Il y a deux semaines, le ORCID l'équipe s'est réveillée avec l'un de nos cauchemars. Nous affichions des informations sur des pages d'enregistrements publics que nos utilisateurs avaient marquées comme "privées". Cette information n'était PAS censée être visible au public. Nous avons corrigé le problème (causé par une petite erreur de code avec un impact malheureusement important), alerté et présenté nos excuses aux personnes concernées (environ 2.5 % des inscrits), publié des informations à ce sujet sur notre blogue et les canaux sociaux, et les e-mails répondus - beaucoup, beaucoup d'e-mails. Sur les près de 800 billets que nous avons récupérés, un grand pourcentage d'entre eux nous a surpris. Au lieu de critiques cinglantes pour ne pas avoir détecté cette erreur avant qu'elle ne soit mise en production (bien que nous ayons également reçu notre part de ces e-mails), la majorité des réponses provenaient de personnes nous remerciant d'avoir été ouverts à propos de notre erreur et exprimant leur soulagement que le les informations les plus sensibles qui pourraient potentiellement être exposées dans un ORCID record est l'adresse e-mail de l'utilisateur. De nombreuses personnes ont même souligné que ces adresses sont déjà publiques sur d'autres sites Web. Les commentaires sur les réseaux sociaux ont suivi le même schéma.
Alors que nous étions reconnaissants de ne pas avoir des milliers de personnes naturellement en colère ORCID iD titulaires, nous sommes extrêmement déçus de nous-mêmes que l'incident se soit produit en premier lieu. Nous avions déjà prévu d'importants travaux en 2016 pour formaliser les plans et politiques de sécurité et accroître notre capacité d'évolutivité et de fiabilité, ainsi que pour consacrer du temps à comprendre ce que signifie faire confiance à une organisation comme ORCID et un système comme le ORCID enregistrement. L'incident a accéléré le processus et nous a amenés à prioriser notre travail sur ces sujets.
Aujourd'hui, nous décrivons un programme que nous appelons ORCID Trust, et lancent une invitation à des experts en sécurité et confidentialité des données pour nous aider à vérifier le programme avant de le déployer officiellement dans les semaines à venir.
ORCID La confiance
ORCID a été fondée sur 10 principes qui guident notre travail. Ces principes mettent en lumière ORCID, qui comprennent des engagements en matière de confidentialité, de contrôle par les chercheurs, de gouvernance transparente et de disponibilité des données.
Le contrôle de l'utilisateur sur l'enregistrement, ce qui est connecté à son iD et qui peut accéder à ses informations sont des principes fondamentaux de ORCIDles offrandes. En outre, ORCID comprend que la fiabilité, la disponibilité et l'intégrité de nos systèmes et services sont essentielles pour les organisations et les individus qui font confiance et comptent sur ORCID iDs et leur association avec d'autres informations.
La confiance commence par la transparence. Dans ce programme, nous fournirons des informations sur nos pratiques et politiques de confidentialité et de sécurité des données, ainsi que des informations en temps réel sur les performances et la sécurité du système. Nous fournirons également des détails sur la manière dont nous maintenons la transparence et sur notre engagement à fournir un identifiant persistant et de longue durée. Le ORCID Le programme Trust contiendra cinq composants principaux :
SÛRETÉ – Pratiques et politiques sur la manière dont ORCID assure la sécurité de vos données et votre rôle dans cette sécurité. Ce composant contiendra des détails sur la manière dont nous sécurisons nos centres de données, nos transmissions et nos sessions ; et comment nous protégeons le réseau qui donne accès au ORCID Enregistrement. Il comprendra nos processus de reprise après sinistre, de sauvegarde et de test, ainsi que la manière dont nous gérons l'évolutivité et surveillons la sécurité.
POLITIQUE DE CONFIDENTIALITÉ - L' ORCID registre a été développé avec la confidentialité des chercheurs au cœur. Dans ce volet, nous nous concentrerons sur le contrôle d'accès à vos informations. Il comprendra nos pratiques en matière de confidentialité, nos principes et nos approches du contrôle des données par les chercheurs et des descriptions du type d'informations qui ORCID tient.
CONFORMITE et PAGES LEGALES – Cette composante comprendra les politiques et pratiques qui ORCID utilise pour garantir que nous respectons les normes élevées en matière de confidentialité et de sécurité des données que nos utilisateurs attendent. Il couvrira la manière dont nous communiquons avec les utilisateurs sur les mises à jour et les demandes de données, la manière dont nous traitons les litiges et décrira nos audits tiers. Cette composante englobera également nos politiques et pratiques internes, ainsi que les contrôles des personnes et de la technologie que nous mettons en place pour nous assurer que nos politiques sont suivies.
ORCID PERSISTANCE – Cette composante comprendra comment nous nous assurons que le ORCID l'identifiant, les données et l'organisation sont pérennes, y compris la gouvernance et la planification de la relève. Il contiendra nos approches et pratiques de développement durable, tant pour l'organisation que pour le ORCID iD, et comment nous reprendrons nos activités en cas de problème.
STATUT – Cette section fournira des rapports de disponibilité, des détails sur les incidents actuels, le cas échéant, et des mises à jour sur toute maintenance planifiée à venir.
Prochaine étape : rechercher des experts pour participer
Alors que nous finalisons le ORCID Faites confiance aux documents du programme et aux politiques et pratiques internes connexes qui le soutiennent, nous sollicitons l'avis d'experts en sécurité des données, en confidentialité et en confiance du monde entier qui sont prêts à examiner notre travail et à contribuer à le renforcer. Si vous êtes un expert dans l'un de ces domaines et que vous pouvez consacrer du temps au cours des trois prochaines semaines pour lire et commenter le programme, veuillez exprimer votre intérêt en contactant confiance@orcid. Org.