Duas semanas atrás, o ORCID equipe acordou com um de nossos pesadelos. Estávamos exibindo informações em páginas de registros públicos que nossos usuários marcaram como "privadas". Esta informação NÃO deveria ser visível ao público. Corrigimos o problema (causado por um pequeno erro de código com um impacto lamentavelmente grande), alertamos e pedimos desculpas às pessoas afetadas (cerca de 2.5% dos inscritos), publicamos informações sobre isso em nosso blog e canais sociais, e e-mail respondido – muitos e muitos e-mails. Das quase 800 notas que recebemos, uma grande porcentagem delas nos surpreendeu. Em vez de críticas contundentes por não detectar esse erro antes de entrar em produção (embora, também recebemos nossa parte desses e-mails), a maioria das respostas foi de pessoas que nos agradeceram por sermos diretos sobre nosso erro e expressaram alívio pelo fato de o informações mais sensíveis que poderiam potencialmente ser expostas em um ORCID registro é o endereço de e-mail do usuário. Muitas pessoas até apontaram que esses endereços já são públicos em outros sites. O feedback nos canais sociais seguiu o mesmo padrão.
Enquanto estávamos gratos por não ter milhares de compreensivelmente irados ORCID iD titulares, estamos extremamente decepcionados conosco mesmos pelo fato de o incidente ter ocorrido em primeiro lugar. Já havíamos planejado um trabalho significativo em 2016 para formalizar planos e políticas de segurança e aumentar nossa capacidade de escalabilidade e confiabilidade, além de dedicar tempo para entender o que significa confiar em uma organização como ORCID e um sistema como o ORCID registro. O incidente acelerou o processo e nos levou a priorizar nosso trabalho nesses tópicos.
Hoje esboçamos um programa que estamos chamando ORCID Trust, e estamos abrindo um convite para especialistas em segurança de dados e privacidade para nos ajudar a examinar o programa antes de lançá-lo formalmente nas próximas semanas.
ORCID Confiança
ORCID foi fundado em 10 princípios que orientam nosso trabalho. Esses princípios destacam ORCIDos valores da empresa, que incluem compromissos com privacidade, controle de pesquisadores, governança transparente e disponibilidade de dados.
O controle do usuário sobre o registro, o que está conectado ao seu iD e quem pode acessar suas informações são princípios fundamentais da ORCIDas ofertas. Além disso, ORCID entende que a confiabilidade, disponibilidade e integridade de nossos sistemas e serviços são essenciais para as organizações e indivíduos que confiam e confiam em ORCID iDs e sua associação com outras informações.
A confiança começa com a transparência. Neste programa, forneceremos informações sobre nossas práticas e políticas de privacidade e segurança de dados e informações em tempo real sobre o desempenho e a segurança do sistema. Também forneceremos detalhes sobre como mantemos a transparência e nosso compromisso de fornecer um identificador duradouro e persistente. o ORCID O programa Trust conterá cinco componentes principais:
SEGURANÇA – Práticas e políticas sobre como ORCID mantém seus dados seguros e seu papel nessa segurança. Este componente conterá detalhes sobre como protegemos nossos data centers, transmissões e sessões; e como protegemos a rede que fornece acesso ao ORCID Registro. Incluirá nossos processos de recuperação de desastres, backup e teste, e como gerenciamos a escalabilidade e monitoramos a segurança.
PRIVACIDADE - A ORCID registro foi desenvolvido com a privacidade do pesquisador em seu núcleo. Neste componente focaremos no controle de acesso às suas informações. Incluirá nossas práticas de privacidade, nossos princípios e abordagens para o controle de dados do pesquisador e descrições do tipo de informação que ORCID detém.
CONFORMIDADE – Este componente incluirá as políticas e práticas que ORCID usa para garantir que mantemos os altos padrões de privacidade e segurança de dados que nossos usuários esperam. Ele abordará como nos comunicamos com os usuários sobre atualizações e solicitações de dados, como lidamos com disputas e descreverá nossas auditorias de terceiros. Esse componente também abrangerá nossas políticas e práticas internas e os controles de pessoas e tecnologia que implementamos para garantir que nossas políticas sejam seguidas.
ORCID PERSISTÊNCIA – Este componente incluirá como estamos garantindo que o ORCID identificador, dados e organização têm vida longa, incluindo governança e planejamento de sucessão. Ele conterá nossas abordagens e práticas de sustentabilidade, tanto para a organização quanto para o ORCID iD e como retomaremos os negócios se algo der errado.
STATUS – Esta seção fornecerá relatórios de tempo de atividade, detalhes sobre incidentes atuais, se aplicável, e atualizações sobre qualquer manutenção planejada futura.
Próximo passo: buscar especialistas para participação
À medida que finalizamos o ORCID Confie nos materiais do programa e nas políticas e práticas internas relacionadas que o apoiam, estamos buscando informações de especialistas em segurança de dados, privacidade e confiança de todo o mundo que estejam dispostos a revisar nosso trabalho e ajudar a fortalecê-lo. Se você é especialista em uma dessas áreas e pode dedicar um tempo nas próximas três semanas para ler e comentar o programa, manifeste seu interesse entrando em contato Confiar em@orcid.org.