兩週前, ORCID 團隊醒來我們的噩夢之一。 我們在用戶標記為“私人”的公共記錄頁面上顯示信息。 這些信息不應該對公眾可見。 我們修復了這個問題(由一個小代碼錯誤造成的影響非常大),向受影響的人(大約 2.5% 的註冊人)發出警告和道歉,並在我們的網站上發布了相關信息 博客 和社交渠道,以及回复的電子郵件——大量的電子郵件。 在我們收回的近 800 份筆記中,很大一部分讓我們感到驚訝。 大多數回复都來自人們感謝我們對我們的錯誤的坦誠,並表示欣慰的是最敏感的信息可能會暴露在 ORCID 記錄是用戶的電子郵件地址。 許多人甚至指出,這些地址已經在其他網站上公開。 社交渠道上的反饋遵循相同的模式。
雖然我們很慶幸沒有成千上萬的憤怒,但這是可以理解的 ORCID iD 持有人,我們對自己首先發生的事件感到非常失望。 我們已經計劃在 2016 年開展重大工作,以正式製定安全計劃和政策,提高我們的可擴展性和可靠性能力,並花時間了解信任像這樣的組織意味著什麼 ORCID 和像這樣的系統 ORCID 註冊表。 該事件加快了進程,並促使我們優先處理這些主題的工作。
今天我們概述了一個我們正在調用的程序 ORCID 信任,並正在向數據安全和隱私專家發出邀請,以幫助我們在未來幾周正式推出該計劃之前對其進行審查。
ORCID 信任
ORCID 成立於 10條原則 指導我們的工作。 這些原則突出 ORCID的價值觀,包括對隱私、研究人員控制、透明治理和數據可用性的承諾。
用戶控制註冊、連接到他們的 iD 的內容以及誰可以訪問他們的信息是核心原則 ORCID的供品。 此外, ORCID 了解我們系統和服務的可靠性、可用性和完整性對於信任和依賴的組織和個人至關重要 ORCID iD 及其與其他信息的關聯。
信任始於透明度。 在此計劃中,我們將提供有關我們的隱私和數據安全實踐和政策的信息,以及有關係統性能和安全性的實時信息。 我們還將提供有關我們如何保持透明度的詳細信息,以及我們對提供長期持久標識符的承諾。 這 ORCID 信任計劃將包含五個主要組成部分:
安全 – 圍繞如何實現的實踐和政策 ORCID 確保您的數據安全,以及您在此安全中的角色。 該組件將包含有關我們如何保護數據中心、傳輸和會話的詳細信息; 以及我們如何保護提供訪問 ORCID 註冊表。 它將包括我們的災難恢復、備份和測試流程,以及我們如何管理可擴展性和監控安全性。
PRIVACY - “ ORCID 註冊表的開發以研究人員隱私為核心。 在這個組件中,我們將專注於對您的信息的訪問控制。 它將包括我們的隱私實踐、我們對研究人員控制數據的原則和方法以及對信息類型的描述 ORCID 持有。
合規 – 該組件將包括政策和實踐, ORCID 用於確保我們遵守用戶期望的隱私和數據安全的高標準。 它將涵蓋我們如何與用戶就更新和數據請求進行溝通,我們如何處理爭議,並將描述我們的第三方審計。 該組件還將包括我們的內部政策和實踐,以及我們為確保我們的政策得到遵守而實施的人員和技術控制。
ORCID 堅持 – 該組件將包括我們如何確保 ORCID 標識符、數據和組織是長期存在的,包括治理和繼任計劃。 它將包含我們的可持續發展方法和實踐,適用於組織和 ORCID iD,以及如果出現問題我們將如何恢復業務。
狀態 – 本節將提供正常運行時間報告、有關當前事件的詳細信息(如果適用)以及有關任何即將進行的計劃內維護的更新。
下一步:尋求專家參與
當我們最終確定 ORCID 信任計劃材料和支持它的相關內部政策和實踐,我們正在尋求來自世界各地的數據安全、隱私和信任專家的意見,他們願意審查我們的工作,並幫助使其更強大。 如果您是這些領域之一的專家,並且可以在接下來的三週內花時間閱讀和評論該計劃,請通過聯繫表達您的興趣 相信@orcid。ORG.