Две недели назад ORCID Команда проснулась от одного из наших кошмаров. Мы отображали информацию на страницах общедоступных записей, которые наши пользователи пометили как «частные». Эта информация НЕ должна была быть видна общественности. Мы исправили проблему (вызванную небольшой ошибкой в коде, которая, к сожалению, оказала большое влияние), предупредили и принесли извинения пострадавшим (около 2.5% регистрантов), разместили информацию об этом на нашем Блог и социальные каналы, и ответили на электронную почту — много-много писем. Из почти 800 заметок, которые мы получили, большая часть из них удивила нас. Вместо резкой критики за то, что мы не обнаружили эту ошибку до того, как она была запущена в производство (хотя мы тоже получили свою долю этих электронных писем), большинство ответов были от людей, которые благодарили нас за откровенность в отношении нашей ошибки и выражали облегчение по поводу того, что самая конфиденциальная информация, которая потенциально может быть раскрыта в ORCID запись — адрес электронной почты пользователя. Многие люди даже отметили, что эти адреса уже общедоступны на других сайтах. Отзывы в социальных сетях следовали той же схеме.
Хотя мы были благодарны, что не получили тысячи по понятным причинам разгневанных ORCID iD держатели, мы крайне разочарованы в себе, что инцидент произошел в первую очередь. В 2016 году мы уже запланировали значительную работу по формализации планов и политик безопасности и повышению нашей способности к масштабируемости и надежности, а также посвятить время пониманию того, что значит доверять такой организации, как ORCID и такая система, как ORCID реестр. Инцидент ускорил процесс и заставил нас уделять приоритетное внимание работе над этими темами.
Сегодня мы намечаем программу, которую мы называем ORCID Доверьтесь и приглашаем экспертов по безопасности данных и конфиденциальности помочь нам проверить программу, прежде чем мы официально запустим ее в ближайшие недели.
ORCID Доверие
ORCID был основан на 10 принципов которые направляют нашу работу. Эти принципы подчеркивают ORCIDценности, которые включают в себя приверженность конфиденциальности, контроль исследователей, прозрачное управление и доступность данных.
Контроль пользователей над регистрацией, тем, что связано с их идентификатором, и кто может получить доступ к их информации, являются основными принципами ORCIDпредложения. Кроме того, ORCID понимает, что надежность, доступность и целостность наших систем и услуг имеют важное значение для организаций и частных лиц, которые доверяют и полагаются на ORCID идентификаторы и их связь с другой информацией.
Доверие начинается с прозрачности. В этой программе мы будем предоставлять информацию о наших методах и политиках конфиденциальности и безопасности данных, а также информацию в режиме реального времени о производительности и безопасности системы. Мы также предоставим подробную информацию о том, как мы поддерживаем прозрачность, и о нашей приверженности предоставлению долговременного и постоянного идентификатора. ORCID Трастовая программа будет содержать пять основных компонентов:
БЕЗОПАСНОСТЬ – Практика и политика в отношении того, как ORCID обеспечивает безопасность ваших данных и вашу роль в этой безопасности. Этот компонент будет содержать подробную информацию о том, как мы защищаем наши центры обработки данных, передачи и сеансы; и как мы защищаем сеть, обеспечивающую доступ к ORCID Реестр. Он будет включать наши процессы аварийного восстановления, резервного копирования и тестирования, а также то, как мы управляем масштабируемостью и отслеживаем безопасность.
КОНФИДЕНЦИАЛЬНОСТЬ - ORCID Реестр был разработан с учетом принципа конфиденциальности исследователя. В этом компоненте мы сосредоточимся на контроле доступа к вашей информации. Он будет включать наши методы обеспечения конфиденциальности, наши принципы и подходы к контролю данных исследователями, а также описания типов информации, которые ORCID держит.
СОБЛЮДЕНИЕ – Этот компонент будет включать политику и практику, которые ORCID использует, чтобы убедиться, что мы придерживаемся высоких стандартов конфиденциальности и безопасности данных, которых ожидают наши пользователи. В нем будет рассказано, как мы сообщаем пользователям об обновлениях и запросах данных, как мы разрешаем споры, а также описываются наши сторонние аудиты. Этот компонент также будет охватывать наши внутренние политики и практики, а также средства контроля людей и технологий, которые мы применяем для обеспечения соблюдения наших политик.
ORCID УПОРСТВО – Этот компонент будет включать то, как мы обеспечиваем ORCID идентификатор, данные и организация являются долговечными, включая управление и планирование преемственности. Он будет содержать наши подходы и практики устойчивого развития как для организации, так и для ORCID iD, и как мы возобновим работу, если что-то пойдет не так.
статус – В этом разделе будут представлены отчеты о времени безотказной работы, сведения о текущих инцидентах, если это применимо, и обновления о любом предстоящем запланированном обслуживании.
Следующий шаг: поиск экспертов для участия
По мере того, как мы завершаем ORCID Доверяйте материалам программы и связанным с ней внутренним политикам и практикам, которые ее поддерживают, мы обращаемся к экспертам по безопасности данных, конфиденциальности и доверию со всего мира, которые готовы проверить нашу работу и помочь сделать ее сильнее. Если вы являетесь экспертом в одной из этих областей и можете в течение следующих трех недель уделить время чтению и комментированию программы, пожалуйста, выразите свой интерес, связавшись с нами. доверять@orcid.org.