隐私审核

访问服务隐私审核

访问服务概述

San José Public Library的访问服务部是一个多方面的部门，由各种国王图书馆和系统范围的职责组成。关于此隐私审核，我们将专注于Sierra集成图书馆系统（ILS）部门的职责。

Access Services，尤其是System Support致力于维护客户数据库，包括运行和从客户数据库收集数据。这项工作包括清除客户和客户数据（如我们的年度计划所示）或根据管理部门的要求。

系统支持负责收集和维护系统范围内的循环统计信息。此外，他们的任务是监督与我们的收款代理机构Unique Management Services（UMS）进行的数据交换，并处理客户对已转给收款账户的查询。

最近，系统支持部门的任务是协助 LIT 创建 ILS 员工登录信息，并协助技术服务部门维护与 ILS 相关的贷款规则和位置代码。其他近期项目包括培训和实施 RFID 员工工作站、自检和自检付款。我们还被要求参与与客户数据库相关的各种项目。这包括预测调度项目的数据提取、坏账核销以及与报告和补助相关的数据。

信息收集

集成图书馆系统：Sierra

顾客数据库

客户数据库由员工输入的书面应用程序或图书馆客户输入的电子应用程序填充。在任一版本中，都要求提供以下信息：

名字和姓氏
出生日期
邮寄地址
邮箱
电话号码
父母/法定监护人姓名和/或驾驶执照（适用于18岁以下的儿童）
订阅图书馆时事通讯（可选）

在将信息输入到我们的数据库中所需的期间内，将保留纸质申请，然后将其粉碎。唯一的例外是青少年卡。这些应用程序在客户申请的位置维护了三个月。在线应用程序将在数据库中维护60天，或者直到客户访问我们的位置之一以获取他们的卡为止。每2个月将清除无人认领的帐户。

申请卡时，顾客必须提供带照片的身份证件和地址证明。图书馆不会创建不必要的记录，只保留履行图书馆使命所需的记录，不会采取将信息公开的做法。

该库每年根据以下条件从系统中删除一次客户记录：

已过期2年
自报表生成之日起4年内未激活

满足这两个要求之一的客户还必须具有：

罚款少于$ 10
没有项目签出

只有获得授权的图书馆工作人员才能访问存储在 ILS 中的个人数据。访问此信息仅用于常规图书馆运营。除非法律要求或为了满足个人客户的服务请求，否则图书馆不会披露通过 ILS 从客户那里收集的任何个人数据。

在分支或单位级别创建用于访问客户数据库的登录名。员工能够仅出于执行图书馆工作的目的而使用该登录名。该登录名使工作人员可以执行以下与客户记录相关的功能：

创建一个新的客户帐户
查看和编辑客户帐户信息。 PIN码在输入时已加密，只能进行编辑。
查看和编辑详细信息
查看和修改保全和要求

大多数一线图书馆工作人员和技术服务人员都可以使用ILS（图书馆员，书记员，图书馆助理，书页和管理人员）。图书馆助手的主要功能是搁置，他们对数据库的访问非常有限，只能用来检入资料。为各个员工和单位创建了个人登录名；他们的权限取决于他们需要完成的任务。例如，技术服务人员有权打印书脊标签或有权访问订单，但是不会向Web团队的人员提供相同的权限，因为他们不需要这些功能。

流通记录

客户的图书馆记录包括当前已借出或保留的物品，以及逾期材料和罚款。图书馆不保留客户之前借出的物品的历史记录。归还材料后，物品将从其帐户中删除。当客户的帐户产生罚款时，图书馆会保留已借出但在到期日后归还的物品的记录，或客户记录中仍未偿还的物品的记录。

已付罚款数据保存在图书馆客户的流通记录中。已付罚款数据是客户借阅期间逾期归还、丢失或损坏的物品的列表。已付罚款数据用于显示客户罚款和费用的支付历史记录。已付罚款数据用于财务和记录保存目的。已付罚款数据包含：

项目标题
商品条码
签出日期
截止日期
返回日期
付款日期
罚款额
付款地点
员工登录

项目记录还保留最后一位签出物料的客户的详细信息。工作人员仅可在日常运行职责（丢失，丢失或损坏的物品）上访问此信息。客户将一直附加到该记录，直到再次检出该项目。

应尽可能长时间地保存已付罚款信息，以满足业务办公室及其簿记要求。这将需要与行政官员及其工作人员合作，处理存储在已付罚款文件中的信息。暂定截止日期为本财政年度末。

流通统计

每月收集流通统计信息，并根据会计年度进行报告。它们可用于报告客户使用情况，获得资金，对要购买的材料做出明智的决定并确定未来项目的趋势。我们从ILS收集以下信息以进行流通统计：

在特定的位置代码中检出项目的次数
面对面续订与网站续展的次数
自检机与员工站之间的结帐次数
通过我们的自动处理系统（AMH）与员工站之间的退货数量
电子资源的流通

这些统计信息的收集中未收集任何客户信息。这些统计信息由系统支持部门访问和编译。

独特的管理服务（UMS）

Unique Management Services 是一家签约处理拖欠客户账户的债务催收机构，符合以下条件：

开票项目
罚款和费用超过$ 50

我们向UMS提供ILS的提交文件。提交文件是基于收款代理机构模块/界面内建立的标准新选择进行收款活动的客户帐户的列表，并且每天生成一次。提交报告仅提供有限的客户信息，包括：

顾客记录号
姓名
邮寄地址
电话号码
法定监护人/父母姓名和驾驶证（如果未满18岁）
出生日期
赞助人类型
家庭图书馆
逾期日期
欠款（仅提供美元金额，UMS不会收到所有权信息以确保保护客户的机密性）

同步或“同步”报告是一种质量保证工具，可提供标记为收款活动的所有帐户及其当前余额的列表。 “同步”的目的是验证UMS余额是否与库余额匹配。同步报告通常由UMS的客户服务技术分析师启动，但是此过程可以由图书馆随时启动。

UMS为图书馆工作人员提供对已发送到UMS的图书馆客户基于云的数据库的访问权限。此访问权限仅限于访问服务的高级图书馆员和系统支持的文职人员，后者由图书馆助理和业务员组成。

奥兰治男孩/萨凡纳

从2015年XNUMX月开始，流通量和客户数据已提供给OrangeBoy，用于创建预测性调度工具，该工具将流通量活动与各个分支机构的人员配备水平相关联。每周将数据上载到OrangeBoy，然后填充仪表板。管理，访问服务，Web团队和IT人员当前可以访问此仪表板，因为这些部门负责上载所请求的信息。分支机构员工对使用已提供的数据创建的预测性调度工具的了解有限。

上周的入住数据将发送到OrangeBoy，该文件包含以下信息：

入住地点
入住日期和时间
值机是通过AMH还是通过员工终端进行的

发送的门数信息包括：

上周各分行访客人数

此外，还发送了分支机构员工计划，包括：

文书工作时间是在以下服务点进行的：区域，物料搬运，货架，整理，拉动和保持。

Bibliotheca

2016年，我们经历了将我们的收藏品从基于磁性的安全系统转换为基于RFID的安全系统的过程。这个新系统还集成了使用RFID设备扫描材料的功能。 RFID标签被放置在我们所有的流通材料中，并使用附有标签的物品的条形码进行编程。标签不包含标题或客户信息。

Bibliotheca 是我们的 RFID 转换供应商。他们为我们提供了以下与 RFID 相关的设备：员工平板、自助借还机、安全门和手持式库存设备。我们的员工可以访问基于云的仪表板，该仪表板使他们能够监控自助借还机和安全门的功能和状态。仪表板为员工提供有关自助借还机交易的信息，包括结账、续订和罚款支付。

为这些交易提供的信息因功能而异。对于结帐，工作人员可以查看日期，时间，客户条形码，已检出物品的条形码以及任何续签的物品的条形码。对于安全门，工作人员可以访问走过门的人员的理货和触发门警报的任何物品的条形码。

每个位置都有两个唯一的登录名。一次登录可提供显示交易级别数据的更高级别的功能，并提供给分支机构经理，图书馆助理和FT或PT职员。另一个仅提供有关机器状态的信息，并且所有人员都可以查看。

ALA清单项目

仅请求和存储图书馆运营所需的客户个人信息。定期删除图书馆运营不再需要的数据（例如购买请求数据）。如果 LMS 支持，请尽可能使用“模糊”人口统计信息（例如，使用“未成年人/非未成年人”分类，而不是记录完整的出生日期）。
1. 我们正在审查有关我们收集的有关客户的信息的纸张和在线申请。已经决定，我们将继续收集DOB（用于统计目的），并将为工作人员提供一种识别名称相似的客户的方式。我们将停止收集驾照和性别，因为图书馆操作不需要这些信息。更新后的书面申请草案已经完成，正在等待批准。（需要工作）
汇总或匿名化报告以删除个人身份信息。应定期检查报告，以确保它们不会泄露此类信息。
1. 我们审核了当前发送的数据，并进行了调整以确保我们仅发送必要的数据。
  1. OrangeBoy：我们正在审查发送客户信息的必要性，因为这些信息在正在创建的预测调度工具中不起作用。截至 12 年 2018 月 XNUMX 日，我们尚未发送其他客户和流通信息，因为正在决定是否继续与 Orangeboy 签订合同。我们已停止发送客户信息，因为我们决定不使用客户数据库进行消息传递或客户细分。（已完成）
  2. UMS：需要我们提供的信息，以便代表图书馆有效地联系客户。UMS 提取他们需要的信息，但不提取物品标题等信息，以确保客户隐私。当我们的客户联系 UMS 时，他们会让他们直接与图书馆工作人员讨论逾期材料，因为他们无法访问我们的数据库。（已完成）
  3. Bibliotheca：为自检创建删除交易的时间表。我们一直在与 Bibliotheca 关于如何最好地实现这一目标。我们正在等待他们的回应，以继续执行该建议，并在获得必要信息后立即执行。我们正在与他们的团队一起制定一个定期计划，在该计划中定期从自检中清除交易数据。我们希望在18/19财政年度开始之前就可以做到这一点。（需要工作）
默认情况下，将LMS配置为在不再需要进行图书馆操作时删除客户与其借入/访问的物料之间的交易数据。
1. 我们已经确定了存储这些信息的区域并制定了维护这些信息的时间表。
  1. 最后的顾客区域：每6个月清除一次上一个顾客区域，条件是该商品在上个月未流通。这样可以确保在以前的客户信息可能有帮助的情况下（即退回的商品不完整），员工仍然可以访问信息。这将在本17/18财年末实施。（需要工作）
  2. 罚款数据：超过4年的罚款或费用将从客户帐户中清除。这将与坏账准则相一致，后者消除了4年以上的债务。这将在18/19财政年度开始时实施。（需要工作）
允许客户选择个性化功能，如保留他们的结账历史记录或最喜爱的书名列表。（已完成）
将LMS中的客户记录访问限制为需要证明的工作人员。例如，流通人员需要进入，而货架不需要。（完成）
将库通知配置为保留，逾期等，以发送最少数量的个人信息。
1. 我们最近接受了必要的培训，以更改当前的打印模板。
  1. 礼貌和逾期的电子邮件：通过创建新模板，我们将能够从电子邮件通知中删除客户地址。我们正在与IT部门合作，以创建新模板。将于2018年XNUMX月完成。（需要工作）
  2. 货单：Sierra为货单提供了4个模板选项。票据需要包含一定数量的信息，但是我们无法自定义Sierra提供的模板。 Sierra的模板可以缩短，也可以缩短客户名称（名和姓），但我们无法进一步自定义发票。如果我们对单据进一步匿名感兴趣，我们将需要购买其他软件。将于2018年XNUMX月完成。（需要工作）
制定政策和程序，用于从 LMS 中提取、存储和共享客户数据以供内部或签约第三方使用。限制只有适当的员工才能访问这些摘录。
1. 我们没有关于提取、存储和共享客户数据的正式政策。（需要改进）
2. 我们没有关于提取、存储和共享客户数据的正式程序。有一套非正式的说明，供受过培训的员工运行这些报告，了解如何提取所请求的某些类型的信息。这些信息目前存放在系统支持组驱动器中，只有 Access Services 中的特定员工组才能访问。何时可以审查这些非正式程序并努力使其标准化，并将其存储在安全位置，完成日期为 2018 年 XNUMX 月。（需要工作）
3. 摘录由系统支持部门处理，该系统支持部门是 Access Services 内的一个部门。该部门拥有 Sierra 登录名，允许他们创建报告，收集有关我们的客户和流通统计数据的信息。客户信息请求通常与特定的人口统计或地址有关，并且不提供个人信息，因为请求与一组用户的趋势有关。我们正在审查提供给不同工作人员的登录名和权限，完成日期为 2018 年 XNUMX 月。（需要工作）

图书馆信息技术隐私审计

图书馆信息技术概述

San José Public Library 是北加州最大的免费公共计算机资源提供商。2016-17 财年，该图书馆记录了超过一百万次计算机会话。目前，整个图书馆系统共有 1,200 台公共计算机可供预订。自 1990 世纪 XNUMX 年代初在 SJPL 实施预订公共计算机的想法以来，隐私和安全一直是主要关注点。

为了保护我们的公共桌面环境，该库已部署了一种产品，每次新客户登录到公共计算机时，它都提供一个全新映像的干净桌面，而不管以前的客户可能保存或更改了什么。该产品可以从多个供应商处提供防病毒和反恶意软件定义文件，以加快对新的网络威胁的响应时间。

随着客户将启用了设备的设备带到图书馆以免费连接互联网，对wifi的需求继续急剧上升。为了满足不断增长的需求，SJPL将所有分支库的WAN连接升级到1000 Mbps。这些将图书馆网络连接到加州教育网络计划公司CENIC运营的高容量光纤网络CalREN。不会以任何形式在wifi网络上收集个人身份信息（PII）。该平台允许高容量连接到Internet，但也可以连接其他参与的具有高度隐私和安全性的公共图书馆，学校，学院和大学。

图书馆最近将其网站转换为HTTPS，并且还通过证书保护了目录访问页面。为在图书馆网站上进行身份验证的客户提供加密连接，可以保护其数据以及图书馆网站和目录浏览的隐私和完整性。除这些措施外，图书馆最近还向目录网站添加了链接电子商务，以确保罚款的安全支付，而无需在组织之间传递任何个人信息。客户希望该库保护其数据，并且此升级符合该战略方向。

为了保持对任何其他潜在敏感数据的严格控制，并为我们的环境提供移动性和稳定性，SJPL利用开源平台来发布有关服务器和网络资源的通知和警报。这些工具的实施取得了巨大的成功，并且保留了图书馆信息技术部（LIT）的公共资源预算，这带来了额外的好处。

隐私一直是SJPL的核心重点，尤其是在我们提供技术服务的方式上。我们了解在终身学习方面开放获取信息的重要性。我们组织的目标是提供此类访问权限，而不必担心身份盗用，个人数据损坏或任何形式的报复。

信息收集

- San José Public Library 以提供公共服务所需的有限方式维护与客户链接的数据。以下是可链接到客户隐私的结构化数据的来源。

目录系统– Innovative Interfaces，塞拉利昂ILS

Sierra ILS 目录系统是图书馆技术资源阵列中最重要的实用程序。它包含 SJPL 库存中每本书、有声读物、DVD、CD、平板电脑、笔记本电脑和其他可借阅材料的物品记录。Sierra 还用于管理采购和图书供应商帐户。对于隐私讨论而言，最重要的是，Sierra 维护着一个客户记录数据库，允许我们的客户借出或归还物品。它跟踪每件物品的状态，管理客户的保留，并可以发送警报提醒他们归还截止日期。为了让客户在 Sierra 中拥有一个帐户，需要某些唯一标识符将个人与图书馆卡号关联起来。
- 当前的政策和程序规定，客户在填写表格以获取借书证时必须输入其姓名，出生日期和地址。他们也可以输入电话号码和电子邮件地址，这是可选的（但值得鼓励）。如果需要，发送通知时通常使用电话号码或电子邮件地址代替物理地址。
- Sierra不会记录客户活动或保留过往退房的任何记录。

根据加利福尼亚州政府法典第6250至6270条概述的州法律，SJPL的政策是确保对客户记录和注册数据进行保密。图书馆工作人员可以访问加州政府法令相同部分的Sierra数据库中的所有物品和客户记录。图书馆工作人员不会与任何外部机构共享这些记录中保存的任何信息，除非得到相应的上级法院的命令。
Sierra 应用程序服务器和 Sierra 数据库服务器的备份每晚都会进行加密。备份采用多种格式，经过重复数据删除，并存储在多个位置。每周一次，Sierra 数据库的额外加密副本会发送到异地，轮流存储五周，以满足我们的灾难恢复计划的需求。访问服务部门的工作人员每年都会清除客户帐户。如果帐户符合以下条件，则会被删除：
- 帐户已停用了四年。
- 帐户已过期两年。
- 帐户中的罚款不超过$ 10.00。
- 帐户目前没有任何项目已检出。
否则，只要客户希望并且继续使用图书馆资源，客户帐户就会保留在Sierra中。

公用计算机预订系统（RAC)

Reserve-A-计算机系统是一个专有的客户端/服务器数据库，位于我们的VMware环境中。所有公用计算机都维护一个本地客户端，该客户端管理会话时间并在会话结束时注销客户。在 RAC 服务器，但不将用户链接到特定的会话或IP地址。该索引不可公开访问。所包含的信息仅限于名称，借书证号和PIN。这些是在ILS中断或网络中断的情况下保持计算机预订系统的高可用性所必需的。用户注销会话后，将立即从系统中清除所有PII。仅列出时间和持续时间（无PII）的预订统计信息将在系统中保留两个月。关于每个分支的保留数量的报告在Intranet库中列出。
管理 RAC 数据库仅限于LIT中具有管理权限的少数个人。总务人员可以使用一些报告，他们可以更改将来的预订并检查当前预订的状态，但是图书馆工作人员无法访问目录中的任何个人身份信息。 RAC.
- RAC 服务器操作系统和系统状态每48小时备份一次。这些备份将保留30天。这些备份均不包含PII。

公共计算机 - 本地存储

SJPL 的可预订公共计算机为我们的客户提供了一个相对开放的桌面环境。这种程度的自由可能会使他们容易受到他们访问的网站的攻击，但这并不是因为工作站本地存储了任何残留数据。在每个单独的计算机会话结束时，我们的 Reserve-A-Computer 程序都会强制重新启动。所有公共计算机每次重新启动时都会清除客户所做的所有更改。客户离开我们的工作站后，将不再有本地搜索历史记录。
由于本地不存在历史记录，因此图书馆员工无法访问任何 PII 或本地存储的可识别客户或客户活动的交易日志。

奥兰治男孩/萨凡纳

OrangeBoy 是一家云服务供应商，为学校和图书馆提供排程和资源分析，以便他们提高客户服务和满意度。他们以专有格式将这些数据存储在异地数据中心。LIT 为他们提供使用情况报告 RAC，员工安排数据以及对我们的wifi管理控制台进行报告级访问。曾经从OrangeBoy获取预订报告 RAC，但已确定预订数据不属于 SJPL 的业务需求，因此我们不再存储该信息。有大量使用数据，但这些数据均不包含 PII。
OrangeBoy，Inc.拥有谁有权访问此信息的知识。
OrangeBoy 有义务在与 SJPL 的合同结束时清除数据。

活动目录

该图书馆使用 Microsoft Active Directory 2012R2 提供目录服务， San José Public Library 以及圣何塞州立大学图书馆（SJSU）基础结构，以提供对域权限和身份验证，对域资源的访问以及安全策略的集中管理。尽管SJPL是属于圣何塞市的部门，但我们拥有独立于该市域结构的独立域基础结构，并且在这两个域之间不共享任何关系。 SJPL维护大约3000个域对象，其中包括600多个City客户帐户以及1000个City工作站和服务器帐户。
目前 Active Directory 中未存储任何公共数据或客户数据。
存储在 Active Directory (AD) 中的员工客户信息仅包含与工作相关的信息，例如客户姓名、职位名称、办公地点、工作电话号码以及客户所在城市的员工 ID，这些信息仅与城市人力资源系统相关。图书馆的 AD 目录与人力资源系统的目录没有集成，因此人员的个人信息只能通过人力资源系统使用单独的访问凭据访问。
只有具有域管理员和帐户操作员角色的指定个人才能访问和管理 AD，从而允许他们维护目录服务。
Active Directory 信息将在每个员工的雇佣期间保留。终止雇佣后，客户帐户将被禁用 3-6 个月，以确保能够访问已归档的城市所有数据。一旦确定不再需要城市所有数据，或数据已安全归档，客户帐户将被删除。一旦物理硬件从系统中移除，计算机帐户将被删除。

ASA日志

SJPL防火墙的事务日志位于服务器VLAN内的文件服务器上。尽管这些日志中没有PII，但如果将其与服务器场中的其他两种形式的数据结合使用，则在适用于我们的三天保留期内，可以识别出可预留公共计算机上的客户（不是wifi客户） RAC 服务器日志。
ASA日志服务器的管理限于具有管理权限的LIT中的少数个人。
ASA 日志保存 14 天，然后丢弃。

合作组织

苏州交通大学

San José Public Library 与圣何塞州立大学保持合作关系，共享其主要图书馆建筑。 SJSU ITS无法访问客户数据库以获取SJPL，其密码或任何个人身份信息。但是，它们充当了马丁·路德·金国王主图书馆（MLK）的互联网服务提供商（ISP）。这样，SJSU可以记录来自MLK的所有互联网流量。
SJSU ITS还维护MLK的公共wifi系统。它们保留了对MLK中所有交换机和WAP的控制，并能够记录所有无线流量并将其链接到任何第2层（MAC）地址。
SJSU ITS仅知道有权访问防火墙网关日志中保留的信息的客户列表，但他们遵循与SJPL相同的标准，并受《家庭教育权利和隐私法》中概述的法律责任的约束。

圣何塞市

图书馆与圣何塞市的网络保持单向加密VPN连接，为图书馆员工提供对City资源的不间断访问。没有公共信息通过此连接传递，也没有任何非图书馆城市雇员访问图书馆数据。

CENIC

CENIC 是所有分馆互联网流量的 ISP。他们的日志记录和数据保留政策不受 SJPL 控制。虽然 CENIC 作为一个组织无法访问任何个人客户数据，但他们确实能够通过 NAT 记录所有互联网流量。每个分馆都包含多个 NAT，专门用于为 wifi 网络 VLAN、公共计算机 VLAN 等提供服务。CENIC 中存储的数据的位置是专有信息，有权访问这些数据的客户列表也是如此。
CENIC是指定给SJPL的所有面向Internet的IP地址的指定数字千年版权法案（DMCA）代理。这意味着，如果发生版权侵权，CENIC承担将在线版权提供者（OSJ）（在本例中为SJPL）通知要求侵权通知的法律责任。美国图书馆协会的法律顾问建议图书馆广泛地解释该类别，以便从512节中建立的安全港中受益。由于详细的客户日志不是SJPL业务要求的一部分，因此我们不具备将单个客户链接到源IP地址。当客户“接受”并连接到我们的Wifi或登录到公共计算机时，我们确实在条款和条件中包含了可接受的使用语言。因此，适用第512节中的安全港。

ALA清单项目

在所有网络和应用程序通信中使用安全算法对所有客户数据进行加密。
1. 尽管我们网络的某些部分在物理上是分开的，在逻辑上是分开的，并且某些客户端/服务器连接是经过加密的，但目前尚未对所有网络流量进行加密。（需要工作）
定期清除搜索历史记录，最好在单个计算机会话结束时清除。
1. 每次个人计算机会话结束时，我们的 Reserve-A-Computer 程序都会强制重新启动。每次重新启动计算机时，所有公共计算机都会清除客户所做的所有更改。客户离开我们的工作站后，将不再保留本地搜索历史记录。（已完成）
为设备和服务建立最低安全实践。
1. 图书馆 IT 对所有服务器、工作站、数据库、服务和网络设备均有最低限度的安全措施。（已完成）
更改所有默认密码。
1. LIT的政策是更改我们网络上安装的任何系统的所有默认密码。但是，普通帐户使用的密码通常由员工长时间放置，从而产生相同类型的漏洞。（需要工作）
禁用超级客户帐户（即 root 或管理员）的远程访问。
1. 该库不使用任何超级客户帐户进行远程访问。 Innovative Interfaces, Inc. 确实使用他们自己的超级客户版本来远程访问 Sierra，但这是行业标准做法。（已完成）
使用安全且经过验证的来源使所有软件保持最新状态。
1. 第三方软件仅利用预先批准的软件包和行业标准更新方法来更新我们的所有公用计算机。 Windows更新是通过Microsoft Update Services完成的。对任何计算机映像的更改都是团队的工作，需要在工程师和管理级别进行监督。（完成）
所有客户端连接到允许访问客户信息的服务都需要身份验证。
1. 所有客户端连接到允许访问客户信息的服务都需要验证。（完成）
将客户端限制为仅所需的访问权限，即最小特权模型。
1. LIT 的政策一直是限制客户只访问他们需要的内容。对于 Sierra 和所有其他客户端/服务器数据库，LIT 根据行业标准部署了最小权限模型。对于公共工作站，最小权限模型是通过利用工具在每个客户会话后从 HD 中删除和恢复所有“更改块”来实现的。因此，客户通过互联网访问和操作数字信息的能力相对不受阻碍。（已完成）
如果支持，则启用服务器和客户端的相互身份验证。
1. SJPL部署的大多数系统不支持相互身份验证，但是我们很乐意探索这方面的选项。（需要工作）
如果可行，请使用安全认证标准，例如oauth。
1. SJPL尚未部署此功能，但是公共服务的第三方授权的可行性值得怀疑。一种解决方案可能是为远程访问Sierra提供此服务，以代替我们当前部署加密VPN隧道的计划。（需要工作）
为设备和服务实施日志记录策略，其中包括轮换和保留，收集的数据类型以及对客户隐私的影响。
1. 需要明确定义此目标/指标的参数。但是，LIT并未记录保留和/或轮换的所有方面。（需要工作）
通过客户访问控制或sudo程序将管理特权限制为授权的个人。
1. SJPL具有数十种允许该库运行的系统和服务。与图书馆的业务需求相关联的所有系统，或维护数字信息的所有系统，都由LIT或少数情况下的控制部门（访问，技术服务等）集中管理。（完成）
加强设备和服务的安全性。
1. 此目标需要一些背景信息，但LIT已将加强我们提供给公众的所有设备的安全性作为优先事项。加强安全性的问题在于，它经常需要与保护隐私相反的日志或限制。例如，如果客户有能力清除自己的资料，则意味着该客户在工作站上的权限级别将很高，并使工作站容易受到恶意软件的攻击。（完成）
禁用设备上运行的所有无关服务。
1. 禁用Windows Server和工作站上不需要的服务一直是LIT的策略。我们不保证禁用所有不需要的服务。有些（如Microsoft .NET框架）提供了增强的性能，但从技术上讲是多余的。（完成）
每个服务实例都需要一个唯一的密码。
1. 根据“服务”的定义，我们可能已经实现也可能未实现这一目标。所有SJPL数据库都位于单实例服务器上，因此默认情况下它们将具有唯一的密码。（完成）
实施并实施一个强大的密码策略，该策略指定密码的长度，格式和持续时间。考虑使用随机生成的密码。
1. 自图书馆开放MLK以来，密码复杂性规则已用于员工身份验证。这些适用于所有内部数据库，但不适用于专有数据库，包括Sierra使用的数据库。 LIT正在为所有Sierra客户帐户合并复杂性规则和密码到期日期。（需要工作）
加密客户端应用程序和服务器应用程序之间的数据通信，其中可能包含客户信息。
1. 互联网上发生的涉及客户信息的所有交易都使用2048私钥加密。数据库和应用程序服务器之间的内部通信也被加密。但是，该库当前不兼容PCI，这是满足此建议的所有要求的必要标准。（完成）
在可能的情况下将服务配置为默认情况下要求加密，即不允许未加密的连接。
1. SJPL使用的大多数Web服务都是专有的，并在每个供应商的管辖下。就LIT服务而言，仅网站使用强制加密。（需要工作）
如果服务不支持加密（例如SIP2），请使用加密的传输方式，例如SSH隧道或VPN。
1. SJPL没有为每个Sierra客户端和/或AMH设备使用VPN隧道。如前所述，这里将以PCI兼容为标准，并且SJPL当前没有PCI兼容网络。 PCI合规性已列入我们的项目清单，将于17/18财年末开始。（需要工作）
加密静态敏感数据（即数据仓库，档案，磁带，异地备份等）
1. 磁带库中或场外的所有静态数据均已完全加密。（完成）
使用最新的加密最佳实践（即散列和加盐）将密码存储在应用程序中。
1. Active Directory 和 Sierra 中存储的所有密码均符合建议的标准。（已完成）
所有远程访问（包括SSH）均应通过安全密钥而非密码进行。
1. 远程访问当前不需要具有加密功能的VPN。 LIT正在将这些密钥安装在新的防火墙上。（需要工作）
密钥应不少于2048位，最好为4096位。
1. 该图书馆与加州州立大学签订了合同，从 In-Common 获得所有证书。所有使用的证书都是 2048 位，但没有加密密钥超过 2048 位。（已完成）
不允许使用过时或不安全的密码。
1. 没有更新SJPL加密密钥。所有这些都将被丢弃，并在到期日被替换。（完成）
确保私钥是安全的（使用子密钥并保持主密钥非常安全）。
1. 所有私钥均由 In-Common 异地存储。SJPL 可以通过管理控制台远程访问它们。本地存储的数据中没有可用的私钥。（已完成）
定期旋转钥匙，并准备在遇到妥协时将其撤销。
1. SJPL会在所有密钥到期时旋转所有密钥。时间长短不一，但以两年为标准。（完成）
查看设备和服务使用的协议。
1. 对所有协议的审查将非常冗长，超出了本文档的范围。但是，根据 ALA 推荐的指导方针，LIT 始终致力于保持协议和实践的标准化、既定性和开放性。我们所有的网络监控都是通过基于 Linux 的服务器上的开源工具进行的。（已完成）
支持数据完整性，包括原始身份验证，原始不可否认性，接收不可否认性以及使用密码签名或哈希验证有效负载。
1. 无
使用渗透测试工具验证设备和服务的安全性。
1. 该图书馆每年接受圣何塞市或加州州立大学的两次安全审计。虽然这些审计的结果总是令人满意，但过去七年中，只有一次外部安全供应商进行的外部审计。作为我们即将推出的 PCI 合规项目的一部分，还将进行一次额外的私人安全审计。LIT 需要额外的培训，以掌握执行彻底内部渗透测试的方法。（需要改进）
确保所有直接在库控制下的服务都是安全的。
1. 这是图书馆信息技术部的最高优先事项。通过年度培训，互联网研究，同行审查和计划的升级，我们每天工作，为我们的客户提供最安全的环境。但是，没有组织能够完全安全地连接到Internet。这项工作将永远在那里。（需要工作）
随时注意并补救已知的漏洞利用。
1. LIT尽可能采取主动调整漏洞利用的政策。他们成千上万，每天都在变化。这需要不断的努力和努力。如果组织连接到Internet，则永远不会完全安全。（需要工作）
保持软件和应用程序为最新。
1. 参见建议编号6。（已完成）
监控日志中的入侵行为并执行定期安全审计。
1. 虽然入侵检测软件始终在运行以监控网络网关，但并未采取额外措施来监控安全日志中的入侵情况。（需要改进）
执行常规备份并制定灾难恢复计划。请注意，备份应遵守您的数据保留政策。
1. LIT以VDP映像的形式对所有服务器执行每晚备份。开放源备份客户端用于将数据备份到磁盘。完整数据备份也每周一次在异地发送，并保留五个星期。（完成）
2. 灾难恢复计划已经到位，但目前不包括托管。代管场所的开发正在进行中。（需要工作）
使用SSL / HTTPS的最新安全协议对客户端应用程序（Web浏览器，eBook阅读器，移动应用程序等）与服务器应用程序之间的所有在线交易进行加密。服务器应用程序与第三方服务提供商之间的通信应进行加密。
1. 图书馆目录与其数据库服务器之间的通信以及图书馆网站与其客户之间的所有通信均被加密。（完成）
2. LIT无法控制第三方供应商在客户登录时向客户展示的内容，但是会应用通配符证书，该证书将允许所有供应商对与客户的交易进行加密。供应商链接到我们的客户数据库，所有交易也通过SIP2进行密码保护。这种连接需要工作，但是已经竭尽全力保护客户的隐私。
使用最新的最佳实践以及加密安全哈希来加密客户密码。
1. Active Directory 和 Sierra 中的所有密码均符合建议的标准。（已完成）
确保任何存储在异地（基于云的基础设施、磁带备份等）的个人身份信息和客户数据都使用加密存储。
1. 所有异地备份在传输到异地之前都经过加密。由于 SJPL 与 III 保持“仅软件”关系，因此不会在基于云的环境中存储任何个人身份信息。（已完成）
2. 作为我们的灾难恢复计划的一部分，创建托管中心可能需要将某些PII转移到基于云的灾难恢复站点中。如果发生这种情况，将采取所有必要的预防措施。
探索双因素身份验证的可能性，并在可能的情况下实施。
1. 经过一番考虑，SJPL 尚未部署多因素身份验证。并非每个客户都可以使用移动设备甚至电子邮件，因此 MFA 可能会破坏客户对自己信息的访问。（已完成）
加密离线数据备份，以防止未经授权的人员访问。
1. 复制到磁盘时，所有脱机备份均被加密。任何备份都必须先加密，然后再异地传输。（完成）
使ILS应用程序和基础服务器软件保持最新，以减轻安全漏洞的影响。
1. 图书馆IT会根据需要更新ILS版本。在撰写本文时，SJPL拥有Sierra的最新版本。新版本通常不会立即应用，因此它们有时间成熟。（完成）
2. 我们的ILS有时使我们无法升级用于Sierra的操作系统。由于ILS供应商的限制，SJPL已在RH版本6.9上加载了Sierra。我们的版本按照行业标准流程进行更新。
使用适当的加密哈希函数以安全的方式存储所有密码（客户和员工）。目前，bcrypt 或更好的密码是良好的标准。
1. 用于ILS密码的加密方法是公认的行业标准，并且符合推荐的标准，但是它们的专有性意味着我们不知道确切的加密方法。
2. Active Directory 密码符合本文档的推荐标准。（已完成）
加密ILS服务器与安全LAN外部的所有客户端连接之间的所有流量。例如，使用VPN加密分支库中结帐站通过Internet到主库中ILS服务器的连接。
1. 互联网上发生的涉及客户信息的所有交易都使用2048私钥加密。数据库和应用程序服务器之间的内部通信也被加密。但是，该库当前不兼容PCI，这是满足此建议的所有要求的必要标准。
2. LIT正在创建加密的VPN连接以供客户端外访问。（需要工作）
对网络和ILS服务器进行定期审核，以确保采取合理的安全措施以防止未经授权的访问。
1. 该图书馆每年接受圣何塞市或加州州立大学的两次安全审计。虽然这些审计的结果总是令人满意，但在过去七年中，只有一次由外部安全供应商进行的外部审计。作为我们即将开展的 PCI 合规项目的一部分，我们将进行一次额外的私人安全审计。（已完成）
创建程序来处理对未经授权方的数据泄露并减轻其对客户的影响。
1. 没有现有的经过审核的过程或程序来处理对未经授权方的数据泄露。尽管从LIT开始研究适当的应对措施，但尚未建立正式程序。（需要工作）
使用模拟标牌和/或初始屏幕来解释图书馆的网络和wifi访问策略，包括任何与隐私相关的信息。
1. 每台公用计算机都有一个登录页面，其中包含一些在SJPL上使用公用计算机的有限条款和条件。 wifi连接的欢迎页面包含相同类型的语言。库中存在模拟标牌，以提供有关使用 RAC 电脑。但是，所有这些形式的语言都需要定期进行审核，以解决新出现的问题。（完成）
制定有关图书馆将为其wifi客户提供隐私和便利程度的政策决策，并充分警告客户流量拦截的潜在可能性以及网络不安全的其他风险。
1. 对话正在进行中，并将永久延续。每次我们重新映像标准计算机或考虑添加服务时，LIT都会进行调整以满足客户的需求和关注。这将永远需要工作。（需要工作）
设置公共计算机以清除单个客户会话中的下载、保存的文件、浏览历史记录和其他数据。
1. 在每个个人计算机会话结束时，我们的 Reserve-A-Computer 程序都会强制重新启动。每次重新启动计算机时，所有公共计算机都会清除客户所做的所有更改。任何下载或保存的文件都将被覆盖并从计算机中清除。所有历史文件也是如此。客户离开我们的工作站后，将不再有本地搜索历史或浏览历史记录。（已完成）
在所有公用计算机上使用防病毒软件。确保已安装防病毒软件，并且该软件可以阻止间谍软件和键盘记录软件。
1. 所有公用计算机都装有防病毒/防恶意软件解决方案，该解决方案利用了来自多个来源的定义文件。这使AV软件有更好的机会捕获新的或变异的恶意软件。它可以防御间谍软件和键盘记录软件。 LIT还禁用了自动运行功能，以防止客户的USB闪存驱动器意外传输文件。后一种措施还可以作为抵御勒索软件的第一道防线。（完成）
确保不再需要任何与计算机使用有关的计算机预订管理系统记录，打印管理记录或ILS记录匿名或销毁。
1. 我们的计算机预订管理系统（RAC）会在首次预订后三天销毁个人身份信息。打印管理记录不包含任何PII。 ILS数据库不包含有关计算机使用的详细信息。（完成）
当不再需要时，匿名或破坏网络活动的事务日志。
1. 14天后销毁所有网络活动日志。（完成）
对所有公用计算机执行定期安全审核，包括对安全风险和缺陷进行数字检查以及对未知设备进行物理检查。
1. 目前正在对所有公用计算机的性能和安全风险以及缺陷进行持续分析，从而根据需要进行映像更新。由于每次会话结束后，任何计算机的硬盘驱动器上都没有变化，因此可以减轻大多数风险。
2. MLK的LIT员工和每个分支机构的图书馆员工每天都要进行物理检查。这些检查的彻底性值得商,，但迄今为止，尚未发现可疑或未知的设备。（完成）
在公共计算机上安装插件以限制第三方跟踪、启用隐私浏览模式并强制 HTTPS 连接。
1. 所有公共计算机均启用隐私浏览模式，但除目录计算机外，并非强制使用。目录计算机不可预订，也不能用于浏览互联网。
2. 除了防病毒/反恶意软件外，SJPL 不使用插件来限制第三方跟踪。
3. 除了访问库资源时，SJPL不会从其公共计算机上强制执行https连接。（需要工作）
安装 Tor 公共计算机上的浏览器作为客户的隐私选项。
1. 我们目前不提供 Tor 浏览器已预先安装在我们的公用计算机上，但客户可以在会话期间自行安装。（完成）
在防火墙上安装恶意软件阻止，广告阻止和反垃圾邮件功能。
1. 库网络网关点上的当前防火墙已安装并配置了第7层过滤器。在第7层应用的规则可能符合或可能不符合ALA建议。（完成）
分割网络以将员工计算机，公用计算机和无线客户隔离到其自己的子网中。
1. 所有分支机构均为员工，公共和wifi客户提供单独的VLAN。 MLK也是一样。（完成）
确保禁止公共计算机上的所有应用程序和操作系统与软件发布者自动共享活动数据（例如，错误报告）。
1. 这些功能在安装时被禁用，但是客户可以在会话期间进行更改。（完成）

行动计划

图书馆信息技术部门建议开展以下项目，以解决大多数需要工作或关注的建议。尽管我们认识到不可能提供一个完全安全的公共环境，但我们认为在前进的过程中应采取以下行动：

研究追踪插件
确定安装类似于以下产品的插件的可行性 Privacy Badger 阻止第三方通过嵌入式脚本或cookie收集数据，从而提高客户的隐私。预计完成时间：第四季度17/18财年
数据泄露响应政策
LIT需要与行政和执行人员合作，制定一项正式政策，以解决图书馆对未来任何数据泄露的应对措施。预计完成时间：第四季度17/18财年
用于远程访问的加密VPN
安装并配置需要与 L2TP 相当的加密的 VPN 解决方案（最低）。研究包括多因素身份验证的可能性。预计完成时间：18/19 财年：第一季度
安全审核询价
索取外部实体的服务报价，以在站点上执行漏洞测试和网络安全性的常规审核 San Jose Public Library。预计完成时间：第一季度18/19财年
部门范围的PCI合规性
尽可能重新设计网络组件，并在必要时升级和安装新设备，以创建符合部门规定的PCI兼容网络。这样一来，您就可以从任何位置安全地进行现场付款，并且会强制进行许多更改，以符合ALA推荐的标准。预计完成时间：第四季度18/19财年

市场营销和通讯隐私审计

营销与传播概述

- San José Public Library的营销和传播部门以多种方式与客户信息交互。该部门负责维护和监控各种社交媒体账户，包括：Twitter、NextDoor、Facebook、Flickr、YouTube、Snapchat 和 Instagram。我们还通过图书馆竞赛和分享图书馆故事来监督信息收集。当客户被拍照时，他们的个人信息将通过模特发布表格获得，以获得公开分享其照片的许可。我们的部门还处理来自外部媒体的所有信息请求。客户信息不会发布给任何媒体机构。最后，我们通过电子邮件通讯定期向图书馆客户发送更新。

收集什么信息？

我们收集并与客户的个人身份信息进行交互以执行常规业务运营。收集的信息包括：

姓名
年龄
邮寄地址
电话号码
电子邮箱
家庭图书馆分馆
学校
职业
年级
社交媒体屏幕名称

如何收集信息？

通过模型发布表，竞赛提交，社交媒体和新闻通讯收集有关客户的信息。

模型发布表格

如果图书馆工作人员或志愿者在照片或视频中很容易被识别，则需要获得客户的书面许可。模特授权表格收集客户的姓名、年龄、地址、电话或电子邮件以及个人描述。这些表格最初由市通讯主管创建。我们希望将这些表格上收集的信息减少到姓名、电话或电子邮件以及个人描述。与通讯主管的联系将在 13 年 2018 月 XNUMX 日星期五之前完成。

图书馆，圣何塞市或圣何塞州立大学只能将客户的照片和视频用于促销目的。

图书馆网站

该图书馆定期举办竞赛并通过其网站收集顾客的个人故事。网络团队使用 Drupal 创建表单，然后将顾客信息发送到 Gmail 帐户。可能会要求顾客提供姓名、电话或电子邮件、地址、所在图书馆分馆、学校、年龄、年级和/或职业。

客户还可以通过我们的电子邮件通讯注册定期更新。通讯由以下人员提供 Constant Contact.

竞赛和图书馆故事

除了通过我们的网站收集信息外，图书馆分支机构还可以举办竞赛并通过纸质表格收集顾客的图书馆故事。

社交媒体

图书馆运营多个社交媒体帐户，包括：Twitter、NextDoor、Facebook、Flickr、YouTube、Snapchat 和 Instagram。只有网络团队和营销团队的成员才能访问这些社交媒体帐户。我们目前正在为员工制定社交媒体政策，该政策将为在线发布和与客户互动提供指导。该政策正在与网络团队一起编写，并将于 30 年 2018 月 XNUMX 日完成。

与谁共享信息？

有关客户的个人身份信息仅在他们的同意下共享。

图书馆网站

市场营销和传播团队以及网络团队都可以访问通过图书馆网站提交的信息。我们的团队还可以使用以下方式访问已提交以注册新闻简报的电子邮件地址 Constant Contact.

模型发布表格

只有图书馆工作人员或最初收集信息的志愿者才能看到模型发布表上的信息。发布照片或视频时，可以使用客户的名字。

第三方

如果竞赛要求第三方直接与获得大奖的客户合作，我们将与他们分享他们的姓名和联系信息以进行安排。

社交媒体

通过社交媒体或我们的网站共享的评论，帖子和消息可用于营销材料。它们也可以与包括报纸在内的媒体共享。除非获得批准分享更多信息，否则客户只会识别其名字。图书馆不使用其他Facebook数据分析或目标广告。

信息存储在哪里？

市场营销和传播部收集的所有纸质表格均存放在 King 图书馆的带锁的柜子中。

竞赛结束后，将删除数字提交。

图书馆各分馆保留所有收集到的模型发布表。这些表格存放在带锁的文件柜中，只有工作人员才能访问。营销部门将在 1 年 2018 月 XNUMX 日之前提醒工作人员如何存储材料。

比赛结束时，所有表格都会被粉碎。

信息保存多长时间？

模特授权书和任何收集到的图书馆故事都会无限期保存。这符合市政府的记录保留要求。

比赛结束后，工作人员会粉碎比赛表格。

社交媒体信息无限期保存，并且仅存储在所使用的平台上。

Partners in Reading 隐私审核

Partners in Reading 概述

我们维护机密信息，以便向 San José Public Library （SJPL）和加州图书馆扫盲服务。这包括 Partners in Reading （PAR）成人读写服务、Together We Read（TWR）家庭读写服务、ESL、计算机和在线教学以及加州州立图书馆（CSL）计划、加州州立图书馆的加州图书馆读写服务（CLLS）、 Career Online High School （COHS）。除了COHS（需要更多细节）外，我们从PAR项目的所有参与者那里收集相同的信息。

收集什么信息？

我们的部门在与所有学习者和/或导师接触时可能会收集以下任何信息：

姓名
邮寄地址
电子邮箱
电话号码
紧急联系人
出生日期
性别
种族
学历
就业/职业
图书馆卡号码

成人识字学习者还可能被要求提供：

母语
出生国家
学习障碍
14岁以下的儿童人数

Career Online High School 可能会要求参与者提供：

最高年级完成/上学
图书馆卡号码
参加特殊教育班

加州图书馆识字服务部要求报告性别和种族。教育背景和就业情况是 PAR 记录的重点，用于专门匹配可能具有关键兴趣的学习者和导师。

如何收集信息？

客户可以通过在线、邮寄、亲自或电话填写入学表格来表达参与 PAR 计划的兴趣。导师必须使用标准志愿者表格和流程提交其信息。

进入 PAR 接待区后，参与者和志愿者在计算机实验室签到表上签到。这包括姓名、状态复选框（学习者、导师、COHS 或其他）、进出日期和时间。目前，我们没有办法保留这份私人记录，但计划使用记录员，就像医生办公室使用的记录员一样，你可以将信息撕下来放在私人办公桌上。此次升级计划于 3-2017 年第三季度进行。我们还认为，在未来（明年的 CLLS 预算），我们可能能够使用 iPad 来签到参与者，并将信息自动记录到接待计算机中。

与谁共享信息？

在聚合数据类别中，与PAR计划参与者有关的信息与SJPL，CLLS和CSL共享。没有共享任何个人信息。

导师将有权访问学习者提供的所有信息，但地址、电子邮件和借书证信息除外。导师将收到由我们的两位读写能力计划专家之一撰写的评估摘要以及相关信息。导师在加入该计划时受保密协议的约束。

对于COHS学生，CSL与以下人员共享学生的个人信息和数据 Gale Cengage Learning and Smart Horizons，这所学校提供该课程的认可课程，高中文凭和职业证书。该COHS信息发布到仪表板，该仪表板也由PAR / COHS计划经理，项目经理和支持人员共享。

信息用于将个人放置在PAR程序中。为COHS收集的信息用于使个人有资格获得奖学金。每位候选人必须符合COHS文档中描述的COHS指南中规定的资格，才能被视为奖学金。对于COHS毕业生，他们的名字与圣何塞市市长和市图书馆员共享，以用于签署证书。毕业生在发布会上签名，使用他们的姓名，照片和视频参加毕业典礼。

信息存储在哪里？

PAR 计划记录保存在我们受密码保护的数据库中，并存档在备份存储中。纸质记录保存在锁定文件中。所有工作人员都可以通过密码访问数据库，可以输入新客户及其信息，并可以在锁定文件柜中查找信息。

COHS 计划于 2016 年 XNUMX 月启动，信息在 PAR 数据库和存储在共享 PAR 计算机上的电子表格中维护和存档。 Gale Cengage Learning，Smart Horizons和CSL也会根据其政策和程序要求来维护/存档此信息。

信息保存多长时间？

我们的记录保存期限为 7 年。所有信息都存储在我们定制的数据库中，以供历史查询。我们的首席办公室专家负责办公室运营并安排清除记录。纸质记录在 7 年后会被销毁。

安全隐私审核

安全概述

保安部为警察局的所有23个分支机构提供服务 San José Public Library （SJPL）和圣荷西州立大学（SJSU）校区的马丁·路德·金博士图书馆。安全人员受雇于圣何塞市，并与大学雇用的警官密切合作。图书馆工作人员和官员收集并获取信息，以记录非犯罪和刑事，可疑行为，违反客户行为政策的情况，并根据需要处理暂停情况。

信息用于帮助图书馆工作人员提供一个热情，和平的公共空间。对于不遵守SJPL客户行为政策的人员，SJPL可能会暂停对King库和23个分支的访问。收集到的信息用于完成中止文书工作。

收集什么信息？

当客户违反SJPL策略时，将收集标准信息以将其包括在事件报告或行为日志中。收集的信息可能包括：

姓名
出生日期
图书馆卡号码
邮寄地址
电子邮箱
电话号码
事件摘要
SJPL 事件历史

如何收集信息？

信息是通过以下任何一种或所有方法收集的：

询问图书馆主顾
询问图书馆工作人员
视频/相机镜头
- 静态照片是通过SJSU和带有闭路电视（CCTV）摄像机，大学警察身体摄像机的图书馆分支机构获得的，或者询问顾客是否可以拍摄照片以记录暂停记录。静止图像可帮助图书馆工作人员确定图书馆顾客，他们已被暂停以执行暂停程序。
- 那些设有 CCTV 的 SJPL 分支机构的保留期为 30 天。设有 CCTV 的 SJPL 分支机构每 30 天重置一次视频录像。SJSU 存储和保留期为 1 年。

事件报告使用事件追踪器完成并归档。事件追踪器软件记录可能再次发生的犯罪、攻击和高优先级事件。

行为日志已使用在线SharePoint表单完成了一些小错误。

与谁共享信息？

事件报告、行为日志和停职文件中包含的信息仅向 SJPL 员工和大学警察提供。未经传票、拘捕令、法院命令或其他法律文件要求，图书馆记录不会提供给任何州、联邦或地方政府机构。这些命令必须有正当理由并以适当的形式提供。我们已经培训了所有图书馆工作人员和志愿者，以便将任何执法请求转交给图书馆管理员。

仅授权城市图书馆员和/或其指定人员接收或遵守执法人员的要求。在确定适当的对策之前，我们会尽可能与法律顾问交谈。

信息存储在哪里？

该信息可以在“ SharePoint安全性”页面中找到。 SharePoint安全性页面的内容包括：

事件追踪器（报告）
行为记录
停权文件
- 悬挂包装
- 上诉
- 重新输入暂停的图书馆顾客信息

事件追踪器

事件跟踪器是一款档案软件，用于记录可能重复发生的犯罪、攻击和高优先级事件。所有数据均会无限期存储和保存。事件跟踪器是一款在线报告解决方案，允许图书馆工作人员以电子方式记录事件报告、查看和查询。事件跟踪器提供详细的分析报告和趋势图，可以创建工作流程，甚至可以设置自动电子邮件警报。工作人员必须使用登录名和密码才能访问该软件。分馆/部门经理、图书馆助理、SJPL 和 King 图书馆安全人员以及执行领导团队可以访问事件跟踪器。

行为记录

行为日志用于记录非犯罪、非重复行为以及违反图书馆政策（客户行为政策除外）的行为。工作人员使用行为日志作为快速参考，以随时了解与客户的具体互动。行为日志位于 Security SharePoint 上，任何图书馆工作人员都可以通过 SJPL SharePoint 页面访问。

暂停，申诉和文件

SharePoint上的暂停，申诉和文档文件夹包含有关过去和当前暂停的图书馆顾客的信息。其中包括所有暂停文件，客户照片，有关送达文件的信息，上诉，空白暂停表格，客户行为政策执行规则以及已完成的重新进入和恢复图书馆特权文档。

被暂停会员资格的客户可以使用暂停包中提供的表格提出申诉。暂停申诉表格要求客户提供姓名、地址、电子邮件、电话号码、简短说明他们为何对暂停会员资格提出申诉的摘要以及恢复图书馆访问权限的请求。填妥的申诉表格将提交给任何 SJPL 或 King 图书馆安全人员或分馆/部门经理。然后表格将立即交给行政支持人员，他们会与图书馆行政官员和指定部门经理协调，安排申诉听证会。

听证会的日期/时间/地点将在收到上诉表格后的五个工作日内邮寄或通过电子邮件发送给客户。所有上诉听证会都在金图书馆举行。被停职的客户，高级安全员，证人和指定的部门经理必须出席私人听证会。听证的结果然后转发给行政支持人员，后者将副本发送给客户。

暂停客户的照片可以张贴在员工工作室中，只有图书馆工作人员和志愿者才能查看。这些照片是应高级安全官的要求发布的。张贴内容包括被暂停的客户的照片和被暂停的原因。这些张贴仅限于对图书馆工作人员或顾客构成安全风险，极有可能访问该分支机构或事件发生在该位置的客户。

信息保存多长时间？

事件追踪器数据、行为日志以及停职/上诉文件将无限期存储

在员工工作室中张贴的照片至少要保留12个月，然后将其粉碎。

SharePoint安全性页面会不断更新以改善访问权限。 12个月或更长时间的非犯罪违规事件和事件将重新定位到“旧禁令”文件夹中。 10岁及XNUMX岁以上的刑事违法行为将转移到“旧的停职”文件夹中。目前对暂停，上诉，记录（包括照片）的保留期进行审查。

技术服务隐私审核

技术服务概述

技术服务不会收集、提取或共享图书馆客户的任何个人身份信息。提取给供应商或与供应商共享的所有数据仅与材料的流通和识别有关。

收集什么信息？

collectionHQ

技术服务每月都会将数据提取到 Baker & Taylor 的 collectionHQ。数据点已附加，包括签入和签出日期。提取的所有信息都位于书目、项目或权威字段中。运行新提取后，旧提取将被删除。

供应商访问Sierra

只能通过目录以及订单和发票信息的交换来访问Sierra。所有访问都需要登录名，并且该登录名的权限仅限于完成工作所需的有限任务。登录和权限由LIT或Innovative设置。

ALA清单项目

制定关于从 ILS 提取、存储和共享顾客数据以供内部或签约的第三方使用的政策和程序。
1. 技术服务不会提取、存储或共享任何顾客数据。（已完成）
限制只有适当的人员才能访问摘录。
1. 限制到位（已完成）
该政策应包括摘录的处理/删除。
1. 技术服务部门每月在发送新摘录时删除所有摘录。（已完成）

志愿者服务隐私审计

义工服务总览

义工服务部 San José Public Library 收集志愿者的申请信息，以筛选申请人、跟踪志愿者的贡献并报告为图书馆贡献的志愿者数量和志愿者时间。

收集什么信息？

我们的部门收集个人身份信息，以便将志愿者纳入图书馆系统。收集的信息允许图书馆对志愿者进行背景调查，协助分支机构的志愿者协调员将志愿者分配到不同的任务，并参与 Volunteer Away Your Fines 活动。我们仅收集开展常规业务运营所需的信息。收集的个人信息可能包括：

名字和姓氏
出生日期
邮寄地址
电子邮箱
电话号码
年龄范围（13 +，15 +，18 +，21 +或50+）
语言能力
紧急联系信息
雇主
学校
最高学历
图书馆卡号码
豁免罚款额

如何收集信息？

信息是通过各种不同的来源收集的。

网上义工申请

所有在职的 SJPL 志愿者都会在 Better Impact 中创建个人资料，SJPL 使用这款志愿者管理软件来跟踪志愿者申请、工作时间和影响。

义工申请者必须输入其名字，姓氏，出生日期‌，邮寄地址，电子邮件，电话号码，年龄段（13岁以上，15岁以上，18岁以上，21岁以上或50岁以上），语言能力，紧急联系信息以及他们如何了解志愿服务。它们还可以包括此可选信息；学校或工作地点，以及最高学历。

志愿者签名表

根据圣何塞市法律部门的要求，所有SJPL志愿者在开始志愿活动之前，均会返回一份完整的志愿者签名表格副本。

志愿者申请者必须填写其名字，姓氏，父母/监护人签名（如果他们未满18岁），如果是一次性志愿者，则需要填写紧急联系信息。

志愿人员罚款登记

当某人参加志愿者参加您的罚款活动时，他们的信息将输入到excel电子表格中，以便在活动期间可以从正确的帐户中免除罚款。

登记表上有每位参与者的名字，姓氏，电话号码或电子邮件地址，年龄级别（成人或儿童），借书证号以及免除的罚款金额。

LiveScan指纹背景检查

所有正在进行的成年志愿者都必须在开始成为志愿者之前提交指纹背景检查。 SJPL不收集任何信息。

与谁共享信息？

与某些工作人员（图书馆和圣何塞市）共享个人身份信息，志愿者可以访问自己的信息。

网上义工申请

只有志愿者和 SJPL Better Impact 帐户管理员（SJPL 工作人员，有时是经过专门培训和背景调查的志愿者）可以访问在线志愿者资料信息。

Better Impact帐户信息仅与志愿者本身（而不是父母或潜在雇主）共享。我们只会与潜在的雇主和家人确认服务日期和工作时间。

志愿者签名表

签名表单仅对图书馆工作人员（图书馆员，文员和分支机构经理）可用。工作人员可以应要求为志愿者制作签名表格的副本。

志愿人员罚款登记

这些excel文件只能由负责登录或取消活动罚款的图书馆工作人员访问。

LiveScan指纹背景检查

只有SJPL志愿服务分析师（或其主管）和圣何塞市人力资源人员可以访问。

信息存储在哪里？

网上义工申请

志愿者信息存储在 Better Impact 软件中。Better Impact 隐私政策可在以下网址找到： https://www.betterimpact.com/siteguide/privacy-policy.

志愿者签名表

签名表格存放在归还表格的分支机构或单位的带锁文件或办公室中。表格按姓氏归档，以便在需要时轻松找到。当志愿者被归档时，他们的签名表格将被移至标有当前年份的文件中，以便在 3 年后将其粉碎。

志愿人员罚款登记

这些 Excel 表格存储在举办活动的图书馆分馆的员工电脑上。表格不会打印出来。活动总数输入系统范围的跟踪表后（活动结束后 24 小时内），所有条目都将被删除。

LiveScan指纹背景检查

圣何塞市人力资源办公室接收并存储志愿者指纹背景调查的结果。Butterfly Impact 软件或志愿者的物理文件中不包含有关 LiveScan 背景调查结果的任何信息。发送给志愿者服务的所有收据都保存在安全的锁定文件中。

信息保存多长时间？

网上义工申请

个人资料信息将无限期存储。

志愿者签名表

志愿者离开SJPL服务后，表格将保留3年。

志愿人员罚款登记

将活动总数添加到系统范围的跟踪表后，注册 Excel 表格将被删除。

LiveScan指纹背景检查

志愿者结束对图书馆的服务后，必须进行3年的背景调查。

网站团队隐私审核

网络团队概述

- San José Public Library （SJPL）网站提供有关图书馆服务和活动，图书馆目录以及各种电子资源和eBooks / eMedia的信息。该网站每年收到超过3万次访问，而eBooks / eMedia每年记录超过XNUMX万次结帐。

图书馆网站（https://www.sjpl.org）由图书馆的网络团队内部维护。它是使用Drupal开源内容管理系统构建的。全球的Drupal社区拥有超过1万用户，其中包括专注于安全性的多个团队。 Drupal提供频繁的安全更新。 Drupal受到许多大型组织的信任，包括白宫，特斯拉和美国红十字会。

图书馆网站托管在Acquia Cloud上，该数据库提供了一系列访问和身份验证控件，防火墙控件，防御性安全性以及频繁的安全性更新。所有网站流量均使用https加密。图书馆的IT部门确保安全证书是最新的。

SJPL 与多家第三方供应商签订了合同，为图书馆卡持有者提供各种电子资源，供馆内和馆外使用。这些资源包括可下载和流媒体资料以及传统数据库。

我们所有的电子资源均由我们签约的供应商提供。虽然我们无法控制这些供应商的行为，但我们承诺

准确发现我们的供应商合作伙伴正在采取哪些隐私措施
发现这些供应商收集的有关我们顾客的个人身份信息
与我们的供应商合作，以确保他们符合我们的隐私标准和要求
使用我们的采购/投标流程与能够满足我们的隐私标准和要求的供应商签订合同

信息收集

的WebForms

图书馆网站包含许多Web表单，客户可以出于某些目的而提交这些表单，例如申请特殊服务，提交图书馆竞赛以及要求工作人员提供在线帮助。这些表格收集了一些个人身份信息，这些信息仅应用于表格所述的目的。我们已经与索取这些表格的图书馆单位核实，要求提供的所有信息都是必要的，并且在以后创建任何表格时也会这样做。收集的信息可能包括姓名，年龄，电子邮件地址，电话号码，实际地址，图书馆卡号以及其他与表格目的相关的信息。我们清除了超过6个月的网络表单活动，并且已从网站的当前副本和存档副本中删除了此信息。每年三月和九月将执行两次类似的清除操作。

Web小组使用Web表单从要求建立帐户的顾客那里收集信息（姓名，电子邮件，图书证） Treehouse，这是我们的eResources供应商之一。此信息用于预期目的，并在一个月后清除。

Webform也会收集用户IP地址。我们正在调查收集此数据的影响，并考虑改善匿名性的方法，例如实现Drupal模块以匿名化此信息。

数据分析

我们使用 Google Analytics 对我们的网站使用情况进行统计分析。我们已经通过Drupal启用了“匿名IP地址”功能 Google Analytics 模块。我们的数据保留期 Google Analytics 在应用或可能应用与Cookie相关的用户级和事件级数据的任何情况下，均设置为14个月的最低设置。

我们已经/正在收集以下与SJPL相关的网络媒体资源的信息：

https://www.sjpl.org -我们的主要网站。
Localist-托管我们的图书馆活动网站。在2018年XNUMX月之后，我们将不再使用Localist。图书馆活动将驻留在我们的Drupal网站上。
SRC（当它是Drupal实例时）-它是由第3方建造的；我们没有存档副本
https://sjlibrary.org -与圣何塞州立大学（SJSU）图书馆共享的网站。 SJPL收集的数据是匿名的。我们将与SJSU图书馆工作人员讨论匿名化。
我们的目录-再来一次和经典-见下文
Digitalcollections.sjlibrary.org-由我们使用 California Room 用于历史图像。我们正在将这项服务转移给新的供应商，在建立过程中会注意到隐私问题。
LibCal/LibAnswers/LibChat - 已禁用每个用户的统计数据，因此个人身份信息无法与预订相关联。此资源与 SJSU 共享，我们正在与他们讨论其他隐私选项，包括匿名 IP 地址和更改跟踪代码脚本。
Beanstack - 用于跟踪幼儿园和暑期阅读计划前 1,000 本书的读者阅读清单。收集的信息包括姓名、电子邮件地址和书名。我们每月收到 Google Analytics 活动报告。

我们也用 Hot Jar 获取有关网站使用情况的分析数据，例如热图，屏幕记录和民意测验。数据用于改善我们的图书馆网站。收集的所有数据都是匿名的。不会记录击键。

我们根据要求向图书馆工作人员，圣何塞市，加利福尼亚州立图书馆，公共图书馆数据服务以及其他组织提供使用情况摘要报告。所有报告信息都是匿名的。

第三方脚本和嵌入式内容

目前，我们嵌入了YouTube，Flickr，Facebook，Twitter和Google Maps的内容，并且使用了以下脚本 Google Analytics，Google翻译，HotJar，Flickr，New Relic，AddThis和 LibAnswers。我们正在评估通过第三方脚本和嵌入式内容收集哪些数据，并限制不必要的数据收集。

电子资源

关于电子资源的使用，SJPL不会收集有关我们客户的个人身份信息。我们通过供应商网站上运行的报告或由供应商发送给我们的报告，从供应商那里收集统计信息。这是不包含标识信息的常规用法信息。

我们的某些供应商确实允许我们访问包含个人身份信息的报告和功能。该信息仅由图书馆用于协助顾客解决帐户/技术问题，并且仅适用于有限数量的员工（通常不超过3人）。

我们已经准备了一封信，将发送给供应商，以表达我们对我们所有供应商应该的期望：

将服务配置为在涉及个人信息收集的功能时尽可能使用选择加入。
向客户提供选择，让他们决定收集多少信息以及如何使用这些信息。客户应该有权选择是否加入需要收集个人信息的功能和服务，例如借阅历史、阅读清单或喜爱的书籍。
在访问点将其隐私策略通知客户。
为客户提供一种访问，查看，更正和删除其个人数据的方法。
使用SSL / HTTPS加密连接以提供对数字内容的安全访问
一旦供应商发现数据或安全漏洞或违反合同条款，请立即通知图书馆。
允许客户卸载供应商应用程序并从个人设备中删除相关存储的数据。
进行定期的隐私审核，并将审核结果提供给图书馆以供审核。将审核结果作为续订标准之一。
限制收集有关用户的个人信息量。通常，图书馆或服务提供商应收集提供服务或满足特定运营需求所需的最少个人信息。

在未来的供应商合同和续约中，我们将包括以下期望：

遵守所有适用的地方，州和联邦法律，有关图书馆记录的机密性。
符合图书馆的隐私，数据保留和数据安全策略。
确保所有分包商都必须遵守图书馆与供应商之间签订的合同中的隐私和数据安全保护条款，并且每当供应商雇用分包商时都要通知图书馆。
规定图书馆保留所有顾客数据的所有权。
包括用于响应政府和执法机构对顾客数据的请求的协议。
包括有关供应商用于保护保留数据的措施以及其用于确保安全性的安全措施的详细信息。
说明如果发生数据泄露，供应商有责任通知图书馆和受影响的顾客。

我们正在准备一项数字材料战略，其中将隐私期望（见上文）作为供应商选择/续订的评级标准的一部分。

我们已编制了一个指向供应商隐私政策的链接列表。此列表位于 SJPL网站。我们还列出了每个供应商收集的数据及其使用方式的列表。见附录A.

我们也正在为顾客创建文件，以告知他们每个供应商的政策和选择以及相关的图书馆政策和程序。这些将在图书馆网站上提供，其中包括：

供应商网站上个人帐户的设置。
个人设备上供应商应用程序的设置，包括任何隐私设置以及如何删除应用程序和任何相关的存储数据。
如果供应商遇到数据泄露，则执行图书馆程序。见附录B.

在线目录

在线图书馆目录（Encore和Classic目录）允许顾客登录他们的图书馆帐户，以访问结帐，保管箱和其他帐户信息，这些信息位于我们的集成图书馆系统Sierra中。有关更多信息，请参见Access Services白皮书。在线目录和Sierra之间的所有交易均已加密。

顾客可以选择启用跟踪其阅读历史的功能。此功能是可选的，他们可以随时选择退出。他们还可以创建个人书单，这些书单不会与任何人共享，并且可以随时删除。他们可以选择为图书馆目录中的项目添加标签，也可以随时删除它们。工作人员可以看到添加特定标签的人的姓名。此信息不向公众开放。

用户体验研究

Web团队与图书馆顾客进行用户体验（UX）研究，以便就改善用户体验做出明智的决定。收集知情同意书的签名和一些一般人口统计信息，例如年龄范围和首选图书馆位置。在进行定性访谈时，参与者可以分享他们的生活细节。此信息通常记录在纸上。然后将其上载到研究人员的OneDrive帐户，并仅与直接参与研究项目的图书馆人员共享。

可能会制作视频录像，尤其是在可用性测试期间。这些录像将上传到私人 YouTube 帐户，只有指定的图书馆工作人员才能访问。加载这些项目后，原始录音和纸质文物将被销毁。录音和任何带有 PII 的电子研究文物保存时间不得超过两年，如果与 UX 研究相关的项目已经完成，则会提前销毁。研究摘要可能会保留，但不会保留任何带有 PII 的文物。用户行为、意见和一般用户特征（例如技术技能水平）可能会与外部利益相关者共享，以展示 SJPL 如何做出设计决策，但不会共享任何可以推断或与参与者相关的 PII 或数据点。

行动计划

调查收集此数据的影响，并考虑改善匿名性的方法，例如实现Drupal模块以匿名化此信息。（将于2018年XNUMX月完成）
继续评估通过第三方脚本和嵌入式内容收集的数据，并限制不必要的数据收集。（将于2018年XNUMX月完成）
发送信通知eResource供应商我们的隐私要求。
对所有未来的采购和投标实施新的隐私要求。
数据泄露响应政策[见附录B]（在此方面与IT部门合作）
在我们的网站上为用户提供有关如何保护其供应商帐户，如何在可用时选择加入和退出以及卸载供应商应用程序的说明。（将于2018年XNUMX月完成）
完成数字材料战略，包括对新供应商和续签供应商合同的期望。（将于 2018 年 XNUMX 月完成）

附录A

每个供应商收集的数据
供应商	认证	提供给我们的个人身份报告？	采集的数据
ABCmouse	条形码，PIN码和电子邮件	没有	ABCmouse 收集大量个人信息以评估孩子的进度，包括孩子和父母的名字，孩子的年龄和电子邮件地址。当他们在家中退房时，孩子还要进行两次评估测试。这些名称尽可能地无名，但是确实有一定数量的信息传输给它们。我们的报告中没有个人身份信息，只有一般使用信息。
Axis 360	条形码和PIN码	含	图书馆卡号，PIN和电子邮件地址（可选）。
Beanstack	发邮件至	含	Beanstack 需要一个帐户。他们需要一个名称和电子邮件地址。其他个人信息（包括条形码）是可选的。
BiblioBoard 自学资料库	地理位置	含	如果读者创建帐户，Biblioboard 还会通过条形码进行身份验证。帐户需要电子邮件地址（可选）、用户名和密码。除非注册 Pressbooks
Big Interview	条形码和电子邮件	含	顾客创建一个帐户并在注册时输入其条形码。
Bookan –不接受任何个人信息	other	没有	现场无需登录。异地需要使用与所有顾客共享的通用用户名和密码登录。可能收集IP地址。
图书24x7	仅代理	没有	他们可能会收集IP地址。
Discover & Go	条形码和PIN码	没有	我们只有很少的管理权限。我们能够运行有关使用情况的非常常规的报告。必须提供顾客条形码和电子邮件，但我们没有该信息。的管理员 Discover & Go （目前是孔塔哥斯达黎加县立图书馆）。
EBSCO 电子书	代理和电子邮件	没有	见下文。赞助人可以创建一个帐户（与 EBSCO主机），以查看可供下载的电子书。许多电子书也可以离线阅读而无需检出。
EBSCO主持人	代理和电子邮件	没有	赞助人可以创建一个用于保存文章，搜索等的帐户。这完全是可选的。帐户要求输入名称和密码。电子邮件是可选的。
恩基	条形码，PIN码和电子邮件	没有	需要借书卡和 PIN 码。电子邮件是可选的，但必须提供才能收到借阅通知。enki 从 Sierra 提取全名和图书馆。我们无法访问任何个人信息，但 enki 能够运行附在条形码上的报告。
Gale	other	没有	无需登录，但 Gale 允许用户使用Microsoft或Google帐户登录。他们可以保存文章，搜索等。
Gale 虚拟参考图书馆	other	没有	无需登录，但 Gale 允许用户使用Microsoft或Google帐户登录。他们可以保存文章，搜索等。
Hoopla	条形码和电子邮件	含	图书馆卡号和电子邮件地址。需要创建帐户。我们能够运行报告，以查看每个借书证已签出材料的次数，但看不到各个书名的含义。 Hoopla 能够获取有关单个条形码的标题级别信息。
LearningExpress库	条形码和电子邮件		赞助人使用条形码和电子邮件创建帐户。
Library Journal 自我学习	other	没有	这只是一种形式，允许用户将其稿件提交给 Library Journal。该表格要求您提交个人信息。这是一种资源，只有极少数的顾客会使用。
Lynda.com（现在为LinkedIn学习）	条形码，PIN码和电子邮件	含	需要“姓氏和名字”以及电子邮件，尽管“Lynda“ .com成员”是默认名称。大多数人可能会更改它。
LinkedIn学习（以前 Lynda.COM）	条形码，PIN码和电子邮件	含	如果您使用与登录时相同的借书证号码和PIN Lynda.com，您的历史记录和进度将在 LinkedIn Learning 上提供。
Mango 语言	发邮件至	没有	需要姓名和电子邮件地址。可以选择使用访客访问，但不会跟踪进度。似乎根本没有验证用户身份。
纽约时报在线	代理和电子邮件	没有	现场身份验证是通过IP地址进行的。在场外，顾客必须通过代理并在NYTimes上创建一个帐户。姓名和电子邮件地址为必填项。
新闻银行	代理和电子邮件	没有	赞助人可以选择创建一个帐户，但这不是必需的。
资讯OverDrive	条形码，PIN码和电子邮件	含	顾客可以通过以下三种方式之一登录 OverDrive。1. 使用图书馆卡号和 PIN。2. 使用需要电子邮件地址、图书馆卡号和 PIN 的 OverDrive 帐户。3. Facebook 以及图书馆卡号和 PIN。OverDrive 和 OverDrive 应用程序中有历史记录功能，Libby 中有活动功能。历史记录现在是可选的。活动跟踪是可选的。OverDrive 声称历史记录和活动信息仅供顾客使用。我们实际运行的唯一报告是一般使用情况报告和保存管理报告。截至 2018 年 XNUMX 月，只有站点超级用户才能访问包含个人身份信息的报告。
Pressbooks	条形码和电子邮件	含	与...一样 BiblioBoard 以上。电子邮件是必填项 Pressbooks 我们可以看到有关用户的信息，因为 BiblioBoard 配置文件将附加到创建的书籍。
PrivCo	仅代理	没有	我们没有管理权限。报告每月发送给我们，但它们是匿名的。 IP地址可能已收集。
Pronunciator	条形码和电子邮件		读者只需使用借书证号码即可登录，但不会跟踪进度。注册需要电子邮件。
ProQuest的	仅代理	没有	其中包括Digital Sanborn Maps和San Jose Mercury Digital Microfilm。他们俩都没有收集个人信息，除了可能的IP地址。我们拥有Digital Sanborn Maps的管理员登录名，但仅提供常规用法信息。我们提供了《 SJ水星新闻》的使用情况报告。
RBdigital	条形码和电子邮件	含	我们可以访问顾客名称，条形码和电子邮件。该信息仅用于解决帐户问题。
RBdigital Magazines	条形码和电子邮件	含	顾客条形码和电子邮件。
参考美国	代理和电子邮件	没有	顾客可以使用此功能创建个人帐户。电子邮件地址和全名是必需的，但是这样的帐户是完全可选的。
里奇的	仅代理	没有	我们没有管理权限。报告每月发送给我们，但它们是匿名的。 IP地址可能已收集。
Rock's Backpages	条形码	没有	收集图书馆卡号以在场外验证用户。无需现场登录。
罗森 PowerKnowledge	仅代理	没有	仅IP地址。
Safari Books Online	仅代理	含	除IP地址外，不收集任何信息。我们可以运行一个报告，查看在特定IP地址上进行了多少次查看，但没有查看过。
Springshare LibApps	other	含	这实际上是SJSU资源，但是我们将其用于实时和电子邮件参考。管理员可以访问大量个人信息，包括姓名，电子邮件地址，图书馆卡号以及顾客提供/我们要求的其他任何信息。系统每隔几个月就会删除聊天记录中的个人身份信息，因此，我们的信息日志不会超过三到六个月。
总Boox	条形码，PIN码和电子邮件		仅需要条形码和PIN，但它们确实要求提供电子邮件。电子邮件是可选的并不明显，并且每次登录时都会要求赞助者添加一封电子邮件。名字是从Sierra提取的。根据隐私政策，他们收集IP地址。
Treehouse	发邮件至	含	仅收集电子邮件地址。我们还要求将顾客的条形码通过网络表单提交给我们，但是在创建帐户后不会保留该条形码。 Treehouse.
不倒翁书	代理和电子邮件	没有	代理是主要认证。用户可以创建一个可选帐户，但是它没有太大作用，因为它是为教师和学生设计的，并且需要我们没有的功能。要求是姓名和电子邮件。
Tutor.com	条形码，PIN码和电子邮件	含	声明自己未满 13 岁的用户将匿名登录，无需提供个人信息。13 岁以上的用户或由监护人注册的用户提供姓名、年龄和电子邮件地址。他们还可能在辅导课程中提供其他信息，但这些课程会受到严格监控，以确保用户不会提供或被要求提供不必要的个人信息。我们可以访问报告中的 PII，但只能运行一般使用情况报告。可以以匿名模式运行其他报告。只有电子资源图书管理员才能访问管理员帐户。 Tutor.com 尤其关注隐私和安全，并且比其他供应商拥有更多保护信息的措施。
Value Line	仅代理	没有	系统会将有关此资源的报告发送给我们-我们没有管理员权限，也没有用户登录。
World Trade Press （美国AtoZ，AtoZ世界旅行，全球道路勇士）	仅代理	没有	没有登录。我相信他们可能会收集IP地址。我们每月收集基本使用情况统计信息。可用的只是会话数和使用的单个设备数。

附录B

数据泄露响应

网路

如果我们意识到数据泄露，我们将与图书馆IT部门合作保护数据遭到泄露的用户，并采取措施防止将来发生数据泄露。我们将通过以下任何或所有方式立即通知我们的用户：

网站公告
电邮通讯
通过电子邮件发送给可能受到影响的顾客
博客
Twitter，Facebook，Instagram帐户
必要时设有分行标牌
当地媒体

通知的级别将取决于违规的严重程度以及库用户可能受到的影响。

在线资源

借助eResources，我们依靠供应商让我们知道是否存在数据泄露。如果/当我们收到违规警报时，我们将按照从供应商处收到的所有说明进行操作，并立即如上所述通知用户。