Com conduir un security check de les aplicacions usades a la teva escola (II)

Com conduir un security check de les aplicacions usades a la teva escola (II)

Temps de lectura: 3 minuts

Aquest article és la segona part de la sèrie de tres articles sobre el Security check a les tecnologies educatives d’un centre. Se centra en els aspectes de seguretat física, dades de l’usuari, arxius de registre i GPDR.

Seguretat física

Quins centres de dades s’utilitzen i quin tipus de certificacions tenen?

Qui pot accedir als servidors?

S’utilitza una autenticació forta per accedir a sistemes sensibles?

L’accés als servidors ha d’autentificar-se amb algun protocol, com Ssh (Secure Shell), LDAP (Lightweight Directory Access Protocol) o SSO (Single Sign-on).

Dades de l’usuari

Se suprimeixen totes les dades després de finalitzar el compte? Amb quina rapidesa?

El proveïdor ha de suprimir les dades un cop finalitzat el compte i, millor encara, després d’un any d’inactivitat del compte. El període durant el qual les dades es mantenen ha de ser raonable i d’acord amb la legislació europea.

Quin tipus d’informació recopila i emmagatzema l’aplicació?

Per una plataforma d’aprenentatge allotjada a un servidor propi o dedicat, les següents dades recopilades són acceptables:

  • nom
  • adreça de correu electrònic (relacionada amb la institució)
  • el nom d’usuari i la contrasenya

Depenent de l’aplicació, aquesta informació és necessària per configurar un compte. Addicionalment, la plataforma pot guardar quins cursos ha usat l’usuari què vau fer en aquests cursos, així com els resultats dels cursos (resultats de tests, etc.).

Es distribueixen aquestes dades a tercers?

La resposta sempre ha de ser negativa. Les següents dues respostes són exemples de bones pràctiques:

Ens assegurem que internament només tinguin accés a aquesta informació aquelles persones que la necessitin absolutament. Les dades personals es tractaran de manera confidencial i no es posaran a disposició del públic en general.

Només gestionem la quantitat mínima de dades d’usuari per tal de permetre al proveïdor crear un compte mínim i no emmagatzemem cap dada d’identificació personal.

Arxius de registre (logs)

Una resposta acceptable és la següent:

Les dades dels fitxers de registre del servidor web s’eliminen al cap de trenta dies. Només els administradors tenen accés als fitxers de registre.

Compliment del GDPR (General Data Protection Regulation)

La resposta sempre ha de ser afirmativa i documentada.

Vols fer la prova i obtenir la resposta a aquestes preguntes de Google Classroom o Zoom? Sabries a qui preguntar en el teu idioma? Si la resposta és no, el teu centre està posant la teva privadesa i la dels teus alumnes en perill.

Foto d’ Elias Sch. a Pixabay
Share this

Leave a Reply

Your email address will not be published. Required fields are marked *