Due settimane fa il ORCID la squadra si è svegliata con uno dei nostri incubi. Stavamo visualizzando informazioni su pagine di record pubbliche che i nostri utenti avevano contrassegnato come "private". Queste informazioni NON dovevano essere visibili al pubblico. Abbiamo risolto il problema (causato da un piccolo errore di codice con un impatto purtroppo grande), allertato e chiesto scusa alle persone interessate (circa il 2.5% degli iscritti), pubblicato informazioni a riguardo sul nostro blog e canali social e e-mail con risposta: molte, molte e-mail. Delle quasi 800 banconote che abbiamo ricevuto, una grande percentuale ci ha sorpreso. Invece di aspre critiche per non aver intercettato questo errore prima che entrasse in produzione (anche se abbiamo ricevuto la nostra parte di queste e-mail), la maggior parte delle risposte proveniva da persone che ci ringraziavano per essere stati disponibili riguardo al nostro errore ed esprimevano sollievo dal fatto che il informazioni più sensibili che potrebbero essere potenzialmente esposte in un ORCID record è l'indirizzo email dell'utente. Molte persone hanno anche sottolineato che questi indirizzi sono già pubblici su altri siti web. Il feedback sui canali social ha seguito lo stesso schema.
Mentre eravamo grati di non avere migliaia di comprensibilmente arrabbiati ORCID iD titolari, siamo estremamente delusi da noi stessi che l'incidente sia avvenuto in primo luogo. Avevamo già pianificato un lavoro significativo nel 2016 per formalizzare piani e politiche di sicurezza e aumentare la nostra capacità di scalabilità e affidabilità, oltre a dedicare tempo alla comprensione di cosa significa fidarsi di un'organizzazione come ORCID e un sistema come il ORCID registro. L'incidente ha accelerato il processo e ci ha indotto a dare priorità al nostro lavoro su questi argomenti.
Oggi delineiamo un programma che chiamiamo ORCID Fidati e stiamo aprendo un invito agli esperti di sicurezza e privacy dei dati per aiutarci a controllare il programma prima di implementarlo formalmente nelle prossime settimane.
ORCID Affidati ad
ORCID è stata fondata su Principi 10 che guidano il nostro lavoro. Questi principi evidenziano ORCID' valori, che includono impegni per la privacy, il controllo dei ricercatori, una governance trasparente e la disponibilità dei dati.
Il controllo dell'utente sulla registrazione, su cosa è collegato al proprio iD e su chi può accedere alle proprie informazioni sono principi fondamentali ORCIDle offerte. Inoltre, ORCID comprende che l'affidabilità, la disponibilità e l'integrità dei nostri sistemi e servizi sono essenziali per le organizzazioni e gli individui che si fidano e su cui fanno affidamento ORCID iD e la loro associazione con altre informazioni.
La fiducia inizia con la trasparenza. In questo programma forniremo informazioni sulle nostre pratiche e politiche sulla privacy e sulla sicurezza dei dati e informazioni in tempo reale sulle prestazioni e sulla sicurezza del sistema. Forniremo inoltre dettagli su come manteniamo la trasparenza e il nostro impegno a fornire un identificatore duraturo e persistente. Il ORCID Il programma Trust conterrà cinque componenti principali:
SICUREZZA – Pratiche e politiche su come ORCID mantiene i tuoi dati al sicuro e il tuo ruolo in questa sicurezza. Questo componente conterrà dettagli su come proteggiamo i nostri data center, trasmissioni e sessioni; e come proteggiamo la rete che fornisce l'accesso al ORCID Registro. Includerà i nostri processi di ripristino di emergenza, backup e test e il modo in cui gestiamo la scalabilità e monitoriamo la sicurezza.
PRIVACY - L' ORCID Il registro è stato sviluppato con al centro la privacy dei ricercatori. In questo componente ci concentreremo sul controllo dell'accesso alle tue informazioni. Includerà le nostre pratiche sulla privacy, i nostri principi e approcci al controllo dei dati da parte dei ricercatori e le descrizioni del tipo di informazioni che ORCID detiene.
CONFORMITÀ – Questo componente includerà le politiche e le pratiche che ORCID utilizza per garantire che ci atteniamo agli standard elevati di privacy e sicurezza dei dati che i nostri utenti si aspettano. Riguarderà il modo in cui comunichiamo con gli utenti in merito agli aggiornamenti e alle richieste di dati, il modo in cui gestiamo le controversie e descriverà i nostri audit di terze parti. Questo componente comprenderà anche le nostre politiche e pratiche interne e i controlli sulle persone e sulla tecnologia che mettiamo in atto per garantire che le nostre politiche siano seguite.
ORCID PERSISTENZA – Questo componente includerà il modo in cui stiamo assicurando che il ORCID identificatore, dati e organizzazione sono di lunga durata, inclusa la governance e la pianificazione della successione. Conterrà i nostri approcci e pratiche di sostenibilità, sia per l'organizzazione che per il ORCID iD e come riprenderemo l'attività se qualcosa va storto.
STATUS – Questa sezione fornirà rapporti sui tempi di attività, dettagli sugli incidenti in corso, se applicabile, e aggiornamenti su eventuali interventi di manutenzione pianificati imminenti.
Prossimo passo: cercare esperti per la partecipazione
Mentre finalizziamo il ORCID Fidati dei materiali del programma e delle relative politiche e pratiche interne che lo supportano, stiamo cercando input da esperti di sicurezza dei dati, privacy e fiducia di tutto il mondo che sono disposti a rivedere il nostro lavoro e contribuire a rafforzarlo. Se sei un esperto in una di queste aree e puoi dedicare tempo nelle prossime tre settimane a leggere e commentare il programma, ti preghiamo di esprimere il tuo interesse contattando fiducia@orcid.org.