamente.
Microsoft e FERPA
A FERPA não requer ou reconhece auditorias ou outras certificações, portanto, qualquer instituição acadêmica sujeita à FERPA deve avaliar por si mesma se e como seu uso de um serviço de nuvem afeta sua capacidade de cumprir os requisitos FERPA. No Adendo de Proteção de Dados dos Serviços Online (DPA), a Microsoft concorda em ser designada como um "funcionário da escola" com "interesses educacionais legítimos" nos dados do cliente, conforme definido em FERPA. Os dados do cliente incluiriam todos os registros de alunos fornecidos por meio do uso do Azure por uma escola. Quando a Microsoft lida com registros de educação estudantil, a Microsoft concorda em respeitar as limitações e requisitos impostos por 34 CFR 99.33(a), assim como os funcionários da escola fazem. A Microsoft publicou a documentação de diretrizes para ajudar os clientes do Azure a atender aos requisitos de conformidade da FERPA.
Plataformas e serviços em nuvem no escopo da Microsoft
Os serviços para os quais a Microsoft concorda em ser designada como um "funcionário da escola" com "interesses educacionais legítimos" nos dados do cliente incluem:
- Azure e Azure Governamental
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365, Office 365 governo dos EUA, Office 365 governo dos EUA - Alto e Office 365 Defesa do Governo dos EUA
Documentos de diretriz do Azure
Você pode baixar os seguintes documentos para obter assistência com requisitos de conformidade ferpa satisfatórios:
Office 365 e FERPA
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Microsoft Entra ID, Azure Proteção de Informações, Bookings, Compliance Manager, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Cloud App Security, Office 365 Grupos, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
| GCC | Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, harePoint Online, Skype for Business, Stream |
| GCC Alta | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
| DoD | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Auditorias Office 365, relatórios e certificados
A FERPA não requer nem reconhece auditorias ou certificações.
Perguntas frequentes
Por que a FERPA é importante?
Esta lei federal dos EUA determina a proteção da privacidade dos registros educacionais dos alunos. Também dá aos pais e alunos qualificados acesso a esses registros e à capacidade de corrigi-los, bem como certos direitos relacionados à liberação de registros a terceiros.
Quais implicações de conformidade o COPPA e o CIPA têm no Azure?
COPPA e CIPA são leis adicionais destinadas a proteger a privacidade das crianças; no entanto, eles não são diretamente aplicáveis ao Azure. A Lei de Proteção à Privacidade Online das Crianças (COPPA) é uma lei federal dos EUA promulgada para proteger a privacidade de crianças menores de 13 anos. A FTC (Comissão Federal de Comércio) gerencia a COPPA. A COPPA se aplica a sites e serviços online direcionadas às crianças e estipula que esses sites e serviços devem exigir o consentimento dos pais para a coleção e o uso de qualquer informação pessoal pertencente às crianças. A CIPA (Lei de Proteção à Internet infantil) foi promulgada para resolver preocupações sobre o acesso das crianças a conteúdo prejudicial pela Internet. A FCC (Comissão Federal de Comunicações) emitiu regras implementando CIPA e requisitos definidos para escolas e bibliotecas sujeitas a CIPA. Os clientes com perguntas sobre COPPA e CIPA no contexto da adoção do Azure devem examinar a seção intitulada Instituições Educacionais na DPA dos Serviços Online, onde explicamos que os clientes são responsáveis por obter qualquer consentimento dos pais para o uso de qualquer usuário final do Microsoft serviços online.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Documentação de conformidade do Azure
- Lei de Privacidade e Direitos Educacionais da Família
- Código eletrônico de regulamentos federais: FERPA
- Aditório de Proteção de Dados dos Serviços Online da Microsoft
- Registro Federal: Regra Final do FERPA
- Página de destino ferpa do Departamento de Educação dos EUA
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de