حسابرسی حریم خصوصی

دسترسی به حسابرسی حریم خصوصی خدمات

بررسی اجمالی خدمات

San José Public Libraryبخش خدمات دسترسی یک واحد چند وجهی است که از کتابخانه های مختلف کینگ و مسئولیت های گسترده سیستم تشکیل شده است. با توجه به این ممیزی حفظ حریم خصوصی ، ما به مسئولیت واحدها در مورد سیستم یکپارچه کتابخانه (ILS) ، سیرا خواهیم پرداخت.

خدمات دسترسی و به طور خاص تر پشتیبانی سیستم برای حفظ بانک اطلاعاتی مشتری از جمله اجرای و جمع آوری داده ها از بانک اطلاعات مشتری کار می کند. این کار شامل پاکسازی داده های مشتری و مشتری است که طبق برنامه سالانه ما یا در صورت نیاز توسط اداره درخواست شده است.

پشتیبانی سیستم وظیفه جمع آوری و حفظ آمار گردش گسترده سیستم را بر عهده دارد. علاوه بر این ، آنها وظیفه نظارت بر تبادل داده ها با آژانس مجموعه ما ، خدمات مدیریت منحصر به فرد (UMS) و رسیدگی به سوالات مشتری راجع به حسابهایی که به مجموعه ها ارجاع شده اند ، دارند.

اخیراً ، سیستم پشتیبانی وظیفه کمک به LIT در ایجاد ورود کارمندان به ILS و کمک به خدمات فنی در نگهداری قوانین وام و کدهای مکان به دلیل ارتباط آنها با ILS را دارد. سایر پروژه های اخیر شامل آموزش و اجرای ایستگاه های کاری کارکنان RFID ، خود چک ها و پرداخت های خود چک ها است. همچنین از ما خواسته شده است که در پروژه های مختلف شرکت کنیم زیرا مربوط به پایگاه داده مشتری است. این شامل اطلاعات اضافی استracبرنامه زمانبندی پیش بینی ، بدهی های ناخالص و داده های مربوط به گزارش ها و کمک های مالی.

اطلاعات جمع آوری شده

سیستم یکپارچه کتابخانه ای: سیرا

بانک اطلاعات پشتیبانی

بانک اطلاعاتی مشتری توسط یک برنامه کاغذی که توسط کارکنان یا یک برنامه الکترونیکی وارد شده توسط مشتری کتابخانه جمع شده است. در هر نسخه از اطلاعات زیر درخواست می شود:

• نام و نام خانوادگی
• تاریخ تولد
• آدرس پستی
• آدرس ایمیل
• شماره تلفن
• نام والدین / سرپرست قانونی و / یا گواهینامه رانندگی (برای کودکان زیر 18 سال)
• ثبت نام در خبرنامه كتابخانه (اختياري)

برنامه کاغذ برای دوره لازم برای وارد کردن اطلاعات به پایگاه داده ما پس از آن ، خرد می شود. تنها استثناء کارت های نوجوان است. این برنامه ها به مدت سه ماه در محلی که مشتری درخواست کرده است نگهداری می شوند. برنامه آنلاین به مدت 60 روز در بانک اطلاعاتی نگهداری می شود یا تا زمانی که مشتری برای دریافت کارت خود به یکی از مکان های ما مراجعه کند. حسابهای اعلام نشده هر 2 ماه یکبار پاک می شوند.

هنگام درخواست کارت ، مشتریان باید شناسه عکس و اثبات آدرس را ارائه دهند. کتابخانه سوابق غیرضروری ایجاد نمی کند ، فقط سوابق مورد نیاز برای انجام مأموریت کتابخانه را حفظ می کند و به کار نمی رودracعواملی که اطلاعات را در معرض دید عموم قرار می دهد.

کتابخانه سوابق مشتری را سالانه یک بار بر اساس معیارهای زیر حذف می کند:

• مدت 2 سال تمام شده است
• به مدت 4 سال از زمان اجرای گزارش فعال نیست

مشتریانی که یکی از این دو مورد را برآورده می کنند نیز باید دارای موارد زیر باشند:

• جریمه کمتر از 10 دلار
• هیچ موردی بررسی نشده است

فقط کارمندان مجاز کتابخانه به داده های شخصی دسترسی دارندtorدر ILS دسترسی به این اطلاعات فقط در کارهای منظم کتابخانه استفاده می شود. به جز مواردی که طبق قانون لازم است یا درخواست خدمات مشتری مشتری را برآورده می کند ، کتابخانه هیچ گونه اطلاعات شخصی جمع آوری شده از مشتریان از طریق ILS را فاش نمی کند.

ورود به سیستم برای دسترسی به بانک اطلاعاتی مشتری در سطح شعبه یا واحد ایجاد می شود. کارکنان می توانند از این ورود به سیستم صرفاً برای انجام کارهای کتابخانه استفاده کنند. این ورود به کارمندان این امکان را می دهد که عملکردهای زیر را در رابطه با سابقه مشتری انجام دهند:

• یک حساب مشتری جدید ایجاد کنید
• اطلاعات حساب مشتری را مشاهده و ویرایش کنید. شماره های پین هنگام ورود رمزگذاری می شوند و فقط ممکن است ویرایش شوند.
• مشاهده و ویرایش اطلاعات خوب
• نگهدارها و درخواستها را مشاهده و ویرایش کنید

اکثر کارکنان کتابخانه مقدم و کسانی که در خدمات فنی کار می کنند ، به ILS (کتابداران ، کارمندان ، دستیاران کتابخانه ، صفحات و مدیران) دسترسی دارند. دستیاران كتابخانه ، كه كاركرد اصلی آنها قفسه بندی است ، دسترسی بسیار محدود به پایگاه داده دارند و فقط از آن برای بررسی مواد استفاده می كنند. ورود به سیستم های فردی برای کارمندان و واحدهای مختلف ایجاد می شود. مجوزهای آنها براساس کارهایی است که برای انجام آنها لازم است. به عنوان مثال ، کارکنان خدمات فنی اجازه چاپ برچسب های ستون فقرات یا دسترسی به سفارشات را دارند ، اما به کارمندان تیم وب مجوزهای یکسانی داده نمی شوند زیرا به این عملکردها احتیاج ندارند.

سوابق گردش

سوابق کتابخانه مشتری شامل مواردی است که در حال حاضر چک شده یا در حالت تعلیق است ، همچنین مواد معوقه و جریمه ها است. کتابخانه کتابخانه خود را حفظ نمی کندtorآنچه از مشتری قبلاً بررسی شده است. پس از بازگرداندن مواد ، مورد از حساب آنها پاک می شود. هنگامی که جریمه ها به حساب مشتری تعلق می گیرد ، کتابخانه سوابق اقلامی را که وام گرفته اند ، اما پس از تاریخ مقرر بازگردانده اند ، نگه می دارد یا هنوز از سوابق مشتری باقی مانده است.

جریمه داده های پرداخت شده در سابقه گردش مشتری کتابخانه حفظ می شود. جریمه داده های پرداخت شده لیستی از مواردی است که دیر بازگردانده شده ، از دست رفته یا آسیب دیده است در حالی که برای مشتری چک شده است. Fine داده های پرداخت شده برای نشان دادن داده های وی استفاده می شودtory پرداخت های جریمه شده و هزینه های مشتری. جریمه داده های پرداخت شده برای اهداف مالی و نگهداری سوابق حفظ می شود. جریمه داده های پرداخت شده شامل موارد زیر است:

• عنوان مورد
• بارکد مورد
• تاریخ بررسی شد
• روز سر رسید
• تاریخ برگشت
• تاریخ پرداخت
• مقدار جریمه
• محل پرداخت
• ورود کارکنان

سوابق مورد همچنین جزئیات آخرین مشتری را که مواد را چک کرده است ، نگه می دارد. این اطلاعات فقط برای کارمندان منظم عملیاتی (موارد گمشده ، گمشده یا آسیب دیده) فقط توسط کارکنان قابل دسترسی است. مشتری تا زمانی که دوباره مورد بررسی نشود ، به این سابقه وصل خواهد شد.

جریمه اطلاعات پرداخت شده باید تا زمانی که لازم باشد برای تأمین نیازهای دفتر بازرگانی و حسابداری آنها حفظ شود. این مستلزم همکاری با افسر اداری و کارکنان وی با اطلاعاتی است که در اختیار شماستtorدر پرونده جریمه پرداخت شده سررسید آزمایشی پایان این سال مالی است.

آمار گردش

آمار گردش به صورت ماهیانه جمع آوری می شود و براساس سال مالی گزارش می شود. آنها در گزارش استفاده مشتری ، برای تأمین بودجه ، تصمیم گیری آگاهانه در مورد مواد برای خرید و شناسایی روند پروژه های آینده استفاده می شوند. اطلاعات زیر را از ILS برای آمار گردش اطلاعات جمع می کنیم:

• تعداد دفعات مورد بررسی شده در یک کد مکان خاص
• تعداد تمدیدها به صورت حضوری در مقابل وب سایت
• تعداد چک های مربوط به ماشینهای خود چک در مقابل ایستگاه های کارکنان
• تعداد بازده ها از طریق سیستم کنترل خودکار (AMH) در مقابل ایستگاه های کارکنان
• گردش منابع الکترونیکی

هیچ اطلاعاتی از مشتری در مجموعه این آمار جمع آوری نشده است. این آمار توسط واحد پشتیبانی سیستم قابل دسترسی و گردآوری است.

خدمات مدیریتی بی نظیر (UMS)

خدمات مدیریت منحصر به فرد آژانس جمع آوری بدهی استracرسیدگی به حسابهای مشتری که به طور پیش فرض استفاده نشده اند ، مطابق با معیارهای زیر:

• یک مورد قبض
• جریمه و هزینه بیش از 50 دلار

ما یک پرونده ارسالی از ILS را به UMS ارائه می دهیم. پرونده های ارسالی لیستی از حساب های مشتری است که برای فعالیت های مجموعه تازه بر اساس معیارهای تعیین شده در ماژول / رابط آژانس مجموعه انتخاب شده و به صورت روزانه تولید می شود. گزارش ارسال اطلاعات محدودی از مشتری را ارائه می دهد از جمله:

• شماره ثبت حامی
• نام
• نشانی:
• شماره تلفن
• سرپرست قانونی / نام والدین و گواهینامه رانندگی (اگر زیر 18 سال باشد)
• تاریخ تولد
• نوع حامی
• کتابخانه خانگی
• تاریخ بزهکاری
• پول پرداخت شده (فقط مقدار دلار ارائه می شود ، UMS اطلاعات مربوط به عنوان را برای اطمینان از محافظت از محرمانه بودن مشتری دریافت نمی کند)

گزارش همگام سازی یا "همگام سازی" ابزاری برای تضمین کیفیت است که لیستی از تمام حساب های پرچم دار برای فعالیت های جمع آوری شده را به همراه مانده حساب فعلی آنها فراهم می کند. هدف "همگام سازی" بررسی این است که UMS باقیمانده از توازن کتابخانه مطابقت دارد. گزارش همگام سازی معمولاً توسط یک تحلیلگر فنی خدمات مشتری در UMS آغاز می شود ، اما این روند در هر زمان توسط کتابخانه آغاز می شود.

UMS دسترسی به کارمندان کتابخانه را به یک پایگاه داده مبتنی بر ابر از مشتریان کتابخانه که به UMS ارسال شده اند ، فراهم می کند. این دسترسی فقط به کتابدار ارشد خدمات دسترسی و کارمندان روحانی پشتیبانی سیستم است که از یک دستیار کتابخانه و یک منشی تشکیل شده است.

OrangeBoy / Savannah

از اوایل ماه اکتبر سال 2015 ، داده ها و اطلاعات مربوط به مشتری برای ایجاد یک ابزار برنامه ریزی پیش بینی که مربوط به فعالیت گردش خون با سطح کارمندان شاخه های مختلف است ، به OrangeBoy ارائه شد. داده ها به صورت هفتگی به OrangeBoy بارگذاری می شوند و سپس داشبورد جمع می شوند. این داشبورد در حال حاضر برای کارمندان اداره ، دسترسی ، سرویس وب ، و تیم IT قابل دسترسی است زیرا این واحدها مسئولیت بارگذاری اطلاعات درخواستی را دارند. کارکنان شعبه دارای نمای محدودی از ابزار برنامه ریزی پیش بینی شده است که با استفاده از داده های ارائه شده ایجاد شده است.

اطلاعات چک در هفته قبل به OrangeBoy ارسال شده است ، این پرونده شامل اطلاعات زیر است:

• محل ورود به سیستم
• تاریخ و زمان ثبت نام
• این که آیا ورود به سیستم از طریق AMH یا از طریق ترمینال کارمندان رخ داده است

اطلاعات شمارش گیت از جمله:

تعداد ویزاtorهفته قبل در هر شعبه

علاوه بر این ، برنامه ریزی کارکنان شعبه از جمله ارسال می شود:

ساعات کارمندان آخوندی در نکات خدماتی زیر کار می کنند: منطقه ، کار با مواد ، قفسه بندی ، مرتب سازی ، کشیدن و نگه داشتن.

Bibliotheca

در سال 2016 ما فرایند تبدیل مجموعه خود را از یک سیستم امنیتی مبتنی بر مغناطیسی به یک سیستم امنیتی مبتنی بر RFID انجام دادیم. این سیستم جدید همچنین توانایی اسکن مواد را با استفاده از دستگاه های RFID یکپارچه کرده است. برچسب های RFID در کلیه مواد در گردش ما قرار می گیرد و با بارکدی از موردی که به آنها وصل شده است ، برنامه ریزی می شود. برچسب ها حاوی عنوان یا اطلاعات مربوط به مشتری نمی باشند.

Bibliotheca فروشنده ما برای تبدیل RFID است. آنها دستگاههای زیر را در رابطه با RFID در اختیار ما قرار دادند: پدهای کارکنان ، دستگاههای خود چک ، دروازه های امنیتی و مخفی دستیtorدستگاه های y کارکنان ما به داشبورد مبتنی بر ابر دسترسی دارند که به آنها امکان مانیتور کردن را می دهدtor عملکردها و وضعیت خود بازرسی ها و دروازه های امنیتی. داشبورد اطلاعاتی را در مورد معاملات انجام شده توسط خود چک که شامل تسویه حساب ، تمدید ، و پرداخت جریمه است به کارکنان ارائه می دهد.

اطلاعات ارائه شده برای این معاملات بسته به عملکرد متفاوت است. برای پرداخت وجه ، کارمندان می توانند تاریخ ، زمان ، بارکد مشتری ، بارکد موارد را که بررسی شده است ، و بارکد همه موارد را ببینید. برای دروازه های امنیتی ، کارکنان می توانند به یک دسته از افرادی که از طریق دروازه و بارکد عبور کرده اند ، دسترسی داشته باشند و مواردی که باعث زنگ دروازه شده اند را دارند.

هر مکان دارای دو ورود منحصر به فرد است. یک ورود سطح کارایی بالاتری را نشان می دهد که داده های سطح معاملات را نشان می دهد و به مدیران شعب ، دستیاران کتابخانه و کارمندان FT یا PT ارائه می شود. مورد دیگر فقط اطلاعاتی در مورد وضعیت دستگاه ارائه می دهد و توسط همه کارکنان قابل مشاهده است.

موارد چک لیست ALA

1. درخواست و storفقط اطلاعات شخصی مربوط به مشتریانی است که برای انجام کارهای کتابخانه لازم هستند. به صورت دوره ای داده هایی را که دیگر برای عملیات کتابخانه لازم نیست حذف کنید (به عنوان مثال داده های درخواست خرید). اگر LMS از آن پشتیبانی می کند ، هر جا ممکن است از اطلاعات دموگرافیکی "فازی" استفاده کنید (مثلاً به جای ثبت تاریخ تولد کامل ، از طبقه بندی "جزئی / نه جزئی" استفاده کنید).
   1. ما در حال بررسی مقاله و برنامه آنلاین در رابطه با اطلاعاتی هستیم که در مورد مشتریان خود جمع می کنیم. تصمیم گرفته شده است که ما همچنان به جمع آوری DOB بپردازیم زیرا از آن برای مقاصد آماری استفاده می شود و راهی برای شناسایی کارمندان با نام های مشابه فراهم می کند. ما مجموعه ای از مجوزهای رانندگی و جنسیت را متوقف خواهیم کرد زیرا آنها برای عملیات کتابخانه ای ضروری نیستند. پیش نویس برنامه کاغذ به روز شده تکمیل شده و در انتظار تصویب است. (نیاز به کار دارد)
2. جمع آوری یا ناشناس کردن گزارش ها برای حذف اطلاعات شناسایی شخصی. گزارش ها باید به صورت دوره ای بررسی شوند تا از عدم آشکار شدن این نوع اطلاعات ، اطمینان حاصل شود.
   1. ما داده های فعلی را که ارسال می کنیم بررسی کردیم و تنظیماتی را انجام داده ایم تا اطمینان حاصل کنیم که فقط اطلاعات لازم را ارسال می کنیم.
      1. OrangeBoy: ما در حال بررسی ضرورت ارسال اطلاعات مشتری هستیم زیرا این اطلاعات نقشی در ابزار برنامه ریزی پیش بینی کننده ایجاد نمی کند. از تاریخ 12 فوریه 2018 ، ما اطلاعات اضافی برای مشتری و گردش خون ارسال نکرده ایم زیرا در مورد تصمیم گیری در مورد ادامه کار تصمیم گیری می شودracبا Orangeboy. ما در مورد عدم استفاده از بانک اطلاعاتی مشتری برای پیام رسانی یا تقسیم بندی مشتری ، ارسال اطلاعات مشتری را متوقف کرده ایم. (انجام شد)
      2. UMS: برای تماس م effectivelyثر با مشتریان از طرف کتابخانه ، به اطلاعاتی که ما ارائه می دهیم نیاز دارد. داخلی UMSracاطلاعات مورد نیاز آنها ، اما با عدم پشتیبانی از حریم خصوصی مشتری اطمینان حاصل می کندracاطلاعاتی مانند عنوان موارد. هنگامی که مشتریان ما با UMS تماس می گیرند ، آنها به آنها مراجعه می کنند تا مستقیماً با کارکنان کتابخانه در مورد مواد تأخیر خود صحبت کنند زیرا آنها به پایگاه داده ما دسترسی ندارند. (انجام شد)
      3. Bibliotheca: ایجاد برنامه ای برای حذف معاملات در خود چک ها. ما با آنها کار کرده ایم Bibliotheca در مورد چگونگی دستیابی به بهترین شکل ممکن ما منتظر پاسخ آنها هستیم تا بتوانیم از این توصیه استفاده کنیم و وقتی اطلاعات لازم را در اختیار ما گذاشتیم ، بلافاصله اجرای خواهیم کرد. ما با تیم آنها در تلاش هستیم تا یک برنامه منظم ایجاد کنیم که در آن داده های معامله ای به طور مرتب از چک های خود پاک می شوند. امیدواریم تا ابتدای سال مالی 18/19 این امر را عملی کنیم. (نیاز به کار دارد)
3. LMS را بطور پیش فرض پیکربندی کنید تا داده های معامله شده بین مشتریان و موادی که آنها وام می گیرند / دسترسی به آنها حذف می شود را هنگامی که دیگر نیازی به عملیات کتابخانه نیست ، حذف کنید.
   1. ما مناطقی را که این اطلاعات در آن قرار دارد شناسایی کرده ایمtored و ایجاد یک برنامه برای نحوه نگهداری آنها.
      1. آخرین قسمت پشتیبانی: آخرین قسمت پشتیبان را هر 6 ماه یکبار با معیارهایی که در ماه قبل منتشر نشده است پاک کنید. این تضمین می کند که کارکنان هنوز هم در مواقعی که اطلاعات قبلی مشتری مفید باشد (به عنوان مثال موردی که ناقص باشد ، به اطلاعات دسترسی دارند) دسترسی دارند. این در پایان سال مالی 17/18 اجرا خواهد شد. (نیاز به کار دارد)
      2. جریمه داده های پرداخت شده: جریمه یا هزینه هایی که بیش از 4 سال برطرف شده اند ، از حساب حمایت کننده پاک می شوند. این همزمان خواهد شد با دستورالعمل بدهی بد در پرداخت بدهی های قدیمی تر از 4 سال. این در آغاز سال مالی 18/19 اجرا خواهد شد. (نیاز به کار دارد)
4. به مشتریان این امکان را می دهد که از ویژگیهای شخصی مانند نگه داشتن صندوقهای خود برای وی استفاده کنندtory یا لیستی از عناوین مورد علاقه. (انجام شد)
5. دسترسی به سوابق مشتری در LMS را برای کارمندان با نیاز مبرم به آن محدود کنید. به عنوان مثال ، کارکنان تیراژ نیاز به دسترسی دارند اما قفسه ها این کار را نمی کنند. (کامل)
6. اعلان های کتابخانه را برای نگه داشتن ، زمان های اضافی و غیره پیکربندی کنید تا بتوانید حداقل اطلاعات شخصی خود را ارسال کنید.
   1. ما اخیراً آموزش لازم را برای ایجاد تغییر در الگوهای چاپ فعلی دریافت کرده ایم.
      1. ایمیل های حسن نیت ارائه می دهد و ما می توانیم با ایجاد یک الگوی جدید ، آدرس مشتری را از اعلان های ایمیل حذف کنیم. ما در حال کار با IT هستیم تا الگوی جدید ایجاد شود. برای رسیدن به ماه مه 2018. (نیاز به کار دارید)
      2. نگه داشتن نوارهای نگهدارنده: سیرا 4 گزینه قالب برای لغزش های نگهدارنده فراهم می کند. این نوارها باید حاوی اطلاعات مشخصی باشند ، اما ما قادر به تنظیم الگوهای ارائه شده توسط سیرا نیستیم. قالب های Sierra می توانند کوتاه یا نام مشتری (اول و آخر) باشند ، اما ما قادر به تنظیم بیشتر اسلیپ نیستیم. اگر ما علاقه مند به لغزش های بیشتر ناشناس هستیم ، برای این کار نیاز به خرید نرم افزار اضافی داریم. برای رسیدن به ژوئیه 2018. (نیاز به کار دارد)
7. سیاست ها و رویه های مربوط به توسعه را تدوین کنیدraction ، storسن ، و به اشتراک گذاری داده های مشتری از LMS برای خانه یا تجارتracاستفاده شخص ثالث دسترسی به موارد داخلی را محدود کنیدracبه کارکنان مناسب
   1. ما سیاست های رسمی در مورد موارد اضافی نداریمraction ، storسن و به اشتراک گذاری داده های مشتری. (نیاز به کار دارد)
   2. ما رویه های رسمی در مورد موارد اضافی نداریمraction ، storسن و به اشتراک گذاری داده های مشتری. مجموعه ای غیررسمی از دستورالعمل ها برای کارکنان آموزش دیده برای اجرای این گزارش ها در مورد نحوه تأمین وجود داردracنوع خاصی از اطلاعات درخواستی است. اینها در حال حاضر در محل درایو پشتیبانی گروه سیستم هستند که فقط برای گروه خاصی از کارمندان در Access Services قابل دسترسی هستند. چه زمانی می توان این رویه های غیررسمی را بررسی کرد و روی استاندارد سازی آنها و موارد دیگر کار کردtorآنها را در یک مکان امن با تاریخ اتمام دسامبر 2018. (نیاز به کار دارد)
   3. اضافیracبا سیستم پشتیبانی که واحدی در سرویس های دسترسی است ، مدیریت می شود. این واحد دارای ورود به سیستم سیرا است که به آنها امکان می دهد گزارشی ایجاد کنند که اطلاعات مربوط به مشتریان و آمار گردش اطلاعات را جمع آوری کند. درخواست های مربوط به اطلاعات مشتری معمولاً مربوط به اطلاعات جمعیتی یا آدرس خاصی است و اطلاعات فردی ارائه نمی شود زیرا درخواست ها مربوط به روند گروهی از کاربران است. ما در مرحله بررسی ورود و مجوزهای ارائه شده به کارمندان مختلف با تاریخ اتمام دسامبر 2018 هستیم. (نیاز به کار دارد)

حسابرسی محرمانه بودن فناوری اطلاعات كتابخانه

مروری بر فناوری اطلاعات کتابخانه

San José Public Library بزرگترین ارائه دهنده منابع رایانش عمومی رایگان در شمال کالیفرنیا است. این کتابخانه در سال مالی 2016-17 بیش از یک میلیون جلسه رایانه ثبت کرده است. در حال حاضر ، 1,200 کامپیوتر عمومی برای رزرو در کل سیستم کتابخانه در دسترس هستند. از زمان مطرح شدن ایده استفاده از رایانه های عمومی رزرو شده ، حریم خصوصی و امنیت یک نگرانی اصلی بوده استracاوایل دهه 1990 در SJPL.

برای تأمین امنیت محیط دسک تاپ عمومی ، این کتابخانه محصولی را مستقر کرده است که هر بار مشتری جدیدی روی رایانه عمومی وارد شود ، صرف نظر از آنچه ممکن است مشتری قبلی ذخیره یا تغییر کرده باشد ، یک میز کار تمیز و تازه تهیه می کند. همین محصول ، فایلهای تعریف آنتی ویروس و ضد ویروس را از چندین منبع فروشنده برای سریعتر شدن زمان پاسخگویی به تهدیدات سایبری جدید فراهم می کند.

تقاضا برای wifi به شدت افزایش می یابد زیرا مشتریان دستگاه های فعال شده را برای اتصال به اینترنت به کتابخانه می آورند. برای پاسخگویی به افزایش تقاضا ، SJPL اتصالات WAN را در کلیه کتابخانه های شعبه به 1000 مگابیت در ثانیه ارتقا داد. اینها شبکه کتابخانه را به CalREN ، یک شبکه فیبر نوری با ظرفیت بالا که توسط CENIC ، شرکت برای آموزش شبکه های آموزشی در کالیفرنیا اداره می شود ، متصل می کنند. اطلاعات شناسایی شخصی (PII) به هیچ شکلی در شبکه وای فای جمع نمی شود. این پلت فرم امکان اتصال به اینترنت با ظرفیت بالا ، بلکه سایر کتابخانه های عمومی شرکت کننده ، مدارس ، کالج ها و دانشگاه هایی را که سطح بالایی از حریم خصوصی و امنیت را دارند فراهم می کند.

این کتابخانه اخیراً وب سایت خود را به HTTPS تبدیل کرده و صفحه دسترسی به کاتالوگ را با یک گواهی نیز تضمین کرده است. ارائه یک اتصال رمزگذاری شده برای تأیید اعتبار مشتری در وب سایت های کتابخانه ، از حریم خصوصی و یکپارچگی اطلاعات و وب سایت های کتابخانه و مرور فهرست آنها محافظت می کند. علاوه بر این اقدامات ، کتابخانه اخیراً تجارت الکترونیک Linked را به سایت فروشگاه اضافه کرده است تا بتواند بدون پرداخت اطلاعات شخصی بین سازمان ها ، پرداخت جریمه را ایمن کند. مشتریان برای محافظت از داده های خود به کتابخانه مراجعه می کنند و این به روز رسانی مطابق با آن جهت استراتژیک است.

SJPL به منظور حفظ كنترل كامل بر داده هاي بالقوه حساس و همچنين براي تحرك و تحرك در محيط ما ، از سيستم هاي منبع باز براي اطلاعيه ها و هشدارهاي مربوط به سرور و منابع شبکه استفاده مي كند. این ابزارها با موفقیت بسیار زیاد و با سود بیشتر از حفظ بودجه بخش فناوری اطلاعات كتابخانه (LIT) برای منابع عمومی استفاده شده است.

حفظ حریم خصوصی همواره مورد توجه اصلی برای SJPL بوده است ، به ویژه در مورد نحوه ارائه خدمات فناوری. ما اهمیت دسترسی آزاد به اطلاعات را در مورد یادگیری مادام العمر درک می کنیم. هدف سازمان ما فراهم آوردن چنین دسترسی هایی بدون ترس از سرقت هویت ، آسیب دیدن اطلاعات شخصی یا انتقام جویی از هر نوع است.

اطلاعات جمع آوری شده

La San José Public Library داده های مرتبط با مشتریان را به همان روشی که لازم باشد برای ارائه خدمات عمومی حفظ می کند. در زیر منابع داده های ساختاری وجود دارد که می توانند با حریم خصوصی مشتری مرتبط باشند.

سیستم کاتالوگ - Innovative Interfaces، سیرا ILS

• سیستم کاتالوگ Sierra ILS مهمترین ابزار در مجموعه منابع فنی کتابخانه است. این شامل سوابق مورد برای هر کتاب ، کتاب صوتی ، دی وی دی ، سی دی ، رایانه لوحی ، لپ تاپ و سایر مطالب قابل وام در SJPL استtory از سیرا برای مدیریت حساب ها و حساب های فروشندگان کتاب نیز استفاده می شود. از همه مهمتر برای بحث در مورد حریم خصوصی ، سیرا بانک اطلاعاتی از سوابق مشتری را نگهداری می کند که به مشتریان ما امکان می دهد موارد داخل یا خارج را بررسی کنند. t را نگه می داردrack از وضعیت هر مورد ، برای مشتریان مدیریت می کند و می تواند هشدارهایی را برای یادآوری تاریخ سررسید برای آنها ارسال کند. برای اینکه مشتری بتواند در سیرا حساب کاربری داشته باشد ، شناسه های منحصر به فرد خاصی برای مرتبط کردن یک فرد با شماره کارت کتابخانه لازم است.
  • خط مشی ها و رویه های فعلی حاکی از آن است که مشتری هنگام پر کردن فرم برای دریافت کارت کتابخانه باید نام ، تاریخ تولد و آدرس خود را وارد کند. اختیاری است (اما تشویقی) برای آنها که شماره تلفن و آدرس ایمیل خود را نیز وارد کنند. در صورت تمایل ، معمولاً در هنگام ارسال اطلاعیه از شماره تلفن یا آدرس ایمیل استفاده می شود.
  • سیرا فعالیت مشتری را ثبت نمی کند و سوابق بازپرداخت گذشته را حفظ نمی کند.

• مطابق با قوانین ایالتی که در بخش های دولت کد کالیفرنیا به بخش های 6250 تا 6270 بیان شده است ، سیاست SJPL است که اطمینان حاصل کند که سوابق مشتری و داده های ثبت نام محرمانه نگه داشته می شوند. کارکنان کتابخانه ، مطابق با مجاز در همان بخش کد دولت کالیفرنیا ، به کلیه سوابق مورد و مشتری در پایگاه داده سیرا دسترسی دارند. کارکنان کتابخانه هیچ اطلاعاتی را که در این سوابق درج شده است با سایر آژانسهای خارجی به جز با دستور دادگاه عالی مناسب ، به اشتراک نمی گذارند.
• پشتیبان گیری از سرور برنامه Sierra و سرور پایگاه داده Sierra به صورت شبانه انجام می شود و رمزگذاری می شود. آنها در قالب های مختلف گرفته می شوند ، کپی نمی شوند ، و storدر چندین مکان ویرایش شده است. هر هفته یک بار ، یک نسخه رمزگذاری شده اضافی از پایگاه داده Sierra به خارج از سایت ارسال می شود تا s باشدtorبرای پنج هفته چرخش برای پاسخگویی به نیازهای برنامه بهبودی در برابر بلایا. کارکنان بخش خدمات دسترسی سالانه حساب های مشتری را پاک می کنند. اگر حساب ها از معیارهای زیر برخوردار باشند ، حذف خواهند شد:
  • حساب چهار سال غیرفعال بوده است
  • حساب به مدت دو سال منقضی شده است.
  • حساب شامل جریمه های بالاتر از 10.00 دلار نمی شود.
  • حساب هیچ موردی را که اکنون حذف نشده است
• در غیر این صورت ، حساب های مشتری تا زمانی که مشتری بخواهد و تا زمانی که به استفاده از منابع کتابخانه ادامه می دهد ، در داخل سیرا باقی می مانند.

سیستم رزرو رایانه عمومی (RAC)

• سیستم Reserve-A-Computer یک پایگاه داده اختصاصی مشتری / سرور است که در محیط VMware ما ساکن است. همه رایانه های عمومی یک مشتری محلی را کنترل می کنند که زمان جلسه را مدیریت می کند و با پایان یافتن جلسه ، مشتری را از سیستم خارج می کند. یک فهرست کاربر روی کاربر ایجاد شده است RAC سرور ، اما کاربران را به جلسات خاص یا آدرس های IP پیوند نمی دهد. این فهرست در دسترس عموم نیست. اطلاعات موجود به نام ، شماره کارت كتابخانه و PIN محدود است. اینها برای حفظ دسترسی زیاد سیستم رزرو رایانه در صورت قطع قطع ILS یا اختلال در شبکه ضروری است. تمام PII بلافاصله پس از خروج کاربر از جلسه ، از سیستم پاک می شود. ثبت آمار ، فقط زمان و مدت زمان لیست (بدون PII) ، به مدت دو ماه در سیستم باقی می ماند. گزارش های مربوط به تعداد رزرو در هر شعبه در کتابخانه Intranet ذکر شده است.
• مدیریت RAC بانک اطلاعاتی به تعداد کمی از افراد در LIT با حقوق اداری محدود است. برخی از گزارشات در دسترس کارکنان عمومی است و آنها می توانند رزروهای بعدی را تغییر داده و وضعیت رزروهای فعلی را بررسی کنند ، اما کارکنان کتابخانه به هیچگونه اطلاعات شخصی قابل دسترسی در RAC.
• La RAC پشتیبان گیری از سیستم عامل سرور و وضعیت سیستم هر 48 ساعت انجام می شود. این بکاپ ها به مدت 30 روز نگهداری می شوند. هیچ PII در هیچ یک از این نسخه های پشتیبان گنجانده نشده است.

رایانه های عمومی - محلی Storسن

• رایانه های عمومی قابل رزرو در SJPL یک محیط دسکتاپ نسبتاً باز را برای کار با مشتریان ما فراهم می کنند. این سطح از آزادی می تواند آنها را برای بهره برداری از وب سایت هایی که بازدید می کنند باز بگذارد ، اما نه به دلیل هرگونه داده باقیماندهtorبه صورت محلی روی ایستگاه کاری در پایان هر جلسه جداگانه رایانه ، برنامه Reserve-A-Computer مجبور به راه اندازی مجدد می شود. تمام رایانه های عمومی با هر بار راه اندازی مجدد رایانه ، تمام تغییرات ایجاد شده توسط مشتری را پاک می کنند. هیچ جستجوی محلی وی وجود نداردtorسوابق موجود پس از خروج مشتری از ایستگاه های کاری مشتری.
• چون نه اوtory به صورت محلی وجود دارد ، هیچ کارمند کتابخانه به هیچ PII یا محلی دسترسی نداردtorگزارش معاملات ویژه مشتری یا فعالیتهای مشتری را مشخص می کند.

OrangeBoy / Savannah

• OrangeBoy یک فروشنده خدمات ابری است که برنامه ریزی و تحلیل منابع را به مدارس و کتابخانه ها ارائه می دهد تا بتوانند سطح خدمات و رضایت مشتری را بهبود بخشند. آنهاtorاین داده ها خارج از سایت ، در مرکز داده آنها ، به صورت اختصاصی است. LIT گزارش استفاده از آنها را از آنها ارائه می دهد RAC، داده های برنامه ریزی کارکنان و دسترسی به سطح گزارش به کنسول مدیریت wifi ما. از OrangeBoy برای گرفتن گزارشات رزرو استفاده می کرد RAC، اما مشخص شده است که اطلاعات رزرو بخشی از الزامات تجاری SJPL نیست ، بنابراین ما چنین کاری نمی کنیمtorاطلاعات دیگر. داده های استفاده زیادی وجود دارد ، اما هیچ یک از این موارد شامل PII نیستند.
• دانش افرادی که به این اطلاعات دسترسی دارند ، توسط OrangeBoy، Inc. نگهداری می شود.
• OrangeBoy موظف است داده ها را در پایان اطلاعات خود پاک کندracبا SJPL.

مسیریابی فعالtory

• این کتابخانه از Microsoft Active Direc استفاده می کندtory 2012R2 برای directorخدمات y در ترکیب San José Public Library و زیرساخت های کتابخانه دانشگاه ایالتی سن خوزه (SJSU) برای ارائه یک مدیریت مرکزی از حقوق و احراز هویت دامنه ، دسترسی به منابع دامنه و سیاست های امنیتی. اگرچه SJPL بخشی است که متعلق به شهر San José است ، اما ما یک زیرساخت جداگانه مستقل از ساختار دامنه شهر داریم و هیچ ارتباطی بین دو حوزه نداریم. SJPL تقریباً 3000 اشیاء دامنه شامل بیش از 600 حساب مشتری در شهر و 1000 ایستگاه کاری و کاربری شهر را در خود جای داده است.
• در حال حاضر هیچ داده عمومی یا مشتری s نیستtorویرایش شده در Active Directory.
• اطلاعات مشتری کارکنانtorویرایش شده در Active Directory (AD) فقط شامل اطلاعات مربوط به کار مانند نام مشتری ، عنوان موقعیت ، محل دفتر ، شماره تلفن محل کار و شناسه کارمند شهرستان مشتری است که فقط در سیستم HR شهر ارتباط دارد. ادغام دستورالعمل AD کتابخانه وجود نداردtory با سیستم های منابع انسانی بنابراین اطلاعات شخصی پرسنل فقط با استفاده از اعتبار دسترسی جداگانه از طریق سیستم منابع انسانی قابل دسترسی است.
• دسترسی و مدیریت AD محدود به افراد انتخاب شده با نقش Domain Administra استtors و Account Operators ، اجازه می دهد تا آنها را به حفظ directorخدمات y
• مسیریابی فعالtorاطلاعات مربوط به مدت اشتغال هر یک از کارکنان نگهداری می شود. برای اطمینان از دسترسی به داده های بایگانی شده متعلق به شهر ، پس از خاتمه ، حساب های مشتری برای مدت 3-6 ماه غیرفعال می شوند. به محض اینکه مشخص شد به داده های متعلق به شهر نیازی نیست یا داده ها به طور ایمن بایگانی شده اند ، حساب های مشتری حذف می شود. حساب های رایانه ای به محض حذف سخت افزار فیزیکی از سیستم پاک می شوند.

گزارش های ASA

• گزارش معاملات برای دیوارهای آتش SJPL روی سرورهای پرونده در سرور VLAN قرار دارد. اگرچه در این سیاههها PII وجود ندارد ، اگر در رابطه با دو شکل دیگر از داده ها در مزرعه سرور ما استفاده شود ، مشتری در یک رایانه عمومی قابل رزرو (نه مشتری وای فای) می تواند در طول مدت نگهداری سه روزه به ما شناسایی شود. RAC گزارش های سرور
• مدیریت سرور ورود به سیستم ASA محدود به تعداد کمی از افراد در LIT با حقوق اداری است.
• گزارش های ASA s هستندtorبه مدت 14 روز ویرایش شد و سپس کنار گذاشته شد.

سازمان های شریک

SJSU آن

• San José Public Library با دانشگاه ایالتی سن خوزه همکاری می کند و ساختمان اصلی کتابخانه آنها را به اشتراک می گذارد. SJSU ITS به SJPL ، گذرواژه‌های آن یا هرگونه اطلاعات شخصی قابل شناسایی به بانک اطلاعات مشتری دسترسی ندارد. با این حال ، آنها به عنوان ارائه دهنده خدمات اینترنت (ISP) برای کتابخانه اصلی دکتر مارتین لوتر کینگ جونیور (MLK) عمل می کنند. به همین ترتیب ، SJSU توانایی ورود به سیستم در کل ترافیک اینترنت را که از MLK وارد می شود ، دارد.
• SJSU ITS همچنین سیستم وای فای عمومی را برای MLK حفظ می کند. آنها کنترل تمام سوئیچ ها و WAP ها را در MLK حفظ می کنند و این امکان را دارند که تمام ترافیک بی سیم را وارد کرده و آن را به هر آدرس Layer 2 (MAC) پیوند دهند.
• لیست مشتریانی که به اطلاعاتی که در لاگهای دروازه فایروال نگهداری می شوند ، فقط به SJSU ITS دسترسی دارند ، اما آنها مطابق با استانداردهای مشابه SJPL هستند و به وظایف قانونی مندرج در قانون حقوق خانواده و حفظ حریم خصوصی موظف هستند.

شهر سن خوزه

• این کتابخانه یک ارتباط VPN رمزگذاری شده یک طرفه با شبکه شهر سان خوزه را در اختیار شما قرار می دهد تا به کارمندان این کتابخانه امکان دسترسی بی وقفه به منابع شهر را فراهم کند. هیچ اطلاعات عمومی از طریق این اتصال عبور نمی کند و هیچ کارمند شهری غیر کتابخانه ای به داده های کتابخانه دسترسی ندارد.

سنیک

• CENIC ISP برای کلیه ترافیک اینترنتی کتابخانه شعبه است. سیاست های ثبت و نگهداری داده های آنها از کنترل SJPL خارج است. در حالی که CENIC به عنوان یک سازمان به اطلاعات شخصی مشتری دسترسی ندارد ، آنها توانایی ثبت تمام ترافیک اینترنت توسط NAT را دارند. هر کتابخانه شعبه شامل چندین NAT است که به خدمات شبکه wifi vlan ، vlan رایانه عمومی و غیره اختصاص داده شده است.torدرون CENIC ، اطلاعات اختصاصی است و همچنین لیست مشتریانی که به آنها دسترسی دارند.
• CENIC نماینده قانون حق چاپ هزاره دیجیتال (DMCA) برای کلیه آدرس های IP اینترنتی است که به SJPL اختصاص داده شده است. این بدان معنی است که در صورت نقض حق چاپ ، CENIC مسئولیت قانونی اطلاع رسانی به ارائه دهنده خدمات آنلاین (OSP) ، در این مورد SJPL ، از اطلاعیه نقض ادعا شده را بر عهده می گیرد. مشاور حقوقی انجمن كتابخانه های آمریكا پیشنهاد كرده است كه كتابخانه ها برای بهره مندی از بندر ایمن مستقر در بخش 512 ، این كتابخانه را به طور گسترده تفسیر كنند. از آنجا كه گزارش های دقیق مشتری جزء الزامات تجاری SJPL نیست ، ما توانایی پیوند دادن مشتریان جداگانه با اینها را نداریم. آدرس های IP منبع. ما زبان استفاده قابل قبولی داریم که در شرایط و ضوابط نمایش داده شده در هنگام پذیرفتن مشتری و اتصال به Wifi یا ورود به رایانه عمومی ، در شرایط استفاده شده وجود دارد. به همین ترتیب بندرگاه ایمن در بخش 512 اعمال می شود.

موارد چک لیست ALA

1. رمزگذاری تمام داده های مشتری با الگوریتم های امن در کلیه ارتباطات شبکه و برنامه.
   1. همه ترافیک شبکه در حال حاضر رمزگذاری نشده است ، اگرچه بخش هایی از شبکه ما از نظر جسمی از هم جدا شده ، منطقی از هم جدا می شوند و برخی از اتصالات مشتری / سرور رمزگذاری می شوند. (نیاز به کار دارد)
2. پاکسازی او را جستجو کنیدtory ضبط منظم ، به طور ایده آل هنگامی که جلسه کامپیوتر فردی به پایان می رسد.
   1. در پایان هر جلسه جداگانه رایانه ، برنامه Reserve-A-Computer مجبور به راه اندازی مجدد می شود. تمام رایانه های عمومی با هر بار راه اندازی مجدد رایانه ، تمام تغییرات ایجاد شده توسط مشتری را پاک می کنند. هیچ جستجوی محلی وی وجود نداردtorسوابق موجود پس از خروج مشتری از ایستگاه های کاری مشتری. (انجام شد)
3. حداقل امنیت را ایجاد کنیدracانواع ابزارها و خدمات
   1. IT IT از حداقل امنیت برخوردار استracابزارهای مختلف برای همه سرورها ، ایستگاه های کاری ، پایگاه داده ها ، خدمات و تجهیزات شبکه. (انجام شد)
4. رمزهای عبور پیش فرض را تغییر دهید.
   1. این سیاست LIT برای تغییر کلمه عبورهای پیش فرض برای هر سیستم نصب شده در شبکه ما است. با این وجود ، گذرواژه‌هایی که توسط حسابهای عمومی استفاده می شود ، اغلب برای مدت طولانی توسط کارمندان در جای خود باقی مانده و همین نوع آسیب پذیری را ایجاد می کنند. (نیاز به کار دارد)
5. دسترسی از راه دور به حساب supercustomer (به عنوان مثال root یا administrator) را غیرفعال کنیدtor).
   1. این کتابخانه برای دسترسی از راه دور از هیچگونه حساب ابررسانایی استفاده نمی کند. Innovative Interfaces، شرکت برای دسترسی از راه دور به سیرا از نسخه فوق العاده مشتری خود استفاده می کند ، اما این استاندارد صنعت استracمزه (انجام شد)
6. با استفاده از یک منبع مطمئن و تأیید شده ، تمام نرم افزارها را به روز نگه دارید.
   1. از نرم افزار شخص ثالث برای به روزرسانی کلیه رایانه های عمومی استفاده می شود ، تنها با استفاده از بسته های نرم افزاری از پیش تصویب شده و روش استفاده از روش استاندارد بروزرسانی استاندارد صنعت. به روزرسانی های ویندوز از طریق خدمات Microsoft Update انجام می شود. تغییر در تصاویر کامپیوتر یک تلاش گروهی است و نیاز به نظارت در سطح مهندس و مدیریت دارد. (کامل)
7. برای تأمین اعتبار برای کلیه اتصالات مشتری به خدماتی که امکان دسترسی به اطلاعات مشتری را می دهند ، نیاز دارید.
   1. تأیید اعتبار برای کلیه اتصالات مشتری به خدماتی که امکان دسترسی به اطلاعات مشتری را می دهند ، لازم است. (کامل)
8. مشتریان را فقط به دسترسی مورد نیاز خود ، یعنی کمترین مدل امتیاز ، محدود کنید.
   1. این سیاست LIT همیشه محدود کردن دسترسی مشتری فقط به آنچه که نیاز دارند ، بوده است. برای سیرا و سایر پایگاه های داده مشتری / سرور ، کمترین مدل امتیاز مطابق با استانداردهای صنعت توسط LIT استفاده شده است. برای ایستگاه های کاری عمومی ، کمترین مدل امتیاز با استفاده از ابزارهایی که حذف و بازنشانی می شوند حاصل می شودtorهمه "تغییر بلوک" از HD پس از هر جلسه مشتری. بنابراین ، توانایی مشتری در دستیابی و دستکاری اطلاعات دیجیتالی از طریق اینترنت نسبتاً بلامانع است. (انجام شد)
9. در صورت پشتیبانی ، احراز هویت متقابل سرور و مشتری را فعال کنید.
   1. اکثر سیستم های مستقر شده توسط SJPL از تأیید هویت متقابل پشتیبانی نمی کنند ، اما ما برای کشف گزینه ها در این زمینه به خوبی خدمت خواهیم کرد. (نیاز به کار دارد)
10. در صورت امکان از استاندارد احراز هویت ایمن مانند Oauth استفاده کنید.
    1. این مورد در SJPL مستقر نشده است ، اما امکان صدور مجوز شخص ثالث برای خدمات عمومی جای سوال دارد. یک راه حل ممکن است ارائه خدمات برای دسترسی از راه دور به سیرا باشد ، به جای برنامه فعلی ما برای استقرار یک تونل VPN رمزگذاری شده. (نیاز به کار دارد)
11. خط مشی ورود به سیستم برای دستگاهها و خدماتی را که شامل چرخش و نگهداری ، انواع داده های جمع آوری شده و پیامدهای آن بر حریم خصوصی مشتری است ، پیاده سازی کنید.
    1. تعریف روشنی از پارامترهای این هدف / هدف مورد نیاز است. با این حال ، LIT تمام جنبه های حفظ و / یا چرخش را وارد نمی کند. (نیاز به کار دارد)
12. امتیازات اداری را از طریق کنترل دسترسی مشتری یا برنامه سودو به افراد مجاز محدود کنید.
    1. SJPL ده ها سیستم و خدمات دارد که امکان عملکرد کتابخانه را می دهد. کلیه سیستمهای مرتبط با الزامات تجاری کتابخانه ، یا اطلاعات دیجیتال را حفظ می کنند ، توسط مرکز LIT یا در چند مورد بخش کنترل (دسترسی ، خدمات فنی ، و غیره) بصورت مرکزی اداره می شوند. (کامل)
13. امنیت سخت افزار در مورد دستگاه ها و خدمات.
    1. برای این هدف زمینه کمی لازم است ، اما LIT آن را سخت تر کردن امنیت در تمام دستگاه های ارائه شده به مردم در اولویت قرار داده است. مسئله سخت شدن امنیت این است که اغلب نیاز به سیاهههای مربوط یا محدودیت هایی دارد که خلاف محافظت از حریم خصوصی باشد. به عنوان مثال ، اگر مشتری توانایی پاکسازی مواد خود را داشته باشد ، به این معنی است که سطح اجازه کار در محل کار برای آن مشتری زیاد خواهد بود و باعث می شود آسیب پذیری اضافه شده به بدافزارها باعث افزایش آسیب پذیری شود. (کامل)
14. غیرفعال کردن خدمات غیرمجاز موجود در دستگاه ها.
    1. همواره سیاست LIT برای غیرفعال کردن خدمات بی مورد در سرورهای ویندوز و ایستگاه های کاری بوده است. ما تضمین نمی کنیم که همه سرویس های غیر ضروری غیرفعال هستند. برخی (مانند چارچوب .NET مایکروسافت) عملکرد پیشرفته ای ارائه می دهند اما از نظر فنی غریب هستند. (کامل)
15. برای هر نمونه از یک سرویس به رمزعبور منحصر به فرد نیاز دارید.
    1. بسته به تعریف "خدمات" ، ما ممکن است این هدف را انجام دهیم یا نتوانسته باشیم. تمام بانکهای اطلاعاتی SJPL در سرورهای یک نمونه هستند ، بنابراین به طور پیش فرض آنها رمزهای عبور منحصر به فردی خواهند داشت. (کامل)
16. اجرای یک خط مشی رمز عبور قوی که طول ، شکل گیری و مدت رمز عبور را مشخص می کند ، پیاده سازی و اجرا کنید. استفاده از رمزهای عبور تولید شده را به طور تصادفی در نظر بگیرید.
    1. قوانین پیچیدگی رمز عبور برای تأیید اعتبار کارمندان از زمان افتتاح کتابخانه MLK وجود داشته است. اینها در مورد کلیه بانکهای اطلاعاتی داخلی اعمال می شود ، اما برای بانکهای اطلاعاتی اختصاصی ، از جمله اطلاعاتی که توسط سیرا استفاده می شود ، کاربرد ندارد. LIT در حال ترکیب قوانین پیچیدگی و تاریخ انقضا پسورد برای همه حساب های مشتری Sierra است. (نیاز به کار دارد)
17. رمزگذاری ارتباطات داده ها بین برنامه های مشتری و برنامه های سرور که می تواند شامل اطلاعات مشتری باشد.
    1. کلیه تراکنش هایی که از طریق اینترنت انجام می شود و اطلاعات مربوط به مشتری را شامل می شود ، با کلید خصوصی 2048 رمزگذاری شده است. ارتباطات داخلی بین بانک اطلاعاتی و سرور برنامه نیز رمزگذاری می شوند. با این حال ، کتابخانه در حال حاضر سازگار با PCI نیست ، که استاندارد لازم برای پاسخگویی به کلیه الزامات این توصیه است. (کامل)
18. در صورت امکان خدمات را پیکربندی کنید تا به طور پیش فرض نیاز به رمزگذاری داشته باشید ، یعنی اتصالات بدون رمزگذاری را اجازه نمی دهد.
    1. بیشتر خدمات وب که توسط SJPL استفاده می شود اختصاصی و تحت سلطه هر فروشنده است. در مورد سرویس های LIT ، فقط وب سایت از رمزگذاری اجباری استفاده می کند. (نیاز به کار دارد)
19. اگر خدمات از رمزگذاری پشتیبانی نمی کنند (به عنوان مثال SIP2) ، از یک حمل و نقل رمزگذاری شده مانند تونل SSH یا VPN استفاده کنید.
    1. SJPL از تونل زنی VPN برای هر دستگاه Sierra Client و / یا AMH استفاده نمی کند. همانطور که قبلاً گفته شد ، انطباق PCI در اینجا استاندارد است و SJPL در حال حاضر دارای شبکه سازگار با PCI نیست. انطباق PCI در لیست پروژه ما قرار دارد تا اواخر 17/18 سال مالی آغاز شود. (نیاز به کار دارد)
20. رمزگذاری داده های حساس در حالت استراحت (یعنی انبار داده ها ، بایگانی ها ، نوارها ، پشتیبان گیری در خارج از سایت و غیره)
    1. کلیه داده های در حال استراحت در کتابخانه های نوار یا خارج از سایت کاملاً رمزگذاری شده اند. (کامل)
21. Storرمزهای عبور در برنامه های کاربردی با استفاده از بهترین صفحه به روزracابزارهای رمزگذاری (به عنوان مثال هش شده و نمک زده).
    1. همه رمزهای عبورtorویرایش شده در Active Directory و سیرا از استانداردهای پیشنهادی برخوردار هستند. (انجام شد)
22. همه دسترسی از راه دور (از جمله SSH) باید از طریق کلیدهای ایمن باشد نه رمزعبور.
    1. VPN با رمزگذاری در حال حاضر برای دسترسی از راه دور لازم نیست. LIT در حال نصب این کلیدها بر روی یک فایروال جدید است. (نیاز به کار دارد)
23. كليدها نبايد كمتر از 2048 بيت باشند ، 4096 بيت ارجحيت دارد.
    1. این کتابخانه کلیه گواهینامه ها را از In-Common تحت عنوان ادامه می دهدracبا دانشگاه ایالتی کالیفرنیا همه مورد استفاده 2048 بیتی است ، اما هیچ کلید رمزگذاری بیش از 2048 بیت نیست. (انجام شد)
24. کپی های مستهلک یا ناامن را مجاز نگذارید.
    1. هیچ کلید رمزگذاری SJPL تجدید نمی شود. همه در تاریخ انقضا دور انداخته و جایگزین می شوند. (کامل)
25. اطمینان حاصل کنید که کلیدهای خصوصی ایمن هستند (از کلیدهای زیر استفاده کنید و کلیدهای اصلی را بسیار ایمن نگه دارید).
    1. تمام کلیدهای خصوصی s هستندtorخارج از سایت توسط In-Common. SJPL می تواند از راه دور از طریق کنسول مدیریتی به آنها دسترسی داشته باشد. هیچ کدام در محلی موجود نیستندtorداده های ed (انجام شد)
26. کلیدها را بطور مرتب بچرخانید و در صورت سازش برای لغو آنها آماده باشید.
    1. SJPL به محض انقضا تمام کلیدها را می چرخاند. مدت زمان متغیر است ، اما دو سال یک استاندارد است. (کامل)
27. پروتکل های به کار رفته در دستگاه ها و خدمات را مرور کنید.
    1. بررسی تمام پروتکل ها طولانی و فراتر از محدوده این سند خواهد بود. با این حال ، طبق دستورالعمل های توصیه شده ALA ، LIT همیشه سعی در حفظ پروتکل ها و صفحه داشته استracانواع استاندارد ، تاسیس شده و باز همه مانیتورهای شبکه ماtoring از طریق ابزارهای منبع باز در سرورهای مبتنی بر Linux است. (انجام شد)
28. یکپارچگی داده های پشتیبانی از جمله تأیید اعتبار مبدا ، عدم رد اصل منشا ، عدم رد رسید و تأیید میزان بار با استفاده از امضای رمزنگاری یا هش.
    1. N / A
29. با استفاده از ابزارهای آزمایش نفوذ ، امنیت دستگاه ها و خدمات را تأیید کنید.
    1. این کتابخانه تحت بازرسی امنیتی دو ساله توسط شهر سن خوزه یا دانشگاه ایالتی کالیفرنیا قرار می گیرد. در حالی که نتایج این ممیزی ها همیشه رضایت بخش بوده استtory ، فقط یک حسابرسی خارجی در طی هفت سال گذشته توسط یک فروشنده امنیت خارجی انجام شده است. به عنوان بخشی از پروژه انطباق PCI پیش رو ، یک ممیزی امنیتی اضافی که به صورت خصوصی انجام می شود ، انجام خواهد شد. LIT برای ادامه روند روشهای انجام آزمایش دقیق نفوذ داخلی ، به آموزش اضافی نیاز دارد. (نیاز به کار دارد)
30. اطمینان حاصل کنید که کلیه خدمات که مستقیماً تحت کنترل کتابخانه هستند ، ایمن هستند.
    1. این بالاترین اولویت گروه فناوری اطلاعات كتابخانه است. با آموزش سالانه ، تحقیق در اینترنت ، بررسی همتا و به روزرسانی های برنامه ریزی شده ، ما روزانه کار می کنیم تا ایمن ترین محیط ممکن برای مشتریان فراهم شود. با این حال ، هیچ سازمانی در صورت اتصال به اینترنت کاملاً ایمن نیست. کار همیشه در آنجا خواهد بود. (نیاز به کار دارد)
31. از بهره برداری های شناخته شده آگاه باشید و آنها را اصلاح کنید.
    1. تا آنجا که ممکن است ، LIT یک سیاست تعدیل فعال برای بهره برداری ها دارد. آنها هزاران نفر هستند و هر روز تغییر می کنند. مستلزم پشتکار و تلاش مداوم است. هیچ سازمانی در صورت اتصال به اینترنت کاملاً ایمن نیست. (نیاز به کار دارد)
32. نرم افزارها و برنامه های کاربردی را به روز نگه دارید.
    1. به توصیه شماره 6. مراجعه کنید.
33. Moni محلtor برای ورود به سیستم ثبت می شود و ممیزی های امنیتی منظم را انجام می دهد.
    1. اقدامات اضافی برای مانی انجام نمی شودtor سیاهههای مربوط به امنیت برای نفوذ ، هرچند که نرم افزار تشخیص نفوذ همیشه در مانی اجرا می شودtor دروازه شبکه (نیاز به کار دارد)
34. پشتیبان گیری منظم را انجام دهید و یک برنامه بازیابی از بلایا داشته باشید. توجه داشته باشید که نسخه پشتیبان تهیه باید به خط مشی شما در مورد نگهداری داده ها باشد.
    1. LIT پشتیبان گیری شبانه از همه سرورها را به شکل تصاویر VDP انجام می دهد. برای تهیه نسخه پشتیبان از داده های دیسک از یک مشتری پشتیبان منبع باز استفاده می شود. پشتیبان گیری کامل از داده ها نیز یک بار در هفته به صورت خارج از سایت ارسال می شود و به مدت پنج هفته حفظ می شود. (کامل)
    2. یک برنامه بازیابی فاجعه در حال اجراست ، اما هم اکنون مکان مشترکی را شامل نمی شود. توسعه یک سایت همسایگی در دست اقدام است. (نیاز به کار دارد)
35. رمزگذاری کلیه معاملات آنلاین بین برنامه های مشتری (مرورگرهای وب ، کتابهای الکترونیکی ، برنامه های تلفن همراه و غیره) و برنامه های سرور با استفاده از پروتکل های امنیتی مدرن و به روز برای SSL / HTTPS. ارتباطات بین برنامه های سرور و ارائه دهندگان خدمات شخص ثالث باید رمزگذاری شوند.
    1. ارتباطات بین فهرست کتابخانه و سرور بانک اطلاعاتی آن رمزگذاری می شود ، مانند همه ارتباطات بین وب سایت کتابخانه و مشتریان آن. (کامل)
    2. LIT هیچ کنترلی در مورد فروشندگان شخص ثالث هنگام ورود به سیستم به مشتریان ندارد ، اما یک کارت ویزیت کارت ویزیت اعمال می شود که به همه فروشندگان امکان می دهد معاملات خود را با مشتری رمزگذاری کنند. پیوندهای فروشنده به بانک اطلاعات مشتری ما و هرگونه معاملات نیز از طریق SIP2 توسط رمز محافظت می شود. این اتصال به کار نیاز دارد ، اما تلاش زیادی برای محافظت از حریم خصوصی مشتریان شده است.
36. Storرمزهای عبور مشتری با استفاده از به روزترین صفحهracابزارهایی برای رمزگذاری با هش امن رمزنگاری شده.
    1. همه رمزهای عبور در Active Directory و سیرا از استانداردهای پیشنهادی برخوردار هستند. (انجام شد)
37. اطمینان حاصل کنید که هرگونه اطلاعات شخصی و داده های مشتری که در خارج از سایت قرار دارند (زیرساخت های مبتنی بر cloud ، پشتیبان گیری از نوار و غیره) از رمزگذاری شده استفاده می کندtorسن.
    1. قبل از حمل و نقل خارج از سایت ، همه پشتیبان های خارج از سایت رمزگذاری می شوند. از آنجا که SJPL رابطه "فقط نرم افزاری" را با III برقرار می کند ، هیچ اطلاعات قابل شناسایی شخصی وجود نداردtorدر یک محیط مبتنی بر ابر (انجام شد)
    2. ایجاد یک مرکز همسایگی به عنوان بخشی از برنامه بازیابی بلایای ما ممکن است نیاز به انتقال برخی از PII به یک سایت DR مبتنی بر ابر داشته باشد. در صورت بروز چنین شرایطی ، تمام اقدامات احتیاطی لازم صورت خواهد گرفت.
38. امکان دو چهره را بررسی کنیدtor احراز هویت و در صورت امکان پیاده سازی کنید.
    1. پس از برخی از بررسی ، چند چهرهtor احراز هویت در SJPL مستقر نشده است. هر مشتری به دستگاه های تلفن همراه یا حتی ایمیل دسترسی ندارد ، بنابراین وزارت امور خارجه می تواند دسترسی مشتری به اطلاعات خود را مختل کند. (انجام شد)
39. برای جلوگیری از دسترسی توسط کارمندان غیر مجاز ، از پشتیبان گیری از داده های آفلاین رمزگذاری کنید.
    1. تمام نسخه های پشتیبان آفلاین هنگام کپی بر روی دیسک رمزگذاری می شوند. هرگونه نسخه پشتیبان تهیه شده قبل از انتقال به خارج از سایت رمزگذاری می شود. (کامل)
40. برنامه های ILS و زیربنای نرم افزار سرور را به روز کنید تا تاثیر آسیب پذیری های امنیتی را کاهش دهید.
    1. کتابخانه IT نسخه ILS را در صورت لزوم به روز می کند. از این نوشتار ، SJPL جدیدترین نسخه Sierra را دارد. نسخه های جدید معمولاً بلافاصله اعمال نمی شوند ، به طوری که زمان بالغ شدن دارند. (کامل)
    2. ILS ما بعضی اوقات ما را از بروزرسانی سیستم عامل مورد استفاده در سرویس سیرا باز داشته است. SJPL به دلیل محدودیت های فروشنده ILS ، سیررا در RH ver 6.9 بارگذاری کرده است. نسخه ما مطابق با فرآیندهای استاندارد صنعت به روز است.
41. Storهمه رمزهای عبور (مشتری و کارمندان) به روشی ایمن و با استفاده از عملکرد هش رمزنگاری شده مناسب. در این زمان bcrypt یا بهتر استانداردهای خوبی است.
    1. روش های رمزگذاری مورد استفاده برای رمزهای عبور ILS یک استاندارد صنعتی پذیرفته شده است و استانداردی را که توصیه می شود مطابقت دارد ، اما ماهیت اختصاصی آنها بدان معنی است که ما روش های دقیق رمزگذاری را نمی دانیم.
    2. مسیریابی فعالtorرمزهای عبور y مطابق با استانداردهای توصیه شده برای این سند هستند. (انجام شد)
42. تمام ترافیک بین سرور ILS و هرگونه ارتباط مشتری را در خارج از شبکه ایمن رمزگذاری کنید. به عنوان مثال ، برای رمزگذاری ارتباط از طریق اینترنت ایستگاه پرداخت در یک کتابخانه شعبه به سرور ILS در کتابخانه اصلی ، از یک VPN استفاده کنید.
    1. کلیه تراکنش هایی که از طریق اینترنت انجام می شود و اطلاعات مربوط به مشتری را شامل می شود ، با کلید خصوصی 2048 رمزگذاری شده است. ارتباطات داخلی بین بانک اطلاعاتی و سرور برنامه نیز رمزگذاری می شوند. با این حال ، کتابخانه در حال حاضر سازگار با PCI نیست ، که استاندارد لازم برای پاسخگویی به کلیه الزامات این توصیه است.
    2. LIT در حال ایجاد یک اتصال VPN رمزگذاری شده برای دسترسی به مشتری در خارج از کشور است. (نیاز به کار دارد)
43. انجام ممیزی منظم از سرورهای شبکه و ILS برای اطمینان از وجود اقدامات مناسب امنیتی برای جلوگیری از دسترسی غیرمجاز.
    1. این کتابخانه تحت بازرسی امنیتی دو ساله توسط شهر سن خوزه یا دانشگاه ایالتی کالیفرنیا قرار می گیرد. در حالی که نتایج این ممیزی ها همیشه رضایت بخش بوده استtory ، فقط یک حسابرسی خارجی در طی هفت سال گذشته توسط یک فروشنده امنیت خارجی انجام شده است. به عنوان بخشی از پروژه انطباق PCI پیش رو ، یک ممیزی امنیتی اضافی که به صورت خصوصی انجام می شود ، انجام خواهد شد. (انجام شد)
44. روشهایی را برای رسیدگی به نقض داده ها به طرفهای غیرمجاز و کاهش تأثیر آنها بر روی مشتریان ایجاد کنید.
    1. یک فرآیند یا روال موجود برای اثبات نقض اطلاعات به طرفهای غیرمجاز وجود ندارد. اگرچه تحقیقات برای پاسخ های مناسب با LIT آغاز شده است ، روال رسمی ایجاد نشده است. (نیاز به کار دارد)
45. برای توضیح شبکه کتابخانه و خط مشی های دسترسی wifi ، از جمله اطلاعات مربوط به حریم خصوصی ، از صفحه نمایش های آنالوگ و / یا پاشش استفاده کنید.
    1. هر رایانه عمومی دارای صفحه ورود به سیستم است که حاوی شرایط و ضوابط محدود استفاده از رایانه های عمومی در SJPL است. صفحه خوش آمد گویی برای اتصالات وای فای حاوی همان زبان است. علائم آنالوگ در سراسر كتابخانه وجود دارد تا جهت استفاده را از آن جهت دهد RAC کامپیوترها با این حال ، زبان در همه این اشکال باید به طور مرتب مورد بررسی قرار گیرد تا در هنگام بروز موضوعات جدید ، به موضوعات جدید بپردازد. (کامل)
46. در مورد میزان حفظ حریم خصوصی در مقابل راحتی که یک کتابخانه به مشتریان وای فای خود ارائه می دهد و به اندازه کافی به مشتریان از پتانسیل های مربوط به رهگیری ترافیک و سایر خطرات یک شبکه ناامن هشدار می دهد ، تصمیم گیری سیاسی کنید.
    1. این گفتگو ادامه دارد و به صورت همیشگی ادامه خواهد یافت. LIT هر زمان که مجدداً تصویر را در رایانه های استاندارد خود قرار دهیم یا خدمات اضافی را در نظر بگیریم ، تنظیماتی را برای پاسخگویی به نیازها و نگرانی های مشتری ایجاد می کند. این همیشه به کار احتیاج دارد. (نیاز به کار دارد)
47. رایانه های عمومی را برای پاکسازی بارگیری ها ، پرونده های ذخیره شده و مرور او تنظیم کنیدtory ، و سایر داده ها از جلسات مشتری منفرد.
    1. در پایان هر جلسه کامپیوتر جداگانه ، برنامه Reserve-A-Computer ما مجبور به راه اندازی مجدد می شود. تمام رایانه های عمومی با هر بار راه اندازی مجدد رایانه ، تمام تغییرات ایجاد شده توسط مشتری را پاک می کنند. هر بارگیری یا پرونده ذخیره شده ، از روی رایانه پاک شده و پاک می شود. این برای همه او صادق استtorپرونده های y هیچ جستجوی محلی وی وجود نداردtory یا در حال مرور اوtorسوابق موجود پس از خروج مشتری از ایستگاه های کاری مشتری. (انجام شد)
48. در تمام رایانه های عمومی از نرم افزار آنتی ویروس استفاده کنید. از نصب نرم افزار آنتی ویروس اطمینان حاصل کنید که می تواند نرم افزارهای جاسوسی و keylogging را مسدود کند.
    1. همه رایانه های عمومی به یک راه حل ضد ویروس / ضد بدافزار مجهز شده اند که از فایل های تعریف از چندین منبع استفاده می کند. این امر به نرم افزار AV شانس بهتری برای ابتلا به بدافزارهای جدید یا جهش یافته را می دهد. در برابر نرم افزارهای جاسوسی و keylogging محافظت می کند. LIT همچنین برای جلوگیری از انتقال پرونده تصادفی از درایو USB مشتری ، اجرای خودکار را غیرفعال کرده است. این اقدام اخیر همچنین به عنوان اولین خط دفاعی در برابر باج افزار است. (کامل)
49. اطمینان حاصل کنید که هرگونه سوابق سیستم مدیریت رزرو رایانه ، سوابق مدیریت چاپ یا سوابق ILS در مورد استفاده از رایانه در صورت لزوم بدون نیاز به گمنام یا نابود می شوند.
    1. سیستم مدیریت رزرو رایانه ما (RAC) سه روز پس از رزرو اولیه ، اطلاعات شناسایی شخصی را از بین می برد. سوابق مدیریت چاپ هیچ PII را شامل نمی شوند. بانک اطلاعاتی ILS حاوی جزئیاتی در مورد استفاده از رایانه نیست. (کامل)
50. اگر دیگر نیازی به آن نباشد ، گزارش های مربوط به معامله را برای فعالیت شبکه ناشناس یا نابود کنید.
    1. تمام سیاهههای مربوط به فعالیت شبکه پس از 14 روز از بین می روند. (کامل)
51. ممیزی های امنیتی منظم را در تمام رایانه های عمومی از جمله بررسی دیجیتالی خطرات امنیتی و نقص ها و بازرسی بدنی برای دستگاه های ناشناخته انجام دهید.
    1. تجزیه و تحلیل مداوم از خطرات عملکرد و خطرات امنیتی و نقص برای همه رایانه های عمومی وجود دارد ، و در صورت نیاز به روزرسانی تصویر انجام می شود. از آنجا که بعد از پایان هر جلسه هیچ گونه تغییری در هارد دیسک رایانه باقی نمی ماند ، بیشتر خطرات کاهش می یابد.
    2. معاینه جسمی هر روز توسط کارمندان LIT در MLK و کارمندان کتابخانه در هر شعبه انجام می شود. دقیق بودن این بازرسی ها قابل بحث است ، اما تاکنون هیچ وسیله مشکوک یا ناشناخته ای پیدا نشده است. (کامل)
52. برای محدود کردن شخص ثالث ، افزونه ها را در رایانه های عمومی نصب کنیدracking ، حالت های مرور خصوصی را فعال کرده و اتصالات HTTPS را مجبور کنید.
    1. حالت های مرور خصوصی در همه رایانه های عمومی فعال هستند ، اما manda نیستندtorبجز رایانه های کاتالوگ دستگاه های کاتالوگ قابل رزرو نیستند و نمی توان از آنها برای مرور اینترنت استفاده کرد.
    2. به غیر از نرم افزار آنتی ویروس / ضد بدافزار ، SJPL از افزونه ها برای محدود کردن شخص ثالث استفاده نمی کندracپادشاه.
    3. SJPL اتصال https را از طریق رایانه های عمومی خود مجبور نمی کند ، مگر در هنگام دسترسی به منابع کتابخانه. (نیاز به کار دارد)
53. نصب Tor مرورگر در رایانه های عمومی به عنوان گزینه حفظ حریم خصوصی برای مشتریان.
    1. ما در حال حاضر ارائه نمی دهیم Tor مرورگر در رایانه های عمومی ما از پیش نصب شده است ، اما مشتریان رایگان می توانند آن را برای مدت زمان جلسه خود نصب کنند. (کامل)
54. مسدود کردن نرم افزارهای مخرب ، مسدود کردن تبلیغات و ویژگی های ضد اسپم را در فایروال ها نصب کنید.
    1. فایروال های فعلی در نقاط دروازه شبکه کتابخانه دارای فیلترهای Layer-7 نصب و تنظیم شده است. قوانینی که در لایه 7 اعمال می شوند ممکن است توصیه های ALA را برآورده نکنند. (کامل)
55. شبکه را برای جدا کردن رایانه های کارمندان ، رایانه های عمومی و مشتریان بی سیم در زیر شبکه های مخصوص خود انتخاب کنید.
    1. کلیه شعب دارای VLAN های جداگانه برای کارمندان ، عمومی و مشتریان فای است. همین مورد در مورد MLK نیز صادق است. (کامل)
56. اطمینان حاصل کنید که هرگونه برنامه و سیستم عامل در رایانه های عمومی از اشتراک خودکار داده های فعالیت با ناشران نرم افزار غیرفعال است (به عنوان مثال گزارش خطا).
    1. این ویژگی ها پس از نصب غیرفعال شده بودند ، اما مشتریان این امکان را دارند که در طول جلسه خود تغییراتی ایجاد کنند. (کامل)

برنامه عملیاتی

دپارتمان فناوری اطلاعات كتابخانه توصیه می كند تا پروژه های زیر را برای رفع بیشتر توصیه هایی كه نیاز به كار یا توجه دارند ، انجام دهد. اگرچه ما می دانیم تأمین یک محیط عمومی کاملاً ایمن غیرممکن خواهد بود ، اما احساس می کنیم با حرکت به جلو اقدامات زیر باید انجام شود:

1. تحقیق Tracپلاگین های پادشاه
   امکان نصب افزونه مشابه محصولات مشابه را تعیین کنید Privacy Badger این امر باعث می شود حریم خصوصی مشتریان با متوقف کردن اشخاص ثالث از جمع آوری داده ها از طریق اسکریپت ها یا کوکی های جاسازی شده. تکمیل تخمین زده شده: FY 17/18 ، Q4
2. خط مشی پاسخ به نقض داده
   LIT برای ایجاد یک سیاست رسمی برای پاسخگویی کتابخانه به هرگونه نقض اطلاعات آینده ، باید با اداره و ستاد اجرایی همکاری کند. تکمیل تخمین زده شده: FY 17/18 ، Q4
3. رمزگذاری VPN برای دسترسی از راه دور
   یک راه حل VPN نصب کنید و پیکربندی کنید که به رمزگذاری قابل مقایسه با L2TP (حداقل) نیاز دارد. در مورد امکان گنجاندن چند چهره تحقیق کنیدtor احراز هویت. تکمیل برآورد شده: FY 18/19: Q1
4. بازرسی امنیتی RFQ
   درخواست یک نقل قول برای خدمات یک نهاد خارجی برای انجام تست های آسیب پذیری و ممیزی منظم از امنیت شبکه در San Jose Public Library. تکمیل تخمین زده شده: FY 18/19 ، Q1
5. انطباق گسترده با PCI Department-Wide
   در صورت امکان اجزای شبکه را مجدداً طراحی کنید و در صورت لزوم دستگاه های جدید را ارتقاء دهید و نصب کنید تا یک شبکه سازگار با PCI در وزارتخانه ایجاد کنید. این امر باعث می شود پرداخت ها از هر مکان به صورت ایمن در محل انجام شود و بسیاری از تغییرات مورد نیاز برای تحقق استانداردهای توصیه شده توسط ALA را وادار می کند. تکمیل تخمین زده شده: FY 18/19 ، Q4

ممیزی حریم خصوصی در بازاریابی و ارتباطات

بررسی اجمالی بازاریابی و ارتباطات

La San José Public Libraryاداره بازاریابی و ارتباطات از طرق مختلف با اطلاعات مشتری ارتباط برقرار می کند. این بخش وظیفه نگهداری و نظارت را بر عهده داردtorحساب های مختلف رسانه های اجتماعی از جمله: Twitter ، NextDoor ، Facebook ، Flickr ، YouTube ، Snapchat و Instagram. ما همچنین بر جمع آوری اطلاعات از طریق مسابقات کتابخانه و به اشتراک گذاری کتابخانه ها نظارت داریمtorمن هنگامی که از مشتری عکس گرفته می شود ، اطلاعات شخصی وی از طریق فرم انتشار مدل بدست می آید تا اجازه به اشتراک گذاشتن عکس خود را به صورت عمومی بدست آورد. بخش ما همچنین کلیه درخواست های دریافت اطلاعات از رسانه های خارجی را بررسی می کند. اطلاعات مشتری برای هیچ آژانس رسانه ای منتشر نمی شود. در آخر ، ما با استفاده از خبرنامه های ایمیل ، به روزرسانی های منظم را برای مشتریان کتابخانه ارسال می کنیم.

چه اطلاعاتی جمع آوری می شود؟

ما جمع آوری و ادغام می کنیمracبا اطلاعات قابل شناسایی شخصی از مشتریان برای انجام فعالیتهای منظم تجاری. اطلاعات جمع آوری شده شامل موارد زیر است:

• نام
• سن
• نشانی:
• شماره تلفن
• پست الکترونیک (ایمیل)
• شعبه کتابخانه خانگی
• مدرسه
• اشتغال
• سطح درجه
• نام صفحه اجتماعی رسانه های اجتماعی

چگونه اطلاعات جمع آوری می شود؟

اطلاعات در مورد مشتریان از طریق فرم های انتشار مدل ، ارسال مسابقه ، رسانه های اجتماعی و خبرنامه جمع آوری می شود.

فرم های انتشار مدل

کارمندان کتابخانه یا داوطلبان موظفند که در صورت شناسایی در تصویر یا فیلم ، از مشتریان اجازه کتبی دریافت کنند. فرم های انتشار مدل ، نام ، سن ، آدرس ، تلفن یا ایمیل و توضیحات مشتری را جمع آوری می کند. این فرم ها در ابتدا توسط ارتباطات شهری ایجاد شده اندtor. ما می خواهیم اطلاعات جمع آوری شده در این فرم ها را فقط به نام ، تلفن یا ایمیل و توضیحات شخص کاهش دهیم. تماس با ارتباطات Director تا جمعه ، 13 آوریل 2018 ساخته خواهد شد.

عکس ها و فیلم های مشتریان ممکن است توسط کتابخانه ، شهر سن خوزه یا دانشگاه ایالتی سن خوزه فقط برای اهداف تبلیغاتی استفاده شود.

وب سایت کتابخانه

این کتابخانه به طور منظم مسابقات را برگزار می کند و افراد شخصی را جمع آوری می کندtorمشتریان از طریق وب سایت خود. وب تیم با استفاده از دروپال فرم هایی ایجاد می کند و اطلاعات مشتری سپس به یک حساب Gmail ارسال می شود. ممکن است از مشتریان خواسته شود نام ، تلفن یا ایمیل ، آدرس ، شعبه کتابخانه خانه ، مدرسه و سن ، سطح کلاس و / یا شغل خود را ارائه دهند.

همچنین ممکن است مشتریان از طریق خبرنامه ایمیل ما برای به روزرسانی های منظم ثبت نام کنند. خبرنامه ها توسط سرویس دهی می شوند Constant Contact.

مسابقات و کتابخانه Storمی نماید

شعب کتابخانه علاوه بر جمع آوری اطلاعات از طریق وب سایت ما ، ممکن است مسابقات را تسهیل کرده و کتابخانه های مشتری را جمع آوری کنندtorاز طریق فرم های کاغذی

رسانه‌های اجتماعی

این کتابخانه چندین حساب رسانه اجتماعی از جمله: Twitter ، NextDoor ، Facebook ، Flickr ، YouTube ، Snapchat و Instagram را اداره می کند. فقط اعضای تیم وب و تیم بازاریابی به این حساب های رسانه های اجتماعی دسترسی دارند. ما در حال حاضر در حال تدوین خط مشی رسانه های اجتماعی برای کارکنان هستیم که راهنماهای ارسال و تعامل را ارائه می دهد.racارتباط آنلاین با مشتریان. این خط مشی با تیم وب در حال نوشتن است و تا 30 ژوئن 2018 تکمیل می شود.

اطلاعات مشترک با چه کسی است؟

اطلاعات شخصی در مورد مشتریان فقط با رضایت آنها به اشتراک گذاشته می شود.

وب سایت کتابخانه

تیم بازاریابی و ارتباطات و تیم وب هر دو به اطلاعات ارسال شده از طریق وب سایت کتابخانه دسترسی دارند. تیم ما همچنین می تواند به آدرس های ایمیل ارائه شده برای ثبت نام در خبرنامه ها با استفاده از دسترسی ، دسترسی پیدا کند Constant Contact.

فرم های انتشار مدل

اطلاعات مربوط به فرم انتشار مدل فقط توسط کارکنان کتابخانه یا داوطلب مشاهده می شود که در ابتدا اطلاعات را جمع آوری می کند. در هنگام انتشار عکس یا فیلم ، ممکن است از نام اول مشتری استفاده شود.

اشخاص ثالث

اگر یک مسابقه به شخص ثالث نیاز دارد که مستقیماً با مشتری که یک جایزه را کسب کرده است همکاری کند ، ما نام و اطلاعات تماس آنها را با آنها به اشتراک می گذاریم تا آن ترتیب را انجام دهد.

رسانه‌های اجتماعی

نظرات ، پست ها و پیام های به اشتراک گذاشته شده از طریق رسانه های اجتماعی یا وب سایت ما ممکن است در مواد بازاریابی استفاده شود. آنها همچنین ممکن است با رسانه ها ، از جمله روزنامه ها به اشتراک گذاشته شوند. مشتریان فقط نامهای خود را شناسایی می کنند مگر اینکه برای به اشتراک گذاشتن اطلاعات بیشتر تأیید شود. از تجزیه و تحلیل داده های Facebook یا تبلیغات هدف اضافی در این کتابخانه استفاده نمی شود.

اطلاعات کجاستtorاد؟

تمام فرم های کاغذی که توسط بخش بازاریابی و ارتباطات جمع آوری می شوند ،torدر یک کابینت قفل شده در کتابخانه کینگ.

ارسال های دیجیتال پس از اتمام مسابقه حذف می شوند.

شعب كتابخانه تمام فرم هاي انتشار مدل جمع آوري شده را نگهداري مي كنند. اینها storدر یک کابینت پرونده قفل فقط با کارکنان دسترسی داشته باشید. بازاریابی کارکنان را در مورد نحوه کار به شما یادآوری می کندtorمواد e تا 1 جولای 2018.

در پایان مسابقه ، کلیه فرم ها خرد می شوند.

اطلاعات چه مدت استtorاد؟

فرم های انتشار مدل و هر کتابخانه جمع آوری شدهtorIES به طور نامحدود نگهداری می شود. این از الزامات نگهداری رکورد شهر پیروی می کند.

فرم های مسابقه پس از اتمام مسابقه توسط کارکنان خرد می شوند.

اطلاعات شبکه های اجتماعی به صورت نامحدود نگهداری می شود و s استtorفقط در سیستم عامل مورد استفاده

Partners in Reading حسابرسی حریم خصوصی

Partners in Reading بررسی اجمالی

ما اطلاعات محرمانه را برای گزارش به گزارش حفظ می کنیم San José Public Library (SJPL) و California Library Literacخدمات y. این شامل Partners in Reading (PAR) lite بزرگسالانracخدمات y ، خانواده ما را با هم بخوانیم (TWR)racخدمات y ، ESL ، رایانه و آموزش آنلاین و برنامه California State Library (CSL) ، California Library Literacy خدمات کتابخانه ایالتی کالیفرنیا (CLLS) ، Career Online High School (COHS) به غیر از COHS ، که به چند مورد دیگر نیز نیاز دارد ، ما اطلاعات مشابه را از کلیه شرکت کنندگان در برنامه های PAR جمع آوری می کنیم.

چه اطلاعاتی جمع آوری می شود؟

بخش ما ممکن است در هنگام تعامل با همه زبان آموزان و / یا شما ، هر یک از اطلاعات زیر را جمع آوری کندtor:

• نام
• نشانی:
• پست الکترونیک (ایمیل)
• شماره تلفن
• تماس اضطراری
• تاریخ تولد
• جنس
• قومیت
• سابقه آموزشی
• اشتغال / شغل
• شماره ی کارت کتابخانه

بزرگسالان مطلبracهمچنین ممکن است از زبان آموزان خواسته شود:

• زبان اول
• کشور محل تولد
• ناتوانی های یادگیری
• تعداد کودکان زیر 14 سال

Career Online High School ممکن است از شرکت کنندگان خواسته شود:

• آخرین نمره قبولی / مدرسه حضور یافت
• شماره ی کارت کتابخانه
• کلاسهای آموزش ویژه شرکت کردند

جنسیت و قومیت توسط California Library Lite الزامی استracy خدمات گزارشگری. سوابق تحصیلی و اشتغال مربوط به سوابق PAR برای تخصص در تطبیق با زبان آموزان با tu استtorکسانی که ممکن است منافع اصلی داشته باشند.

چگونه اطلاعات جمع آوری می شود؟

مشتریان می توانند با تکمیل فرم دریافت به صورت آنلاین ، از طریق پست ، حضوری یا تلفنی علاقه مند به شرکت در برنامه های PAR شوند. توtorلازم است اطلاعات خود را با استفاده از فرم و روند استاندارد داوطلب ارائه دهند.

با ورود به منطقه پذیرش PAR ، شرکت کنندگان و داوطلبان در صفحه ورود به سیستم آزمایشگاه کامپیوتر وارد سیستم می شوند. این شامل نام ، یک کادر تأیید برای وضعیت آنها است (Learner، Tutor، COHS یا سایر موارد) ، تاریخ و زمان ورود و خروج. در حال حاضر ، ما راهی برای حفظ این رکورد خصوصی نداریم ، اما قصد داریم از یک رکورددار استفاده کنیم دقیقاً مانند آنچه در سند استفاده می شودtorدفتر کار که در آن اطلاعات را جدا می کنید و آنها را روی یک میز تحریر خصوصی قرار می دهید. این ارتقا برای Q3 2017-18 برنامه ریزی شده است. همچنین با این فکر که در آینده (بودجه CLLS سال آینده) ، ممکن است بتوانیم با استفاده از یک iPad وارد شرکت کنندگان شویم و اطلاعات را به طور خودکار در رایانه دریافت کنیم.

اطلاعات مشترک با چه کسی است؟

اطلاعات مربوط به شرکت کنندگان در برنامه PAR با SJPL ، CLLS و CSL در دسته بندی داده های کل به اشتراک گذاشته می شود. هیچ اطلاعات فردی به اشتراک گذاشته نمی شود.

Tutors به تمام اطلاعات داده شده توسط زبان آموزان به جز آدرس ، ایمیل و اطلاعات کارت کتابخانه دسترسی خواهند داشت. توtorاطلاعات مربوطه را با خلاصه ارزیابی نوشته شده توسط یکی از دو مقاله ما دریافت می کنیمracy متخصصان برنامه توtorوقتی وارد برنامه می شوند ، موافقت نامه محرمانه بودن را دارند.

برای دانشجویان COHS ، CSL اطلاعات و داده های دانشجویی فردی را با آنها به اشتراک می گذارد Gale Cengage Learning و Smart Horizons ، مدرسه ای که برنامه درسی معتبر ، دیپلم دبیرستان و گواهی شغلی را برای این برنامه ارائه می دهد. این اطلاعات COHS به داشبورد ارسال می شود که بین مدیر برنامه PAR / COHS ، مدیر پروژه و کارمندان پشتیبانی نیز به اشتراک گذاشته می شود.

از اطلاعات برای قرار دادن افراد در برنامه های PAR استفاده می شود. اطلاعات جمع آوری شده برای COHS برای واجد شرایط بودن افراد برای بورس های تحصیلی استفاده می شود. هر داوطلب باید مطابق دستورالعمل های COHS که در اسناد COHS شرح داده شده است واجد شرایط باشد تا برای بورس تحصیلی در نظر گرفته شود. برای فارغ التحصیلان COHS ، نام آنها برای امضای گواهینامه ها با شهردار شهر سن خوزه و کتابخانه شهر به اشتراک گذاشته شده است. دانش آموختگان برای استفاده از نام ها ، عکس ها و فیلم های خود برای مراسم فارغ التحصیلی امضا می کنند.

اطلاعات کجاستtorاد؟

سوابق برنامه PAR در پایگاه داده رمز عبور ما محافظت می شود و در نسخه پشتیبان بایگانی می شودtorسن. سوابق کاغذی در پرونده های قفل نگهداری می شود. همه اعضای کارکنان به گذرواژه دسترسی دارند و می توانند اطلاعات مربوط به مشتریان جدید و اطلاعات آنها را ارائه دهند و قادر به جستجوی اطلاعات در پرونده های قفل هستند.

برنامه COHS در فوریه 2016 آغاز شد و اطلاعات در پایگاه داده PAR و صفحات گسترده حفظ و بایگانی می شوندtorدر رایانه های PAR مشترک Gale Cengage Learning ، Smart Horizons و CSL نیز این اطلاعات را مطابق آنچه سیاست ها و رویه های آنها نیاز دارند ، حفظ و بایگانی می کنند.

اطلاعات چه مدت استtorاد؟

ما سوابق خود را به مدت 7 سال حفظ می کنیم. تمام اطلاعات s استtorدر پایگاه داده سفارشی ما برای اوtorاهداف اولیه متخصص دفتر اصلی ما مسئول دفتر کار است و زمان بندی برای پاکسازی سوابق را انجام می دهد. سوابق کاغذی پس از 7 سال خرد می شوند.

حسابرسی امنیت حریم خصوصی

اظهار نظر امنیتی

وزارت امنیت همه 23 شعبه دفتر را خدمات می دهد San José Public Library (SJPL) و کتابخانه دکتر مارتین لوتر کینگ جونیور در دانشگاه دانشگاه ایالتی سن خوزه (SJSU). کارمندان امنیتی در شهر سن خوزه استخدام شده و از نزدیک با افسران شاغل در دانشگاه همکاری می کنند. کارمندان و افسران کتابخانه اطلاعاتی را برای مستندسازی رفتار غیر جنایی و جنایی ، مشکوک ، نقض خط مشی رفتار مشتری و پردازش تعلیق در صورت لزوم جمع آوری و به دست می آورند.

از اطلاعات برای کمک به کارکنان کتابخانه در فراهم کردن فضای عمومی استقبال و آرام استفاده می شود. SJPL ممکن است دسترسی به کتابخانه پادشاه و 23 شعبه را برای افرادی که از پایبندی به خط مشی رفتار مشتری SJPL متوقف می شوند ، متوقف کند. اطلاعات جمع آوری شده برای تکمیل مدارک تعلیق استفاده می شود.

چه اطلاعاتی جمع آوری می شود؟

هنگامی که مشتری نقض خط مشی SJPL است ، اطلاعات استاندارد جمع آوری می شود تا در یک گزارش حادثه یا گزارش رفتار قرار بگیرد. اطلاعات جمع آوری شده ممکن است شامل موارد زیر باشد:

• نام
• تاریخ تولد
• شماره ی کارت کتابخانه
• نشانی:
• پست الکترونیک (ایمیل)
• شماره تلفن
• خلاصه حادثه
• اوtory از حوادث SJPL

چگونه اطلاعات جمع آوری می شود؟

اطلاعات توسط هر یا تمام این روش ها جمع آوری می شود:

• از مدرس کتابخانه سؤال می کنید
• از پرسنل کتابخانه سؤال می کنند
• فیلم / دوربین فیلمبرداری
  • هنوز هم عکس ها از طریق SJSU و آن شعب کتابخانه ای با دوربین های مدار بسته (دوربین مدار بسته) ، دوربین های بدن پلیس پلیس دانشگاه یا گرفتن از وکیل از وی گرفته می شود که آیا از گرفتن عکسشان برای سوابق تعلیق عیبی نیست. هنوز هم عکسها به کارکنان کتابخانه برای شناسایی مراجعان کتابخانه ، که برای اجرای روند تعلیق به حالت تعلیق در آمده اند ، کمک می کنند.
  • آن دسته از شعبات SJPL که دارای دوربین مدار بسته هستند ، 30 روز ماندگاری دارند. شاخه های SJPL با دوربین مداربسته ضبط فیلم را هر 30 روز تنظیم می کنند. SJSU storسن و ماندگاری 1 سال است.

گزارشات حادثه با استفاده از Incident T تکمیل و ثبت می شودracکر حادثه Tracنرم افزار ker حوادث کیفری ، پرخاشگرانه و دارای اولویت بالا را که احتمال تکرار آن وجود دارد ، مستند می کند.

گزارش های رفتاری برای تخلفات جزئی با استفاده از فرم آنلاین SharePoint تکمیل می شوند.

اطلاعات مشترک با چه کسی است؟

اطلاعات مندرج در گزارشات حادثه ، سوابق رفتاری و مدارک مربوط به تعلیق فقط در اختیار کارکنان SJPL و پلیس دانشگاه قرار دارد. سوابق کتابخانه بدون استیضاح ، حکم دادگاه ، حکم دادگاه یا سند قانونی دیگری که ما را ملزم به انجام آن کند ، در دسترس هیچ اداره ایالتی ، فدرال یا دولت محلی قرار نمی گیرد. این دستورات باید دلیل خوبی داشته باشد و در فرم مناسب باشد. ما به کلیه کارکنان و داوطلبان کتابخانه آموزش داده ایم تا هرگونه درخواست اجرای قانون را به مدیران کتابخانه ارجاع دهندtors.

فقط كتابدار شهر و / یا شخص تعیین شده آنها مجاز به درخواست یا رعایت درخواستهای مأمورین اجرای قانون هستند. ما قبل از تعیین پاسخ مناسب با مشاور حقوقی خود صحبت می کنیم.

اطلاعات کجاستtorاد؟

اطلاعات را می توانید در صفحه امنیتی SharePoint پیدا کنید. محتوای صفحه امنیتی SharePoint شامل موارد زیر است:

• حادثه Tracکر (گزارش ها)
• ورود به سیستم رفتار
• اسناد تعلیق
  • بسته تعلیق
  • تجدید نظر
  • ورود مجدد اطلاعات پشتیبان کتابخانه

حادثه Tracکره

حادثه Tracker یک نرم افزار بایگانی است که حوادث کیفری ، تهاجمی و با اولویت بالا را که احتمالاً تکرار می شوند ، مستند می کند. همه داده ها s استtorویرایش و به طور نامحدود نگهداری می شود. حادثه Tracker یک راه حل گزارش دهی آنلاین است که به پرسنل کتابخانه امکان می دهد گزارش های مربوط به حوادث را به صورت الکترونیکی ثبت کرده ، در هر زمان مشاهده و پرس و جو کنند. حادثه Tracker گزارش های تحلیلی دقیق و نمودارهای پرطرفدار را ارائه می دهد ، می تواند گردش کار ایجاد کند و حتی هشدارهای ایمیل خودکار را تنظیم کند. کارکنان برای دسترسی به نرم افزار باید از ورود و رمز عبور استفاده کنند. حادثه Tracمدیر شعب / واحد ، دستیار کتابخانه ، کارکنان امنیتی SJPL و کتابخانه کینگ و تیم رهبری اجرایی می توانند به ker دسترسی پیدا کنند.

ورود به سیستم

گزارش رفتاری برای ثبت رفتارهای غیر کیفری ، غیر تکراری و نقض سیاست های کتابخانه به غیر از خط مشی رفتار مشتری استفاده می شود. کارمندان از گزارش رفتار به عنوان مرجع سریع برای اطلاع از روابط خاص استفاده می کنندracارتباط با مشتریان. گزارش رفتاری در Security SharePoint واقع شده است و هر کارمند کتابخانه از طریق صفحه SJPL SharePoint می تواند به آن دسترسی داشته باشد.

تعلیق ، درخواست تجدیدنظر ، و اسناد

پوشه تعلیق ، درخواست تجدیدنظر و اسناد در SharePoint حاوی اطلاعاتی در مورد مراجعین کتابخانه ای گذشته و در حال حاضر معلق است. این شامل کلیه مستندات تعلیق ، عکس مشتری ، اطلاعات مربوط به مستندات ارائه شده ، درخواست تجدیدنظر ، فرم تعلیق خالی ، سؤال مربوط به اجرای سیاست رفتار مشتری ، و ورود مجدد و بازگرداندن مستندات امتیازات کتابخانه است.

مشتریان معلق می توانند با استفاده از فرم ارائه شده در بسته تعلیق درخواست تجدیدنظر کنند. فرم تجدیدنظر در مورد تعلیق ، مشتریان را ملزم می کند نام ، آدرس ، ایمیل ، شماره تلفن ، خلاصه ای مختصر درباره دلیل تجدیدنظر در مورد تعلیق خود و درخواست تجدیدنظر خود را ارائه دهند.torامتیازات دسترسی کتابخانه. فرمهای تجدیدنظر تکمیل شده به هر کارمند امنیتی SJPL یا King Library یا مدیر شعبه / واحد ارسال می شود. فرم ها بلافاصله به کارمندان پشتیبانی اداری که با افسر اداری کتابخانه هماهنگ می شوند و مدیر بخش برای تعیین جلسه دادخواست تجدیدنظر اختصاص می دهند ، داده می شود.

تاریخ / زمان / محل رسیدگی ظرف XNUMX روز کاری از زمان دریافت فرم تجدید نظر به مشتری ارسال و یا از طریق ایمیل برای مشتری ارسال می شود. تمام جلسات تجدید نظر در کتابخانه کینگ برگزار می شود. مشتری معلق ، افسر ارشد امنیتی ، شاهد و مدیر بخش تقسیم شده باید در جلسه خصوصی شرکت کنند. نتایج دادرسی سپس به کارکنان پشتیبانی اداری ارسال می شود ، که نسخه ای را برای مشتری ارسال می کنند.

عکسهای مشتریان معلق را می توان در اتاقهای کارمندان ارسال کرد ، که فقط توسط کارمندان کتابخانه و داوطلبان قابل مشاهده هستند. عکس ها به درخواست مأمور ارشد امنیتی ارسال شده است. ارسال ها شامل عکسی از مشتری معلق و دلیل تعلیق است. این ارسال ها محدود به مشتریانی است که خطرات ایمنی را برای کارمندان و یا مراجعان کتابخانه ایجاد می کنند ، احتمال مراجعه به آن شعبه بسیار زیاد است ، یا اگر حادثه در آن مکان اتفاق افتاده باشد.

اطلاعات چه مدت استtorاد؟

حادثه Tracداده های کار ، گزارش های رفتاری ، و اسناد تعلیق / تجدید نظرtorبه طور نامحدود

ارسال عکس در اتاق کار برای حداقل مدت 12 ماه نگهداری می شود که پس از آن خرد می شوند.

برای بهبود دسترسی ، صفحه امنیتی SharePoint به طور مداوم به روز می شود. تخلفات غیرقانونی و حوادث 12 ماه و بالاتر به پوشه "تعلیق های قدیمی" منتقل می شوند. تخلفات کیفری ، 10 سال و بالاتر ، در پوشه "تعلیق های قدیمی" جابجا می شوند. دوره نگهداری فعلی تعلیق ، تجدید نظر ، سوابق ، از جمله عکس ها در دست بررسی است.

ممیزی حریم خصوصی خدمات فنی

بررسی اجمالی خدمات فنی

خدمات فنی جمع نمی کند ، داخلیract ، یا هرگونه اطلاعات شخصی مشتری کتابخانه را به اشتراک بگذارید. تمام اطلاعات اضافیracاستفاده از فروشندگان یا به اشتراک گذاشتن آنها با فروشندگان فقط مربوط به گردش و شناسایی مواد است.

چه اطلاعاتی جمع آوری می شود؟

collectionHQ

خدمات فنی ماهانه اطلاعات اضافی را اجرا می کندracبه بیکر و تیلور collectionHQ. نقاط داده پیوست شده و شامل تاریخ ورود و خروج است. کلیه اطلاعات داخلیracted در زمینه های کتابشناسی ، مورد یا مرجع است. سابق قدیمیracts پس از مخزن جدید حذف می شوندracts اجرا می شوند

دسترسی فروشنده به سیرا

دسترسی به سیرا محدود به فروشگاه و تبادل سفارش و اطلاعات صورتحساب است. همه دسترسی ها به یک ورود نیاز دارند و مجوزهای ورود به آن محدود به کارهای محدودی هستند که برای انجام کار لازم هستند. ورود و مجوزها توسط LIT یا Innovative تنظیم شده اند.

موارد چک لیست ALA

1. سیاست ها و رویه های مربوط به توسعه را تدوین کنیدraction ، storسن ، و به اشتراک گذاری داده های حامی از ILS برای داخلی یا داخلیracاستفاده شخص ثالث.
   1. خدمات فنی داخلی نیستract ، store ، یا داده های حامی را به اشتراک بگذارید. (انجام شد)
2. دسترسی به موارد داخلی را محدود کنیدracبه کارکنان مناسب
   1. محدودیت ها وجود دارد (انجام شده)
3. این سیاست باید شامل حذف / حذف موارد اضافی باشدracTS.
   1. خدمات فنی تمام موارد اضافی را حذف می کندracts در نقطه ارسال اطلاعات جدیدracماهانه (انجام شد)

حسابرسی محرمانه بودن خدمات داوطلبانه

بررسی اجمالی خدمات داوطلبانه

بخش خدمات داوطلبانه San José Public Library اطلاعات مربوط به داوطلبان را برای درخواست غربالگری متقاضیان جمع آوری می کند ، track مشارکت داوطلبانه ، و گزارش تعداد داوطلبان و ساعات داوطلب در کتابخانه.

چه اطلاعاتی جمع آوری می شود؟

بخش ما برای شناسایی داوطلبان در سیستم کتابخانه ، اطلاعات قابل شناسایی شخصی را جمع آوری می کند. اطلاعات جمع آوری شده به کتابخانه امکان می دهد تا داوطلبان را برای کمک به هماهنگی های داوطلب بررسی کندtorدر انتصاب داوطلبان به کارهای مختلف ، و برای رویدادهای داوطلبانه دور از جریمه های خود در شعب شرکت کنید. فقط اطلاعات لازم برای انجام فعالیتهای منظم تجاری جمع آوری می شود. اطلاعات شخصی جمع آوری شده ممکن است شامل موارد زیر باشد:

• نام و نام خانوادگی
• تاریخ تولد 
• آدرس پستی
• پست الکترونیک (ایمیل)
• شماره تلفن
• دامنه سنی (13+ ، 15+ ، 18+ ، 21+ یا 50+)
• مهارت زبانی
• اطلاعات تماس اضطراری
• کارفرما
• مدرسه
• بالاترین سطح تحصیلات
• شماره ی کارت کتابخانه
• مبلغ جریمه هم رد شد

چگونه اطلاعات جمع آوری می شود؟

اطلاعات از طریق منابع مختلفی جمع آوری می شود.

برنامه داوطلب آنلاین

همه داوطلبان مداوم SJPL در Better Impact ، نرم افزار مدیریت داوطلبانی که SJPL برای t استفاده می کند ، نمایه ایجاد می کنندracبرنامه های داوطلبانه ، ساعت ها و تأثیر.

متقاضیان داوطلب باید نام ، نام خانوادگی ، تاریخ تولد خود را وارد کنند‌، آدرس پستی ، ایمیل ، شماره تلفن ، محدوده سنی (13+ ، 15+ ، 18+ ، 21+ یا 50+) ، تسلط به زبان ، اطلاعات تماس اضطراری و نحوه اطلاع از داوطلب شدن. آنها همچنین می توانند شامل این اطلاعات اختیاری باشند. مدرسه یا محل کار و بالاترین سطح تحصیلات.

فرم امضای داوطلب

همه داوطلبان SJPL قبل از شروع داوطلبانه طبق درخواست دفتر حقوقی شهر سن خوزه ، نسخه كامل از فرم امضای داوطلبان را برمی گردانند.

متقاضیان داوطلب موظفند نام ، نام خانوادگی ، امضای والدین / سرپرست (اگر زیر 18 سال داشته باشند) را پر کنند ، و اگر داوطلب یک بار هستند ، اطلاعات تماس اضطراری را بنویسند.

داوطلبانه دور از ثبت نام جریمه های خود دور شوید

وقتی شخصی در یک رویداد جریمه شما در یک داوطلب شرکت می کند ، اطلاعات آنها در صفحه اکسل وارد می شود تا جریمه ها از حساب صحیح در طول این رویداد امتناع کنند.

برگه ثبت نام دارای نام و نام خانوادگی هر شخص ، نام خانوادگی ، شماره تلفن یا آدرس ایمیل ، سطح سنی (بزرگسال یا کودک) ، شماره کارت کتابخانه و میزان جریمه های پرداخت شده است.

بررسی پیش زمینه اثر انگشت LiveScan

کلیه داوطلبان در حال انجام ، داوطلبان بالغ موظفند قبل از شروع کار داوطلب ، پیش زمینه اثر انگشت خود را ارسال کنند. هیچ اطلاعاتی توسط SJPL جمع آوری نشده است.

اطلاعات مشترک با چه کسی است؟

اطلاعات شناسایی شخصی با کارکنان خاص (کتابخانه و شهر سن خوزه) به اشتراک گذاشته می شود و داوطلبان ممکن است به اطلاعات شخصی خود دسترسی پیدا کنند.

برنامه داوطلب آنلاین

اطلاعات نمایه داوطلب آنلاین فقط توسط داوطلب و حساب کاربری SJPL Better Impact قابل دسترسی استtor(کارمندان SJPL و گاهی اوقات داوطلبان ویژه آموزش دیده و سابقه دار).

اطلاعات حساب بهتر تأثیر فقط با داوطلبان خود (نه والدین یا کارفرمایان بالقوه) به اشتراک گذاشته می شود. ما فقط تاریخ کار و ساعات کار را با کارفرمایان بالقوه و اعضای خانواده تأیید خواهیم کرد.

فرم امضای داوطلب

فرم های امضا فقط برای کارمندان کتابخانه (کتابداران ، منشی ها و مدیران شعبه) قابل دسترسی است. کارمندان می توانند در صورت درخواست نسخه ای از فرم امضا را برای داوطلب تهیه کنند.

داوطلبانه دور از ثبت نام جریمه های خود دور شوید

این پرونده های اکسل فقط توسط کارکنان کتابخانه که می توانند ورود به سیستم داشته باشند یا جریمه های این رویداد را امتناع می کنند قابل دسترسی هستند.

بررسی پیش زمینه اثر انگشت LiveScan

فقط تحلیلگر خدمات داوطلب SJPL (یا سرپرست آنها) و کارمندان منابع انسانی شهر سن خوزه دسترسی دارند.

اطلاعات کجاستtorاد؟

برنامه داوطلب آنلاین

اطلاعات داوطلبانه s استtorدر نرم افزار Better Impact. خط مشی رازداری تأثیر بهتر را می توان در اینجا مشاهده کنید https://www.betterimpact.com/siteguide/privacy-policy.

فرم امضای داوطلب

فرم های امضا s هستندtorدر یک پرونده یا دفتر قفل شده در شعبه یا واحدی که در آن برگردانده شده اند ، فرم ها با نام خانوادگی ثبت می شوند تا در صورت نیاز به راحتی بتوانند آنها را پیدا کنند. هنگامی که یک داوطلب بایگانی می شود ، فرم امضای وی به پرونده ای با سال جاری منتقل می شود تا پس از گذشت 3 سال بتوان آنها را خرد کرد.

داوطلبانه دور از ثبت نام جریمه های خود دور شوید

این ورق های اکسل s هستندtorبا رایانه کارکنان در شعبه کتابخانه که میزبان این رویداد است. فرم چاپ نشده است. همه ورودی ها بعد از اینکه کل رویداد به سیستم t گسترده وارد شد ، حذف می شوندracصفحه شاه (ظرف 24 ساعت پس از رویداد).

بررسی پیش زمینه اثر انگشت LiveScan

نتایج بررسی اثر انگشت داوطلبانه دریافت می شود و storتوسط دفتر منابع انسانی شهر سن خوزه هیچ اطلاعاتی در مورد نتایج بررسی پس زمینه LiveScan در نرم افزار Better Impact یا در پرونده های فیزیکی یک داوطلب موجود نیست. هرگونه رسیدی که به خدمات داوطلبانه ارسال می شود در یک پرونده قفل شده ایمن نگهداری می شود.

اطلاعات چه مدت استtorاد؟

برنامه داوطلب آنلاین

اطلاعات پروفایل s استtorبه طور نامحدود

فرم امضای داوطلب

بعد از اینکه داوطلب خدمت SJPL را ترک کرد ، فرم ها به مدت 3 سال نگهداری می شوند.

داوطلبانه دور از ثبت نام جریمه های خود دور شوید

فرم های ثبت نام اکسل پس از جمع شدن کل رویداد به یک t کل سیستم حذف می شودracملحفه

بررسی پیش زمینه اثر انگشت LiveScan

پس از پایان یک داوطلب خدمت خود به کتابخانه ، بررسی های مقدماتی لازم است به مدت 3 سال نگهداری شوند.

حسابرسی حریم خصوصی تیم وب

نمای کلی تیم وب

La San José Public Library وب سایت (SJPL) دسترسی به اطلاعات مربوط به خدمات و رویدادهای کتابخانه ، فهرست کتابخانه و منابع الکترونیکی مختلف و کتابهای الکترونیکی / eMedia را فراهم می کند. این وب سایت سالانه بالغ بر 3 میلیون بازدیدکننده دارد و کتابهای الکترونیکی / eMedia بیش از نیم میلیون چک در سال ثبت می کنند.

وب سایت کتابخانه (https://www.sjpl.org) توسط تیم وب كتابخانه به صورت داخلی نگهداری می شود. این با استفاده از سیستم مدیریت محتوای منبع باز Drupal ساخته شده است. انجمن دروپال در سراسر جهان بیش از 1 میلیون کاربر دارد که شامل چندین تیم متمرکز بر امنیت است. دروپال به روزرسانی های مکرر امنیتی را ارائه می دهد. دروپال توسط بسیاری از سازمانهای بزرگ از جمله کاخ سفید ، تسلا و صلیب سرخ آمریکا مورد اعتماد است.

وب سایت این کتابخانه در Acquia Cloud میزبان است ، که مجموعه ای از کنترل های دسترسی و تأیید اعتبار ، کنترل های فایروال ، امنیت دفاعی و به روزرسانی های مکرر امنیتی را در اختیار شما قرار می دهد. تمام ترافیک وب سایت با استفاده از https رمزگذاری می شود. بخش فناوری اطلاعات کتابخانه اطمینان می دهد که گواهینامه های امنیتی به روز شده اند.

ادامه SJPLracبا تعدادی از فروشندگان شخص ثالث همکاری می کنند تا منابع الکترونیکی متنوعی را برای استفاده در محل و خارج از سایت توسط دارندگان کارت کتابخانه فراهم کنند. این منابع شامل مطالب قابل بارگیری و پخش جریانی و همچنین پایگاه های داده سنتی است.

تمام منابع الکترونیکی ما توسط فروشندگانی که با آنها تماس داریم تأمین می شودracتی اگرچه کنترل چندانی بر عملکرد آن فروشندگان نداریم ، اما به آن متعهد هستیم

• دقیقاً دقیقاً همان چیزی را کشف می کنید که حریم خصوصی شرکای فروشنده ما را اندازه گیری می کند
• با کشف اطلاعات شخصی که فروشندگان در مورد مشتریان ما جمع می کنند
• همکاری با فروشندگان ما برای اطمینان از رعایت استانداردها و الزامات حریم خصوصی ما
• با استفاده از روند خرید / پیشنهاد ما برای ادامهracبا فروشندگانی که قادر به مطابقت با استاندارد و شرایط حریم خصوصی ما هستند ، همکاری کنید

اطلاعات جمع آوری شده

قالب های وب

وب سایت کتابخانه شامل تعدادی از قالب های وب است که مشتریان ممکن است برای اهدافی از جمله درخواست خدمات ویژه ، ارسال به مسابقات کتابخانه و درخواست کمک آنلاین از کارمندان ارائه دهند. این فرم ها اطلاعات شناسایی شخصی را جمع آوری می کنند ، که فقط باید برای اهداف توصیف شده در فرم استفاده شوند. ما با واحدهای کتابخانه که این فرم ها را درخواست کرده اند تأیید کردیم که تمام اطلاعات درخواست شده ضروری است و همچنین در صورت ایجاد هر گونه فرم آینده این کار را انجام خواهیم داد. اطلاعات جمع آوری شده ممکن است شامل نام ، سن ، آدرس ایمیل ، شماره تلفن ، آدرس فیزیکی ، شماره کارت کتابخانه و سایر اطلاعات مرتبط با هدف فرم باشد. ما بیش از 6 ماه از فعالیت وب فرم را پاک کرده ایم و این اطلاعات را از نسخه های فعلی و بایگانی شده وب سایت حذف کرده ایم. یک پاکسازی مشابه دو بار در سال ، ماه مارس و سپتامبر انجام می شود.

تیم وب با استفاده از یک فرم وب برای جمع آوری اطلاعات (نام ، ایمیل ، کارت کتابخانه) از مشتریانی که درخواست ایجاد یک حساب کاربری با Treehouse، یکی از فروشندگان eResource ما. این اطلاعات برای اهداف در نظر گرفته شده استفاده می شود و پس از یک ماه پاک می شود.

قالب های وب آدرس های IP کاربر را نیز جمع آوری می کنند. ما در حال بررسی تأثیر جمع آوری این داده ها و در نظر گرفتن راه هایی برای بهبود ناشناس بودن ، مانند اجرای یک ماژول دروپال برای ناشناس کردن این اطلاعات هستیم.

تجزیه و تحلیل ترافیک

استفاده می کنیم Google Analytics برای تجزیه و تحلیل آماری استفاده وب سایت ما. ما ویژگی "آدرس IP را ناشناس" از طریق دروپال فعال کرده ایم Google Analytics مدول. ما دوره نگهداری داده ها برای Google Analytics برای مواردی که داده های سطح کاربر و سطح رویداد مرتبط با کوکی ها استفاده می شوند ، ممکن است به پایین ترین تنظیم 14 ماه تنظیم شود.

ما اطلاعاتی در مورد خواص وب مربوط به SJPL در زیر جمع آوری کرده ایم:

• https://www.sjpl.org - وب سایت اصلی ما
• محلی گرایانه - میزبان سایت رویدادهای کتابخانه ما است. ما دیگر پس از ژوئن 2018 دیگر از Localist استفاده نمی کنیم. رویدادهای کتابخانه در سایت دروپال ما قرار دارند.
• SRC (وقتی این یک واقعه دروپال بود) - این توسط یک شخص ثالث ساخته شد. ما نسخه بایگانی شده ای نداریم
• https://sjlibrary.org - سایتی که با کتابخانه دانشگاه ایالتی سن خوزه (SJSU) به اشتراک گذاشته شده است. داده های جمع آوری شده توسط SJPL ناشناس است. ما در مورد ناشناس ماندن با کارمندان کتابخانه SJSU صحبت خواهیم کرد.
• کاتالوگهای ما - Encore و Classic - در زیر مشاهده کنید
• Digitalcollections.sjlibrary.org - استفاده شده توسط ما California Room خود را برایtorتصاویر ایکی ما در حال انتقال به یک فروشنده جدید برای این سرویس هستیم و هنگام راه اندازی از مسائل مربوط به حریم خصوصی مطلع خواهیم شد.
• LibCal/LibAnswers/LibChat - آمار هر کاربر غیرفعال شده است به طوری که اطلاعات قابل شناسایی شخصی نمی توانند با رزروها مرتبط شوند. این منبع با SJSU به اشتراک گذاشته شده است و ما در حال بحث درباره گزینه های حریم خصوصی اضافی با آنها هستیم ، از جمله ناشناس ماندن آدرس های IP و تغییر tracاسکریپت پادشاه
• Beanstack - به t استفاده می شودrack لیست خواندن حامی 1,000 کتاب قبل از مهد کودک و برنامه تابستان خواندن. اطلاعات جمع آوری شده شامل نام ، آدرس ایمیل و عنوان کتاب است. ماهانه دریافت می کنیم Google Analytics گزارش فعالیت.

ما همچنین استفاده می کنیم Hot Jar برای به دست آوردن داده های تحلیلی در مورد استفاده از وب سایت ، مانند نقشه های گرما ، ضبط صفحه و نظرسنجی ها. داده ها برای بهبود وب سایت کتابخانه ما استفاده می شود. تمام داده های جمع آوری ناشناس است. ضربات کلید ضبط نمی شود.

ما گزارش های استفاده خلاصه را به کارمندان کتابخانه ، شهر سن خوزه ، کتابخانه ایالتی کالیفرنیا ، خدمات داده کتابخانه های عمومی و سایر سازمانها در صورت درخواست ارائه می دهیم. تمام اطلاعات گزارش ناشناس است.

اسکریپت های شخص ثالث و محتوای جاسازی شده

ما در حال حاضر محتوا را از یوتیوب ، فلیکر ، فیس بوک ، توییتر و Google Maps جاسازی می کنیم و از اسکریپت هایی نیز استفاده می کنیم Google Analytics، Google Translate ، HotJar ، Flickr ، یادگار جدید ، AddThis و LibAnswers. ما در حال ارزیابی ارزیابی اطلاعات از طریق اسکریپت های شخص ثالث و محتوای جاسازی شده و محدود کردن جمع آوری داده های غیر ضروری هستیم.

منابع الکترونیکی

در رابطه با استفاده از منابع الکترونیکی ، SJPL اطلاعات شناسایی شخصی را در مورد مشتریان ما جمع آوری نمی کند. ما اطلاعات آماری را از فروشندگان جمع می کنیم - یا با اجرای گزارش از طریق وب سایت های فروشندگان یا گزارش هایی که توسط فروشنده ارسال شده است. این اطلاعات مربوط به کاربرد کلی است که حاوی اطلاعات شناسایی نیست.

برخی از فروشندگان ما به ما امکان دسترسی به گزارش ها و ویژگی هایی را می دهند که حاوی اطلاعات قابل شناسایی شخصی هستند. این اطلاعات فقط توسط كتابخانه برای كمك به مراجعان در زمینه رفع عیب یابی / مسائل فنی استفاده می شود و برای تعداد محدودی از كارمندان (عموماً بیش از 3 نفر) در دسترس نیست.

ما نامه ای را برای فروشندگان ارسال کرده ایم که انتظار ما را از همه فروشندگان ما ابراز می کند:

• خدمات را پیکربندی کنید تا از ویژگیهای مربوط به جمع آوری اطلاعات شخصی در هر زمان ممکن استفاده کنید.
• گزینه های مربوط به میزان جمع آوری اطلاعات از آنها و نحوه استفاده از آنها را در اختیار مشتریان قرار دهید. مشتریان باید در مورد انتخاب یا عدم پذیرش ویژگی ها و خدماتی که نیاز به جمع آوری اطلاعات شخصی مانند وام گیرنده وی دارند ، انتخاب کنند.tory ، خواندن لیست ها ، یا کتاب های مورد علاقه.
• در مورد دسترسی به سیاستهای حفظ حریم خصوصی خود به مشتریان اطلاع دهید.
• روشی را برای دسترسی به کاربران ، مرور ، تصحیح و حذف اطلاعات شخصی خود فراهم کنید.
• رمزگذاری اتصالات با استفاده از SSL / HTTPS برای دسترسی ایمن به محتوای دیجیتال
• به محض اطلاع فروشنده از نقض داده یا امنیت یا نقض اطلاعات ، به کتابخانه اطلاع دهیدracشرایط t
• به مشتریان اجازه می دهد برنامه های فروشنده را حذف نصب کنند و سیستم های مرتبط را حذف کنندtorداده های ویرایش شده از دستگاه های شخصی.
• به طور منظم ممیزی حریم خصوصی را انجام دهید و نتایج حسابرسی را برای بررسی در اختیار کتابخانه قرار دهید. نتایج بررسی را یکی از معیارهای تجدید قرار دهید.
• مقدار اطلاعات شخصی جمع آوری شده در مورد کاربران را محدود کنید. به طور کلی ، کتابخانه یا ارائه دهنده خدمات باید حداقل اطلاعات شخصی مورد نیاز برای ارائه خدمات یا تأمین نیاز عملیاتی خاص را جمع آوری کند.

در آینده فروشنده ادامهracما و انتظار می رود که هر فروشنده:

• با کلیه قوانین محلی ، ایالتی و فدرال مربوط به محرمانه بودن سوابق کتابخانه مطابقت دارد.
• با حریم خصوصی کتابخانه ، حفظ داده ها و خط مشی های امنیتی داده مطابقت دارد.
• اطمینان حاصل کنید که همه زیر فرعیractorملزم به رعایت حریم خصوصی و شرایط حفاظت از امنیت داده در بخش اطلاعاتracبین کتابخانه و فروشنده ، و اینکه کتابخانه هر زمان که یک زیرپایه باشد به آن اطلاع داده شودractor توسط فروشنده استخدام می شود.
• تصریح می کند که این کتابخانه مالکیت کلیه داده های پشتیبانی را حفظ می کند.
• شامل یک پروتکل برای پاسخگویی به درخواست های دولت و اجرای قانون برای داده های حامی.
• شامل جزئیات مربوط به آنچه فروشنده برای محافظت از داده های حفظ شده و اقدامات امنیتی که برای اطمینان از ایمنی استفاده می کند ، استفاده می کند.
• مسئولیت فروشنده را برای اطلاع رسانی به کتابخانه و مراجعان تحت تأثیر در صورت نقض اطلاعات اعلام می کند.

ما در حال تهیه یک استراتژی مواد دیجیتالی هستیم ، که در آن انتظارات مربوط به حریم خصوصی را خواهیم دید (به قسمت بالا مراجعه کنید) به عنوان بخشی از معیارهای رتبه بندی برای انتخاب / تجدید فروشنده.

ما لیستی از لینک های مربوط به سیاست های حفظ حریم خصوصی فروشندگان خود را گردآوری کرده ایم. این لیست در دسترس است وب سایت SJPL. ما همچنین لیستی از داده های جمع آوری شده توسط هر فروشنده و نحوه استفاده از آن را گردآوری کرده ایم. به پیوست A مراجعه کنید.

ما همچنین در حال ساختن سندی برای مشتریان هستیم که آنها را از خط مشی ها و گزینه های هر فروشنده و همچنین خط مشی ها و رویه های مربوط به کتابخانه آگاه سازند. این موارد در وب سایت کتابخانه موجود است و شامل موارد زیر خواهد بود:

• تنظیمات حسابهای شخصی در وب سایتهای فروشنده.
• تنظیمات برنامه های فروشنده در دستگاه های شخصی شامل تنظیمات حریم خصوصی و نحوه حذف برنامه و سایر موارد مرتبطtorداده های ed
• اگر یک فروشنده یک نقض داده را تجربه کند ، کتابخانه روال می گیرد. به پیوست B مراجعه کنید.

کاتالوگ آنلاین

كتابخانه كتابخانه اي آنلاين (Encore و كلاسيك كلاسيك) به مراجعان اجازه مي دهد تا براي دسترسي به برگه ها ، نگهداري ها و اطلاعات مربوط به حساب هاي ساكن در سيرا ، سيستم يكپارچه كتابخانه ، به حساب كتابخانه خود وارد شوند. برای اطلاعات بیشتر به کاغذ سفید Access Services مراجعه کنید. کلیه معاملات بین کاتالوگ آنلاین و سیرا رمزگذاری شده است.

مشتریان می توانند ویژگی روشن بودن t را انتخاب کنندracks خواندن خود راtory این ویژگی انتخاب است و آنها در هر زمان قادر به انصراف هستند. آنها همچنین می توانند لیست های کتاب شخصی ایجاد کنند ، که با کسی به اشتراک گذاشته نمی شود و در هر زمان قابل حذف است. آنها ممکن است انتخاب کنند برچسب ها را به موارد موجود در فهرست کتابخانه اضافه کرده و در هر زمان آنها را حذف کنند. کارکنان می توانند نام شخص (های) اضافه شده برچسب خاص را مشاهده کنند. این اطلاعات در دسترس عموم نیست.

تحقیقات تجربه کاربر

تیم وب برای تصمیم گیری آگاهانه در مورد بهبود تجربه کاربر ، تجربه کاربری (UX) را با مراجعان کتابخانه انجام می دهد. امضای رضایت آگاهانه و برخی اطلاعات عمومی جمعیتی ، از جمله محدوده سنی و مکانهای مورد علاقه کتابخانه ، جمع آوری می شود. وقتی مصاحبه های کیفی انجام می شود ، شرکت کنندگان ممکن است جزئیاتی در مورد زندگی خود به اشتراک بگذارند. این اطلاعات معمولاً روی کاغذ ضبط می شوند. سپس در حساب OneDrive یک کارمند تحقیق بارگذاری می شود ، و فقط با کارمندان کتابخانه که مستقیماً درگیر پروژه تحقیق هستند ، به اشتراک گذاشته می شود.

ضبط های ویدئویی ممکن است تولید شوند ، به خصوص در جلسات تست قابلیت استفاده. این ضبط ها در یک حساب YouTube خصوصی بارگذاری می شوند که فقط کارمندان تعیین شده کتابخانه قادر به دسترسی به آنها هستند. پس از بارگیری این موارد ، ضبط های اصلی و مصنوعات کاغذی از بین می روند. موارد ضبط شده و هرگونه مصنوعات تحقیقاتی الکترونیکی با PII نباید بیش از دو سال نگه داشته شود و در صورت تکمیل پروژه مرتبط با تحقیق UX زودتر از آن از بین می رود. خلاصه ای از تحقیقات ممکن است حفظ شود ، اما هیچ مصنوعی با PII نگهداری نخواهد شد. رفتارها ، نظرات و مشخصات عمومی کاربرracممکن است برای نشان دادن چگونگی تصمیم گیری SJPL در زمینه طراحی ، زمینه ها ، مانند سطح مهارت های فن آوری ، با ذینفعان خارجی به اشتراک گذاشته شود ، اما هیچ PII یا نقاط داده ای که می توانند استنباط شوند یا به شرکت کنندگان متصل شوند ، به اشتراک گذاشته نمی شوند.

برنامه عملیاتی

1. در مورد تأثیر جمع آوری این داده ها و در نظر گرفتن راه های بهبود ناشناس ماندن ، مانند اجرای یک ماژول دروپال برای ناشناس کردن این اطلاعات ، تحقیق کنید. (برای تکمیل ژوئن 2018)
2. ادامه ارزیابی آنچه داده ها از طریق اسکریپت های شخص ثالث و محتوای جاسازی شده جمع آوری می شود و محدود کردن جمع آوری داده های غیر ضروری است. (برای تکمیل ژوئن 2018)
3. ارسال نامه ای به فروشندگان eResource در مورد شرایط حریم خصوصی ما.
4. الزامات جدید حفظ حریم خصوصی را برای همه خریدها و پیشنهادات آینده اعمال کنید.
5. خط مشی پاسخ به نقض داده [به پیوست B مراجعه کنید] (کار با IT در این مورد)
6. دستورالعمل هایی را برای کاربران در وب سایت ما در مورد چگونگی ایمن سازی حساب های فروشنده خود ، در صورت موجود بودن و عدم دسترسی و حذف برنامه های فروشنده ارائه دهید. (برای تکمیل شدن تا ژوئن 2018)
7. استراتژی کامل مواد دیجیتال ، که شامل انتظارات از فروشندگان جدید و فروشنده های جدید استracts (برای تکمیل در ژوئن 2018)

پیوست اول

ضمیمه B

پاسخ به نقض داده ها

وب

اگر از نقض اطلاعات آگاه شویم ، با کتابخانه IT کار خواهیم کرد تا از کاربرانی که داده های آنها نقض شده است محافظت کنیم و برای محافظت در برابر نقض های آینده اقدام کنیم. ما بلافاصله از طریق هر یا همه موارد زیر به کاربران خود اطلاع خواهیم داد:

• در وب سایت ما توجه کنید
• خبرنامه ایمیل
• ارسال ایمیل به مشتریانی که ممکن است تحت تأثیر قرار گیرند
• بلاگ
• حساب های توییتر ، فیس بوک ، اینستاگرام
• در صورت لزوم علائم شعبه
• رسانه های محلی

میزان اطلاع رسانی به شدت نقض و میزان تأثیر کاربران کتابخانه بستگی دارد.

منابع الکترونیکی

با eResource ، ما به فروشندگان خود متکی هستیم تا به ما اطلاع دهند که آیا نقض داده وجود دارد یا خیر. اگر / هنگامی که به نقض هشدار داده شد ، ما هرگونه دستورالعمل دریافت شده از فروشنده را دنبال می کنیم و بلافاصله به عنوان فوق به کاربران خود اطلاع می دهیم.