プライバシー監査
目次
- アクセスサービスのプライバシー監査
- 図書館情報技術プライバシー監査
- マーケティングおよびコミュニケーションのプライバシー監査
- Partners in Reading プライバシー監査
- セキュリティプライバシー監査
- 技術サービスのプライバシー監査
- ボランティアサービスのプライバシー監査
- Webチームのプライバシー監査
アクセスサービスのプライバシー監査
アクセスサービスの概要
San José Public Libraryアクセスサービス部門は、さまざまなキングライブラリとシステム全体の責任で構成される多面的なユニットです。 このプライバシー監査に関しては、SierraのIntegrated Library System(ILS)に関するユニットの責任に焦点を当てます。
アクセスサービス、より具体的にはシステムサポートは、顧客データベースの実行や顧客データベースからのデータ収集など、顧客データベースの維持に役立ちます。 この作業には、年次スケジュールで示されているように、または管理者からの要求に応じて、顧客および顧客データのパージが含まれます。
システムサポートは、システム全体の循環統計を収集および維持する責任があります。 さらに、収集代理店であるUnique Management Services(UMS)とのデータ交換を監督し、収集に参照されたアカウントに関する顧客からの問い合わせを処理します。
最近、システムサポートは、ILSへのスタッフログインの作成でLITを支援し、ILSに関連するローンルールとロケーションコードの保守でテクニカルサービスを支援する任務を負っています。 その他の最近のプロジェクトには、RFIDスタッフワークステーションのトレーニングと実装、セルフチェック、およびセルフチェックの支払いが含まれます。 また、お客様データベースに関連する様々なプロジェクトへの参加をお願いしております。 これにはデータ内線が含まれますrac予測スケジューリングプロジェクト、不良債権の償却、およびレポートと助成金に関連するデータ。
情報収集さ
統合ライブラリシステム:Sierra
パトロンデータベース
顧客データベースには、スタッフが入力する紙のアプリケーションまたは図書館の顧客が入力する電子アプリケーションが入力されます。 どちらのバージョンでも、次の情報が要求されます。
- 氏名
- 誕生日
- 送り先
- メールアドレス
- 電話番号
- 親/法的保護者名および/または運転免許証(18歳未満の子供用)
- 図書館ニュースレターにサインアップする(オプション)
紙のアプリケーションは、データベースに情報を入力するために必要な期間保持され、その後、細断されます。 唯一の例外は、ティーンカードです。 これらのアプリケーションは、顧客が申請した場所で60か月間維持されます。 オンラインアプリケーションは、2日間、またはお客様がカードを発行するために弊社の場所のいずれかを訪問するまでデータベースに保持されます。 申請されていないアカウントはXNUMXか月ごとに削除されます。
カードをお申し込みの際は、写真付き身分証明書と住所証明書をご提示いただく必要があります。 図書館は不必要な記録を作成せず、図書館の使命を果たすために必要な記録を保持するだけであり、pに従事しませんracパブリックビューに情報を配置する目盛り。
ライブラリは、次の基準に基づいて、年に一度システムから顧客レコードを削除します。
- 2年間有効期限切れ
- レポートの実行日から4年間アクティブではありません
これらXNUMXつの要件のいずれかを満たす顧客には、次のものも必要です。
- 10ドル未満の罰金
- チェックアウトされたアイテムはありません
許可された図書館スタッフのみが個人データにアクセスできますtorILSで編集。 この情報へのアクセスは、通常のライブラリ操作でのみ使用されます。 法律で義務付けられている場合、または個々の顧客のサービス要求を満たす場合を除き、図書館はILSを通じて顧客から収集した個人データを開示しません。
顧客データベースにアクセスするためのログインは、ブランチレベルまたはユニットレベルで作成されます。 スタッフは、図書館での仕事を行うという唯一の目的のためにそのログインを使用できます。 このログインにより、スタッフは顧客レコードに関連する次の機能を実行できます。
- 新しい顧客アカウントを作成する
- 顧客アカウント情報を表示および編集します。 PIN番号は入力時に暗号化され、編集のみ可能です。
- 細かい情報の表示と編集
- 保留とリクエストの表示と編集
最前線の図書館スタッフと技術サービスで働く人々のほとんどは、ILS(図書館員、書記、図書館助手、ページ、および管理者)にアクセスできます。 主な機能が棚にある図書館の補佐官は、データベースへのアクセスが非常に制限されており、資料のチェックインにのみ使用します。 個々のログインは、さまざまなスタッフとユニットに対して作成されます。 その許可は、完了する必要があるタスクに基づいています。 たとえば、テクニカルサービスのスタッフには脊椎ラベルを印刷したり、注文にアクセスしたりする権限がありますが、Webチームのスタッフにはこれらの機能が必要ないため、同じ権限は提供されません。
流通記録
顧客の図書館の記録には、現在チェックアウトまたは保留されているアイテムのほか、期限切れの資料や罰金が含まれます。 ライブラリは彼を維持していませんtor顧客が以前にチェックアウトしたもののy。 資料が返却されると、アイテムはアカウントから削除されます。 顧客の口座に罰金が科せられると、図書館は借りたが期日を過ぎて返却された、または顧客の記録に残っているアイテムの記録を保持します。
罰金の支払いデータは、図書館の顧客の回覧記録に保持されます。 罰金の支払いデータは、顧客へのチェックアウト中に遅れて返品された、紛失した、または破損したアイテムのリストです。 罰金の支払いデータは、彼のtor顧客の罰金および手数料に対して行われた支払いのy。 罰金の支払いデータは、財務および記録管理の目的で維持されます。 罰金の支払いデータには次のものが含まれます。
- アイテムのタイトル
- アイテムバーコード
- チェックアウト日
- 期日
- 返却日
- 支払日
- 罰金の額
- お支払い場所
- スタッフログイン
品目レコードには、材料を最後にチェックアウトした顧客の詳細も保持されます。 この情報は、通常の運用業務(紛失、紛失、破損)のスタッフのみがアクセスできます。 顧客は、アイテムが再びチェックアウトされるまで、このレコードに添付されたままになります。
罰金を支払った情報は、営業所のニーズとその簿記の要件を満たすために必要な限り維持する必要があります。 これには、管理責任者とのコラボレーションが必要であり、彼女のスタッフは、tor罰金の支払いファイルで編集。 暫定期日は今年度末です。
循環統計
循環統計は毎月収集され、会計年度に基づいて報告されます。 これらは、顧客の使用状況の報告、資金の確保、購入する資料に関する情報に基づいた決定、および将来のプロジェクトの傾向の特定に使用されます。 循環統計のために、ILSから次の情報を収集します。
- 特定の場所コードでアイテムがチェックアウトされた回数
- 個人対ウェブサイトの更新回数
- セルフチェックマシンでのチェックアウト数とスタッフステーション
- 自動ハンドリングシステム(AMH)とスタッフステーションによる返品の数
- 電子リソースの流通
これらの統計の収集では、顧客情報は収集されません。 これらの統計は、システムサポートユニットによってアクセスおよびコンパイルされます。
ユニークな管理サービス(UMS)
ユニークな管理サービスは債権回収機関の続きですrac次の基準を満たす、デフォルトになっている顧客アカウントを処理するように設定されています。
- 請求済みアイテム
- 50ドルを超える罰金と手数料
IMSからの提出ファイルをUMSに提供します。 提出ファイルは、収集機関モジュール/インターフェース内で確立された基準に基づいて収集活動のために新たに選択された顧客アカウントのリストであり、毎日生成されます。 提出レポートは、以下を含む限定的な顧客情報を提供します。
- パトロンレコード番号
- 名前
- 住所
- 電話番号
- 法的保護者/親の名前と運転免許証(18歳未満の場合)
- 誕生日
- パトロンタイプ
- ホームライブラリ
- 延滞日
- Money Owed(金額のみが提供されます。UMSは、顧客の機密を保護するためのタイトル情報を受け取りません)
同期または「同期」レポートは、現在の残高とともに収集アクティビティのフラグが設定されたすべてのアカウントのリストを提供する品質保証ツールです。 「同期」の目的は、UMSの残高がライブラリの残高と一致することを確認することです。 同期レポートは通常、UMSのカスタマーサービステクニカルアナリストによって開始されますが、このプロセスはライブラリによっていつでも開始できます。
UMSは、UMSに送信された図書館顧客のクラウドベースのデータベースへの図書館スタッフのアクセスを提供します。 このアクセスは、アクセスサービスのシニアライブラリアンと、ライブラリアシスタントと事務員で構成されるシステムサポートの事務スタッフに限定されています。
OrangeBoy / Savannah
2015年XNUMX月より、流通活動と顧客データがOrangeBoyに提供され、流通活動をさまざまな支店の人員配置レベルに関連付ける予測スケジューリングツールが作成されました。 データは、毎週オレンジボーイにアップロードされ、ダッシュボードに入力されます。 現在、このダッシュボードには、管理、アクセスサービス、Webチーム、およびITスタッフがアクセスできます。これらのユニットは、要求された情報をアップロードする責任があるためです。 支部のスタッフは、提供されたデータを使用して作成された予測スケジューリングツールの限定されたビューを持っています。
前週のチェックインデータはOrangeBoyに送信され、ファイルは次の情報で構成されます。
- チェックインの場所
- チェックインの日付と時刻
- チェックインがAMH経由で行われたか、スタッフターミナル経由で行われたか
以下を含むゲートカウント情報が送信されます。
ビジの数tors前週の各支店
さらに、以下を含む支店スタッフのスケジュールが送信されます。
事務員の勤務時間は、ゾーン、マテリアルハンドリング、棚付け、整頓、プル、ホールドのサービスポイントで働きました。
Bibliotheca
2016年に、コレクションを磁気ベースのセキュリティシステムからRFIDベースのセキュリティシステムに変換するプロセスを行いました。 この新しいシステムは、RFIDデバイスを使用して材料をスキャンする機能も統合しました。 RFIDタグは、当社のすべての流通材料に配置され、それらが取り付けられているアイテムのバーコードでプログラムされています。 タグには、タイトルや顧客情報は含まれません。
Bibliotheca はRFID変換のベンダーです。 彼らはRFIDに関連する次のデバイスを提供してくれました:スタッフパッド、セルフチェックマシン、セキュリティゲート、ハンドヘルドインベンtoryデバイス。 スタッフはクラウドベースのダッシュボードにアクセスして、監視することができますtor セルフチェックとセキュリティゲートの機能とステータス。 ダッシュボードは、チェックアウト、更新、罰金の支払いなど、セルフチェックのトランザクションに関する情報をスタッフに提供します。
これらのトランザクションに提供される情報は、機能によって異なります。 チェックアウトの場合、スタッフは日付、時刻、顧客バーコード、チェックアウトされたアイテムのバーコード、および更新されたアイテムのバーコードを確認できます。 セキュリティゲートの場合、スタッフはゲートを歩いた人々の集計と、ゲートアラームをトリガーしたアイテムのバーコードにアクセスできます。
各場所にはXNUMXつの一意のログインがあります。 XNUMX回のログインで、トランザクションレベルのデータを表示する高レベルの機能が提供され、ブランチマネージャー、ライブラリアシスタント、FTまたはPTクラークに提供されます。 もうXNUMXつは、マシンのステータスに関する情報のみを提供し、すべてのスタッフが表示できます。
ALAチェックリストの項目
- リクエストとstore図書館の運営に必要な顧客の個人情報のみ。 図書館の運営に不要になったデータ(購入依頼データなど)を定期的に削除してください。 LMSがそれをサポートしている場合は、可能な限り「ファジー」人口統計情報を使用します(たとえば、完全な生年月日を記録する代わりに、「マイナー/マイナーではない」分類を使用します)。
- 私たちは、お客様について収集した情報に関して、論文とオンライン申請書をレビューしています。 統計目的で使用されるDOBの収集を継続し、スタッフが同様の名前の顧客を識別する方法を提供することが決定されました。 図書館の運営には必要ないため、運転免許証と性別の収集を中止します。 更新された紙の申請書の草案が完成し、承認待ちです。 (作業が必要)
- レポートを集計または匿名化して、個人を特定できる情報を削除します。 レポートを定期的にレビューして、このタイプの情報が明らかにされていないことを確認する必要があります。
- 送信する現在のデータを確認し、必要なデータのみを送信するように調整しました。
- OrangeBoy:作成中の予測スケジューリングツールでは役割を果たさないため、顧客情報を送信する必要性を検討しています。 12年2018月XNUMX日の時点で、継続することについて決定が下されているため、追加の顧客および流通情報を送信していません。racOrangeboyとのt。 メッセージングまたは顧客セグメンテーションに顧客データベースを使用しないことが決定されたため、顧客情報の送信を停止しました。 (達成)
- UMS:図書館に代わって顧客に効果的に連絡するために、私たちが提供する情報が必要です。 UMS内線rac必要な情報を提供しますが、拡張しないことで顧客のプライバシーを確保しますracアイテムのタイトルなどの情報。 お客様からUMSに連絡があった場合、お客様はデータベースにアクセスできないため、期限切れの資料について図書館のスタッフに直接話すように紹介します。 (達成)
- Bibliotheca:セルフチェックでトランザクションを削除するスケジュールを作成します。 私たちは Bibliotheca これをどのように実現するのが最善かについて。 私たちは、この勧告に沿って進むことができるように彼らの応答を待っており、必要な情報が提供されたらすぐに実施します。 私たちは彼らのチームと協力して、定期的にセルフチェックからトランザクションデータをクリアする定期的なスケジュールを作成しています。 18/19会計年度の初めまでにこれを実施したいと考えています。 (作業が必要)
- 送信する現在のデータを確認し、必要なデータのみを送信するように調整しました。
- LMSをデフォルトで設定して、顧客と顧客が借りる/アクセスする資料との間のトランザクションデータがライブラリ操作に不要になったときに削除します。
- この情報が掲載されている分野を特定しましたtorそれらがどのように維持されるかについてのスケジュールを編集し、作成しました。
- 最後のパトロンフィールド:6か月ごとに最後のパトロンフィールドをクリアします。これは、アイテムが前月に流通していなかったことを基準にしています。 これにより、以前の顧客情報が役立つ可能性のある状況(つまり、返品が不完全な場合)でもスタッフが情報にアクセスできるようになります。 これは、この17/18会計年度末に実施されます。 (作業が必要)
- 罰金の支払データ:4年以上前に解決された罰金または手数料は、利用者アカウントからクリアされます。 これは、4年以上経過した債務を却下するという不良債権ガイドラインと一致します。 これは、18/19会計年度の初めに実施されます。 (作業が必要)
- この情報が掲載されている分野を特定しましたtorそれらがどのように維持されるかについてのスケジュールを編集し、作成しました。
- 顧客がチェックアウトを維持するなどのパーソナライズ機能にオプトインできるようにするtoryまたはお気に入りのタイトルのリスト。 (達成)
- LMSの顧客レコードへのアクセスを、その必要性が実証されているスタッフメンバーに制限します。 たとえば、流通スタッフにはアクセスが必要ですが、棚にはアクセスできません。 (達成)
- 保留、期限超過などのライブラリ通知を構成して、最小限の個人情報を送信します。
- 最近、現在の印刷テンプレートを変更するために必要なトレーニングを受けました。
- 礼儀と期限切れのメール:新しいテンプレートを作成することで、メール通知からお客様の住所を削除できます。 新しいテンプレートを作成するために、ITと協力しています。 2018年XNUMX月までに達成する必要があります。
- ホールドスリップ:Sierraには、ホールドスリップ用の4つのテンプレートオプションがあります。 スリップには一定量の情報を含める必要がありますが、Sierraが提供するテンプレートをカスタマイズすることはできません。 Sierraのテンプレートは短縮したり、顧客名(最初と最後)にすることができますが、スリップをさらにカスタマイズすることはできません。 スリップをさらに匿名化することに興味がある場合、追加のソフトウェアを購入する必要があります。 2018年XNUMX月までに完了する予定です(作業が必要です)。
- 最近、現在の印刷テンプレートを変更するために必要なトレーニングを受けました。
- 内線に関するポリシーと手順を作成するrac、stor年齢、および社内または継続のためのLMSからの顧客データの共有racサードパーティによる使用。 内線へのアクセスを制限するrac適切なスタッフにts。
- 内線に関する正式なポリシーはありませんrac、stor年齢と顧客データの共有。 (作業が必要)
- 内線に関する正式な手続きはありませんrac、stor年齢と顧客データの共有。 拡張する方法についてこれらのレポートを実行するように訓練されたスタッフ向けの非公式な一連の指示がありますrac要求されている特定の種類の情報。 これらは現在、アクセスサービスの特定のスタッフグループのみがアクセスできるシステムサポートグループドライブに収容されています。 これらの非公式の手順を確認し、それらの標準化に取り組むことができるのはいつですか。toreそれらは2018年XNUMX月の完了日で安全な場所にあります。(作業が必要です)
- 内線ractsは、AccessServices内のユニットであるシステムサポートによって処理されます。 このユニットにはSierraログインがあり、顧客と流通統計に関する情報を収集するレポートを作成できます。 顧客情報の要求は通常、特定の人口統計または住所に関連しており、要求はユーザーのグループの傾向に関連しているため、個人情報は提供されません。 2018年XNUMX月の完了日で、さまざまなスタッフに提供されたログインと権限を確認中です。(作業が必要です)
図書館情報技術プライバシー監査
図書館情報技術の概要
San José Public Library 北カリフォルニアで無料のパブリックコンピューティングリソースを提供する最大のプロバイダーです。 図書館は2016-17年度に1,200万を超えるコンピューターセッションを記録しました。 現在、図書館システム全体でXNUMX台の公共コンピューターを予約できます。 予約された公共のコンピュータのアイデアがpに入れられて以来、プライバシーとセキュリティが主な関心事でしたrac1990年代初頭のSJPLでのtice。
公共のデスクトップ環境を保護するために、ライブラリは、新しい顧客が公共のコンピューターにログオンするたびに、以前の顧客が保存または変更したものに関係なく、新鮮なイメージのきれいなデスクトップを提供する製品を展開しました。 この同じ製品は、複数のベンダーソースからのウイルス対策およびマルウェア対策の定義ファイルを提供して、新しいサイバー脅威への応答時間を短縮します。
顧客が無料のインターネット接続のために使用可能なデバイスをライブラリに持ち込むと、wifiの需要が急激に増加し続けます。 需要の増加に対応するため、SJPLはすべてのブランチライブラリのWAN接続を1000 Mbpsにアップグレードしました。 これらは、ライブラリネットワークをCalRENに接続します。CalRENは、カリフォルニア州教育ネットワークイニシアティブのための法人であるCENICが運営する大容量光ファイバーネットワークです。 個人を特定できる情報(PII)は、Wi-Fiネットワークでは、いかなる形式でも収集されません。 このプラットフォームにより、インターネットへの大容量接続が可能になりますが、参加している他の公立図書館、学校、短大、および大学も高いレベルのプライバシーとセキュリティを備えています。
ライブラリは最近、WebサイトをHTTPSに変換し、カタログアクセスページも証明書で保護しました。 図書館のウェブサイトで認証する顧客に暗号化された接続を提供すると、データと図書館のウェブサイトおよびカタログの閲覧のプライバシーと整合性が保護されます。 これらの対策に加えて、図書館は最近、リンクされたeコマースをカタログサイトに追加して、組織間で個人情報を渡すことなく罰金を安全に支払うことを可能にしました。 顧客はライブラリを見てデータを保護しますが、このアップグレードは戦略的な方向性に沿っています。
SJPLは、他の潜在的に機密性の高いデータを厳密に制御し、環境にモビリティと安定性を提供するために、サーバーおよびネットワークリソースに関する通知とアラートにオープンソースプラットフォームを利用します。 これらのツールは、図書館情報技術局(LIT)の公共リソースの予算を維持するという追加の利点とともに、大きな成功を収めて実装されています。
プライバシーは、特にテクノロジーサービスの提供方法に関して、SJPLの中心的な焦点でした。 生涯学習に関する情報へのオープンアクセスの重要性を理解しています。 個人情報の盗難、個人データの損傷、またはあらゆる種類の報復を恐れることなく、そのようなアクセスを提供することが私たちの組織の目標です。
情報収集さ
San José Public Library 公共サービスを提供するために必要な限られた方法で顧客にリンクされたデータを維持します。 以下は、顧客のプライバシーにリンクできる構造化データのソースです。
カタログシステム– Innovative Interfaces、シエラILS
- Sierra ILSカタログシステムは、ライブラリの一連の技術リソースの中で最も重要なユーティリティです。 これには、SJPLの発明に含まれるすべての本、オーディオブック、DVD、CD、タブレット、ラップトップ、およびその他の貸し出し可能な資料のアイテムレコードが含まれています。tory。 Sierraは、買収の管理やベンダーアカウントの予約にも使用されます。 プライバシーの議論にとって最も重要なことは、Sierraは、顧客がアイテムをチェックインまたはチェックアウトできるようにする顧客レコードのデータベースを維持していることです。 それはtを保ちますracすべてのアイテムのステータスのk、顧客の保留を管理し、返品期限を思い出させるアラートを送信できます。 顧客がシエラ内にアカウントを持つためには、個人を図書館カード番号に関連付けるために特定の一意の識別子が必要です。
- 現在のポリシーと手順では、図書館カードを受け取るためにフォームに入力する際に、顧客は名前、生年月日、住所を入力する必要があります。 電話番号と電子メールアドレスも入力することはオプションです(ただし、推奨されます)。 必要に応じて、通常、通知を送信する際に物理アドレスの代わりに電話番号または電子メールアドレスが使用されます。
- Sierraは、顧客の活動を記録したり、過去のチェックアウトの記録を保存したりしません。
- カリフォルニア州政府法典のセクション6250〜6270に概説されている州法に従い、SJPLのポリシーは、顧客記録と登録データの機密性を確保することです。 図書館スタッフは、同じカリフォルニア州政府のコードセクションで許可されているように、Sierraデータベース内のすべてのアイテムおよび顧客レコードにアクセスできます。 図書館職員は、適切な上位裁判所からの命令による場合を除き、これらの記録に保存されている情報を外部機関と共有しません。
- SierraアプリケーションサーバーとSierraデータベースサーバーのバックアップは毎晩行われ、暗号化されます。 それらは複数の形式で取得され、重複排除され、tor複数の場所で編集。 毎週XNUMX回、Sierraデータベースの追加の暗号化されたコピーがオフサイトに送信されます。tor災害復旧計画のニーズを満たすために、XNUMX週間のローテーションを行いました。 アクセスサービス部門のスタッフは、顧客アカウントを毎年削除します。 アカウントが次の基準を満たしている場合、それらは削除されます。
- アカウントはXNUMX年間非アクティブです。
- アカウントはXNUMX年間有効期限が切れています。
- アカウントには、10.00ドルを超える罰金は含まれていません。
- アカウントには現在チェックアウトされているアイテムがありません。
- それ以外の場合、顧客が望む限り、ライブラリリソースを使用し続ける限り、顧客アカウントはSierra内に残ります。
公共のコンピューター予約システム(RAC)
- Reserve-A-Computerシステムは、当社のVMware環境内に存在する独自のクライアント/サーバーデータベースです。 すべてのパブリックコンピューターは、セッション時間を管理し、セッションが終了したときに顧客をログアウトするローカルクライアントを維持します。 ユーザーインデックスが作成されます RAC サーバーが、ユーザーを特定のセッションまたはIPアドレスにリンクしません。 このインデックスは公開されていません。 含まれる情報は、名前、図書館カード番号、およびPINに限定されます。 これらは、ILSの停止またはネットワークの中断が発生した場合にコンピューター予約システムの高可用性を維持するために必要です。 ユーザーがセッションからログアウトすると、すぐにすべてのPIIがシステムから削除されます。 時間と期間のみをリストする(PIIなし)予約統計は、XNUMXか月間システムに残ります。 ブランチごとの予約数に関するレポートは、ライブラリイントラネットにリストされています。
- の管理 RAC データベースは、管理権限を持つLITの少数の個人に限定されます。 一般スタッフが利用できるレポートがいくつかあり、将来の予約を変更したり、現在の予約のステータスを確認したりできますが、図書館スタッフは、 RAC.
- RAC サーバーのOSとシステムの状態は48時間ごとにバックアップされます。 これらのバックアップは30日間保持されます。 これらのバックアップにはPIIは含まれていません。
パブリックコンピュータ-ローカルStor年齢
- SJPLの予約可能な公共コンピュータは、お客様が使用できる比較的オープンなデスクトップ環境を提供します。 このレベルの自由は、アクセスしたWebサイトからの悪用にさらされる可能性がありますが、データが残っているためではありません。torワークステーションでローカルに編集されました。 個々のコンピューターセッションの終了時に、Reserve-A-Computerプログラムによって再起動が強制されます。 すべてのパブリックコンピューターは、コンピューターを再起動するたびに、お客様が行ったすべての変更を消去します。 彼のローカル検索はありませんtory顧客がワークステーションを離れた後に利用可能なレコード。
- 彼のtoryはローカルに存在し、ライブラリの従業員はPIIまたはローカルにアクセスできません。tor顧客または顧客の活動を識別するedトランザクションログ。
OrangeBoy / Savannah
- OrangeBoyは、学校や図書館にスケジューリングとリソース分析を提供するクラウドサービスベンダーであり、顧客サービスと満足度を向上させることができます。 彼らはtoreこのデータは、データセンター内のオフサイトで独自の形式で提供されます。 LITは、からの使用状況レポートを提供します RAC、スタッフのスケジューリングデータ、レポート管理レベルのWi-Fi管理コンソールへのアクセス。 OrangeBoyは以前から予約レポートを取得していました RAC、ただし、予約データはSJPLのビジネス要件の一部ではないと判断されたため、toreその情報はもうありません。 使用状況データはたくさんありますが、PIIは含まれていません。
- この情報に誰がアクセスできるかは、OrangeBoy、Inc.が保持しています。
- OrangeBoyは、続きの最後にデータを削除する義務がありますracSJPLでt。
Active Directory
- ライブラリはMicrosoftActiveDirecを使用していますtory 2012R2 のディレクトリtor組み合わせたyサービス San José Public Library ドメインの権利と認証、ドメインリソースへのアクセス、およびセキュリティポリシーの集中管理を提供するサンノゼ州立大学図書館(SJSU)インフラストラクチャ。 SJPLはサンノゼ市に属する部門ですが、市のドメイン構造とは別のドメインインフラストラクチャがあり、3000つのドメイン間の関係を共有していません。 SJPLは、600以上のCity顧客アカウントと1000 Cityワークステーションおよびサーバーアカウントを含む約XNUMXのドメインオブジェクトを保持しています。
- 現在、公開データや顧客データはありません。torActiveDirecで編集tory.
- スタッフの顧客情報torActiveDirecで編集tory(AD)には、顧客の名前、役職、オフィスの場所、勤務先の電話番号、市の人事システムにのみ関連する顧客の市職員IDなどの仕事関連の情報のみが含まれます。 ライブラリのADディレクトリの統合はありませんtoryは、HRシステムの情報に準拠しているため、担当者の個人情報には、個別のアクセス資格情報を使用してHRシステムからのみアクセスできます。
- ADのアクセスと管理は、ドメイン管理者の役割で指定された特定の個人に限定されますtorsとアカウントOperators、彼らが方向を維持することを可能にするtoryサービス。
- ActiveDirectory情報は、各スタッフの雇用期間中保持されます。 終了すると、アーカイブされた市所有のデータに確実にアクセスできるように、顧客アカウントは3〜6か月間無効になります。 市が所有するデータが不要であることが確認されるか、データが安全にアーカイブされると、顧客アカウントは削除されます。 コンピュータアカウントは、物理ハードウェアがシステムから削除されるとすぐに削除されます。
ASAログ
- SJPLのファイアウォールのトランザクションログは、サーバーVLAN内のファイルサーバーにあります。 これらのログにはPIIがありませんが、サーバーファームで他のXNUMXつの形式のデータと組み合わせて使用すると、予約可能なパブリックコンピューター(wifiの顧客ではない)の顧客は、当社に適用されるXNUMX日間の保存期間中に識別できます RAC サーバーログ。
- ASAログサーバーの管理は、管理権限を持つLITの少数の個人に制限されています。
- ASAログはtor14日間編集した後、廃棄しました。
パートナー組織
サンノゼ州立大学
- San José Public Library サンノゼ州立大学とのパートナーシップを維持し、主要な図書館の建物を共有しています。 SJSU ITSは、SJPL、そのパスワード、または個人を特定できる情報について顧客データベースにアクセスできません。 ただし、Dr。Martin Luther King Jr. Main Library(MLK)のインターネットサービスプロバイダー(ISP)として機能します。 そのため、SJSUには、MLKからのすべてのインターネットトラフィックを記録する機能があります。
- SJSU ITSは、MLKのパブリックwifiシステムも維持しています。 MLKのすべてのスイッチとWAPの制御を保持し、すべてのワイヤレストラフィックをログに記録して、任意のレイヤー2(MAC)アドレスにリンクする機能を備えています。
- ファイアウォールゲートウェイのログに保存されている情報にアクセスできる顧客のリストはSJSU ITSのみが知っていますが、SJPLと同じ基準の対象であり、家庭教育の権利とプライバシー法で規定されている法的責任に拘束されます。
サンノゼ市
- 図書館は、サンノゼ市のネットワークとの一方向の暗号化されたVPN接続を維持し、図書館の従業員に市のリソースへの中断のないアクセスを提供します。 この接続を通過する公開情報はありません。また、非図書館の市職員は図書館データにアクセスできません。
セニック
- CENICは、すべてのブランチライブラリインターネットトラフィックのISPです。 それらのロギングおよびデータ保持ポリシーは、SJPLの制御を超えています。 組織としてのCENICは個人の顧客データにアクセスできませんが、NATによってすべてのインターネットトラフィックをログに記録することができます。 各ブランチライブラリには、wifiネットワークVLAN、パブリックコンピュータVLANなどのサービス専用の複数のNATが含まれています。データの場所torCENIC内で編集されるのは、それにアクセスできる顧客のリストと同様に、専有情報です。
- CENICは、SJPLに割り当てられたすべてのインターネット向けIPアドレスの指定デジタルミレニアム著作権法(DMCA)エージェントです。 これは、著作権侵害が発生した場合、CENICはオンラインサービスプロバイダー(OSP)、この場合はSJPLに侵害の申し立て通知を通知する法的責任を負うことを意味します。 米国図書館協会の弁護士は、図書館がセクション512で確立されたセーフハーバーの恩恵を受けるためにカテゴリを広く解釈することを提案しています。詳細な顧客ログはSJPLのビジネス要件の一部ではないため、個々の顧客を送信元IPアドレス。 顧客がWifiに「同意」して接続するか、公共のコンピューターにログインするときに表示される利用規約に、使用言語が含まれています。 そのため、セクション512のセーフハーバーが適用されます。
ALAチェックリストの項目
- すべてのネットワークおよびアプリケーション通信で、安全なアルゴリズムを使用してすべての顧客データを暗号化します。
- 現在、ネットワークの一部は物理的に分離され、論理的に分離されており、一部のクライアント/サーバー接続は暗号化されていますが、すべてのネットワークトラフィックは現在暗号化されていません。 (作業が必要)
- 彼のパージ検索toryは定期的に、理想的には個々のコンピュータセッションが終了したときに記録します。
- 個々のコンピュータセッションの終了時に、Reserve-A-Computerプログラムによって再起動が強制されます。 すべてのパブリックコンピューターは、コンピューターを再起動するたびに、お客様が行ったすべての変更を消去します。 彼のローカル検索はありませんtory顧客がワークステーションを離れた後に利用可能なレコード。 (達成)
- 最小限のセキュリティを確立するpracデバイスとサービスの目盛り。
- 図書館ITのセキュリティは最小限ですpracすべてのサーバー、ワークステーション、データベース、サービス、およびネットワーク機器の目盛り。 (達成)
- デフォルトのパスワードを変更します。
- ネットワークにインストールされているシステムのすべてのデフォルトパスワードを変更することは、LITのポリシーです。 ただし、一般的なアカウントで使用されるパスワードは、多くの場合、スタッフによって長期間にわたって残され、同じタイプの脆弱性を生み出します。 (作業が必要)
- スーパーカスタマーアカウント(つまり、rootまたはadministra)へのリモートアクセスを無効にしますtor).
- ライブラリは、リモートアクセスにスーパーカスタマーアカウントを使用しません。 Innovative Interfaces、Inc。は、独自のバージョンのスーパーカスタマーを使用してSierraにリモートでアクセスしますが、これは業界標準のpです。ractice。 (達成)
- 安全で検証済みのソースを使用して、すべてのソフトウェアを最新の状態に保ちます。
- サードパーティのソフトウェアは、事前承認されたソフトウェアパッケージと業界標準の更新方法のみを使用して、すべてのパブリックコンピューターを更新するために使用されます。 Windowsの更新は、Microsoft Update Servicesを介して行われます。 コンピューターイメージの変更はグループ作業であり、エンジニアおよび管理レベルでの監視が必要です。 (達成)
- 顧客情報へのアクセスを許可するサービスへのすべてのクライアント接続に認証を要求します。
- 認証は、顧客情報へのアクセスを許可するサービスへのすべてのクライアント接続に必要です。 (達成)
- クライアントが必要なアクセス、つまり最小特権モデルのみに制限します。
- クライアントのアクセスを必要なものだけに制限することは、常にLITのポリシーでした。 Sierraおよび他のすべてのクライアント/サーバーデータベースの場合、最小特権モデルはLITによる業界標準に従って展開されます。 パブリックワークステーションの場合、最小特権モデルは、削除および復元するツールを利用することによって実現されますtore各カスタマーセッション後のHDからのすべての「変更ブロック」。 したがって、インターネットを介してデジタル情報にアクセスして操作する顧客の能力は、比較的妨げられていません。 (達成)
- サポートされている場合、サーバーとクライアントの相互認証を有効にします。
- SJPLによってデプロイされたほとんどのシステムは相互認証をサポートしていませんが、この点に関するオプションを検討するのに十分なサービスが提供されます。 (作業が必要)
- 可能であれば、oauthなどの安全な認証標準を使用してください。
- これはSJPLで展開されていませんが、公共サービスのサードパーティ認証の実現可能性は疑わしいです。 XNUMXつの解決策は、暗号化されたVPNトンネルを展開する現在の計画の代わりに、Sierraへのリモートアクセス用にこのサービスを提供することです。 (作業が必要)
- ローテーションと保持、収集されるデータの種類、顧客のプライバシーへの影響をカバーするデバイスとサービスのロギングポリシーを実装します。
- この目標/目標のパラメーターの明確な定義が必要です。 ただし、LITは保持やローテーションのすべての側面を記録するわけではありません。 (作業が必要)
- 顧客のアクセス制御またはsudoプログラムを使用して、管理者権限を許可された個人に制限します。
- SJPLには、ライブラリが機能できるようにする多数のシステムとサービスがあります。 ライブラリのビジネス要件にリンクされた、またはデジタル情報を維持するすべてのシステムは、LITによって、または場合によっては管理部門(アクセス、技術サービスなど)によって一元管理されます。 (達成)
- デバイスとサービスのセキュリティを強化します。
- この目標には少しのコンテキストが必要ですが、LITは、私たちが一般に提供するすべてのデバイスのセキュリティを強化することを優先事項にしています。 セキュリティ強化の問題は、プライバシーの保護に反するログや制限が必要になることが多いことです。 たとえば、顧客が自分の資料を削除できる場合、その顧客のワークステーションの許可レベルが高くなり、ワークステーションがマルウェアに追加された脆弱性にさらされることになります。 (達成)
- デバイスで実行されている無関係なサービスを無効にします。
- Windowsサーバーおよびワークステーションで不要なサービスを無効にすることは、常にLITのポリシーでした。 不要なサービスがすべて無効になることを保証しません。 一部(Microsoft .NETフレームワークなど)はパフォーマンスを向上させますが、技術的に無関係です。 (達成)
- サービスのインスタンスごとに一意のパスワードを要求します。
- 「サービス」の定義に応じて、この目標を達成したかどうかは不明です。 すべてのSJPLデータベースは単一インスタンスサーバー上にあるため、デフォルトでは一意のパスワードを持ちます。 (達成)
- パスワードの長さ、形成、および期間を指定する強力なパスワードポリシーを実装および実施します。 ランダムに生成されたパスワードの使用を検討してください。
- 図書館がMLKをオープンして以来、スタッフの認証にパスワードの複雑性ルールが導入されています。 これらはすべての内部データベースに適用されますが、Sierraで使用されるものを含む独自のデータベースには適用されません。 LITは、すべてのSierra顧客アカウントに複雑さのルールとパスワードの有効期限を組み込むプロセスを進めています。 (作業が必要)
- 顧客情報を含むクライアントアプリケーションとサーバーアプリケーション間のデータ通信を暗号化します。
- 顧客情報を含むインターネット上で行われるすべてのトランザクションは、2048の秘密キーで暗号化されます。 データベースとアプリケーションサーバー間の内部通信も暗号化されます。 ただし、ライブラリは現在PCIに準拠していません。これは、この推奨事項のすべての要件を満たすために必要な標準です。 (達成)
- 可能な場合、デフォルトで暗号化を要求するようにサービスを構成します。つまり、暗号化されていない接続を許可しません。
- SJPLが利用するほとんどのWebサービスは独自仕様であり、各ベンダーの支配下にあります。 LITサービスに関する限り、ウェブサイトのみが強制暗号化を利用しています。 (作業が必要)
- サービスが暗号化をサポートしていない場合(SIP2など)、SSHトンネルやVPNなどの暗号化されたトランスポートを使用します。
- SJPLは、各SierraクライアントやAMHデバイスに対してVPNトンネリングを利用しません。 前述のように、ここではPCI準拠が標準であり、SJPLには現在PCI準拠のネットワークはありません。 PCIコンプライアンスは、17/18年度後半に開始するプロジェクトリストに含まれています。 (作業が必要)
- 保管中の機密データ(データウェアハウス、アーカイブ、テープ、オフサイトバックアップなど)を暗号化する
- テープライブラリまたはオフサイトに保存されているすべてのデータは完全に暗号化されます。 (達成)
- Store最新のベストpを使用するアプリケーションのパスワードrac暗号化のための目盛り(つまり、ハッシュとソルト)。
- すべてのパスワードtorActiveDirecで編集toryとSierraは提案された基準を満たしています。 (達成)
- すべてのリモートアクセス(SSHを含む)は、パスワードではなく安全なキーを使用する必要があります。
- 現在、暗号化を使用したVPNはリモートアクセスには必要ありません。 LITは、これらのキーを新しいファイアウォールにインストールするプロセスにあります。 (作業が必要)
- キーは2048ビット以上である必要があり、4096ビットが望ましいです。
- ライブラリは、続きの下で、In-Commonからすべての証明書を取得しますracカリフォルニア州立大学と。 使用されているものはすべて2048ビットですが、2048ビットを超える暗号化キーはありません。 (達成)
- 非推奨または安全でない暗号を許可しないでください。
- SJPL暗号化キーは更新されません。 有効期限が切れるとすべて破棄され、置き換えられます。 (達成)
- 秘密キーが安全であることを確認します(サブキーを使用し、マスターキーを非常に安全に保ちます)。
- すべての秘密鍵はsですtorIn-Commonによってオフサイトで編集されました。 SJPLは、管理コンソールを介してリモートでそれらにアクセスできます。 ローカルで利用できるものはありませんtoredデータ。 (達成)
- 定期的にキーを回転させ、侵害された場合にそれらを無効にする準備をします。
- SJPLは、有効期限が切れるとすべてのキーをローテーションします。 時間の長さはさまざまですが、XNUMX年が標準です。 (達成)
- デバイスとサービスで採用されているプロトコルを確認します。
- すべてのプロトコルのレビューは長く、このドキュメントの範囲を超えます。 ただし、推奨されるALAガイドラインに従って、LITは常にプロトコルとpを維持するように努めてきました。rac標準、確立、およびオープンの目盛り。 すべてのネットワークモニtoringは、Linuxベースのサーバー上のオープンソースツールを介して行われます。 (達成)
- オリジン認証、オリジンの否認防止、レシートの否認防止、および暗号署名またはハッシュを使用したペイロードの検証を含むデータ整合性をサポートします。
- 無し
- 侵入テストツールを使用して、デバイスとサービスのセキュリティを確認します。
- この図書館は、サンノゼ市またはカリフォルニア州立大学のいずれかによる年XNUMX回のセキュリティ監査に相当します。 これらの監査の結果は常に満足のいくものでしたがtory、過去XNUMX年間に、外部のセキュリティベンダーによって実施された外部監査はXNUMX回だけです。 今後のPCIコンプライアンスプロジェクトの一環として、追加の個人的に実施されるセキュリティ監査が実施されます。 LITは、徹底的な内部侵入テストを実行する方法を最新に保つために、追加のトレーニングを必要とします。 (作業が必要)
- ライブラリ制御下にあるすべてのサービスが安全であることを確認してください。
- これは図書館情報技術局の最優先事項です。 年にXNUMX回のトレーニング、インターネット調査、ピアレビュー、定期的なアップグレードを通じて、可能な限り安全な環境をお客様に提供するために日々取り組んでいます。 ただし、インターネットに接続されている場合、完全に安全な組織はありません。 仕事は常にそこにあります。 (作業が必要)
- 既知のエクスプロイトを常に認識し、修正します。
- 可能な限り、LITにはエクスプロイトに対するプロアクティブな調整のポリシーがあります。 それらは数千にのぼり、毎日変わります。 絶え間ない努力と努力が必要です。 インターネットに接続されている組織は、完全に安全ではありません。 (作業が必要)
- ソフトウェアとアプリケーションを最新の状態に保ちます。
- 推奨番号6を参照してください(完了)。
- モニtor 侵入をログに記録し、定期的なセキュリティ監査を実行します。
- モニに追加の措置は取られていませんtor 侵入検知ソフトウェアは常にmoniに対して実行されますが、侵入のセキュリティログtor ネットワークゲートウェイ。 (作業が必要)
- 定期的なバックアップを実行し、災害復旧計画を立てます。 バックアップは、データ保持に関するポリシーに従う必要があることに注意してください。
- LITは、VDPイメージの形式ですべてのサーバーの夜間バックアップを実行します。 データをディスクにバックアップするには、オープンソースのバックアップクライアントが利用されます。 完全なデータバックアップも週に一度オフサイトに送信され、XNUMX週間保持されます。 (達成)
- 災害復旧計画は準備されていますが、現時点ではコロケーションは含まれていません。 コロケーションサイトの開発が進行中です。 (作業が必要)
- SSL / HTTPSの最新のセキュリティプロトコルを使用して、クライアントアプリケーション(Webブラウザー、電子書籍リーダー、モバイルアプリなど)とサーバーアプリケーション間のすべてのオンライントランザクションを暗号化します。 サーバーアプリケーションとサードパーティのサービスプロバイダー間の通信は暗号化する必要があります。
- ライブラリのカタログとデータベースサーバー間の通信は暗号化され、ライブラリのWebサイトとその顧客間のすべての通信も暗号化されます。 (達成)
- LITは、サードパーティベンダーがログイン時に顧客に提示するものを制御できませんが、すべてのベンダーが顧客とのトランザクションを暗号化できるようにするワイルドカード証明書が適用されています。 クライアントデータベースおよびトランザクションへのベンダーリンクも、SIP2を介してパスワードで保護されています。 この接続には作業が必要ですが、顧客のプライバシーを保護するために多大な努力が払われています。
- Store最新のベストpを使用した顧客パスワードrac暗号的に安全なハッシュを使用した暗号化の目盛り。
- ActiveDirecのすべてのパスワードtoryとSierraは提案された基準を満たしています。 (達成)
- オフサイトに格納されている個人を特定できる情報と顧客データ(クラウドベースのインフラストラクチャ、テープバックアップなど)が暗号化されたものを使用していることを確認しますtor年齢。
- すべてのオフサイトバックアップは、オフサイトに転送される前に暗号化されます。 SJPLはIIIと「ソフトウェアのみ」の関係を維持しているため、個人を特定できる情報はありません。torクラウドベースの環境で編集。 (達成)
- 災害復旧計画の一環としてコロケーションセンターを作成するには、一部のPIIをクラウドベースのDRサイトに転送する必要がある場合があります。 そのような状況が発生した場合、必要なすべての予防措置が講じられます。
- トゥーフェイスの可能性を探るtor 認証を行い、可能であれば実装します。
- いくつかの検討の後、multi-factor SJPLでは認証が展開されていません。 すべての顧客がモバイルデバイスや電子メールにさえアクセスできるわけではないため、MFAは顧客の自分の情報へのアクセスを妨害する可能性があります。 (達成)
- オフラインデータバックアップを暗号化して、権限のない人によるアクセスを防ぎます。
- すべてのオフラインバックアップは、ディスクにコピーされるときに暗号化されます。 バックアップはすべて、オフサイトに転送される前に暗号化されます。 (達成)
- ILSアプリケーションと基盤となるサーバーソフトウェアを最新の状態に保ち、セキュリティの脆弱性の影響を軽減します。
- Library ITは、必要に応じてILSバージョンを更新します。 この記事の執筆時点では、SJPLにはSierraの最新バージョンがあります。 通常、新しいバージョンはすぐに適用されるわけではないため、成熟する時間があります。 (達成)
- ILSにより、Sierraの提供に使用されるオペレーティングシステムをアップグレードできない場合があります。 SJPLでは、ILSベンダーの制限により、RH ver 6.9にSierraがロードされています。 私たちのバージョンは、業界標準プロセスに従って最新の状態に保たれています。
- Store適切な暗号化ハッシュ関数を使用して安全な方法ですべてのパスワード(顧客とスタッフ)。 現時点では、bcrypt以上が適切な基準です。
- ILSパスワードに使用される暗号化方式は業界標準として認められており、推奨される基準を満たしていますが、独自の性質により、正確な暗号化方式が不明です。
- ActiveDirectoryパスワードは、このドキュメントの推奨基準を満たしています。 (達成)
- ILSサーバーと安全なLAN外のクライアント接続間のすべてのトラフィックを暗号化します。 たとえば、VPNを使用して、ブランチライブラリのチェックアウトステーションのインターネットを介したメインライブラリのILSサーバーへの接続を暗号化します。
- 顧客情報を含むインターネット上で行われるすべてのトランザクションは、2048の秘密キーで暗号化されます。 データベースとアプリケーションサーバー間の内部通信も暗号化されます。 ただし、ライブラリは現在PCIに準拠していません。これは、この推奨事項のすべての要件を満たすために必要な標準です。
- LITは、クライアントアクセスオフサイトの暗号化されたVPN接続を作成中です。 (作業が必要)
- ネットワークおよびILSサーバーの定期的な監査を実施して、不正アクセスを防止するための合理的なセキュリティ対策が講じられていることを確認します。
- この図書館は、サンノゼ市またはカリフォルニア州立大学のいずれかによる年XNUMX回のセキュリティ監査に相当します。 これらの監査の結果は常に満足のいくものでしたがtory、過去XNUMX年間に、外部のセキュリティベンダーによって実施された外部監査はXNUMX回だけです。 今後のPCIコンプライアンスプロジェクトの一環として、追加の個人的に実施されるセキュリティ監査が実施されます。 (達成)
- 権限のない当事者へのデータ侵害を処理し、顧客への影響を軽減する手順を作成します。
- 権限のない者へのデータ侵害を処理するための、既存の綿密なプロセスまたは手順はありません。 LITで適切な対応に関する調査が開始されましたが、正式な手順は作成されていません。 (作業が必要)
- アナログサイネージやスプラッシュスクリーンを使用して、プライバシー関連の情報など、ライブラリのネットワークおよびWi-Fiアクセスポリシーを説明します。
- すべての公共のコンピューターには、SJPLでの公共のコンピューターの使用に関する限られた利用規約を含むログインページがあります。 Wi-Fi接続のウェルカムページには、同じ種類の言語が含まれています。 アナログサイネージは、ライブラリ全体に存在し、の使用に関する指示を提供します RAC コンピューター。 ただし、これらのすべての形式の言語は、新しい問題が発生したときに対処するために定期的に見直す必要があります。 (達成)
- ライブラリがWi-Fiの顧客に提供するプライバシーレベルと利便性についてポリシーを決定し、トラフィックの傍受や安全でないネットワークのその他のリスクについて顧客に適切に警告します。
- この会話は継続しており、永続的に継続されます。 LITは、標準コンピューターのイメージを再作成するか、サービスの追加を検討するたびに、顧客のニーズと懸念に対応するための調整を行います。 これには常に作業が必要です。 (作業が必要)
- パブリックコンピュータをセットアップして、ダウンロード、保存されたファイルを削除し、tory、および個々の顧客セッションからのその他のデータ。
- 個々のコンピュータセッションの終了時に、Reserve-A-Computerプログラムによって再起動が強制されます。 すべてのパブリックコンピューターは、コンピューターを再起動するたびに、お客様が行ったすべての変更を消去します。 ダウンロードまたは保存されたファイルはすべて上書きされ、コンピューターから削除されます。 同じことが彼のすべてに当てはまりますtoryファイル。 彼のローカル検索はありませんtoryまたは彼の閲覧tory顧客がワークステーションを離れた後に利用可能なレコード。 (達成)
- すべての公共のコンピューターでウイルス対策ソフトウェアを使用します。 ウイルス対策ソフトウェアがインストールされており、スパイウェアおよびキーロギングソフトウェアをブロックできることを確認します。
- すべての公共のコンピューターには、複数のソースからの定義ファイルを利用するウイルス対策/マルウェア対策ソリューションが搭載されています。 これにより、AVソフトウェアは新しいマルウェアまたは変異したマルウェアを検出する可能性が高くなります。 スパイウェアやキーロギングソフトウェアから保護します。 また、LITは、お客様のUSBフラッシュドライブからの偶発的なファイル送信を防ぐための追加手段として自動実行を無効にしました。 この後者の措置は、ランサムウェアに対する最初の防御線としても機能します。 (達成)
- コンピューターの使用に関するコンピューター予約管理システムレコード、印刷管理レコード、またはILSレコードは、不要になったときに匿名化または破棄するようにしてください。
- コンピューター予約管理システム(RAC)最初の予約からXNUMX日後に個人を特定できる情報を破棄します。 印刷管理レコードにはPIIが含まれていません。 ILSデータベースには、コンピューターの使用に関する詳細は含まれていません。 (達成)
- 不要になったネットワークアクティビティのトランザクションログを匿名化または破棄します。
- すべてのネットワークアクティビティログは14日後に破棄されます。 (達成)
- セキュリティリスクと欠陥のデジタル検査、未知のデバイスの物理検査など、すべてのパブリックコンピューターで定期的なセキュリティ監査を実行します。
- すべてのパブリックコンピューターのパフォーマンスとセキュリティリスクと欠陥の継続的な分析があり、必要に応じてイメージが更新されます。 各セッションの終了後、コンピューターのハードドライブに変更が残っていないため、ほとんどのリスクが軽減されます。
- 物理的な検査は、MLKのLITスタッフと各支店の図書館スタッフによって毎日行われます。 これらの検査の徹底は議論の余地がありますが、現在までに疑わしいデバイスや未知のデバイスは発見されていません。 (達成)
- パブリックコンピュータにプラグインをインストールして、サードパーティを制限します。racキング、プライベートブラウジングモードを有効にし、HTTPS接続を強制します。
- プライベートブラウジングモードはすべてのパブリックコンピューターで有効になっていますが、必須ではありませんtoryカタログコンピュータを除く。 カタログマシンは予約できず、インターネットの閲覧には使用できません。
- ウイルス対策/マルウェア対策ソフトウェアを除き、SJPLはプラグインを使用してサードパーティを制限しません。racキング。
- SJPLは、ライブラリリソースにアクセスする場合を除き、パブリックコンピューターからのhttps接続を強制しません。 (作業が必要)
- インストール Tor 顧客のプライバシーオプションとして公共のコンピューターのブラウザー。
- 現在提供していません Tor ブラウザーは公共のコンピューターにプレインストールされていますが、お客様はセッション中は自由にインストールできます。 (達成)
- ファイアウォールにマルウェアブロック、広告ブロック、およびスパム対策機能をインストールします。
- ライブラリのネットワークのゲートウェイポイントにある現在のファイアウォールには、レイヤー7フィルターがインストールおよび構成されています。 レイヤー7で適用されるルールは、ALAの推奨事項を満たしている場合と満たしていない場合があります。 (達成)
- ネットワークをセグメント化して、スタッフのコンピューター、公共のコンピューター、およびワイヤレスの顧客を独自のサブネットに分離します。
- すべてのブランチには、スタッフ、パブリック、およびwifiのお客様用に個別のVLANがあります。 MLKについても同じことが言えます。 (達成)
- 公共のコンピューター上のアプリケーションおよびオペレーティングシステムが、ソフトウェア発行者とのアクティビティデータの自動共有を無効にしていることを確認してください(エラーレポートなど)。
- これらの機能はインストール時に無効になりましたが、お客様はセッション中に変更を加えることができます。 (達成)
行動計画
図書館情報技術局は、作業または注意を必要とするほとんどの推奨事項に対処するために、以下のプロジェクトに取り組むことを推奨しています。 完全に安全な公共環境を提供することは不可能であると認識していますが、前進するにあたり、次の行動が先例をとるべきだと感じています。
- リサーチTracキングプラグイン
次のような製品に似たプラグインをインストールする可能性を判断する Privacy Badger 第三者が埋め込みスクリプトまたはCookieを介してデータを収集するのを防ぐことにより、顧客のプライバシーを強化します。 完了予定:17年18月期、第4四半期 - データ侵害対応ポリシー
LITは、将来のデータ侵害に対する図書館の対応に対処する公式ポリシーを作成するために、管理スタッフおよびエグゼクティブスタッフと協力する必要があります。 完了予定:17年18月期、第4四半期 - リモートアクセス用の暗号化されたVPN
L2TP(分)に匹敵する暗号化を必要とするVPNソリューションをインストールして構成します。 マルチフェイスを含める可能性を調査するtor 認証。 完了予定:FY 18/19:Q1 - セキュリティ監査RFQ
脆弱性テストとネットワークセキュリティの定期監査を実施するために、外部エンティティのサービスの見積もりを募集します San Jose Public Library。 完了予定:18/19年度、第1四半期 - 部門全体のPCIコンプライアンス
可能な場合はネットワークコンポーネントを再設計し、必要に応じて新しいデバイスをアップグレードおよびインストールして、部門全体のPCI準拠ネットワークを作成します。 これにより、あらゆる場所からオンサイトで安全に支払いを行うことができ、ALAが推奨する基準を満たすために必要な多くの変更が強制されます。 完了予定:18/19年度、第4四半期
マーケティングおよびコミュニケーションのプライバシー監査
マーケティングとコミュニケーションの概要
San José Public Libraryのマーケティングおよびコミュニケーション部門は、さまざまな方法で顧客情報とやり取りします。 部門は維持と監視を担当していますtorTwitter、NextDoor、Facebook、Flickr、YouTube、Snapchat、Instagramなどのさまざまなソーシャルメディアアカウントを使用します。 また、図書館コンテストや図書館の共有を通じて情報の収集を監督しています。tories。 お客様が写真を撮られると、モデルリリースフォームを通じて個人情報が取得され、写真を公開する許可が得られます。 当部門は、外部メディアからの情報の要求もすべて処理します。 顧客情報はどのメディアエージェンシーにも公開されません。 最後に、メールマガジンを使用して図書館の顧客に定期的に更新を送信します。
どのような情報が収集されますか?
収集して統合するract顧客からの個人を特定できる情報を使用して、通常の業務を遂行します。 収集される情報は次のとおりです。
- 名前
- ご年齢
- 住所
- 電話
- メール
- ホーム図書館支店
- 学校
- 職業
- 学年
- ソーシャルメディアのスクリーンネーム
情報はどのように収集されますか?
顧客に関する情報は、モデルリリースフォーム、コンテストの提出、ソーシャルメディア、ニュースレターを通じて収集されます。
モデルリリースフォーム
図書館のスタッフやボランティアは、写真やビデオで簡単に識別できる場合は、顧客から書面による許可を得る必要があります。 モデルリリースフォームは、顧客の名前、年齢、住所、電話または電子メール、および個人の説明を収集します。 これらのフォームは、もともと市のコミュニケーションディレクターによって作成されましたtor。 これらのフォームで収集される情報を、名前、電話または電子メール、および個人の説明のみに減らしたいと思います。 コミュニケーションディレクターとの連絡tor 13年2018月XNUMX日金曜日までに作成されます。
図書館、サンノゼ市、サンノゼ州立大学は、顧客の写真とビデオをプロモーション目的でのみ使用できます。
図書館のウェブサイト
図書館は定期的にコンテストを開催し、個人のtorそのウェブサイトを通じて顧客からのies。 WebチームはDrupalを使用してフォームを作成し、顧客情報がGmailアカウントに送信されます。 お客様は、名前、電話番号または電子メール、住所、ホームライブラリの支店、学校、年齢、学年、および/または職業を入力するように求められる場合があります。
お客様は、メールニュースレターを通じて定期的な更新にサインアップすることもできます。 ニュースレターは Constant Contact.
コンテストと図書館StorIES
当社のウェブサイトを通じて情報を収集することに加えて、図書館の支店はコンテストを促進し、顧客の図書館を収集する場合があります。tor紙のフォームを介して。
ソーシャルメディア
ライブラリは、Twitter、NextDoor、Facebook、Flickr、YouTube、Snapchat、Instagramなどのいくつかのソーシャルメディアアカウントを運営しています。 Webチームとマーケティングチームのメンバーのみがこれらのソーシャルメディアアカウントにアクセスできます。現在、投稿と統合のガイドラインを提供するスタッフ向けのソーシャルメディアポリシーを作成中です。racオンラインで顧客と交流する。 このポリシーはWebチームで作成されており、30年2018月XNUMX日までに完了する予定です。
情報は誰と共有されていますか?
顧客に関する個人を特定できる情報は、同意を得た場合にのみ共有されます。
図書館のウェブサイト
マーケティングおよびコミュニケーションチームとWebチームはどちらも、図書館のWebサイトから送信された情報にアクセスできます。 私たちのチームは、ニュースレターにサインアップするために送信されたメールアドレスにアクセスすることもできます Constant Contact.
モデルリリースフォーム
モデルリリースフォームの情報は、図書館スタッフまたは最初に情報を収集するボランティアのみが閲覧できます。 写真またはビデオが公開されるときに、顧客の名が使用される場合があります。
第三者
コンテストで、賞品を獲得した顧客と直接仕事をする必要がある場合は、名前と連絡先情報を共有して手配します。
ソーシャルメディア
ソーシャルメディアまたは当社のウェブサイトを通じて共有されるコメント、投稿、メッセージは、マーケティング資料で使用される場合があります。 また、新聞などのメディアと共有される場合があります。 お客様は、より多くの情報を共有するための承認が与えられない限り、名のみが識別されます。 図書館では、追加のFacebookデータ分析やターゲット広告は使用されません。
情報はどこにありますかtorエド?
マーケティングコミュニケーション部門によって収集されたすべての紙のフォームはtorキング図書館の施錠されたキャビネットで編集。
デジタル送信は、コンテストの完了時に削除されます。
ライブラリブランチは、収集されたすべてのモデルリリースフォームを維持します。 これらはtorスタッフのみがアクセスできるロックファイルキャビネットで編集。 マーケティングはスタッフにその方法を思い出させますtore資料は1年2018月XNUMX日までに。
コンテストの終わりに、すべてのフォームは細断されます。
情報の長さtorエド?
モデルリリースフォームと収集されたライブラリtoriesは無期限に保持されます。 これは、市の記録保持要件に従います。
コンテストフォームは、コンテスト終了後にスタッフによって細断されます。
ソーシャルメディア情報は無期限に保持され、tor使用されているプラットフォームでのみ編集されます。
Partners in Reading プライバシー監査
Partners in Reading 概要
報告するための機密情報を保持します San José Public Library (SJPL)およびCalifornia Library Literacyサービス。 これも Partners in Reading (PAR)アダルトライトracyサービス、Together We Read(TWR)ファミリーライトracyサービス、ESL、コンピューターおよびオンライン指導、およびカリフォルニア州立図書館(CSL)プログラム、カリフォルニア図書館ライトracyカリフォルニア州立図書館(CLLS)のサービス、 Career Online High School (COHS)。 さらにいくつかの詳細を必要とするCOHSを除き、PARプログラムのすべての参加者から同じ情報を収集します。
どのような情報が収集されますか?
私たちの部門は、すべての学習者および/またはtuと関わるときに、次の情報のいずれかを収集する場合がありますtor:
- 名前
- 住所
- メール
- 電話番号
- 緊急連絡
- 生年月日
- 性別
- 民族性
- 教育的背景
- 雇用/職業
- 図書カード番号
アダルトライトracy学習者は、以下を提供するように求められる場合もあります。
- 第一言語
- 出生国
- 学習障害
- 14歳未満の子供の数
Career Online High School 参加者は以下を提供するよう求められる場合があります。
- 最終学年修了/在学
- 図書カード番号
- 出席した特別教育クラス
性別と民族性はCaliforniaLibraryLiteで要求されていますracy報告のためのサービス。 学歴と雇用は、tuの学習者とのマッチングに特化したPARの記録のためのものですtor重要な関心を持っている可能性のある人。
情報はどのように収集されますか?
顧客は、オンライン、郵送、直接、または電話で摂取フォームに記入することにより、PARプログラムへの参加に関心を示すことができます。 火torは、標準のボランティアフォームとプロセスを使用して情報を提出する必要があります。
PARの受付エリアに入ると、参加者とボランティアはコンピューターラボのサインインシートにサインインします。 これには、名前、ステータスのチェックボックス(学習者、火)が含まれますtor、COHS、またはその他)、日付と時刻の出入り。 現在、このプライベートレコードを維持する方法はありませんが、ドキュメントで使用されているものとよく似たレコードキーパーを使用する予定です。tor情報をはがして専用のデスクシートに置くオフィス。 このアップグレードは3-2017年の第18四半期に予定されています。 また、将来(来年のCLLS予算)には、iPadを使用して参加者にサインインし、受信コンピューターに情報を自動的に記録できるようになるかもしれないと考えています。
情報は誰と共有されていますか?
PARプログラムの参加者に関する情報は、集計データカテゴリのSJPL、CLLS、およびCSLと共有されます。 個人情報は共有されません。
Tutor■アドレス、電子メール、および図書館カード情報を除く、学習者から提供されたすべての情報にアクセスできます。 火torsは、XNUMXつのライトのうちのXNUMXつによって書かれた評価の要約とともに関連情報を受け取りますracyプログラムスペシャリスト。 火torsは、プログラムに参加するときに機密保持契約に拘束されます。
COHSの学生の場合、CSLは個々の学生の情報とデータを共有します Gale Cengage LearningとSmart Horizons、認定カリキュラム、高校卒業証書、プログラムのキャリア証明書を提供する学校。 このCOHS情報は、PAR / COHSプログラムマネージャー、プロジェクトマネージャー、およびサポートスタッフ間でも共有されるダッシュボードに投稿されます。
情報は、PARプログラムでの個人の配置に使用されます。 COHSのために収集された情報は、奨学金の資格を得るために使用されます。 奨学金の対象となるには、各候補者はCOHSのドキュメントに記載されているCOHSガイドラインで指定されている資格を満たしている必要があります。 COHS卒業生の名前は、証明書の署名のためにサンノゼ市長と市司書と共有されます。 卒業生は、卒業式に名前、写真、ビデオを使用するためのリリースに署名します。
情報はどこにありますかtorエド?
PARプログラムの記録は、パスワードで保護されたデータベースに保持され、バックアップにアーカイブされます。tor年齢。 紙の記録はロックファイルに保存されます。 すべてのスタッフはデータベースにパスワードでアクセスでき、新規顧客とその情報に関する入力を提供でき、ロックファイルキャビネット内の情報を検索できます。
COHSプログラムは2016年XNUMX月に開始され、情報はPARデータベースとスプレッドシートに保持およびアーカイブされます。tor共有PARコンピューターで編集。 Gale Cengage Learning、Smart Horizons、およびCSLも、ポリシーと手順が必要とする場合、この情報を維持/アーカイブします。
情報の長さtorエド?
私たちは7年間記録を保持しています。 すべての情報はsですtor彼のために私たちのカスタマイズされたデータベースで編集toricalの目的。 当社のプリンシパルオフィススペシャリストがオフィス運営を担当し、記録の消去をスケジュールします。 紙の記録は7年後に細断されます。
セキュリティプライバシー監査
セキュリティ概要
セキュリティ部門は、 San José Public Library (SJPL)およびサンノゼ州立大学(SJSU)キャンパスのDr. Martin Luther King Jr.ライブラリ。 セキュリティスタッフはサンノゼ市で雇用されており、大学で雇用されている役員と密接に連携しています。 図書館のスタッフと役員は、必要に応じて、非犯罪的および犯罪的、疑わしい行動、顧客行動ポリシーの違反を記録し、停止を処理するための情報を収集および取得します。
情報は、図書館員が親しみやすく平和な公共空間を提供するのを支援するために使用されます。 SJPLは、SJPLの顧客行動ポリシーを順守しない人へのKingライブラリおよび23のブランチへのアクセスを一時停止する場合があります。 収集された情報は、中断書類を完了するために使用されます。
どのような情報が収集されますか?
顧客がSJPLポリシーに違反している場合、標準情報が収集され、インシデントレポートまたは行動ログに含まれます。 収集される情報には次のものがあります。
- 名前
- 生年月日
- 図書カード番号
- 住所
- メール
- 電話番号
- 事件の概要
- 彼のtorSJPLインシデントのy
情報はどのように収集されますか?
情報は、これらの方法のいずれかまたはすべてによって収集されます。
- 図書館利用者に尋ねる
- 図書館スタッフに尋ねる
- ビデオ/カメラ映像
- 静止写真は、SJSUと、閉回路テレビ(CCTV)カメラ、大学警察のボディカメラを使用して図書館の支店から取得するか、写真を一時停止記録に撮ってよいかどうかを利用者に尋ねます。 静止写真は、図書館のスタッフが図書館の利用者を特定するのを支援します。
- CCTVを備えたSJPLブランチには、30日間の保存期間があります。 SJPLは、30日ごとにCCTVリセットビデオ録画を使用して分岐します。 SJSU stor年齢と保持期間は1年です。
インシデントレポートは、インシデントTを使用して完成および提出されますracカー。 インシデントTrackerソフトウェアは、再発する可能性のある犯罪的、攻撃的、および優先度の高いインシデントを文書化します。
行動ログは、オンラインのSharePointフォームを使用して、軽微な違反に対して作成されます。
情報は誰と共有されていますか?
インシデントレポート、行動ログ、および停止書類に含まれる情報は、SJPLスタッフと大学警察のみが利用できます。 図書館の記録は、召喚状、令状、裁判所命令、またはその他の法的文書がない限り、州、連邦、または地方政府の機関が利用できるようにすることはできません。 これらの注文は、正当な理由を示し、適切な形式である必要があります。 私たちはすべての図書館スタッフとボランティアを訓練して、法執行機関の要求を図書館管理者に照会するようにしましたtors.
市の司書および/またはその被指名人のみが、法執行官からの要求を受信または遵守する権限があります。 適切な対応を決定する前に、できる限り弁護士に相談します。
情報はどこにありますかtorエド?
この情報は、SharePointセキュリティページにあります。 SharePointセキュリティページの内容は次のとおりです。
- インシデントTracカー(レポート)
- 行動ログ
- 一時停止文書
- サスペンションパケット
- 控訴
- 中断された図書館利用者情報の再入力
インシデントTracKER
インシデントTrackerは、再発する可能性のある犯罪的、攻撃的、および優先度の高いインシデントを文書化するアーカイブソフトウェアです。 すべてのデータはsですtoredと無期限に保持されます。 インシデントTrackerは、図書館のスタッフがインシデントレポートを電子的に記録し、いつでも表示、照会できるようにするオンラインレポートソリューションです。 インシデントTrackerは、詳細な分析レポートとトレンドグラフを提供し、ワークフローを作成し、自動電子メールアラートを設定することもできます。 スタッフは、ソフトウェアにアクセスするためにログインとパスワードを使用する必要があります。 インシデントTrackerには、ブランチ/ユニットマネージャー、ライブラリアシスタント、SJPLおよびキングライブラリセキュリティスタッフ、およびエグゼクティブリーダーシップチームがアクセスできます。
行動ログ
行動ログは、非犯罪的、非反復的な行動、および顧客行動ポリシー以外のライブラリポリシーの違反を文書化するために使用されます。 スタッフは行動ログを使用して、特定の情報を常に把握するためのクイックリファレンスとして使用されますrac顧客との関係。 行動ログはセキュリティSharePointにあり、SJPLSharePointページから図書館のスタッフがアクセスできます。
停止、異議申し立て、および文書
SharePointの停止、控訴、およびドキュメントフォルダには、過去および現在停止中の図書館利用者に関する情報が含まれています。 これには、すべての一時停止書類、顧客の写真、提供されている書類に関する情報、控訴、空白の一時停止フォーム、顧客行動ポリシー施行規則、および完了した再入国および図書館特権文書の回復が含まれます。
一時停止されたお客様は、一時停止パケットに記載されているフォームを使用して異議を申し立てることができます。 一時停止の申し立てフォームでは、お客様が名前、住所、メールアドレス、電話番号、一時停止を申し立てる理由を説明する簡単な概要、およびresへのリクエストを入力する必要があります。toreライブラリアクセス権限。 記入済みの異議申し立てフォームは、SJPL、キングライブラリセキュリティスタッフ、または支店/ユニットマネージャーに提出されます。 その後、フォームは、図書館管理責任者と調整し、上訴審理をスケジュールするために部門マネージャーを割り当てられた管理サポートスタッフにすぐに渡されます。
ヒアリングの日付/時間/場所は、異議申し立てフォームを受け取ってからXNUMX営業日以内に顧客に郵送またはメールで送信されます。 すべての控訴審は、キング図書館で開催されます。 停止された顧客、上級警備員、証人、および割り当てられた部門マネージャーは、私的聴聞会に出席する必要があります。 ヒアリングの結果は管理サポートスタッフに転送され、スタッフがコピーを顧客に送信します。
停止された顧客の写真は、スタッフのワークルームに投稿でき、図書館のスタッフとボランティアのみが閲覧できます。 写真は、上級警備員の要請により投稿されています。 投稿には、停止された顧客の写真と停止の理由が含まれます。 これらの投稿は、図書館のスタッフまたは利用者に安全上のリスクをもたらし、その支店を訪れる可能性が高い、またはその場所で事件が発生した場合に限られます。
情報の長さtorエド?
インシデントTracカーデータ、行動ログ、および一時停止/異議申し立てドキュメントはtor無期限に編集
スタッフのワークルームに投稿された写真は、最低12か月間保管され、その後細断されます。
SharePointセキュリティページは、アクセスを改善するために継続的に更新されます。 犯罪以外の違反および12か月以上前のインシデントは、「Old Suspensions」フォルダに移動されます。 10年以上前の刑事違反は、「古い一時停止」フォルダに移動されます。 写真を含む停止、控訴、記録の現在の保持期間は審査中です。
技術サービスのプライバシー監査
技術サービスの概要
テクニカルサービスは収集しません、内線ract、または図書館の顧客の個人を特定できる情報を共有します。 すべてのデータ内線racベンダーに提供されるか、ベンダーと共有されるのは、材料の流通と識別のみに関連しています。
どのような情報が収集されますか?
collectionHQ
テクニカルサービスは毎月のデータ拡張を実行しますracBaker&Taylor'sへのt collectionHQ。 データポイントが添付されており、チェックイン日とチェックアウト日が含まれています。 すべての情報内線ractedは、Bibliographic、Item、またはAuthorityフィールドにあります。 古い内線ractsは新しい内線の後に削除されますractsが実行されます。
Sierraへのベンダーアクセス
Sierraへのアクセスは、カタログと注文および請求情報の交換に制限されています。 すべてのアクセスにはログインが必要であり、そのログインに対する許可は、作業を完了するために必要な限られたタスクに制限されています。 ログインと権限は、LITまたはInnovativeによって設定されます。
ALAチェックリストの項目
- 内線に関するポリシーと手順を作成するrac、stor年齢、および社内または継続のためのILSからの利用者データの共有racサードパーティによる使用。
- テクニカルサービスは拡張されませんract、store、または利用者データを共有します。 (達成)
- 内線へのアクセスを制限するrac適切なスタッフにts。
- 制限が設定されている(完了)
- ポリシーには、内線の廃棄/削除を含める必要がありますracTS。
- テクニカルサービスはすべての内線を削除しますrac新しい内線を送信する時点でのtsrac月単位でts。 (達成)
ボランティアサービスのプライバシー監査
ボランティアサービスの概要
ボランティアサービス部 San José Public Library 応募者を選別するために、応募時にボランティアから情報を収集します。trackのボランティアの貢献、および図書館に貢献したボランティアの数とボランティアの時間を報告します。
どのような情報が収集されますか?
私たちの部門は、図書館システムにボランティアを処理するために、個人を特定できる情報を収集します。 収集された情報により、図書館はボランティアの身元調査を行い、ボランティアの調整を支援することができます。tor■さまざまなタスクにボランティアを割り当てる際の支部、およびVolunteer Away YourFinesイベントの場合。 通常の業務を遂行するために必要な情報のみが収集されます。 収集される個人情報には、次のものが含まれます。
- 氏名
- 生年月日
- 送り先
- メール
- 電話
- 年齢層(13歳以上、15歳以上、18歳以上、21歳以上、または50歳以上)
- 言語能力
- 緊急連絡先情報
- 雇用者
- 学校
- 教育の最高レベル
- 図書カード番号
- 免除される罰金の額
情報はどのように収集されますか?
情報はさまざまなソースを通じて収集されます。
オンラインボランティア申請
進行中のすべてのSJPLボランティアは、SJPLが使用するボランティア管理ソフトウェアであるBetterImpactでプロファイルを作成します。rackボランティアの申し込み、時間、影響。
ボランティア志願者は、氏名、生年月日を入力する必要があります、郵送先住所、電子メール、電話番号、年齢範囲(13歳以上、15歳以上、18歳以上、21歳以上、または50歳以上)、言語能力、緊急連絡先情報、およびボランティアについてどのように知ったか。 このオプション情報を含めることもできます。 学校または雇用場所、および最高レベルの教育。
ボランティア署名用紙
すべてのSJPLボランティアは、サンノゼ市の法務部が必要とするボランティア活動を開始する前に、ボランティア署名フォームの完全なコピーを返します。
ボランティアの申請者は、名、姓、親/保護者の署名(18歳未満の場合)、およびXNUMX回限りのボランティアの場合は緊急連絡先情報を入力する必要があります。
罰金登録のボランティア
誰かがあなたの罰金イベントでボランティアに参加すると、その情報はExcelスプレッドシートに入力され、イベント中に正しいアカウントから罰金が免除されるようになります。
登録シートには、各参加者の名、姓、電話番号または電子メールアドレス、年齢レベル(大人または子供)、図書館カード番号、および免除される罰金の金額が記載されています。
LiveScan指紋背景チェック
進行中のすべての成人ボランティアは、ボランティアとして始める前に指紋背景チェックを提出する必要があります。 SJPLは情報を収集しません。
情報は誰と共有されていますか?
個人を特定できる情報は特定のスタッフ(図書館およびサンノゼ市)と共有され、ボランティアは自分の情報にアクセスできます。
オンラインボランティア申請
オンラインのボランティアプロフィール情報には、ボランティアとSJPL BetterImpactアカウント管理者のみがアクセスできます。tors(SJPLスタッフ、および場合によっては特別に訓練され、身元調査を受けたボランティア)。
Better Impactアカウント情報は、ボランティア自身とのみ共有されます(両親または潜在的な雇用主ではありません)。 サービスの日付と営業時間は、潜在的な雇用主と家族とのみ確認します。
ボランティア署名用紙
署名フォームにアクセスできるのは、図書館員(図書館員、書記、支店長)のみです。 スタッフは、リクエストに応じてボランティアの署名フォームのコピーを作成できます。
罰金登録のボランティア
これらのExcelファイルには、サインインを処理するか、イベントの罰金を免除するライブラリスタッフのみがアクセスできます。
LiveScan指紋背景チェック
SJPLボランティアサービスアナリスト(またはその監督者)とサンノゼ市人事スタッフのみがアクセスできます。
情報はどこにありますかtorエド?
オンラインボランティア申請
ボランティア情報はsですtorBetter ImpactSoftwareで編集されました。 Better Impactプライバシーポリシーは、次の場所にあります。 https://www.betterimpact.com/siteguide/privacy-policy.
ボランティア署名用紙
署名フォームはtorそれらが返される支店またはユニットのロックされたファイルまたはオフィスで編集されます。 フォームは姓でファイルされるため、必要に応じて簡単に見つけることができます。 ボランティアがアーカイブされると、署名フォームは現在の年がマークされたファイルに移動され、3年が経過すると細断処理できるようになります。
罰金登録のボランティア
これらのExcelシートはtorイベントを主催している図書館の支店のスタッフのコンピューターで編集しました。 フォームは印刷されません。 イベントの合計がシステム全体に入力された後、すべてのエントリが削除されます。racキングシーツ(イベントから24時間以内)。
LiveScan指紋背景チェック
ボランティアの指紋の身元調査の結果を受け取り、torサンノゼ市人事部によって編集されました。 LiveScanの身元調査の結果に関する情報は、Better ImpactSoftwareまたはボランティアの物理ファイルには含まれていません。 ボランティアサービスに送信された領収書は、安全なロックされたファイルに保存されます。
情報の長さtorエド?
オンラインボランティア申請
プロファイル情報はsですtor無期限に編集。
ボランティア署名用紙
ボランティアがSJPLのサービスを終了した後、フォームは3年間保持されます。
罰金登録のボランティア
イベントの合計がシステム全体に追加された後、登録Excelフォームは削除されます。racキングシーツ。
LiveScan指紋背景チェック
ボランティアが図書館へのサービスを終了した後、バックグラウンドチェックは3年間保持する必要があります。
Webチームのプライバシー監査
Webチームの概要
San José Public Library (SJPL)Webサイトは、図書館サービスとイベント、図書館カタログ、およびさまざまな電子リソースとeBook / eMediaに関する情報へのアクセスを提供します。 このWebサイトは年間3万以上の訪問を受けており、eBooks / eMediaは年間XNUMX万件以上のチェックアウトを記録しています。
図書館のウェブサイト(https://www.sjpl.org)は、図書館のWebチームによって社内で管理されています。 Drupalオープンソースコンテンツ管理システムを使用して構築されています。 世界中のDrupalコミュニティには1万人を超えるユーザーがいます。これには、セキュリティに重点を置いたいくつかのチームが含まれます。 Drupalは頻繁にセキュリティアップデートを提供します。 Drupalは、ホワイトハウス、テスラ、アメリカ赤十字など、多くの大規模な組織から信頼されています。
ライブラリWebサイトはAcquia Cloudでホストされており、Acquia Cloudは、一連のアクセスおよび認証制御、ファイアウォール制御、防御的なセキュリティ、および頻繁なセキュリティ更新を提供します。 すべてのWebサイトのトラフィックはhttpsを使用して暗号化されます。 図書館のIT部門は、セキュリティ証明書が最新に保たれるようにします。
SJPL続きrac図書館のカード所有者がオンサイトおよびオフサイトで使用するためのさまざまな電子リソースを提供するために、多数のサードパーティベンダーと提携しています。 これらのリソースには、ダウンロード可能なストリーミング資料、および従来のデータベースが含まれます。
当社のすべての電子リソースは、当社が提携しているベンダーから提供されています。ract。 これらのベンダーの行動を制御することはほとんどできませんが、
- ベンダーパートナーが取っているプライバシーの測定値を正確に把握する
- ベンダーが顧客について収集する個人を特定できる情報の発見
- ベンダーと協力して、それらがベンダーのプライバシー基準と要件を満たしていることを確認する
- 購入/入札プロセスを使用して継続rac私たちのプライバシー基準と要件を満たすことができるベンダーと
情報収集さ
Webフォーム
図書館のウェブサイトには多くのウェブフォームが含まれており、顧客は特別なサービスの申請、図書館コンテストへの提出、スタッフからのオンラインヘルプのリクエストなどの目的で提出できます。 これらのフォームは、個人を特定できる情報を収集します。これらの情報は、フォームで説明されている目的にのみ使用する必要があります。 これらのフォームを要求したライブラリユニットで、要求されたすべての情報が必要であり、将来のフォームが作成されるときにも必要であることを確認しました。 収集される情報には、名前、年齢、電子メールアドレス、電話番号、住所、図書館カード番号、およびフォームの目的に関連するその他の情報が含まれます。 6か月以上前にWebフォームのアクティビティを削除し、現在およびアーカイブされたWebサイトのコピーからこの情報を削除しました。 同様のパージがXNUMX月とXNUMX月に年XNUMX回実行されます。
WebチームはWebフォームを使用して、アカウントのセットアップを要求する顧客から情報(名前、電子メール、図書館カード)を収集します。 Treehouse、eResourcesベンダーのXNUMXつ。 この情報は意図された目的に使用され、XNUMXか月後に削除されます。
WebformはユーザーのIPアドレスも収集します。 このデータを収集することの影響を調査し、この情報を匿名化するDrupalモジュールを実装するなど、匿名性を改善する方法を検討しています。
アナリティクス
を使用しております Google Analytics ウェブサイトの使用状況の統計分析用。 Drupalを介して「IPアドレスの匿名化」機能を有効にしました Google Analytics モジュール。 私たちの データ保持期間 for Google Analytics Cookieに関連付けられたユーザーレベルおよびイベントレベルのデータが適用される、または適用される可能性がある場合は、14か月の最低設定に設定されます。
次のSJPL関連のウェブプロパティに関する情報を収集しています。
- https://www.sjpl.org -メインのウェブサイト。
- Localist-ライブラリイベントサイトをホストします。 2018年XNUMX月以降はLocalistを使用しなくなります。ライブラリイベントはDrupalサイトに常駐します。
- SRC(Drupalインスタンスの場合)-これはサードパーティによって作成されました。 アーカイブされたコピーはありません
- https://sjlibrary.org -サンノゼ州立大学(SJSU)ライブラリと共有されるサイト。 SJPLによって収集されたデータは匿名化されます。 匿名化については、SJSUライブラリスタッフと話し合います。
- カタログ-アンコールとクラシック-以下を参照
- Digitalcollections.sjlibrary.org-によって使用されます California Room 彼のためにtorical画像。 現在、このサービスの新しいベンダーへの移行を進めており、設定時にプライバシーの問題を認識します。
- LibCal/LibAnswers/LibChat -ユーザーごとの統計が無効になっているため、個人を特定できる情報を予約に関連付けることはできません。 このリソースはSJSUと共有されており、IPアドレスの匿名化やtの変更など、追加のプライバシーオプションについて話し合っています。racキングコードスクリプト。
- Beanstack -tに使用されますrac幼稚園と夏の読書プログラムの前に1,000冊のkの常連客の読書リスト。 収集される情報には、名前、電子メールアドレス、および本のタイトルが含まれます。 私たちは毎月受け取ります Google Analytics 活動の報告。
私達はまた使用します Hot Jar ヒートマップ、画面記録、投票などのWebサイトの使用に関する分析データを取得するため。 図書館のウェブサイトを改善するためにデータが使用されます。 収集されたすべてのデータは匿名化されます。 キーストロークは記録されません。
必要に応じて、図書館職員、カリフォルニア州サンノゼ市立図書館、公共図書館データサービス、およびその他の組織に使用状況の概要レポートを提供します。 すべてのレポート情報は匿名化されます。
サードパーティのスクリプトと埋め込みコンテンツ
現在、YouTube、Flickr、Facebook、Twitter、Googleマップのコンテンツを埋め込み、スクリプトを使用しています Google Analytics、Google翻訳、HotJar、Flickr、New Relic、AddThis、 LibAnswers。 現在、サードパーティのスクリプトと埋め込みコンテンツを通じて収集されるデータを評価し、不要なデータ収集を制限しています。
電子リソース
電子リソースの使用に関して、SJPLはお客様に関する個人を特定できる情報を収集しません。 ベンダーから統計情報を収集します。ベンダーのWebサイトでレポートを実行するか、ベンダーから送信されたレポートから実行します。 これは、識別情報を含まない一般的な使用情報です。
一部のベンダーは、個人を特定できる情報を含むレポートや機能へのアクセスを許可しています。 その情報は、アカウント/技術的な問題のトラブルシューティングで利用者を支援するためにライブラリによってのみ使用され、限られた数のスタッフ(通常3人以下)が利用できます。
すべてのベンダーが次のことを行うべきだという期待を表明するレターをベンダーに送信します。
- 個人情報の収集を伴う機能に対して可能な限りオプトインを使用するようにサービスを構成します。
- 顧客から収集される情報の量とその使用方法に関するオプションを顧客に提供します。 顧客は、借り手などの個人情報の収集を必要とする機能やサービスにオプトインするかどうかを選択する必要があります。tory、読書リスト、またはお気に入りの本。
- アクセスポイントでプライバシーポリシーを顧客に通知します。
- 顧客が自分の個人データにアクセス、確認、修正、削除する方法を提供します。
- SSL / HTTPSを使用して接続を暗号化し、デジタルコンテンツへの安全なアクセスを提供します
- ベンダーがデータまたはセキュリティの違反または続きの違反に気づいたらすぐにライブラリに通知しますractの用語。
- 顧客がベンダーアプリケーションをアンインストールし、関連するを削除できるようにするtor個人用デバイスからのedデータ。
- 定期的なプライバシー監査を実施し、監査結果をライブラリで利用できるようにします。 レビューの結果を更新の基準のXNUMXつにします。
- ユーザーについて収集される個人情報の量を制限します。 一般に、図書館またはサービスプロバイダーは、サービスの提供または特定の運用上のニーズを満たすために必要な最小限の個人情報を収集する必要があります。
将来のベンダー続きractsと更新、各ベンダーの期待を含めます。
- 図書館記録の機密性に関して、適用されるすべての地方法、州法、および連邦法に準拠します。
- ライブラリのプライバシー、データ保持、およびデータセキュリティポリシーに準拠しています。
- すべてのサブコンテンツを確認しますractor続きのプライバシーおよびデータセキュリティ保護の条件に従う必要がありますractライブラリとベンダーの間、およびサブコンテンツが発生するたびにライブラリに通知されることractor ベンダーによって採用されています。
- ライブラリがすべてのパトロンデータの所有権を保持することを規定します。
- パトロンデータの政府および法執行機関の要求に対応するためのプロトコルが含まれています。
- ベンダーが保持するデータを保護するために使用する手段、およびベンダーが安全であることを保証するために使用するセキュリティ手段に関する詳細が含まれています。
- データ侵害が発生した場合に図書館および影響を受けた利用者に通知するベンダーの責任を明記します。
デジタルマテリアル戦略を準備しています。この戦略では、ベンダーの選択/更新の評価基準の一部としてプライバシーの期待(上記参照)を含めます。
ベンダーのプライバシーポリシーへのリンクのリストをまとめました。 このリストは SJPL Webサイト。 また、各ベンダーが収集したデータとその使用方法のリストも作成しました。 付録Aを参照.
また、各ベンダーのポリシーとオプション、および関連するライブラリのポリシーと手順を通知する顧客向けのドキュメントを作成中です。 これらは図書館のウェブサイトで入手でき、以下が含まれます。
- ベンダーWebサイトの個人アカウントの設定。
- プライバシー設定を含む個人用デバイス上のベンダーアプリケーションの設定、およびアプリケーションと関連するものを削除する方法toredデータ。
- ベンダーがデータ侵害を経験した場合のライブラリ手順。 付録Bを参照.
オンラインカタログ
オンラインライブラリカタログ(EncoreおよびClassicカタログ)を使用すると、利用者はライブラリアカウントにログインして、統合ライブラリシステムSierraにあるチェックアウト、記録保持、およびその他のアカウント情報にアクセスできます。 詳細については、アクセスサービスのホワイトペーパーを参照してください。 オンラインカタログとSierraの間のすべてのトランザクションは暗号化されます。
常連客は、機能をオンにすることを選択できます。racks彼らは彼を読んでいますtory。 この機能はオプトインであり、いつでもオプトアウトできます。 また、誰とも共有せず、いつでも削除できる個人の本のリストを作成することもできます。 彼らは、図書館目録の項目にタグを追加し、いつでもそれらを削除することを選択できます。 スタッフは、特定のタグを追加した人の名前を確認できます。 この情報は一般に公開されていません。
User Experience Research
Webチームは、ユーザーエクスペリエンスの向上に関する情報に基づいた意思決定を行うために、図書館利用者とのユーザーエクスペリエンス(UX)調査を実施しています。 インフォームドコンセントの署名および年齢範囲や優先図書館の場所などの一般的な人口統計情報が収集されます。 定性面接が実施されると、参加者は自分の生活に関する詳細を共有することができます。 通常、この情報は紙に記録されます。 その後、研究スタッフメンバーのOneDriveアカウントにアップロードされ、研究プロジェクトに直接関与している図書館スタッフのみと共有されます。
特にユーザビリティテストセッション中に、ビデオ録画が作成される場合があります。 これらの録音は、指定された図書館スタッフのみがアクセスできるプライベートYouTubeアカウントにアップロードされます。 これらのアイテムが読み込まれると、元の記録と紙の遺物は破棄されます。 PIIを使用した記録および電子研究成果物は、XNUMX年以内に保管され、UX研究に関連するプロジェクトが完了した場合よりも早く破棄されます。 調査の要約は保持される場合がありますが、PIIのアーティファクトは保持されません。 ユーザーの行動、意見、および一般的なユーザーの問題racSJPLが設計上の決定をどのように行ったかを示すために、技術スキルのレベルなどの特性を外部の利害関係者と共有できますが、推測または参加者に接続できるPIIまたはデータポイントは共有されません。
行動計画
- このデータを収集し、この情報を匿名化するDrupalモジュールを実装するなど、匿名性を改善する方法を検討することの影響を調査します。 (2018年XNUMX月に完成予定)
- サードパーティのスクリプトと埋め込みコンテンツを通じて収集されるデータの評価を続け、不要なデータ収集を制限します。 (2018年XNUMX月に完成予定)
- eResourceベンダーにプライバシー要件を通知する手紙を送信します。
- 今後のすべての購入と入札に新しいプライバシー要件を実装します。
- データ侵害対応ポリシー[付録Bを参照](これについてITと協力)
- ベンダーアカウントを保護する方法、利用可能な場合にオプトインおよびオプトアウトする方法、およびベンダーアプリケーションをアンインストールする方法について、当社のWebサイトでユーザーに指示を提供します。 (2018年XNUMX月までに完成予定)
- 新しいベンダーと更新されたベンダーの続きの期待を含む完全なデジタル材料戦略racts。 (2018年XNUMX月完成予定)
付録A
付録B
データ侵害への対応
ウエブサイト
データ侵害に気付いた場合、ライブラリITと協力して、データが侵害されたユーザーを保護し、将来の侵害から保護するための措置を講じます。 次のいずれかまたはすべてを通じて、ユーザーに直ちに通知します。
- 当社のウェブサイトでの通知
- メールニュースレター
- 影響を受ける可能性がある利用者へのメール
- ブログ
- Twitter、Facebook、Instagramアカウント
- 必要に応じて支店看板
- ローカルメディアアウトレット
通知のレベルは、違反の重大度とライブラリユーザーが影響を受ける可能性のある範囲によって異なります。
eリソース
eResourcesでは、ベンダーに頼ってデータ侵害があったかどうかを知らせています。 違反が発生した場合は、ベンダーから受け取った指示に従い、上記のようにすぐにユーザーに通知します。