Dwa tygodnie temu ORCID zespół obudził się w jednym z naszych koszmarów. Wyświetlaliśmy informacje na publicznych stronach rekordów, które nasi użytkownicy oznaczyli jako „prywatne”. Informacje te NIE miały być widoczne publicznie. Naprawiliśmy problem (spowodowany przez mały błąd w kodzie, który miał niestety duży wpływ), powiadomiliśmy i przeprosiliśmy osoby, których dotyczy problem (około 2.5% abonentów), zamieściliśmy informację o tym na naszym blog i kanałach społecznościowych, a także odpowiadałem na e-maile – mnóstwo e-maili. Spośród prawie 800 banknotów, które otrzymaliśmy z powrotem, duży odsetek z nich zaskoczył nas. Zamiast zjadliwej krytyki za to, że nie wykryliśmy tego błędu, zanim wszedł do produkcji (chociaż my też otrzymaliśmy część tych e-maili), większość odpowiedzi pochodziła od ludzi, którzy dziękowali nam za poinformowanie nas o naszym błędzie i wyrażali ulgę, że najbardziej wrażliwych informacji, które potencjalnie mogą zostać ujawnione w ORCID rekord to adres e-mail użytkownika. Wiele osób zwracało nawet uwagę, że te adresy są już publiczne na innych stronach internetowych. Informacje zwrotne na kanałach społecznościowych przebiegały według tego samego schematu.
Chociaż byliśmy wdzięczni za to, że nie mieliśmy tysięcy, co zrozumiałe, irytacji ORCID iD posiadaczy, jesteśmy bardzo rozczarowani samymi sobą, że incydent miał miejsce w pierwszej kolejności. Już w 2016 roku zaplanowaliśmy znaczną pracę w celu sformalizowania planów i zasad bezpieczeństwa oraz zwiększenia naszej zdolności do skalowalności i niezawodności, a także poświęcenia czasu na zrozumienie, co to znaczy zaufać organizacji takiej jak ORCID i system jak np ORCID rejestr. Incydent przyspieszył ten proces i spowodował, że nadaliśmy priorytet pracy nad tymi tematami.
Dzisiaj przedstawiamy program, który nazywamy ORCID Zaufaj i otwieramy zaproszenie dla ekspertów ds. Bezpieczeństwa danych i prywatności, aby pomogli nam zweryfikować program, zanim formalnie wprowadzimy go w nadchodzących tygodniach.
ORCID Zaufaj
ORCID została założona 10 zasad które kierują naszą pracą. Zasady te podkreślają ORCIDwartości firmy, które obejmują zobowiązanie do zachowania prywatności, kontroli badaczy, przejrzystego zarządzania i dostępności danych.
Kontrola użytkownika nad rejestracją, tym, co jest połączone z jego identyfikatorem i kto może uzyskać dostęp do jego informacji, to podstawowe zasady ORCIDoferty. Ponadto, ORCID rozumie, że niezawodność, dostępność i integralność naszych systemów i usług są niezbędne dla organizacji i osób, które ufają i na których polegają ORCID identyfikatory i ich powiązania z innymi informacjami.
Zaufanie zaczyna się od przejrzystości. W ramach tego programu będziemy udostępniać informacje o naszych praktykach i zasadach dotyczących prywatności i bezpieczeństwa danych oraz informacje w czasie rzeczywistym na temat wydajności i bezpieczeństwa systemu. Podamy również szczegółowe informacje o tym, jak zachowujemy przejrzystość, oraz o naszym zaangażowaniu w zapewnienie długotrwałego, trwałego identyfikatora. The ORCID Program zaufania będzie zawierał pięć głównych elementów:
BEZPIECZEŃSTWO – Praktyki i zasady dotyczące tego, jak ORCID zapewnia bezpieczeństwo Twoich danych i Twoją rolę w tym bezpieczeństwie. Ten komponent będzie zawierał szczegółowe informacje o tym, jak zabezpieczamy nasze centra danych, transmisje i sesje; oraz w jaki sposób chronimy sieć, która zapewnia dostęp do ORCID Rejestr. Obejmuje to nasze procesy odzyskiwania po awarii, tworzenia kopii zapasowych i testowania oraz sposób zarządzania skalowalnością i monitorowania bezpieczeństwa.
PRYWATNOŚCI - ORCID Rejestr został opracowany z myślą o prywatności badaczy. W tym komponencie skupimy się na kontroli dostępu do Twoich informacji. Będzie zawierał nasze praktyki w zakresie prywatności, nasze zasady i podejście do kontroli danych przez badaczy oraz opisy rodzajów informacji, które ORCID trzyma.
SPEŁNIENIE – Ten komponent będzie zawierał zasady i praktyki, które ORCID wykorzystuje, aby upewnić się, że przestrzegamy wysokich standardów prywatności i bezpieczeństwa danych, których oczekują nasi użytkownicy. Omówimy, w jaki sposób komunikujemy się z użytkownikami w sprawie aktualizacji i próśb o dane, jak rozpatrujemy spory, a także opiszemy nasze audyty przeprowadzane przez strony trzecie. Komponent ten będzie również obejmował nasze wewnętrzne zasady i praktyki oraz kontrole ludzi i technologii, które wprowadziliśmy w celu zapewnienia przestrzegania naszych zasad.
ORCID TRWAŁOŚĆ – Ten komponent będzie obejmował sposób, w jaki zapewniamy, że ORCID identyfikator, dane i organizacja są długotrwałe, w tym zarządzanie i planowanie sukcesji. Będzie zawierał nasze podejścia i praktyki w zakresie zrównoważonego rozwoju, zarówno dla organizacji, jak i dla ORCID iD i jak wznowimy działalność, jeśli coś pójdzie nie tak.
STATUS – Ta sekcja zawiera raporty o dostępności, szczegółowe informacje o bieżących incydentach, jeśli dotyczy, oraz aktualizacje dotyczące wszelkich nadchodzących planowanych prac konserwacyjnych.
Kolejny krok: poszukiwanie ekspertów do udziału
W miarę finalizowania ORCID Materiały dotyczące programu zaufania oraz związane z nim wewnętrzne zasady i praktyki, które go wspierają. Szukamy opinii ekspertów ds. bezpieczeństwa danych, prywatności i zaufania z całego świata, którzy są gotowi przejrzeć naszą pracę i pomóc ją ulepszyć. Jeśli jesteś ekspertem w jednej z tych dziedzin i możesz poświęcić czas w ciągu najbliższych trzech tygodni na przeczytanie i skomentowanie programu, wyraź swoje zainteresowanie, kontaktując się z zaufanie@orcid. Org.