供应商的概述
-
太阳城娱乐(太阳城娱乐)必须根据NC通用法规第29§115C条保护员工和学生数据。新规定将于2024年1月1日生效,旨在加强员工和学生个人数据的网络安全。从太阳城娱乐接收员工和学生数据的第三方公司必须完成严格的流程,这反映了对数据安全的重视。
这些要求基于NC DIT安全策略,该策略遵循NIST 800-53框架。在太阳城娱乐审查和批准与第三方共享数据之前,第三方必须遵循以下具体步骤。
步骤
-
步骤1 -识别共享数据
完成第三方数据收集和报告工作表
-
下载并完成工作表。注意:如果太阳城娱乐使用同一公司的多个产品/平台,则必须为每个平台/服务单独填写工作表。
-
将完成的文档发送至privacy@cms.k12.nc.us。
-
-
步骤2 -同意条款和条件
填写并签署数据保密与安全协议
-
下载并查看协议。
-
将签署完成的文件发送至privacy@cms.k12.nc.us。
-
-
步骤3 -完成自我评估
完成供应商准备评估报告
-
下载并完成上述链接的DPI文件。或者,供应商可以使用HECVAT Lite或COSN K-12CVAT评估工具
-
将完成的文档发送至privacy@cms.k12.nc.us。
-
-
步骤4 -提供第三方评估/审核的证据
提交第三方评估报告
-
供应商必须首先向太阳城娱乐提供第三方进行的评估报告,如联邦风险和授权管理计划(FedRAMP)授权、SOC 2 Type 2审核、ISO 27001认证或HITRUST认证,然后每年提供一次。
-
桥信和聘书将被考虑。如果提交桥接或约定书,DPI需要一个认证的漏洞扫描和渗透测试,显示没有中等或以上的漏洞
- 执行摘要报告,如SOC3报告和过去12个月内的认证将被接受,以代替全面评估
-
将完成的文档发送至privacy@cms.k12.nc.us。注意:如果您的公司要求在共享此信息之前签订保密协议,或者需要更安全的共享方法,请发送电子邮件至privacy@cms.k12.nc.us。
-
-
第五步-提供志愿者产品无障碍模板(VPAT)
代表太阳城娱乐购买的网络和数字内容必须在2026年4月24日之前满足WCAG 2.1-AA指南。如果您的产品或服务涉及网络或数字内容,请在提交时附上VPAT。创建VPAT的说明可以在这里找到。
资源
-
- NIST 800-53框架
- NIST 800-53安全控制人行道
- NC DIT全州信息安全手册
- NC DIT SISM供应商校准工作表
- NC DIT信息安全政策
- 供应商准备评估报告(VRAR)
- 数据保密和安全协议
- 第三方数据收集和报告工作表
- 太阳城娱乐家长-学生手册(见FERPA目录信息披露第39页)
- 学生资料披露家长同意书范本
- 谅解备忘录范本
- 太阳城娱乐技术系统要求
*不要提交压缩(.zip)文件,因为它们将被太阳城app的电子邮件提供商阻止
如有任何问题,请发邮件至privacy@cms.k12.nc.us。
