Před dvěma týdny ORCID tým se probudil do jedné z našich nočních můr. Zobrazovali jsme informace na stránkách veřejných záznamů, které naši uživatelé označili jako „soukromé“. Tyto informace NEMĚLY být viditelné pro veřejnost. Opravili jsme problém (způsobený malou chybou v kódu s bohužel velkým dopadem), upozornili jsme postižené osoby (asi 2.5 % registrujících se) a omluvili se jim, zveřejnili jsme o něm informace na blog a sociální kanály a zodpovězené e-maily – spousta a spousta e-mailů. Z téměř 800 poznámek, které jsme dostali zpět, nás velké procento z nich překvapilo. Namísto sžíravé kritiky za to, že jsme tuto chybu nezachytili před uvedením do výroby (ačkoli jsme svůj podíl na těchto e-mailech také dostali), většina odpovědí pocházela od lidí, kteří nám děkovali za to, že jsme byli vstřícní ohledně naší chyby, a vyjadřovali úlevu, že nejcitlivější informace, které by mohly být potenciálně vystaveny ORCID záznam je e-mailová adresa uživatele. Mnoho lidí dokonce poukázalo na to, že tyto adresy jsou již veřejné na jiných webech. Zpětná vazba na sociálních kanálech probíhala stejným způsobem.
Zatímco jsme byli vděční, že nemáme tisíce pochopitelně naštvaných ORCID iD držitelé, jsme sami sebou nesmírně zklamaní, že k incidentu vůbec došlo. Již v roce 2016 jsme plánovali významnou práci s cílem formalizovat bezpečnostní plány a zásady a zvýšit naši kapacitu pro škálovatelnost a spolehlivost a také věnovat čas pochopení toho, co to znamená důvěřovat organizaci jako je ORCID a systém jako ten ORCID registru. Incident urychlil proces a přiměl nás, abychom upřednostnili naši práci na těchto tématech.
Dnes nastíníme program, který voláme ORCID Důvěřujte a otevíráme pozvání odborníkům na bezpečnost dat a soukromí, aby nám pomohli program prověřit, než jej v nadcházejících týdnech formálně spustíme.
ORCID Věřte
ORCID byla založena dne 10 principů které řídí naši práci. Tyto zásady zdůrazňují ORCIDhodnoty, které zahrnují závazky k ochraně soukromí, kontrolu výzkumníků, transparentní řízení a dostupnost dat.
Uživatelská kontrola nad registrací, co je připojeno k jejich iD a kdo má přístup k jejich informacím, jsou základní principy ORCIDnabídky uživatele. navíc ORCID chápe, že spolehlivost, dostupnost a integrita našich systémů a služeb jsou zásadní pro organizace a jednotlivce, kteří důvěřují a spoléhají na ně ORCID ID a jejich spojení s dalšími informacemi.
Důvěra začíná transparentností. V tomto programu budeme poskytovat informace o našich postupech a zásadách ochrany soukromí a zabezpečení dat a informace o výkonu a zabezpečení systému v reálném čase. Poskytneme také podrobnosti o tom, jak udržujeme transparentnost, a náš závazek poskytovat trvalý a trvalý identifikátor. The ORCID Program Trust bude obsahovat pět hlavních součástí:
BEZPEČNOST – Praktiky a zásady týkající se toho, jak ORCID udržuje vaše data v bezpečí a vaši roli v tomto zabezpečení. Tato komponenta bude obsahovat podrobnosti o tom, jak zabezpečujeme naše datová centra, přenosy a relace; a jak chráníme síť, která poskytuje přístup k ORCID Registr. Bude zahrnovat naše procesy obnovy po havárii, zálohování a testování a to, jak spravujeme škálovatelnost a monitorujeme zabezpečení.
SOUKROMÍ - ORCID Registr byl vyvinut s ohledem na soukromí výzkumníků. V této komponentě se zaměříme na řízení přístupu k vašim informacím. Bude zahrnovat naše postupy v oblasti ochrany osobních údajů, naše zásady a přístupy ke kontrole dat výzkumnými pracovníky a popisy typu informací, které ORCID drží.
DODRŽOVÁNÍ – Tato složka bude zahrnovat zásady a postupy, které ORCID používá, abychom zajistili, že se budeme držet vysokých standardů v oblasti soukromí a zabezpečení dat, které naši uživatelé očekávají. Bude pokrývat, jak komunikujeme s uživateli o aktualizacích a žádostech o data, jak řešíme spory, a popíše naše audity třetích stran. Tato složka bude také zahrnovat naše interní zásady a postupy a kontroly lidí a technologií, které zavádíme, abychom zajistili dodržování našich zásad.
ORCID VYTRVALOST – Tato složka bude zahrnovat způsob, jakým zajišťujeme, že ORCID identifikátor, data a organizace mají dlouhou životnost, včetně řízení a plánování nástupnictví. Bude obsahovat naše přístupy a postupy udržitelnosti jak pro organizaci, tak pro společnost ORCID iD a jak obnovíme podnikání, pokud se něco pokazí.
POSTAVENÍ – Tato část bude obsahovat zprávy o provozuschopnosti, podrobnosti o aktuálních incidentech, pokud jsou k dispozici, a aktualizace o jakékoli nadcházející plánované údržbě.
Další krok: vyhledání odborníků pro účast
Jak dokončíme ORCID Materiály programu Trust a související interní zásady a postupy, které jej podporují, hledáme informace od odborníků na bezpečnost dat, soukromí a důvěru z celého světa, kteří jsou ochotni přezkoumat naši práci a pomoci ji posílit. Pokud jste odborníkem v jedné z těchto oblastí a můžete během následujících tří týdnů věnovat čas čtení a komentování programu, vyjádřete svůj zájem kontaktováním důvěra@orcid.org.