Vor zwei Wochen die ORCID Das Team erwachte mit einem unserer Albträume. Wir zeigten Informationen auf öffentlichen Datensatzseiten an, die unsere Benutzer als „privat“ markiert hatten. Diese Informationen sollten NICHT für die Öffentlichkeit sichtbar sein. Wir haben das Problem behoben (verursacht durch einen kleinen Codefehler mit bedauerlicherweise großen Auswirkungen), die betroffenen Personen (rund 2.5 % der Registranten) alarmiert und uns bei ihnen entschuldigt und Informationen darüber auf unserer Website veröffentlicht Blog und soziale Kanäle und beantwortete E-Mails – jede Menge E-Mails. Von den fast 800 Banknoten, die wir zurückbekamen, überraschte uns ein großer Teil. Anstatt vernichtende Kritik dafür zu äußern, dass dieser Fehler nicht erkannt wurde, bevor er in Produktion ging (obwohl wir auch einen Teil dieser E-Mails erhielten), stammte die Mehrheit der Antworten von Leuten, die sich bei uns dafür bedankten, dass wir unseren Fehler offen angesprochen haben, und ihre Erleichterung darüber zum Ausdruck brachten Die sensibelsten Informationen, die möglicherweise offengelegt werden könnten ORCID Der Datensatz ist die E-Mail-Adresse des Benutzers. Viele Leute wiesen sogar darauf hin, dass diese Adressen bereits auf anderen Websites öffentlich sind. Das Feedback auf sozialen Kanälen verlief nach dem gleichen Muster.
Während wir dankbar waren, nicht Tausende von verständlicherweise wütenden Menschen zu haben ORCID iD Sehr geehrte Damen und Herren, wir sind äußerst enttäuscht darüber, dass es überhaupt zu dem Vorfall gekommen ist. Für 2016 hatten wir bereits umfangreiche Arbeiten geplant, um Sicherheitspläne und -richtlinien zu formalisieren und unsere Kapazität für Skalierbarkeit und Zuverlässigkeit zu erhöhen. Außerdem wollten wir uns Zeit nehmen, um zu verstehen, was es bedeutet, einer Organisation wie dieser zu vertrauen ORCID und ein System wie das ORCID Registrierung. Der Vorfall hat den Prozess beschleunigt und uns dazu veranlasst, unsere Arbeit an diesen Themen zu priorisieren.
Heute skizzieren wir ein Programm, das wir aufrufen ORCID Trust und lädt Experten für Datensicherheit und Datenschutz ein, uns bei der Überprüfung des Programms zu unterstützen, bevor wir es in den kommenden Wochen offiziell einführen.
ORCID Vertrauen
ORCID wurde gegründet auf 10-Prinzipien die unsere Arbeit leiten. Diese Prinzipien heben hervor ORCIDZu den Werten des Unternehmens gehören Verpflichtungen zum Datenschutz, zur Kontrolle der Forscher, zur transparenten Governance und zur Datenverfügbarkeit.
Die Kontrolle des Benutzers über die Registrierung, was mit seiner ID verbunden ist und wer auf seine Informationen zugreifen kann, sind die Grundprinzipien von ORCID's Angebote. Zusätzlich, ORCID ist sich bewusst, dass Zuverlässigkeit, Verfügbarkeit und Integrität unserer Systeme und Dienste für die Organisationen und Einzelpersonen, denen sie vertrauen und denen sie vertrauen, von entscheidender Bedeutung sind ORCID IDs und ihre Verbindung mit anderen Informationen.
Vertrauen beginnt mit Transparenz. In diesem Programm stellen wir Informationen über unsere Datenschutz- und Datensicherheitspraktiken und -richtlinien sowie Echtzeitinformationen zur Systemleistung und -sicherheit bereit. Wir werden auch Einzelheiten darüber bekannt geben, wie wir Transparenz aufrechterhalten und zu unserem Engagement für die Bereitstellung einer langlebigen, dauerhaften Kennung. Der ORCID Das Treuhandprogramm umfasst fünf Hauptkomponenten:
SICHERHEIT – Praktiken und Richtlinien rund um das Wie ORCID schützt Ihre Daten und Ihre Rolle bei dieser Sicherheit. Diese Komponente enthält Einzelheiten darüber, wie wir unsere Rechenzentren, Übertragungen und Sitzungen sichern; und wie wir das Netzwerk schützen, das den Zugriff darauf ermöglicht ORCID Registrierung. Dazu gehören unsere Disaster Recovery-, Backup- und Testprozesse sowie die Art und Weise, wie wir die Skalierbarkeit verwalten und die Sicherheit überwachen.
DATENSCHUTZ - Die ORCID Bei der Entwicklung des Registers stand die Privatsphäre der Forscher im Mittelpunkt. In dieser Komponente konzentrieren wir uns auf die Zugriffskontrolle auf Ihre Informationen. Dazu gehören unsere Datenschutzpraktiken, unsere Grundsätze und Ansätze zur Kontrolle von Daten durch Forscher sowie Beschreibungen der Art der Informationen, die verwendet werden ORCID hält.
COMPLIANCE – Diese Komponente umfasst die Richtlinien und Praktiken, die ORCID verwendet, um sicherzustellen, dass wir die hohen Standards in Bezug auf Datenschutz und Datensicherheit einhalten, die unsere Benutzer erwarten. Darin wird behandelt, wie wir mit Benutzern über Aktualisierungen und Datenanfragen kommunizieren, wie wir mit Streitigkeiten umgehen und unsere Prüfungen durch Dritte beschreiben. Diese Komponente umfasst auch unsere internen Richtlinien und Praktiken sowie die Personen- und Technologiekontrollen, die wir einrichten, um sicherzustellen, dass unsere Richtlinien eingehalten werden.
ORCID BEHARRLICHKEIT – Diese Komponente wird beinhalten, wie wir sicherstellen, dass die ORCID Identifikator, Daten und Organisation sind langlebig, einschließlich Governance und Nachfolgeplanung. Es wird unsere Nachhaltigkeitsansätze und -praktiken enthalten, sowohl für die Organisation als auch für die ORCID iD und wie wir den Betrieb wieder aufnehmen, wenn etwas schief geht.
STATUS – In diesem Abschnitt finden Sie Betriebszeitberichte, Details zu aktuellen Vorfällen (falls zutreffend) und Aktualisierungen zu bevorstehenden geplanten Wartungsarbeiten.
Nächster Schritt: Experten für die Teilnahme suchen
Während wir das fertigstellen ORCID Da wir die Materialien des Trust-Programms und damit verbundene interne Richtlinien und Praktiken, die es unterstützen, unterstützen, bitten wir um Input von Datensicherheits-, Datenschutz- und Vertrauensexperten aus der ganzen Welt, die bereit sind, unsere Arbeit zu überprüfen und dabei zu helfen, sie zu stärken. Wenn Sie Experte in einem dieser Bereiche sind und sich in den nächsten drei Wochen Zeit nehmen können, das Programm zu lesen und zu kommentieren, bekunden Sie bitte Ihr Interesse, indem Sie Kontakt mit uns aufnehmen Vertrauen@orcid.org €XNUMX.