普罗克托里奥是如何处理数据安全和考生隐私的
在Proctorio,我们很自豪,全球850多所院校的管理人员相信我们是他们的合作伙伴,因为我们为世界各地的学习者开发高质量、高诚信的在线教育体验。
作为一家教育技术提供商,意味着机构在非常敏感的数据转手的情况下使用我们的技术,比如考试管理员和考生之间的对话、考试问题的答案和作业,这只是举几个例子。
由于我们在教育技术堆栈中的敏感位置,我们非常重视数据安全。我们使用先进的技术来保护您的数据安全。让我们解释!
Proctorio可以访问哪些数据?在使用我们的软件或访问评估平台已经要求的支持之外,Proctorio不需要额外的个人身份信息(PII)。考生只需在LMS上签名,并附上他们所在机构的证书,就可以查看他们的评估结果。
考试记录是通过零知识加密技术传输和存储的,这意味着只有机构批准的代表才能获得解密和审查记录所需的加密密钥。
只有当考试管理员选择录像或录音选项时,Proctorio才会在考试过程中对考生进行记录。视频/音频录音信息不会永久保存;根据机构的不同,这些信息可能只在我们的服务器上存在7天。
一旦它被访问,它是如何被保护的?Proctorio的区别在于它使用了零知识加密。这种专有技术意味着只有机构批准的代表才能访问解密和审查考试记录所需的加密密钥。
这种独特的设计确保在加密之前没有任何东西会离开管理员或学习者的计算机。这意味着如果Proctorio遭到黑客攻击,攻击者会得到一堆毫无意义的胡言乱语。
最重要的是,零知识加密仅仅是Proctorio应用的一层加密!学习者数据(包括所有视频、屏幕和音频记录)通过三层加密进行保护和处理:
零知识层使用AES-GCM进行保护。
到数据中心的传输仅通过TLS 1.2或1.3,如果客户端支持它,我们使用完全前向保密(PFS)。
数据中心内的静止数据采用AES-256加密,并符合FIPS 140-2标准。所有数据中心都通过了ISO 27001认证,SOC 2认证。
我们的平台每天都要进行漏洞和渗透测试,以评估我们的系统抵御潜在攻击的能力。
考生在使用Proctorio时,需要在自己的电脑上安装一款软件,这种软件会攻击电脑吗?Proctorio不需要本地软件。它只能作为一个浏览器扩展运行,允许考生在参加在线考试时轻松安装和卸载Proctorio。我们请求非常具体的权限,甚至进一步限制浏览器扩展可以捕获的信息;请查看我们的隐私页面.
Proctorio技术如何用于考试完整性决策?Proctorio没有使用通过算法来决定考试完整性的技术。如果我们的面部检测或眼神检测软件发现了不寻常的情况,我们会将其标记给考试管理员,由他们做出所有决定和评分决定。Proctorio国旗的行为;它不做决定。
哪些第三方机构审查了Proctorio的安全标准?Proctorio的隐私已由多个第三方机构审查,以确保我们坚持最高的数据隐私标准。
Proctorio已获得互联网KeepSafe联盟的认可,该联盟负责审查和认证数字产品是否符合州和联邦处理受保护个人信息的要求,并确认Proctorio将尽一切努力遵守《家庭教育权利和隐私法》(FERPA)和《儿童在线隐私保护法》(COPPA)。Proctorio还自豪地签署了学生隐私誓言,支持美国K-12学生的隐私。Proctorio尽一切努力做到GDPR合规。
对于加拿大的机构,Proctorio也尽一切努力遵守《隐私法》(不列颠哥伦比亚省)、《个人信息保护和电子文档法》(PIPEDA)和《信息自由和隐私保护法》(FIPPA)。加拿大考生的考试相关数据均存储在加拿大本地且安全。
我们还聘请了一家领先的信息安全咨询公司对我们的软件和云环境进行安全评估。以下是他们的发现总结:
Proctorio适当地实施零知识加密,只有机构认可的代表拥有存储的音频/视频数据的加密密钥。
除了保护加密密钥,审计还得出结论,加密功能是使用行业标准和经过审查的算法及其实现库适当实现的。
根据当地隐私和安全法律,考试视频和音频将存储在基于机构的适当地理区域。接受测试的地区包括美国、加拿大、欧盟、中东和澳大利亚。
信任和正直是我们Proctorio的核心。我们为我们所采用的技术和措施感到自豪,这些技术和措施保证了数据的安全,保护了信任我们的考生和管理人员。
注:这篇博文已于2021年6月23日更新.