两周前, ORCID 团队醒来我们的噩梦之一。 我们在用户标记为“私人”的公共记录页面上显示信息。 这些信息不应该对公众可见。 我们修复了这个问题(由一个小代码错误造成,但影响非常大),向受影响的人(大约 2.5% 的注册人)发出警告并道歉,并在我们的网站上发布了相关信息 新闻 和社交渠道,以及回复的电子邮件——大量的电子邮件。 在我们收回的近 800 份笔记中,很大一部分让我们感到惊讶。 大多数回复都来自人们感谢我们对我们的错误的坦诚,并表示欣慰的是最敏感的信息可能会暴露在 ORCID 记录是用户的电子邮件地址。 许多人甚至指出,这些地址已经在其他网站上公开。 社交渠道上的反馈遵循相同的模式。
虽然我们很庆幸没有成千上万的愤怒,但这是可以理解的 ORCID iD 持有人,我们对自己首先发生的事件感到非常失望。 我们已经计划在 2016 年开展重大工作,以正式制定安全计划和政策,提高我们的可扩展性和可靠性能力,并花时间了解信任像这样的组织意味着什么 ORCID 和像这样的系统 ORCID 注册表。 该事件加快了进程,并促使我们优先处理这些主题的工作。
今天我们概述了一个我们正在调用的程序 ORCID 信任,并正在向数据安全和隐私专家发出邀请,以帮助我们在未来几周正式推出该计划之前对其进行审查。
ORCID 信任
ORCID 成立于 10条原则 指导我们的工作。 这些原则突出 ORCID的价值观,包括对隐私、研究人员控制、透明治理和数据可用性的承诺。
用户控制注册、连接到他们的 iD 的内容以及谁可以访问他们的信息是核心原则 ORCID的供品。 此外, ORCID 了解我们系统和服务的可靠性、可用性和完整性对于信任和依赖的组织和个人至关重要 ORCID iD 及其与其他信息的关联。
信任始于透明度。 在此计划中,我们将提供有关我们的隐私和数据安全实践和政策的信息,以及有关系统性能和安全性的实时信息。 我们还将提供有关我们如何保持透明度的详细信息,以及我们对提供长期持久标识符的承诺。 这 ORCID 信任计划将包含五个主要组成部分:
严格安保 – 围绕如何实现的实践和政策 ORCID 确保您的数据安全,以及您在此安全中的角色。 该组件将包含有关我们如何保护数据中心、传输和会话的详细信息; 以及我们如何保护提供访问 ORCID 注册表。 它将包括我们的灾难恢复、备份和测试流程,以及我们如何管理可扩展性和监控安全性。
隐私 ——由数百家创建、维护和提供物联网(IoT)全球开放标准的公司所组成的 ORCID 注册表的开发以研究人员隐私为核心。 在这个组件中,我们将专注于对您的信息的访问控制。 它将包括我们的隐私实践、我们对研究人员控制数据的原则和方法,以及对信息类型的描述 ORCID 持有。
遵守 – 该组件将包括政策和实践, ORCID 用于确保我们遵守用户期望的隐私和数据安全的高标准。 它将涵盖我们如何与用户就更新和数据请求进行沟通,我们如何处理争议,并将描述我们的第三方审计。 该组件还将包括我们的内部政策和实践,以及我们为确保我们的政策得到遵守而实施的人员和技术控制。
ORCID PERSISTENCE – 该组件将包括我们如何确保 ORCID 标识符、数据和组织是长期存在的,包括治理和继任计划。 它将包含我们的可持续发展方法和实践,适用于组织和 ORCID iD,以及如果出现问题我们将如何恢复业务。
状态 – 本部分将提供正常运行时间报告、有关当前事件的详细信息(如果适用)以及有关任何即将进行的计划内维护的更新。
下一步:寻求专家参与
当我们最终确定 ORCID 信任计划材料和支持它的相关内部政策和实践,我们正在寻求来自世界各地愿意审查我们的工作并帮助使其更强大的数据安全、隐私和信任专家的意见。 如果您是这些领域之一的专家,并且可以在接下来的三周内花时间阅读和评论该计划,请通过联系方式表达您的兴趣 相信@orcid。ORG.