BLOG

Jak zajišťujeme bezpečnost osobních údajů studentů při online testování

Jak zajišťujeme bezpečnost osobních údajů studentů při online testování

Před zkouškou se musí každý student identifikovat průkazem s fotkou a při testu zaznamenává webová kamera okolí jeho pracovního místa. Kvůli tomu se k nám dostane množství dat. K jejich ochraně používáme moderní technologie a dodržujeme přísné bezpečnostní principy. I díky tomu jsme získali ocenění Tech Champion 2021 od prestižních Financial Times.

Důležitá poznámka na úvod: množství osobních údajů, která od studentů vyžadujeme, záleží na požadavcích školy. Pokud se jedná o jednodušší zkoušku bez online proctoringu, stačí nám pouze e-mailová adresa studenta.

U proctorované zkoušky (např. přijímací zkoušky na univerzitu) je rozsah osobních údajů větší a právě tuto situaci popisujeme v článku.

Díky online proctoringu probíhají důležité zkoušky férově. Zjistěte, jak proctoring funguje >>

Co všechno se o studentovi v souvislosti se zkouškou dozvíme

Ještě než se studentovi zobrazí první sada otázek, musí se identifikovat. Prakticky to znamená ukázat na webovou kameru svůj občanský průkaz. „Potřebujeme vidět jeho obličej, ověřit jméno, příjmení a datum narození,“ vysvětluje Jáchym Vintr, Product Owner platformy ScioLink.

Fotografie občanky se naskenuje do počítače a student jedním kliknutím rozmaže údaje, které nechce poskytnout. „Přímo ve ScioLinku kurzorem vymaže třeba číslo dokladu, místo narození nebo podpisový vzor. Svoji volbu potvrdí a tyto údaje se k nám vůbec neodešlou,“ popisuje Vintr.

Při úvodní identifikaci musí student vyfotit sebe a hned poté před webkameru předloží průkaz totožnosti.

Během zkoušky vzniká také:

  • videozáznam okolí pracovního místa,
  • videonahrávka sdílené obrazovky (monitor počítače, na kterém student pracuje),
  • audiozáznam z mikrofonu,
  • záznam o HW a SW konfiguraci zařízení (typ CPU, kapacita RAM, verze operačního systému a webového prohlížeče).

„U přijímacích zkoušek se ještě od fakulty dozvíme číslo přihlášky z univerzitního systému, abychom studenta správně identifikovali,“ uzavírá přehled přenášených osobních dat Vintr.

Pro videozáznam zkoušky potřebujeme zapnutou webovou kameru – klidně externí nebo integrovanou v běžném počítači.

Co se s daty děje po skončení zkoušky

Osobní údaje z občanského průkazu, výsledek zkoušky a veškeré audio i videozáznamy putují do zabezpečeného datového úložiště Microsoft Azure – technického řešení, které využívají i ty největší světové firmy jako např. T-Mobile, E.ON, mBank, Asahi nebo Walmart.  „Pro představu, ze zkoušky, která trvá 1,5 hodiny, vzniká přibližně 1 GB dat. Ročně tak do úložiště nahrajeme desítky TB dat,“ konkretizuje velikost datových proudů Vintr.

Přístup k záznamům pak mají přes speciální aplikaci hodnotitelé regulérnosti testů. „I tato aplikace splňuje přísná bezpečnostní pravidla jako například dvoufaktorové ověření uživatele při přihlášení, automatické odhlašování při nečinnosti nebo tzv. logování, abychom mohli v případě potřeby dohledat, kdo a kdy záznam viděl,“ vysvětluje Vintr.

Testy jsou hodnotitelům rozdělovány podle náhodného klíče. Jakmile zkoušku vyhodnotí, už se k záznamu nedostanou – k datům poté mají přístup pouze speciálně proškolení komisaři a administrátoři systému. „Po třiceti dnech od zkoušky se data zpravidla přesunou do archivu, který běží také na Microsoft Azure – přesné lhůty závisí na domluvě s univerzitou. Pomyslný klíč k archivu pak drží jen několik administrátorů,“ doplňuje Vintr s tím, že archiv včetně záloh se přibližně po šesti měsících promazává a data nenávratně zmizí (přesnou lhůtu stanovíme podle přání školy).

Veškerá data putují do úložiště od Microsoft Azure. Po uplynutí lhůty je nenávratně smažeme.

Terminologie: správce a zpracovatel osobních údajů

Narozdíl od Národních srovnávacích zkoušek (NSZ), které jsou celé v režii Scia, jsme u zkoušek s online proctoringem v jiné roli.

  • U NSZ jsme správci osobních údajů,
  • u zkoušek na zakázku jsme pouze zpracovatelem osobních údajů.

Laicky to znamená, že u NSZ jsme to my, kdo v souladu s legislativou stanoví, jaký typ údajů a na jak dlouho bude sbírat. U testů na zakázku (např. přijímací zkoušky na míru) je správcem osobních údajů fakulta, které na začátku předáme doporučení podle best practice – ale pravidla se mohou lišit podle požadavků dané školy.

27 let zkušeností se správou osobních údajů a prestižní ocenění

Kyberbezpečnost nebereme na lehkou váhu a rozhodně nechceme nic zakřiknout, ale máme minimálně tři další signály, proč náš přístup funguje a data studentů jsou v bezpečí:

  1. Za 27 let testování jsme jako Scio nikdy nezažili únik osobních údajů.
  2. V listopadu 2021 jsme od Financial Times obdrželi ocenění Tech Champion v kategorii Cybersecurity & IT.

Splnili jsme podmínky Microsoftu pro zařazení do AppSource tržiště.

PRVNÍ KROK JE NA VÁS

Vším vás provedeme

Kontaktujte nás