XNUMX週間前 ORCID チームは私たちの悪夢の2.5つに目覚めました。 ユーザーが「プライベート」とマークした公開レコードページに情報を表示していました。 この情報は一般に公開されることは想定されていませんでした。 私たちは問題を修正し(残念ながら大きな影響を与える小さなコードエラーによって引き起こされました)、影響を受けた人々(登録者の約XNUMX%)に警告して謝罪し、それに関する情報を私たちに投稿しました blog とソーシャルチャネル、そして答えられた電子メール–たくさんの電子メール。 私たちが取り戻した800近くのメモのうち、大部分が私たちを驚かせました。 このエラーが本番環境に移行する前にキャッチされなかったという批判を傷つける代わりに(ただし、これらの電子メールのシェアも取得しました)、返信の大部分は、エラーについて近づいてくれたことに感謝し、で公開される可能性のある最も機密性の高い情報 ORCID recordはユーザーのメールアドレスです。 多くの人が、これらのアドレスはすでに他のWebサイトで公開されていると指摘しています。 ソーシャルチャネルへのフィードバックも同じパターンでした。
何千もの当然のことながら怒りを感じないことに感謝しましたが ORCID iD 所有者の皆さん、そもそも事件が起こったことに私たちは非常に失望しています。 2016年には、セキュリティ計画とポリシーを形式化し、スケーラビリティと信頼性の能力を高め、組織を信頼することの意味を理解するために時間を割くための重要な作業をすでに計画していました。 ORCID とのようなシステム ORCID レジストリ。 この事件によりプロセスがスピードアップし、これらのトピックに関する作業に優先順位を付けることになりました。
今日は私たちが呼んでいるプログラムの概要を説明します ORCID 信頼し、データセキュリティとプライバシーの専門家に招待状を開いて、今後数週間で正式に展開する前にプログラムを精査するのを手伝ってください。
ORCID 信頼
ORCID に設立されました 10の原則 それが私たちの仕事を導きます。 これらの原則は強調しています ORCIDの価値観には、プライバシー、研究者の管理、透明性のあるガバナンス、データの可用性への取り組みが含まれます。
登録に対するユーザーの制御、iDに接続されているもの、および情報にアクセスできるユーザーは、 ORCIDの製品。 加えて、 ORCID 当社のシステムとサービスの信頼性、可用性、および整合性は、信頼し、信頼する組織および個人にとって不可欠であることを理解しています。 ORCID iDと他の情報との関連。
信頼は透明性から始まります。 このプログラムでは、プライバシーとデータのセキュリティ慣行とポリシーに関する情報、およびシステムのパフォーマンスとセキュリティに関するリアルタイムの情報を提供します。 また、透明性を維持する方法と、長期的で永続的な識別子を提供するというコミットメントについても詳しく説明します。 ザ ORCID 信頼プログラムには、次のXNUMXつの主要コンポーネントが含まれます。
SECURITY –方法に関する慣行と方針 ORCID データを安全に保ち、このセキュリティにおけるあなたの役割を維持します。 このコンポーネントには、データセンター、送信、およびセッションを保護する方法に関する詳細が含まれます。 とへのアクセスを提供するネットワークを保護する方法 ORCID レジストリ。 これには、ディザスタリカバリ、バックアップ、およびテストプロセス、およびスケーラビリティの管理方法とセキュリティの監視方法が含まれます。
プライバシー - ORCID レジストリは、研究者のプライバシーを中核として開発されました。 このコンポーネントでは、お客様の情報へのアクセス制御に焦点を当てます。 これには、プライバシー慣行、研究者によるデータ管理の原則とアプローチ、および情報の種類の説明が含まれます。 ORCID 保持します。
コンプライアンス –このコンポーネントには、次のようなポリシーとプラクティスが含まれます。 ORCID ユーザーが期待するプライバシーとデータセキュリティの高水準を確実に守るために使用します。 更新とデータ要求についてユーザーと通信する方法、紛争を処理する方法、およびサードパーティの監査について説明します。 このコンポーネントには、社内のポリシーと慣行、およびポリシーを確実に遵守するために導入した人とテクノロジーの管理も含まれます。
ORCID PERSISTENCE –このコンポーネントには、 ORCID 識別子、データ、および組織は、ガバナンスや後継者育成を含め、長続きします。 組織と組織の両方のための持続可能性のアプローチと実践が含まれます ORCID iD、および問題が発生した場合にビジネスを再開する方法。
ステータス –このセクションでは、稼働時間レポート、現在のインシデントに関する詳細(該当する場合)、および今後予定されているメンテナンスに関する最新情報を提供します。
次のステップ:参加のための専門家を探す
ファイナライズすると ORCID 信頼プログラムの資料とそれをサポートする関連する内部ポリシーおよび慣行。私たちは、データセキュリティ、プライバシー、および私たちの仕事をレビューし、それを強化するのを喜んで支援する世界中の信頼の専門家からの意見を求めています。 これらの分野の専門家であり、今後XNUMX週間にわたってプログラムを読んだりコメントしたりできる場合は、次の連絡先に関心を示してください。 [メール保護].