Hace dos semanas el ORCID El equipo se despertó con una de nuestras pesadillas. Mostrábamos información en páginas de registros públicos que nuestros usuarios habían marcado como "privado". Se suponía que esta información NO debía ser visible para el público. Solucionamos el problema (causado por un pequeño error de código con un impacto lamentablemente grande), alertamos y nos disculpamos con las personas afectadas (alrededor del 2.5% de los registrados), publicamos información al respecto en nuestro blog y canales sociales, y correos electrónicos respondidos: montones, montones de correos electrónicos. De los casi 800 billetes que recibimos, un gran porcentaje nos sorprendió. En lugar de críticas mordaces por no detectar este error antes de que entrara en producción (aunque también recibimos nuestra parte de estos correos electrónicos), la mayoría de las respuestas fueron de personas que nos agradecieron por comunicarnos sobre nuestro error y expresaron alivio de que el la información más sensible que podría estar potencialmente expuesta en un ORCID registro es la dirección de correo electrónico del usuario. Muchas personas incluso señalaron que estas direcciones ya son públicas en otros sitios web. Los comentarios en los canales sociales siguieron el mismo patrón.
Si bien estábamos agradecidos de no tener miles de comprensiblemente furiosos ORCID iD titulares, estamos extremadamente decepcionados con nosotros mismos de que el incidente haya ocurrido en primer lugar. Ya habíamos planificado un trabajo importante en 2016 para formalizar planes y políticas de seguridad y aumentar nuestra capacidad de escalabilidad y confiabilidad, así como dedicar tiempo a comprender qué significa confiar en una organización como ORCID y un sistema como el ORCID registro. El incidente ha acelerado el proceso y nos ha llevado a priorizar nuestro trabajo en estos temas.
Hoy esbozamos un programa que llamamos ORCID Confía y estamos invitando a expertos en privacidad y seguridad de datos para que nos ayuden a examinar el programa antes de que lo implementemos formalmente en las próximas semanas.
ORCID Confía en
ORCID fue fundada en Principios de 10 que guían nuestro trabajo. Estos principios resaltan ORCIDLos valores de , que incluyen compromisos con la privacidad, el control del investigador, la gobernanza transparente y la disponibilidad de datos.
El control del usuario sobre el registro, lo que está conectado a su iD y quién puede acceder a su información son principios básicos de ORCIDlas ofrendas. Además, ORCID entiende que la confiabilidad, la disponibilidad y la integridad de nuestros sistemas y servicios son esenciales para las organizaciones y las personas que confían y dependen de ORCID iDs y su asociación con otra información.
La confianza comienza con la transparencia. En este programa, brindaremos información sobre nuestras prácticas y políticas de privacidad y seguridad de datos, e información en tiempo real sobre el rendimiento y la seguridad del sistema. También proporcionaremos detalles sobre cómo mantenemos la transparencia y nuestro compromiso de proporcionar un identificador persistente y de larga duración. Él ORCID El programa de fideicomiso contendrá cinco componentes principales:
SEGURIDAD – Prácticas y políticas sobre cómo ORCID mantiene sus datos seguros y su papel en esta seguridad. Este componente contendrá detalles sobre cómo aseguramos nuestros centros de datos, transmisiones y sesiones; y cómo protegemos la red que proporciona acceso a la ORCID Registro. Incluirá nuestros procesos de prueba, copia de seguridad y recuperación ante desastres, y cómo gestionamos la escalabilidad y supervisamos la seguridad.
PRIVACIDAD - El ORCID El registro se desarrolló teniendo en cuenta la privacidad del investigador. En este componente nos enfocaremos en el control de acceso a su información. Incluirá nuestras prácticas de privacidad, nuestros principios y enfoques para el control de los datos por parte de los investigadores, y descripciones del tipo de información que ORCID sostiene.
EL CUMPLIMIENTO DE LA LEGALIDAD – Este componente incluirá las políticas y prácticas que ORCID utiliza para garantizar que cumplimos con los altos estándares de privacidad y seguridad de datos que nuestros usuarios esperan. Cubrirá cómo nos comunicamos con los usuarios sobre actualizaciones y solicitudes de datos, cómo manejamos las disputas y describirá nuestras auditorías de terceros. Este componente también abarcará nuestras políticas y prácticas internas, y los controles de personas y tecnología que implementamos para garantizar que se cumplan nuestras políticas.
ORCID PERSISTENCIA – Este componente incluirá cómo nos aseguramos de que el ORCID el identificador, los datos y la organización son duraderos, incluidos el gobierno y la planificación de la sucesión. Contendrá nuestros enfoques y prácticas de sostenibilidad, tanto para la organización como para el ORCID iD, y cómo reanudaremos el negocio si algo sale mal.
ESTADO – Esta sección proporcionará informes de tiempo de actividad, detalles sobre incidentes actuales, si corresponde, y actualizaciones sobre cualquier próximo mantenimiento planificado.
Siguiente paso: búsqueda de expertos para la participación
Mientras finalizamos el ORCID Confíe en los materiales del programa y las políticas y prácticas internas relacionadas que lo respaldan. Estamos buscando aportes de expertos en seguridad de datos, privacidad y confianza de todo el mundo que estén dispuestos a revisar nuestro trabajo y ayudar a fortalecerlo. Si es un experto en una de estas áreas y puede dedicar tiempo durante las próximas tres semanas para leer y comentar sobre el programa, exprese su interés comunicándose con confianza@orcid.org.