Éducation
Enseignement supérieur / dossiers et conformité
Une université gardait les notes et les présences dispersées sans piste d'audit sur qui accédait aux dossiers étudiants. SDEN a déployé la notation et la gouvernance des accès de University Portal en six mois.
- Client
- Une université
- Secteur
- Enseignement supérieur / dossiers et conformité
- Durée
- Environ six mois de bout en bout
La prémisse
Les dossiers étudiants sont sensibles, et la plupart des campus ne peuvent pas dire qui les a consultés. Les notes et les présences vivent dans des tableurs que quiconque a le lien peut ouvrir ; le contrôle d'accès est une affaire de convention plutôt que d'imposition ; et quand une question sur qui a vu un dossier survient, il n'y a aucun journal pour y répondre. L'exposition est réelle et silencieuse jusqu'à ce qu'elle ne le soit plus.
University Portal traite le dossier étudiant comme quelque chose à gouverner : audité à chaque accès, contrôlé par rôle au niveau du type, et protégé par l'authentification à deux facteurs. Ce cas porte sur le déploiement dans une université.
Notes dispersées, accès non gouverné, aucune piste d'audit
Les notes et les présences vivaient à travers des tableurs sans véritable contrôle d'accès — quiconque avait le lien pouvait les ouvrir — et sans aucun registre de qui l'avait fait. L'université ne pouvait pas répondre à une question de conformité de base : qui a accédé au dossier de cet étudiant, et quand.
L'accès était gouverné par convention, pas par imposition, donc une erreur était toujours à un lien partagé près.
Notation en ligne, accès audité, RBAC au niveau du type
University Portal a remplacé les tableurs par une notation en ligne avec moyennes automatiques, a posé un journal d'audit sur chaque accès à un profil étudiant, a imposé l'accès basé sur les rôles au niveau du type plutôt que seulement dans l'interface, et a exigé l'authentification à deux facteurs.
Phase 1 — Dossiers et modèle de rôles
Trois semaines. Cartographie du dossier étudiant, des rôles autorisés à toucher chaque partie de celui-ci, et des exigences de conservation et d'audit que l'université devait respecter.
Phase 2 — Notation et contrôle d'accès
Huit semaines. La notation en ligne avec moyennes automatiques déployée, avec l'accès basé sur les rôles imposé au niveau du type — pas seulement caché dans l'interface — et l'authentification à deux facteurs exigée sur chaque compte.
Phase 3 — Journalisation d'audit et migration
Sept semaines. La journalisation d'audit est entrée en service sur chaque accès à un profil étudiant, diffusée pour la conservation, et les notes et les présences migrées hors des tableurs vers le dossier gouverné.
Chaque accès aux dossiers audité, accès imposé au niveau du type
La notation est passée en ligne avec moyennes automatiques, et chaque accès à un profil étudiant est maintenant journalisé — de sorte que l'université peut répondre à qui a vu un dossier et quand. L'accès basé sur les rôles est imposé au niveau du type, ce qui veut dire qu'une erreur de permission est une erreur de compilation, pas un lien partagé.
L'authentification à deux facteurs sur chaque compte a fermé le dernier chemin facile vers les dossiers sensibles.
Chaque accès
à un dossier étudiant, journalisé pour audit
Niveau du type
accès basé sur les rôles imposé dans le code, pas seulement l'interface
2FA
exigée sur chaque compte
À suivre
Plus de SDEN : éducation
Un projet qui en vaut la peine ?
Parlez-nous de votre projet. Nous travaillons avec un nombre limité de clients à la fois, et nous vous revenons en moins de 24 heures ouvrables avec un premier avis d'ingénieur, sans engagement.