隐私审核

访问服务隐私审核

访问服务概述

San José Public Library的访问服务部是一个多方面的部门，由各种国王图书馆和系统范围的职责组成。关于此隐私审核，我们将专注于Sierra集成图书馆系统（ILS）部门的职责。

Access Services，尤其是System Support致力于维护客户数据库，包括运行和从客户数据库收集数据。这项工作包括清除客户和客户数据（如我们的年度计划所示）或根据管理部门的要求。

系统支持负责收集和维护系统范围内的循环统计信息。此外，他们的任务是监督与我们的收款代理机构Unique Management Services（UMS）进行的数据交换，并处理客户对已转给收款账户的查询。

最近，系统支持的任务是协助LIT创建ILS的员工登录，并协助技术服务部门维护与ILS相关的贷款规则和位置代码。最近的其他项目包括RFID人员工作站的培训和实施，自我检查以及自我检查付款。我们还被要求参与与客户数据库有关的各种项目。这包括数据扩展rac预测性计划项目，坏账冲销和与报告和拨款相关的数据。

信息收集

集成图书馆系统：Sierra

顾客数据库

客户数据库由员工输入的书面应用程序或图书馆客户输入的电子应用程序填充。在任一版本中，都要求提供以下信息：

名字和姓氏
出生日期
邮寄地址
邮箱
电话号码
父母/法定监护人姓名和/或驾驶执照（适用于18岁以下的儿童）
订阅图书馆时事通讯（可选）

在将信息输入到我们的数据库中所需的期间内，将保留纸质申请，然后将其粉碎。唯一的例外是青少年卡。这些应用程序在客户申请的位置维护了三个月。在线应用程序将在数据库中维护60天，或者直到客户访问我们的位置之一以获取他们的卡为止。每2个月将清除无人认领的帐户。

申请卡时，客户必须提供带有图片的身份证件和地址证明。图书馆不会创建不必要的记录，只会保留完成图书馆任务所需的记录，并且不会参与rac将信息公开展示的线索。

该库每年根据以下条件从系统中删除一次客户记录：

已过期2年
自报表生成之日起4年内未激活

满足这两个要求之一的客户还必须具有：

罚款少于$ 10
没有项目签出

只有授权的图书馆工作人员才能访问个人数据tor在ILS中进行编辑。只能在常规库操作中使用对此信息的访问。除非法律要求或满足个人客户的服务要求，否则图书馆不会透露通过ILS从客户那里收集的任何个人数据。

在分支或单位级别创建用于访问客户数据库的登录名。员工能够仅出于执行图书馆工作的目的而使用该登录名。该登录名使工作人员可以执行以下与客户记录相关的功能：

创建一个新的客户帐户
查看和编辑客户帐户信息。 PIN码在输入时已加密，只能进行编辑。
查看和编辑详细信息
查看和修改保全和要求

大多数一线图书馆工作人员和技术服务人员都可以使用ILS（图书馆员，书记员，图书馆助理，书页和管理人员）。图书馆助手的主要功能是搁置，他们对数据库的访问非常有限，只能用来检入资料。为各个员工和单位创建了个人登录名；他们的权限取决于他们需要完成的任务。例如，技术服务人员有权打印书脊标签或有权访问订单，但是不会向Web团队的人员提供相同的权限，因为他们不需要这些功能。

流通记录

客户的图书馆记录包括当前已检出或保留的项目，以及过期的材料和罚款。图书馆不维护他的tory客户先前已签出的商品。退回物料后，该物料将从其帐户中删除。当在客户的帐户上产生罚款时，图书馆会保留已借出但在到期日之后归还或仍未记录在客户记录中的物品的记录。

罚款数据已保存在图书馆客户的流通记录中。罚款数据是在退房给客户时退回，丢失或损坏的物品的清单。罚款支付数据用于显示其tor支付客户罚款和费用的金额。保留已支付的罚款数据是出于财务和记录保留目的。罚款数据包括：

项目标题
商品条码
签出日期
截止日期
返回日期
付款日期
罚款额
付款地点
员工登录

项目记录还保留最后一位签出物料的客户的详细信息。工作人员仅可在日常运行职责（丢失，丢失或损坏的物品）上访问此信息。客户将一直附加到该记录，直到再次检出该项目。

应保留缴纳罚款信息的时间，以满足商务办公室的需求及其簿记要求。这将需要与行政干事进行协作，而她的员工需要提供以下信息：tored在罚款文件中。暂定的截止日期是本会计年度的结束。

流通统计

每月收集流通统计信息，并根据会计年度进行报告。它们可用于报告客户使用情况，获得资金，对要购买的材料做出明智的决定并确定未来项目的趋势。我们从ILS收集以下信息以进行流通统计：

在特定的位置代码中检出项目的次数
面对面续订与网站续展的次数
自检机与员工站之间的结帐次数
通过我们的自动处理系统（AMH）与员工站之间的退货数量
电子资源的流通

这些统计信息的收集中未收集任何客户信息。这些统计信息由系统支持部门访问和编译。

独特的管理服务（UMS）

独特的管理服务是收债公司续racted处理满足以下条件的默认客户帐户：

开票项目
罚款和费用超过$ 50

我们向UMS提供ILS的提交文件。提交文件是基于收款代理机构模块/界面内建立的标准新选择进行收款活动的客户帐户的列表，并且每天生成一次。提交报告仅提供有限的客户信息，包括：

顾客记录号
名字
地址
电话号码
法定监护人/父母姓名和驾驶证（如果未满18岁）
出生日期
赞助人类型
家庭图书馆
逾期日期
欠款（仅提供美元金额，UMS不会收到所有权信息以确保保护客户的机密性）

同步或“同步”报告是一种质量保证工具，可提供标记为收款活动的所有帐户及其当前余额的列表。 “同步”的目的是验证UMS余额是否与库余额匹配。同步报告通常由UMS的客户服务技术分析师启动，但是此过程可以由图书馆随时启动。

UMS为图书馆工作人员提供对已发送到UMS的图书馆客户基于云的数据库的访问权限。此访问权限仅限于访问服务的高级图书馆员和系统支持的文职人员，后者由图书馆助理和业务员组成。

奥兰治男孩/萨凡纳

从2015年XNUMX月开始，流通量和客户数据已提供给OrangeBoy，用于创建预测性调度工具，该工具将流通量活动与各个分支机构的人员配备水平相关联。每周将数据上载到OrangeBoy，然后填充仪表板。管理，访问服务，Web团队和IT人员当前可以访问此仪表板，因为这些部门负责上载所请求的信息。分支机构员工对使用已提供的数据创建的预测性调度工具的了解有限。

上周的入住数据将发送到OrangeBoy，该文件包含以下信息：

入住地点
入住日期和时间
值机是通过AMH还是通过员工终端进行的

发送的门数信息包括：

可见数tor上周每个分支的s

此外，还发送了分支机构员工计划，包括：

文书工作时间是在以下服务点进行的：区域，物料搬运，货架，整理，拉动和保持。

Bibliotheca

2016年，我们经历了将我们的收藏品从基于磁性的安全系统转换为基于RFID的安全系统的过程。这个新系统还集成了使用RFID设备扫描材料的功能。 RFID标签被放置在我们所有的流通材料中，并使用附有标签的物品的条形码进行编程。标签不包含标题或客户信息。

Bibliotheca 是我们的RFID转换供应商。他们为我们提供了以下与RFID相关的设备：员工垫，自助检查机，安全门和手持式设备tory个设备。我们的员工可以访问基于云的仪表板，从而可以监控tor 自检和安全门的功能和状态。仪表板向员工提供有关自检交易的信息，包括结帐，续签和罚款支付。

为这些交易提供的信息因功能而异。对于结帐，工作人员可以查看日期，时间，客户条形码，已检出物品的条形码以及任何续签的物品的条形码。对于安全门，工作人员可以访问走过门的人员的理货和触发门警报的任何物品的条形码。

每个位置都有两个唯一的登录名。一次登录可提供显示交易级别数据的更高级别的功能，并提供给分支机构经理，图书馆助理和FT或PT职员。另一个仅提供有关机器状态的信息，并且所有人员都可以查看。

ALA清单项目

请求和tore仅提供图书馆运营所需的有关客户的个人信息。定期删除库操作不再需要的数据（例如，购买请求数据）。如果LMS支持，则尽可能使用“模糊”人口统计信息（例如，使用“未成年人/非未成年人”分类而不是记录完整的出生日期）。
1. 我们正在审查有关我们收集的有关客户的信息的纸张和在线申请。已经决定，我们将继续收集DOB（用于统计目的），并将为工作人员提供一种识别名称相似的客户的方式。我们将停止收集驾照和性别，因为图书馆操作不需要这些信息。更新后的书面申请草案已经完成，正在等待批准。（需要工作）
汇总或匿名化报告以删除个人身份信息。应定期检查报告，以确保它们不会泄露此类信息。
1. 我们审核了当前发送的数据，并进行了调整以确保我们仅发送必要的数据。
  1. OrangeBoy：我们正在审查发送客户信息的必要性，因为它在正在创建的预测性计划工具中不起作用。截至12年2018月XNUMX日，我们尚未发送其他客户和流通信息，因为我们正在决定继续我们的续约rac与Orangeboy在一起。我们已停止发送客户信息，因为已决定不使用客户数据库进行消息传递或客户细分。（完成）
  2. UMS：需要我们提供的信息才能代表图书馆有效地联系客户。 UMS分机rac他们需要的信息，但不通过扩展来确保客户隐私rac诸如标题之类的信息。当我们的客户联系UMS时，由于他们无权访问我们的数据库，因此他们转介他们直接与图书馆工作人员讨论过期的资料。（完成）
  3. Bibliotheca：为自检创建删除交易的时间表。我们一直在与 Bibliotheca 关于如何最好地实现这一目标。我们正在等待他们的回应，以继续执行该建议，并在获得必要信息后立即执行。我们正在与他们的团队一起制定一个定期计划，在该计划中定期从自检中清除交易数据。我们希望在18/19财政年度开始之前就可以做到这一点。（需要工作）
默认情况下，将LMS配置为在不再需要进行图书馆操作时删除客户与其借入/访问的物料之间的交易数据。
1. 我们已经确定了这些信息的来源tor并制定了如何维护它们的时间表。
  1. 最后的顾客区域：每6个月清除一次上一个顾客区域，条件是该商品在上个月未流通。这样可以确保在以前的客户信息可能有帮助的情况下（即退回的商品不完整），员工仍然可以访问信息。这将在本17/18财年末实施。（需要工作）
  2. 罚款数据：超过4年的罚款或费用将从客户帐户中清除。这将与坏账准则相一致，后者消除了4年以上的债务。这将在18/19财政年度开始时实施。（需要工作）
允许客户选择启用个性化功能，例如保持他们的结帐tory或收藏的标题列表。（完成）
将LMS中的客户记录访问限制为需要证明的工作人员。例如，流通人员需要进入，而货架不需要。（完成）
将库通知配置为保留，逾期等，以发送最少数量的个人信息。
1. 我们最近接受了必要的培训，以更改当前的打印模板。
  1. 礼貌和逾期的电子邮件：通过创建新模板，我们将能够从电子邮件通知中删除客户地址。我们正在与IT部门合作，以创建新模板。将于2018年XNUMX月完成。（需要工作）
  2. 货单：Sierra为货单提供了4个模板选项。票据需要包含一定数量的信息，但是我们无法自定义Sierra提供的模板。 Sierra的模板可以缩短，也可以缩短客户名称（名和姓），但我们无法进一步自定义发票。如果我们对单据进一步匿名感兴趣，我们将需要购买其他软件。将于2018年XNUMX月完成。（需要工作）
制定有关分机的政策和程序racstor年龄，以及共享来自LMS的内部或内部客户数据rac第三方使用。限制对分机的访问rac请适当的人员。
1. 我们没有关于分机的正式政策racstor年龄和客户数据共享。（需要工作）
2. 我们没有关于分机的正式程序racstor年龄和客户数据共享。有一组非正式的说明供受过培训的员工运行有关如何扩展的报告。rac要求的某些类型的信息。这些当前位于系统支持组驱动器中，只有Access Services中的某些人员才能访问。什么时候可以审查这些非正式程序并致力于对其进行标准化和简化tor将它们放置在安全的位置，完成日期为2018年XNUMX月。（需要工作）
3. 分机rac这些由系统支持处理，该系统支持是Access Services中的一个单元。该部门具有Sierra登录名，使他们可以创建报告，以收集有关我们的客户和流通统计信息。对客户信息的请求通常与某些人口统计信息或地址有关，并且由于请求与一组用户的趋势有关，因此不提供个人信息。我们正在审查提供给不同员工的登录名和权限，完成日期为2018年XNUMX月。（需要工作）

图书馆信息技术隐私审计

图书馆信息技术概述

San José Public Library 是北加利福尼亚州最大的免费公共计算资源提供商。在2016-17财年，图书馆记录了超过一百万的计算机会话。目前，整个图书馆系统可预订1,200台公用计算机。自从将保留的公用计算机的想法引入p以来，隐私和安全一直是首要关注的问题。rac在1990年代初曾在SJPL做过交易。

为了保护我们的公共桌面环境，该库已部署了一种产品，每次新客户登录到公共计算机时，它都提供一个全新映像的干净桌面，而不管以前的客户可能保存或更改了什么。该产品可以从多个供应商处提供防病毒和反恶意软件定义文件，以加快对新的网络威胁的响应时间。

随着客户将启用了设备的设备带到图书馆以免费连接互联网，对wifi的需求继续急剧上升。为了满足不断增长的需求，SJPL将所有分支库的WAN连接升级到1000 Mbps。这些将图书馆网络连接到加州教育网络计划公司CENIC运营的高容量光纤网络CalREN。不会以任何形式在wifi网络上收集个人身份信息（PII）。该平台允许高容量连接到Internet，但也可以连接其他参与的具有高度隐私和安全性的公共图书馆，学校，学院和大学。

图书馆最近将其网站转换为HTTPS，并且还通过证书保护了目录访问页面。为在图书馆网站上进行身份验证的客户提供加密连接，可以保护其数据以及图书馆网站和目录浏览的隐私和完整性。除这些措施外，图书馆最近还向目录网站添加了链接电子商务，以确保罚款的安全支付，而无需在组织之间传递任何个人信息。客户希望该库保护其数据，并且此升级符合该战略方向。

为了保持对任何其他潜在敏感数据的严格控制，并为我们的环境提供移动性和稳定性，SJPL利用开源平台来发布有关服务器和网络资源的通知和警报。这些工具的实施取得了巨大的成功，并且保留了图书馆信息技术部（LIT）的公共资源预算，这带来了额外的好处。

隐私一直是SJPL的核心重点，尤其是在我们提供技术服务的方式上。我们了解在终身学习方面开放获取信息的重要性。我们组织的目标是提供此类访问权限，而不必担心身份盗用，个人数据损坏或任何形式的报复。

信息收集

San José Public Library 以提供公共服务所需的有限方式维护与客户链接的数据。以下是可链接到客户隐私的结构化数据的来源。

目录系统– Innovative Interfaces，塞拉利昂ILS

在图书馆的一系列技术资源中，Sierra ILS目录系统是最重要的实用程序。它包含SJPL发明的每本书籍，有声读物，DVD，CD，平板电脑，笔记本电脑和其他可借材料的物品记录tory。 Sierra还用于管理收购和预订供应商帐户。对于讨论隐私最重要的是，Sierra维护了一个客户记录数据库，该数据库允许我们的客户签入或签出项目。它保持rac每项商品状态的k个，管理客户的保全，并可以发送警报以提醒他们退货到期日期。为了使客户在Sierra中拥有一个帐户，需要使用某些唯一的标识符将个人与图书馆卡号关联起来。
- 当前的政策和程序规定，客户在填写表格以获取借书证时必须输入其姓名，出生日期和地址。他们也可以输入电话号码和电子邮件地址，这是可选的（但值得鼓励）。如果需要，发送通知时通常使用电话号码或电子邮件地址代替物理地址。
- Sierra不会记录客户活动或保留过往退房的任何记录。

根据加利福尼亚州政府法典第6250至6270条概述的州法律，SJPL的政策是确保对客户记录和注册数据进行保密。图书馆工作人员可以访问加州政府法令相同部分的Sierra数据库中的所有物品和客户记录。图书馆工作人员不会与任何外部机构共享这些记录中保存的任何信息，除非得到相应的上级法院的命令。
每天晚上对Sierra应用程序服务器和Sierra数据库服务器进行备份并进行加密。它们采用多种格式，重复数据删除和tored在多个位置。每周一次，将Sierra数据库的其他加密副本发送到异地，以便tor进行了为期五周的轮换，以满足我们的灾难恢复计划的需求。访问服务部的工作人员每年清除客户帐户。如果帐户符合以下条件，则将其删除：
- 帐户已停用了四年。
- 帐户已过期两年。
- 帐户中的罚款不超过$ 10.00。
- 帐户目前没有任何项目已检出。
否则，只要客户希望并且继续使用图书馆资源，客户帐户就会保留在Sierra中。

公用计算机预订系统（RAC)

Reserve-A-计算机系统是一个专有的客户端/服务器数据库，位于我们的VMware环境中。所有公用计算机都维护一个本地客户端，该客户端管理会话时间并在会话结束时注销客户。在 RAC 服务器，但不将用户链接到特定的会话或IP地址。该索引不可公开访问。所包含的信息仅限于名称，借书证号和PIN。这些是在ILS中断或网络中断的情况下保持计算机预订系统的高可用性所必需的。用户注销会话后，将立即从系统中清除所有PII。仅列出时间和持续时间（无PII）的预订统计信息将在系统中保留两个月。关于每个分支的保留数量的报告在Intranet库中列出。
管理 RAC 数据库仅限于LIT中具有管理权限的少数个人。总务人员可以使用一些报告，他们可以更改将来的预订并检查当前预订的状态，但是图书馆工作人员无法访问目录中的任何个人身份信息。 RAC.
RAC 服务器操作系统和系统状态每48小时备份一次。这些备份将保留30天。这些备份均不包含PII。

公用计算机-本地Stor年龄

SJPL上可保留的公共计算机为我们的客户提供了一个相对开放的桌面环境。这种自由度可能会使他们容易受到他们访问的网站的利用，但不是因为任何残留的数据tor在工作站上本地下载。在每个计算机会话结束时，我们的Reserve-A-Computer程序都会强制重新启动。每次重新引导计算机时，所有公用计算机都会擦除客户所做的所有更改。没有本地搜索他的tor客户离开我们的工作站后可获得的记录。
因为没有他的tory在本地存在，没有图书馆员工可以访问任何PII或本地tor交易记录，用于识别客户或客户的活动。

奥兰治男孩/萨凡纳

OrangeBoy是一家云服务供应商，可为学校和图书馆提供日程安排和资源分析，以便它们可以改善客户服务和满意度。他们是tor此数据以专有格式在其数据中心外。 LIT向他们提供来自 RAC，员工安排数据以及对我们的wifi管理控制台进行报告级访问。曾经从OrangeBoy获取预订报告 RAC，但已确定预订数据不属于SJPL业务要求的一部分，因此我们不建议tor该信息不再存在。有大量使用情况数据，但其中没有一个包含PII。
OrangeBoy，Inc.拥有谁有权访问此信息的知识。
OrangeBoy有义务在其结束时清除数据rac用SJPL。

主动目录tory

该库使用Microsoft Active Directory 2012R2直接tor合并后的服务 San José Public Library 以及圣何塞州立大学图书馆（SJSU）基础结构，以提供对域权限和身份验证，对域资源的访问以及安全策略的集中管理。尽管SJPL是属于圣何塞市的部门，但我们拥有独立于该市域结构的独立域基础结构，并且在这两个域之间不共享任何关系。 SJPL维护大约3000个域对象，其中包括600多个City客户帐户以及1000个City工作站和服务器帐户。
当前没有公开或客户数据torActive Direc中的edtory.
员工客户信息torActive Direc中的edtory（AD）仅包含与工作相关的信息，例如客户名称，职位名称，办公地点，工作电话号码和客户的城市雇员ID，这些信息仅与城市的HR系统相关。图书馆的广告目录没有集成tor与HR系统的信息相同，因此只能使用单独的访问凭据通过HR系统访问人员的个人信息。
AD的访问和管理仅限于指定为Domain Administra角色的特定人员tor和帐户歌剧tors，允许他们维护方向tor服务。
主动目录tor在每个工作人员的任职期间都会保存信息。终止后，将禁用客户帐户3到6个月，以确保访问已归档的城市拥有的数据。一旦确定不需要城市拥有的数据，或者已经安全地存储了数据，就删除客户帐户。从系统中删除物理硬件后，将立即删除计算机帐户。

ASA日志

SJPL防火墙的事务日志位于服务器VLAN内的文件服务器上。尽管这些日志中没有PII，但如果将其与服务器场中的其他两种形式的数据结合使用，则在适用于我们的三天保留期内，可以识别出可预留公共计算机上的客户（不是wifi客户） RAC 服务器日志。
ASA日志服务器的管理限于具有管理权限的LIT中的少数个人。
ASA日志是tor编辑14天，然后丢弃。

合作组织

苏州交通大学

San José Public Library 与圣何塞州立大学保持合作关系，共享其主要图书馆建筑。 SJSU ITS无法访问客户数据库以获取SJPL，其密码或任何个人身份信息。但是，它们充当了马丁·路德·金国王主图书馆（MLK）的互联网服务提供商（ISP）。这样，SJSU可以记录来自MLK的所有互联网流量。
SJSU ITS还维护MLK的公共wifi系统。它们保留了对MLK中所有交换机和WAP的控制，并能够记录所有无线流量并将其链接到任何第2层（MAC）地址。
SJSU ITS仅知道有权访问防火墙网关日志中保留的信息的客户列表，但他们遵循与SJPL相同的标准，并受《家庭教育权利和隐私法》中概述的法律责任的约束。

圣何塞市

图书馆与圣何塞市的网络保持单向加密VPN连接，为图书馆员工提供对City资源的不间断访问。没有公共信息通过此连接传递，也没有任何非图书馆城市雇员访问图书馆数据。

CENIC

CENIC是所有分支图书馆互联网流量的ISP。他们的日志记录和数据保留策略超出了SJPL的控制范围。尽管CENIC作为组织无法访问任何个人客户数据，但他们确实能够通过NAT记录所有互联网流量。每个分支库都包含几个NAT，专用于为wifi网络vlan，公共计算机vlan等提供服务。数据的位置torCENIC内的专有信息以及有权访问该信息的客户列表也是如此。
CENIC是指定给SJPL的所有面向Internet的IP地址的指定数字千年版权法案（DMCA）代理。这意味着，如果发生版权侵权，CENIC承担将在线版权提供者（OSJ）（在本例中为SJPL）通知要求侵权通知的法律责任。美国图书馆协会的法律顾问建议图书馆广泛地解释该类别，以便从512节中建立的安全港中受益。由于详细的客户日志不是SJPL业务要求的一部分，因此我们不具备将单个客户链接到源IP地址。当客户“接受”并连接到我们的Wifi或登录到公共计算机时，我们确实在条款和条件中包含了可接受的使用语言。因此，适用第512节中的安全港。

ALA清单项目

在所有网络和应用程序通信中使用安全算法对所有客户数据进行加密。
1. 尽管我们网络的某些部分在物理上是分开的，在逻辑上是分开的，并且某些客户端/服务器连接是经过加密的，但目前尚未对所有网络流量进行加密。（需要工作）
清除搜索他的tory定期记录，最好是在单个计算机会话结束时记录。
1. 在每个计算机会话结束时，我们的Reserve-A-Computer程序都会强制重新启动。每次重新启动计算机时，所有公用计算机都会擦除客户所做的所有更改。没有本地搜索他的tor客户离开我们的工作站后可获得的记录。（完成）
建立最小安全性prac设备和服务的提示。
1. 图书馆IT安全性最低rac所有服务器，工作站，数据库，服务和网络设备的备忘。（完成）
更改所有默认密码。
1. LIT的政策是更改我们网络上安装的任何系统的所有默认密码。但是，普通帐户使用的密码通常由员工长时间放置，从而产生相同类型的漏洞。（需要工作）
禁用对超级客户帐户的远程访问（即root或administra）tor).
1. 该库不使用任何超级客户帐户进行远程访问。 Innovative Interfaces，Inc.确实使用他们自己的超级客户版本来远程访问Sierra，但这是行业标准rac提要。（完成）
使用安全且经过验证的来源使所有软件保持最新状态。
1. 第三方软件仅利用预先批准的软件包和行业标准更新方法来更新我们的所有公用计算机。 Windows更新是通过Microsoft Update Services完成的。对任何计算机映像的更改都是团队的工作，需要在工程师和管理级别进行监督。（完成）
所有客户端连接到允许访问客户信息的服务都需要身份验证。
1. 所有客户端连接到允许访问客户信息的服务都需要验证。（完成）
将客户端限制为仅所需的访问权限，即最小特权模型。
1. LIT一直以来的政策是限制客户只能访问他们需要的内容。对于Sierra和所有其他客户端/服务器数据库，LIT根据行业标准部署了最小特权模型。对于公共工作站，最小特权模型是通过使用删除和重新启动工具来完成的。tor在每个客户会话之后，高清中的所有“更改块”。因此，客户通过互联网访问和操纵数字信息的能力相对不受阻碍。（完成）
如果支持，则启用服务器和客户端的相互身份验证。
1. SJPL部署的大多数系统不支持相互身份验证，但是我们很乐意探索这方面的选项。（需要工作）
如果可行，请使用安全认证标准，例如oauth。
1. SJPL尚未部署此功能，但是公共服务的第三方授权的可行性值得怀疑。一种解决方案可能是为远程访问Sierra提供此服务，以代替我们当前部署加密VPN隧道的计划。（需要工作）
为设备和服务实施日志记录策略，其中包括轮换和保留，收集的数据类型以及对客户隐私的影响。
1. 需要明确定义此目标/指标的参数。但是，LIT并未记录保留和/或轮换的所有方面。（需要工作）
通过客户访问控制或sudo程序将管理特权限制为授权的个人。
1. SJPL具有数十种允许该库运行的系统和服务。与图书馆的业务需求相关联的所有系统，或维护数字信息的所有系统，都由LIT或少数情况下的控制部门（访问，技术服务等）集中管理。（完成）
加强设备和服务的安全性。
1. 此目标需要一些背景信息，但LIT已将加强我们提供给公众的所有设备的安全性作为优先事项。加强安全性的问题在于，它经常需要与保护隐私相反的日志或限制。例如，如果客户有能力清除自己的资料，则意味着该客户在工作站上的权限级别将很高，并使工作站容易受到恶意软件的攻击。（完成）
禁用设备上运行的所有无关服务。
1. 禁用Windows Server和工作站上不需要的服务一直是LIT的策略。我们不保证禁用所有不需要的服务。有些（如Microsoft .NET框架）提供了增强的性能，但从技术上讲是多余的。（完成）
每个服务实例都需要一个唯一的密码。
1. 根据“服务”的定义，我们可能已经实现也可能未实现这一目标。所有SJPL数据库都位于单实例服务器上，因此默认情况下它们将具有唯一的密码。（完成）
实施并实施一个强大的密码策略，该策略指定密码的长度，格式和持续时间。考虑使用随机生成的密码。
1. 自图书馆开放MLK以来，密码复杂性规则已用于员工身份验证。这些适用于所有内部数据库，但不适用于专有数据库，包括Sierra使用的数据库。 LIT正在为所有Sierra客户帐户合并复杂性规则和密码到期日期。（需要工作）
加密客户端应用程序和服务器应用程序之间的数据通信，其中可能包含客户信息。
1. 互联网上发生的涉及客户信息的所有交易都使用2048私钥加密。数据库和应用程序服务器之间的内部通信也被加密。但是，该库当前不兼容PCI，这是满足此建议的所有要求的必要标准。（完成）
在可能的情况下将服务配置为默认情况下要求加密，即不允许未加密的连接。
1. SJPL使用的大多数Web服务都是专有的，并在每个供应商的管辖下。就LIT服务而言，仅网站使用强制加密。（需要工作）
如果服务不支持加密（例如SIP2），请使用加密的传输方式，例如SSH隧道或VPN。
1. SJPL没有为每个Sierra客户端和/或AMH设备使用VPN隧道。如前所述，这里将以PCI兼容为标准，并且SJPL当前没有PCI兼容网络。 PCI合规性已列入我们的项目清单，将于17/18财年末开始。（需要工作）
加密静态敏感数据（即数据仓库，档案，磁带，异地备份等）
1. 磁带库中或场外的所有静态数据均已完全加密。（完成）
Stor使用最新最佳密码的应用程序中的e密码rac加密（即哈希和加盐）。
1. 所有密码torActive Direc中的edtory和Sierra符合建议的标准。（完成）
所有远程访问（包括SSH）均应通过安全密钥而非密码进行。
1. 远程访问当前不需要具有加密功能的VPN。 LIT正在将这些密钥安装在新的防火墙上。（需要工作）
密钥应不少于2048位，最好为4096位。
1. 图书馆在条件下从In-Common获得所有证书rac与加利福尼亚州立大学。所有使用的都是2048位，但没有任何加密密钥超过2048位。（完成）
不允许使用过时或不安全的密码。
1. 没有更新SJPL加密密钥。所有这些都将被丢弃，并在到期日被替换。（完成）
确保私钥是安全的（使用子密钥并保持主密钥非常安全）。
1. 所有私钥均为tor由In-Common离线编辑。 SJPL可以通过管理控制台远程访问它们。在本地没有可用tored数据。（完成）
定期旋转钥匙，并准备在遇到妥协时将其撤销。
1. SJPL会在所有密钥到期时旋转所有密钥。时间长短不一，但以两年为标准。（完成）
查看设备和服务使用的协议。
1. 所有协议的审查将是冗长的，超出了本文档的范围。但是，根据建议的ALA指南，LIT一直努力保持协议和rac规范，建立和开放。我们所有的网络监控器tor可以通过基于Linux的服务器上的开源工具进行。（完成）
支持数据完整性，包括原始身份验证，原始不可否认性，接收不可否认性以及使用密码签名或哈希验证有效负载。
1. 无
使用渗透测试工具验证设备和服务的安全性。
1. 图书馆要接受圣何塞市或加利福尼亚州立大学进行的每两年一次的安全审核。尽管这些审核的结果始终令人满意tory在过去的七年中，外部安全供应商仅进行了一次外部审核。作为我们即将进行的PCI合规性项目的一部分，将进行额外的私人安全审核。 LIT需要额外的培训，以保持最新的方法来执行彻底的内部渗透测试。（需要工作）
确保所有直接在库控制下的服务都是安全的。
1. 这是图书馆信息技术部的最高优先事项。通过年度培训，互联网研究，同行审查和计划的升级，我们每天工作，为我们的客户提供最安全的环境。但是，没有组织能够完全安全地连接到Internet。这项工作将永远在那里。（需要工作）
随时注意并补救已知的漏洞利用。
1. LIT尽可能采取主动调整漏洞利用的政策。他们成千上万，每天都在变化。这需要不断的努力和努力。如果组织连接到Internet，则永远不会完全安全。（需要工作）
保持软件和应用程序为最新。
1. 参见建议编号6。（已完成）
莫尼tor 记录入侵并进行定期安全审核。
1. 未对moni采取其他措施tor 入侵的安全日志，尽管入侵检测软件始终运行到monitor 网络网关。（需要工作）
执行常规备份并制定灾难恢复计划。请注意，备份应遵守您的数据保留政策。
1. LIT以VDP映像的形式对所有服务器执行每晚备份。开放源备份客户端用于将数据备份到磁盘。完整数据备份也每周一次在异地发送，并保留五个星期。（完成）
2. 灾难恢复计划已经到位，但目前不包括托管。代管场所的开发正在进行中。（需要工作）
使用SSL / HTTPS的最新安全协议对客户端应用程序（Web浏览器，eBook阅读器，移动应用程序等）与服务器应用程序之间的所有在线交易进行加密。服务器应用程序与第三方服务提供商之间的通信应进行加密。
1. 图书馆目录与其数据库服务器之间的通信以及图书馆网站与其客户之间的所有通信均被加密。（完成）
2. LIT无法控制第三方供应商在客户登录时向客户展示的内容，但是会应用通配符证书，该证书将允许所有供应商对与客户的交易进行加密。供应商链接到我们的客户数据库，所有交易也通过SIP2进行密码保护。这种连接需要工作，但是已经竭尽全力保护客户的隐私。
Store客户密码使用最新的最佳密码rac用加密的安全哈希值加密的井号。
1. Active Direc中的所有密码tory和Sierra符合建议的标准。（完成）
确保站点外的任何个人身份信息和客户数据（基于云的基础架构，磁带备份等）都使用加密的tor年龄。
1. 所有异地备份在进行异地传输之前均已加密。由于SJPL与III保持“仅软件”关系，因此没有可识别个人身份的信息tor在基于云的环境中进行。（完成）
2. 作为我们的灾难恢复计划的一部分，创建托管中心可能需要将某些PII转移到基于云的灾难恢复站点中。如果发生这种情况，将采取所有必要的预防措施。
探索两个事实的可能性tor 身份验证并尽可能实施。
1. 经过考虑，多面tor SJPL尚未部署身份验证。并非每个客户都可以访问移动设备甚至电子邮件，因此MFA可能会中断客户对自己信息的访问。（完成）
加密离线数据备份，以防止未经授权的人员访问。
1. 复制到磁盘时，所有脱机备份均被加密。任何备份都必须先加密，然后再异地传输。（完成）
使ILS应用程序和基础服务器软件保持最新，以减轻安全漏洞的影响。
1. 图书馆IT会根据需要更新ILS版本。在撰写本文时，SJPL拥有Sierra的最新版本。新版本通常不会立即应用，因此它们有时间成熟。（完成）
2. 我们的ILS有时使我们无法升级用于Sierra的操作系统。由于ILS供应商的限制，SJPL已在RH版本6.9上加载了Sierra。我们的版本按照行业标准流程进行更新。
Stor使用适当的加密哈希函数以安全的方式使用所有密码（客户密码和员工密码）。目前，bcrypt或更好的标准。
1. 用于ILS密码的加密方法是公认的行业标准，并且符合推荐的标准，但是它们的专有性意味着我们不知道确切的加密方法。
2. 主动目录tor密码符合本文档推荐的标准。（完成）
加密ILS服务器与安全LAN外部的所有客户端连接之间的所有流量。例如，使用VPN加密分支库中结帐站通过Internet到主库中ILS服务器的连接。
1. 互联网上发生的涉及客户信息的所有交易都使用2048私钥加密。数据库和应用程序服务器之间的内部通信也被加密。但是，该库当前不兼容PCI，这是满足此建议的所有要求的必要标准。
2. LIT正在创建加密的VPN连接以供客户端外访问。（需要工作）
对网络和ILS服务器进行定期审核，以确保采取合理的安全措施以防止未经授权的访问。
1. 图书馆要接受圣何塞市或加利福尼亚州立大学进行的每两年一次的安全审核。尽管这些审核的结果始终令人满意tory在过去的七年中，外部安全供应商仅进行了一次外部审核。作为我们即将进行的PCI合规性项目的一部分，将进行额外的私人安全审核。（完成）
创建程序来处理对未经授权方的数据泄露并减轻其对客户的影响。
1. 没有现有的经过审核的过程或程序来处理对未经授权方的数据泄露。尽管从LIT开始研究适当的应对措施，但尚未建立正式程序。（需要工作）
使用模拟标牌和/或初始屏幕来解释图书馆的网络和wifi访问策略，包括任何与隐私相关的信息。
1. 每台公用计算机都有一个登录页面，其中包含一些在SJPL上使用公用计算机的有限条款和条件。 wifi连接的欢迎页面包含相同类型的语言。库中存在模拟标牌，以提供有关使用 RAC 电脑。但是，所有这些形式的语言都需要定期进行审核，以解决新出现的问题。（完成）
制定有关图书馆将为其wifi客户提供隐私和便利程度的政策决策，并充分警告客户流量拦截的潜在可能性以及网络不安全的其他风险。
1. 对话正在进行中，并将永久延续。每次我们重新映像标准计算机或考虑添加服务时，LIT都会进行调整以满足客户的需求和关注。这将永远需要工作。（需要工作）
设置公共计算机以清除下载，保存的文件，浏览其tory，以及来自各个客户会话的其他数据。
1. 在每个计算机会话结束时，我们的Reserve-A-Computer程序都会强制重新启动。每次重新引导计算机时，所有公用计算机都会擦除客户所做的所有更改。任何下载或保存的文件都将被覆盖并从计算机中清除。他所有的人都一样tory个文件。没有本地搜索他的tory或浏览他的tor客户离开我们的工作站后可获得的记录。（完成）
在所有公用计算机上使用防病毒软件。确保已安装防病毒软件，并且该软件可以阻止间谍软件和键盘记录软件。
1. 所有公用计算机都装有防病毒/防恶意软件解决方案，该解决方案利用了来自多个来源的定义文件。这使AV软件有更好的机会捕获新的或变异的恶意软件。它可以防御间谍软件和键盘记录软件。 LIT还禁用了自动运行功能，以防止客户的USB闪存驱动器意外传输文件。后一种措施还可以作为抵御勒索软件的第一道防线。（完成）
确保不再需要任何与计算机使用有关的计算机预订管理系统记录，打印管理记录或ILS记录匿名或销毁。
1. 我们的计算机预订管理系统（RAC）会在首次预订后三天销毁个人身份信息。打印管理记录不包含任何PII。 ILS数据库不包含有关计算机使用的详细信息。（完成）
当不再需要时，匿名或破坏网络活动的事务日志。
1. 14天后销毁所有网络活动日志。（完成）
对所有公用计算机执行定期安全审核，包括对安全风险和缺陷进行数字检查以及对未知设备进行物理检查。
1. 目前正在对所有公用计算机的性能和安全风险以及缺陷进行持续分析，从而根据需要进行映像更新。由于每次会话结束后，任何计算机的硬盘驱动器上都没有变化，因此可以减轻大多数风险。
2. MLK的LIT员工和每个分支机构的图书馆员工每天都要进行物理检查。这些检查的彻底性值得商,，但迄今为止，尚未发现可疑或未知的设备。（完成）
在公共计算机上安装插件以限制第三方rac国王，启用专用浏览模式，并强制HTTPS连接。
1. 在所有公用计算机上都启用了专用浏览模式，但不是mandatory（目录计算机除外）。目录机器不可保留，不能用于浏览Internet。
2. 除了防病毒/防恶意软件，SJPL不会利用插件来限制第三方rac王。
3. 除了访问库资源时，SJPL不会从其公共计算机上强制执行https连接。（需要工作）
安装 Tor 公共计算机上的浏览器作为客户的隐私选项。
1. 我们目前不提供 Tor 浏览器已预先安装在我们的公用计算机上，但客户可以在会话期间自行安装。（完成）
在防火墙上安装恶意软件阻止，广告阻止和反垃圾邮件功能。
1. 库网络网关点上的当前防火墙已安装并配置了第7层过滤器。在第7层应用的规则可能符合或可能不符合ALA建议。（完成）
分割网络以将员工计算机，公用计算机和无线客户隔离到其自己的子网中。
1. 所有分支机构均为员工，公共和wifi客户提供单独的VLAN。 MLK也是一样。（完成）
确保禁止公共计算机上的所有应用程序和操作系统与软件发布者自动共享活动数据（例如，错误报告）。
1. 这些功能在安装时被禁用，但是客户可以在会话期间进行更改。（完成）

行动计划

图书馆信息技术部门建议开展以下项目，以解决大多数需要工作或关注的建议。尽管我们认识到不可能提供一个完全安全的公共环境，但我们认为在前进的过程中应采取以下行动：

研究Trac王插件
确定安装类似于以下产品的插件的可行性 Privacy Badger 阻止第三方通过嵌入式脚本或cookie收集数据，从而提高客户的隐私。预计完成时间：第四季度17/18财年
数据泄露响应政策
LIT需要与行政和执行人员合作，制定一项正式政策，以解决图书馆对未来任何数据泄露的应对措施。预计完成时间：第四季度17/18财年
用于远程访问的加密VPN
安装和配置VPN解决方案，该解决方案需要与L2TP相当的加密（最小）。研究包含多因素的可能性tor 身份验证。预计完成时间：18/19财年：Q1
安全审核询价
索取外部实体的服务报价，以在站点上执行漏洞测试和网络安全性的常规审核 San Jose Public Library。预计完成时间：第一季度18/19财年
部门范围的PCI合规性
尽可能重新设计网络组件，并在必要时升级和安装新设备，以创建符合部门规定的PCI兼容网络。这样一来，您就可以从任何位置安全地进行现场付款，并且会强制进行许多更改，以符合ALA推荐的标准。预计完成时间：第四季度18/19财年

市场营销和通讯隐私审计

营销与传播概述

San José Public Library的市场营销和传播部门以多种方式与客户信息交互。该部门负责维护和监控tor各种社交媒体帐户，包括：Twitter，NextDoor，Facebook，Flickr，YouTube，Snapchat和Instagram。我们还通过图书馆竞赛和图书馆信息共享来监督信息收集tories。为客户拍照时，将通过模型发布表格获取其个人信息，以获取公开分享其照片的许可。我们部门还处理来自外部媒体的所有信息请求。客户信息不会发布给任何媒体代理商。最后，我们使用电子邮件新闻稿定期向图书馆客户发送更新。

收集什么信息？

我们收集并整合rac结合来自客户的个人身份信息来执行常规业务操作。收集的信息包括：

名字
年龄
地址
电话
电邮
家庭图书馆分馆
学校
职业
年级
社交媒体屏幕名称

如何收集信息？

通过模型发布表，竞赛提交，社交媒体和新闻通讯收集有关客户的信息。

模型发布表格

当在图片或视频中容易识别出图书馆工作人员或志愿者时，他们必须获得客户的书面许可。模型发布表收集客户的姓名，年龄，地址，电话或电子邮件以及此人的描述。这些表格最初是由纽约市通讯目录创建的tor。我们希望将通过这些表格收集的信息减少为姓名，电话或电子邮件以及此人的描述。与通讯总监联系tor 将于13年2018月XNUMX日（星期五）制作。

图书馆，圣何塞市或圣何塞州立大学只能将客户的照片和视频用于促销目的。

图书馆网站

图书馆定期举办比赛并收集个人资料tor通过网站访问客户。网络团队使用Drupal创建表单，然后将客户信息发送到Gmail帐户。可能会要求客户提供其姓名，电话或电子邮件，地址，家庭图书馆分支机构，学校以及年龄，年级和/或职业。

客户还可以通过我们的电子邮件通讯注册定期更新。通讯由以下人员提供 Constant Contact.

比赛和图书馆StorIES

除了通过我们的网站收集信息外，图书馆分支机构还可以促进比赛并收集客户的图书馆资料。tor通过纸质表格进行联系。

社交媒体

该图书馆运营着几个社交媒体帐户，包括：Twitter，NextDoor，Facebook，Flickr，YouTube，Snapchat和Instagram。只有网络团队和市场营销团队的成员才能访问这些社交媒体帐户。我们目前正在为员工制定社交媒体政策，该政策将提供发布和互动指南rac与客户在线聊天。该政策正在与Web团队一起编写，并将于30年2018月XNUMX日完成。

与谁共享信息？

有关客户的个人身份信息仅在他们的同意下共享。

图书馆网站

市场营销和传播团队以及网络团队都可以访问通过图书馆网站提交的信息。我们的团队还可以使用以下方式访问已提交以注册新闻简报的电子邮件地址 Constant Contact.

模型发布表格

只有图书馆工作人员或最初收集信息的志愿者才能看到模型发布表上的信息。发布照片或视频时，可以使用客户的名字。

第三方

如果竞赛要求第三方直接与获得大奖的客户合作，我们将与他们分享他们的姓名和联系信息以进行安排。

社交媒体

通过社交媒体或我们的网站共享的评论，帖子和消息可用于营销材料。它们也可以与包括报纸在内的媒体共享。除非获得批准分享更多信息，否则客户只会识别其名字。图书馆不使用其他Facebook数据分析或目标广告。

信息在哪里tored？

市场推广部收集的所有纸质表格均为tor在King图书馆的一个上锁的橱柜里。

竞赛结束后，将删除数字提交。

图书馆分支机构维护所有收集的模型发布表格。这些是tor锁在文件柜中，只有工作人员可以进入。市场营销将提醒员工如何tor截至1年2018月XNUMX日的材料。

比赛结束时，所有表格都会被粉碎。

信息多长时间tored？

模型发布表格和任何收集的库tor无限期保留。这符合纽约市记录保留要求。

比赛结束后，工作人员会粉碎比赛表格。

社交媒体信息被无限期保留并且是tor只能在使用的平台上进行编辑。

Partners in Reading 隐私审核

Partners in Reading 概述

我们维护机密信息，以便向 San José Public Library （SJPL）和加利福尼亚图书馆精简版racy服务。这包括 Partners in Reading （PAR）成人精简版rac服务，我们一起阅读（TWR）家庭精简版rac服务，ESL，计算机和在线教学以及加利福尼亚州立图书馆（CSL）计划，加利福尼亚图书馆精简版rac加利福尼亚州立图书馆（CLLS）的服务， Career Online High School （COHS）。除了COHS（需要更多细节）外，我们从PAR项目的所有参与者那里收集相同的信息。

收集什么信息？

与所有学习者和/或学生互动时，我们部门可能会收集以下任何信息tor:

名字
地址
电邮
电话号码
紧急联系人
出生日期
性别
种族
学历
就业/职业
图书馆卡号码

成人精简版rac您的学习者可能还会被要求提供：

母语
出生国家
学习障碍
14岁以下的儿童人数

Career Online High School 可能会要求参与者提供：

最高年级完成/上学
图书馆卡号码
参加特殊教育班

加州图书馆精简版要求性别和种族racy报告服务。教育背景和就业情况是PAR的记录，专门用于与具有tu的学习者匹配tor可能有关键利益的人。

如何收集信息？

客户可以在线，邮寄，亲自或通过电话填写入学申请表，表示有兴趣参加PAR计划。涂tor要求使用标准志愿者表格和流程提交其信息。

进入PAR接待区后，参与者和志愿者在计算机实验室登录表上登录。其中包括名称，状态复选框（学习者，tor，COHS或其他），日期和时间。目前，我们尚无办法维护此私人记录，但计划像在文档中使用的记录员一样使用记录保持器tor的办公室，您可以剥离信息并将其放在私人办公桌上。此升级计划于3-2017年第三季度进行。还认为在将来（下一年的CLLS预算），我们也许可以使用iPad登录参与者并自动将信息记录到接收计算机中。

与谁共享信息？

在聚合数据类别中，与PAR计划参与者有关的信息与SJPL，CLLS和CSL共享。没有共享任何个人信息。

Tutor可以访问学习者提供的所有信息，但地址，电子邮件和图书证信息除外。涂tor收到相关信息，并附有我们两个精简版之一撰写的评估摘要rac程序专家。涂tor当他们进入程序时，受保密协议的约束。

对于COHS学生，CSL与以下人员共享学生的个人信息和数据 Gale Cengage Learning and Smart Horizons，这所学校提供该课程的认可课程，高中文凭和职业证书。该COHS信息发布到仪表板，该仪表板也由PAR / COHS计划经理，项目经理和支持人员共享。

信息用于将个人放置在PAR程序中。为COHS收集的信息用于使个人有资格获得奖学金。每位候选人必须符合COHS文档中描述的COHS指南中规定的资格，才能被视为奖学金。对于COHS毕业生，他们的名字与圣何塞市市长和市图书馆员共享，以用于签署证书。毕业生在发布会上签名，使用他们的姓名，照片和视频参加毕业典礼。

信息在哪里tored？

PAR程序记录保存在我们的密码保护数据库中，并保存在备份文件中tor年龄。纸质记录保存在锁定文件中。所有员工都可以访问数据库的密码，并且可以提供有关新客户及其信息的输入，并且可以在锁定文件柜中查找信息。

COHS计划于2016年XNUMX月开始，信息在PAR数据库和电子表格中得到维护和存档。tor在共享的PAR计算机上进行编辑。 Gale Cengage Learning，Smart Horizons和CSL也会根据其政策和程序要求来维护/存档此信息。

信息多长时间tored？

我们保持7年的记录。所有信息都是tor在我们的定制数据库中为他tor医疗目的。我们的首席办公室专家负责办公室的运作，并计划清除记录。纸质记录将在7年后被切碎。

安全隐私审核

安全概述

保安部为警察局的所有23个分支机构提供服务 San José Public Library （SJPL）和圣荷西州立大学（SJSU）校区的马丁·路德·金博士图书馆。安全人员受雇于圣何塞市，并与大学雇用的警官密切合作。图书馆工作人员和官员收集并获取信息，以记录非犯罪和刑事，可疑行为，违反客户行为政策的情况，并根据需要处理暂停情况。

信息用于帮助图书馆工作人员提供一个热情，和平的公共空间。对于不遵守SJPL客户行为政策的人员，SJPL可能会暂停对King库和23个分支的访问。收集到的信息用于完成中止文书工作。

收集什么信息？

当客户违反SJPL策略时，将收集标准信息以将其包括在事件报告或行为日志中。收集的信息可能包括：

名字
出生日期
图书馆卡号码
地址
电邮
电话号码
事件摘要
他的torSJPL事件y

如何收集信息？

信息是通过以下任何一种或所有方法收集的：

询问图书馆主顾
询问图书馆工作人员
视频/相机镜头
- 静态照片是通过SJSU和带有闭路电视（CCTV）摄像机，大学警察身体摄像机的图书馆分支机构获得的，或者询问顾客是否可以拍摄照片以记录暂停记录。静止图像可帮助图书馆工作人员确定图书馆顾客，他们已被暂停以执行暂停程序。
- 那些带有CCTV的SJPL分支机构的保留期为30天。 SJPL每隔30天就会向CCTV分支机构重置一次录像。苏州大学tor年龄和保留期为1年。

事件报告已完成并使用事件T归档racker。事件Tracker软件记录可能再次发生的犯罪，侵害和高优先级事件。

行为日志已使用在线SharePoint表单完成了一些小错误。

与谁共享信息？

事件报告，行为日志和中止文书工作中包含的信息仅提供给SJPL工作人员和大学警察使用。没有传票，手令，法院命令或其他法律文件要求我们这样做，图书馆记录就不会提供给任何州，联邦或地方政府机构。这些订单必须显示正当理由且格式正确。我们已经培训了所有图书馆工作人员和志愿者，以将任何执法要求转交给图书馆管理员。tors.

仅授权城市图书馆员和/或其指定人员接收或遵守执法人员的要求。在确定适当的对策之前，我们会尽可能与法律顾问交谈。

信息在哪里tored？

该信息可以在“ SharePoint安全性”页面中找到。 SharePoint安全性页面的内容包括：

事件Tracker（报告）
行为记录
停权文件
- 悬挂包装
- 上诉
- 重新输入暂停的图书馆顾客信息

事件TracKER

事件Tracker是一种存档软件，用于记录可能重复发生的犯罪，侵害和高优先级事件。所有数据均为stor并无限期保存。事件Tracker是一种在线报告解决方案，可让图书馆工作人员随时电子记录事故报告，查看和查询。事件Tracker提供详细的分析报告和趋势图，可以创建工作流，甚至设置自动电子邮件警报。员工必须使用登录名和密码才能访问该软件。事件Trac分支机构/部门经理，图书馆助理，SJPL和King图书馆安全人员以及执行领导团队可以访问ker。

行为记录

行为日志用于记录非犯罪行为，非重复行为以及违反客户行为政策以外的图书馆政策的行为。员工使用行为日志作为快速参考，以随时了解特定的信息rac与客户互动。行为日志位于Security SharePoint上，任何图书馆工作人员都可以通过SJPL SharePoint页面进行访问。

暂停，申诉和文件

SharePoint上的暂停，申诉和文档文件夹包含有关过去和当前暂停的图书馆顾客的信息。其中包括所有暂停文件，客户照片，有关送达文件的信息，上诉，空白暂停表格，客户行为政策执行规则以及已完成的重新进入和恢复图书馆特权文档。

暂停的客户可以使用暂停数据包中提供的表格提出上诉。暂停申诉表要求客户提供其姓名，地址，电子邮件，电话号码，简要说明，以解释他们为何对暂停申请提起申诉以及要求恢复tore库访问权限。完整的申诉表将提交给任何SJPL或金图书馆安全人员或分支机构/单位经理。然后立即将表格发送给与图书馆行政官员协调并分配给部门经理的行政支持人员，以安排上诉听证会。

听证会的日期/时间/地点将在收到上诉表格后的五个工作日内邮寄或通过电子邮件发送给客户。所有上诉听证会都在金图书馆举行。被停职的客户，高级安全员，证人和指定的部门经理必须出席私人听证会。听证的结果然后转发给行政支持人员，后者将副本发送给客户。

暂停客户的照片可以张贴在员工工作室中，只有图书馆工作人员和志愿者才能查看。这些照片是应高级安全官的要求发布的。张贴内容包括被暂停的客户的照片和被暂停的原因。这些张贴仅限于对图书馆工作人员或顾客构成安全风险，极有可能访问该分支机构或事件发生在该位置的客户。

信息多长时间tored？

事件Tracker数据，行为日志和中止/上诉文件为tor无限期编辑

在员工工作室中张贴的照片至少要保留12个月，然后将其粉碎。

SharePoint安全性页面会不断更新以改善访问权限。 12个月或更长时间的非犯罪违规事件和事件将重新定位到“旧禁令”文件夹中。 10岁及XNUMX岁以上的刑事违法行为将转移到“旧的停职”文件夹中。目前对暂停，上诉，记录（包括照片）的保留期进行审查。

技术服务隐私审核

技术服务概述

技术服务不收集，分机rac或共享图书馆客户的任何个人身份信息。所有数据分机rac出售给供应商或与供应商共享仅与材料的流通和标识有关。

收集什么信息？

collectionHQ

技术服务部门每月运行一次数据分机ract贝克和泰勒的 collectionHQ。数据点已随附，其中包括签入和签出日期。所有信息分机racted在书目，项目或权限字段中。旧分机racts在新的ext之后被删除racts正在运行。

供应商访问Sierra

只能通过目录以及订单和发票信息的交换来访问Sierra。所有访问都需要登录名，并且该登录名的权限仅限于完成工作所需的有限任务。登录和权限由LIT或Innovative设置。

ALA清单项目

制定有关分机的政策和程序racstor年龄，以及共享来自ILS的内部或续用顾客数据rac第三方使用。
1. 技术服务不延伸rac吨tore，或共享任何顾客数据。（完成）
限制对分机的访问rac请适当的人员。
1. 限制到位（已完成）
该政策应包括处置/删除分机racTS。
1. 技术服务删除所有分机rac在发送新分机时rac每月一次。（完成）

志愿者服务隐私审计

义工服务总览

义工服务部 San José Public Library 从志愿者那里收集信息，以筛选申请人，track个志愿者捐款，并报告向图书馆捐款的志愿者人数和志愿者工作时间。

收集什么信息？

我们的部门收集个人身份信息，以便将志愿者处理到图书馆系统中。收集到的信息使图书馆可以对志愿者进行背景调查，以协助志愿者协调工作。tor在分支机构分配志愿者以执行不同的任务，以及参加“义工离开您的罚款”活动。仅收集进行常规业务操作所需的信息。收集的个人信息可能包括：

名字和姓氏
出生日期
邮寄地址
电邮
电话
年龄范围（13 +，15 +，18 +，21 +或50+）
语言能力
紧急联系信息
雇主
学校
最高学历
图书馆卡号码
豁免罚款额

如何收集信息？

信息是通过各种不同的来源收集的。

网上义工申请

所有正在进行的SJPL志愿者都在“更好的影响力”中创建个人资料，SJPL使用该志愿者管理软件来rack志愿者申请，时间和影响。

义工申请者必须输入其名字，姓氏，出生日期‌，邮寄地址，电子邮件，电话号码，年龄段（13岁以上，15岁以上，18岁以上，21岁以上或50岁以上），语言能力，紧急联系信息以及他们如何了解志愿服务。它们还可以包括此可选信息；学校或工作地点，以及最高学历。

志愿者签名表

根据圣何塞市法律部门的要求，所有SJPL志愿者在开始志愿活动之前，均会返回一份完整的志愿者签名表格副本。

志愿者申请者必须填写其名字，姓氏，父母/监护人签名（如果他们未满18岁），如果是一次性志愿者，则需要填写紧急联系信息。

志愿人员罚款登记

当某人参加志愿者参加您的罚款活动时，他们的信息将输入到excel电子表格中，以便在活动期间可以从正确的帐户中免除罚款。

登记表上有每位参与者的名字，姓氏，电话号码或电子邮件地址，年龄级别（成人或儿童），借书证号以及免除的罚款金额。

LiveScan指纹背景检查

所有正在进行的成年志愿者都必须在开始成为志愿者之前提交指纹背景检查。 SJPL不收集任何信息。

与谁共享信息？

与某些工作人员（图书馆和圣何塞市）共享个人身份信息，志愿者可以访问自己的信息。

网上义工申请

志愿者和SJPL Better Impact帐户管理员只能访问在线志愿者个人资料信息tors（SJPL的工作人员，以及经过特殊培训和背景调查的志愿者）。

Better Impact帐户信息仅与志愿者本身（而不是父母或潜在雇主）共享。我们只会与潜在的雇主和家人确认服务日期和工作时间。

志愿者签名表

签名表单仅对图书馆工作人员（图书馆员，文员和分支机构经理）可用。工作人员可以应要求为志愿者制作签名表格的副本。

志愿人员罚款登记

这些excel文件只能由负责登录或取消活动罚款的图书馆工作人员访问。

LiveScan指纹背景检查

只有SJPL志愿服务分析师（或其主管）和圣何塞市人力资源人员可以访问。

信息在哪里tored？

网上义工申请

志愿者信息是tor在Better Impact软件中进行了编辑。更好的影响隐私政策可以在以下网站找到 https://www.betterimpact.com/siteguide/privacy-policy.

志愿者签名表

签名形式为tor在返回它们的分支机构或部门的锁定文件或办公室中。表单按姓氏归档，以便在需要时可以轻松找到它们。志愿人员存档后，他们的签名表格将被移动到标有当前年份的文件中，以便在3年后可以将其粉碎。

志愿人员罚款登记

这些excel表格是tor在举办活动的图书馆分支机构的员工计算机上编辑。表格未打印出来。将事件总数输入到系统范围内后，将删除所有条目rac国王表（活动24小时内）。

LiveScan指纹背景检查

接收志愿者指纹背景检查结果并发送tor由圣何塞市人力资源办公室编辑。 Better Impact软件或志愿者的物理文件中未包含有关LiveScan背景检查结果的信息。发送给志愿者服务的所有收据都保存在安全的锁定文件中。

信息多长时间tored？

网上义工申请

个人资料信息是tor无限期地

志愿者签名表

志愿者离开SJPL服务后，表格将保留3年。

志愿人员罚款登记

将事件的总数添加到系统范围内后，将删除注册Excel表单rac国王表。

LiveScan指纹背景检查

志愿者结束对图书馆的服务后，必须进行3年的背景调查。

网站团队隐私审核

网络团队概述

San José Public Library （SJPL）网站提供有关图书馆服务和活动，图书馆目录以及各种电子资源和eBooks / eMedia的信息。该网站每年收到超过3万次访问，而eBooks / eMedia每年记录超过XNUMX万次结帐。

图书馆网站（https://www.sjpl.org）由图书馆的网络团队内部维护。它是使用Drupal开源内容管理系统构建的。全球的Drupal社区拥有超过1万用户，其中包括专注于安全性的多个团队。 Drupal提供频繁的安全更新。 Drupal受到许多大型组织的信任，包括白宫，特斯拉和美国红十字会。

图书馆网站托管在Acquia Cloud上，该数据库提供了一系列访问和身份验证控件，防火墙控件，防御性安全性以及频繁的安全性更新。所有网站流量均使用https加密。图书馆的IT部门确保安全证书是最新的。

SJPL续rac与许多第三方供应商合作，提供各种电子资源，供借书证持有人在现场和场外使用。这些资源包括可下载和流式传输的资料以及传统数据库。

我们所有的电子资源均由我们与之竞争的供应商提供给我们ract。尽管我们无法控制这些供应商的行为，但我们致力于

准确发现我们的供应商合作伙伴正在采取哪些隐私措施
发现这些供应商收集的有关我们顾客的个人身份信息
与我们的供应商合作，以确保他们符合我们的隐私标准和要求
使用我们的购买/出价过程进行竞争rac与能够满足我们的隐私标准和要求的供应商

信息收集

的WebForms

图书馆网站包含许多Web表单，客户可以出于某些目的而提交这些表单，例如申请特殊服务，提交图书馆竞赛以及要求工作人员提供在线帮助。这些表格收集了一些个人身份信息，这些信息仅应用于表格所述的目的。我们已经与索取这些表格的图书馆单位核实，要求提供的所有信息都是必要的，并且在以后创建任何表格时也会这样做。收集的信息可能包括姓名，年龄，电子邮件地址，电话号码，实际地址，图书馆卡号以及其他与表格目的相关的信息。我们清除了超过6个月的网络表单活动，并且已从网站的当前副本和存档副本中删除了此信息。每年三月和九月将执行两次类似的清除操作。

Web小组使用Web表单从要求建立帐户的顾客那里收集信息（姓名，电子邮件，图书证） Treehouse，这是我们的eResources供应商之一。此信息用于预期目的，并在一个月后清除。

Webform也会收集用户IP地址。我们正在调查收集此数据的影响，并考虑改善匿名性的方法，例如实现Drupal模块以匿名化此信息。

数据分析

我们使用 Google Analytics 对我们的网站使用情况进行统计分析。我们已经通过Drupal启用了“匿名IP地址”功能 Google Analytics 模块。我们的数据保留期 Google Analytics 在应用或可能应用与Cookie相关的用户级和事件级数据的任何情况下，均设置为14个月的最低设置。

我们已经/正在收集以下与SJPL相关的网络媒体资源的信息：

https://www.sjpl.org -我们的主要网站。
Localist-托管我们的图书馆活动网站。在2018年XNUMX月之后，我们将不再使用Localist。图书馆活动将驻留在我们的Drupal网站上。
SRC（当它是Drupal实例时）-它是由第3方建造的；我们没有存档副本
https://sjlibrary.org -与圣何塞州立大学（SJSU）图书馆共享的网站。 SJPL收集的数据是匿名的。我们将与SJSU图书馆工作人员讨论匿名化。
我们的目录-再来一次和经典-见下文
Digitalcollections.sjlibrary.org-由我们使用 California Room 他的torical图片。我们正在转移到该服务的新供应商，并且会意识到由此产生的隐私问题。
LibCal/LibAnswers/LibChat -每个用户的统计信息已被禁用，因此无法将个人身份信息与预订相关联。此资源与SJSU共享，我们正在与他们讨论其他隐私选项，包括匿名IP地址和更改密码。rac国王代码脚本。
Beanstack -习惯于rack幼儿园和暑期阅读计划前的1,000名读者的阅读清单。收集的信息包括姓名，电子邮件地址和书名。我们每月收到 Google Analytics 活动报告。

我们也用 Hot Jar 获取有关网站使用情况的分析数据，例如热图，屏幕记录和民意测验。数据用于改善我们的图书馆网站。收集的所有数据都是匿名的。不会记录击键。

我们根据要求向图书馆工作人员，圣何塞市，加利福尼亚州立图书馆，公共图书馆数据服务以及其他组织提供使用情况摘要报告。所有报告信息都是匿名的。

第三方脚本和嵌入式内容

目前，我们嵌入了YouTube，Flickr，Facebook，Twitter和Google Maps的内容，并且使用了以下脚本 Google Analytics，Google翻译，HotJar，Flickr，New Relic，AddThis和 LibAnswers。我们正在评估通过第三方脚本和嵌入式内容收集哪些数据，并限制不必要的数据收集。

电子资源

关于电子资源的使用，SJPL不会收集有关我们客户的个人身份信息。我们通过供应商网站上运行的报告或由供应商发送给我们的报告，从供应商那里收集统计信息。这是不包含标识信息的常规用法信息。

我们的某些供应商确实允许我们访问包含个人身份信息的报告和功能。该信息仅由图书馆用于协助顾客解决帐户/技术问题，并且仅适用于有限数量的员工（通常不超过3人）。

我们已经准备了一封信，将发送给供应商，以表达我们对我们所有供应商应该的期望：

将服务配置为在涉及个人信息收集的功能时尽可能使用选择加入。
向客户提供有关从他们那里收集到多少信息以及如何使用它们的选项。客户应选择是否选择需要收集个人信息的功能和服务，例如借款人tory，阅读清单或喜欢的书。
在访问点将其隐私策略通知客户。
为客户提供一种访问，查看，更正和删除其个人数据的方法。
使用SSL / HTTPS加密连接以提供对数字内容的安全访问
供应商知道数据或安全漏洞或侵权行为后立即通知图书馆rac的条款。
允许客户卸载供应商应用程序并删除关联的tor来自个人设备的数据。
进行定期的隐私审核，并将审核结果提供给图书馆以供审核。将审核结果作为续订标准之一。
限制收集有关用户的个人信息量。通常，图书馆或服务提供商应收集提供服务或满足特定运营需求所需的最少个人信息。

在未来的供应商中racts和续订，我们将包括每个供应商的期望：

遵守所有适用的地方，州和联邦法律，有关图书馆记录的机密性。
符合图书馆的隐私，数据保留和数据安全策略。
确保所有子续ractor必须遵守续表中的隐私和数据安全保护条款ract在库和供应商之间，并且每当有子目录时通知库ractor 由供应商雇用。
规定图书馆保留所有顾客数据的所有权。
包括用于响应政府和执法机构对顾客数据的请求的协议。
包括有关供应商用于保护保留数据的措施以及其用于确保安全性的安全措施的详细信息。
说明如果发生数据泄露，供应商有责任通知图书馆和受影响的顾客。

我们正在准备一项数字材料战略，其中将隐私期望（见上文）作为供应商选择/续订的评级标准的一部分。

我们已编制了一个指向供应商隐私政策的链接列表。此列表位于 SJPL网站。我们还列出了每个供应商收集的数据及其使用方式的列表。见附录A.

我们也正在为顾客创建文件，以告知他们每个供应商的政策和选择以及相关的图书馆政策和程序。这些将在图书馆网站上提供，其中包括：

供应商网站上个人帐户的设置。
个人设备上供应商应用程序的设置，包括任何隐私设置以及如何删除该应用程序和任何相关的软件tored数据。
如果供应商遇到数据泄露，则执行图书馆程序。见附录B.

在线目录

在线图书馆目录（Encore和Classic目录）允许顾客登录他们的图书馆帐户，以访问结帐，保管箱和其他帐户信息，这些信息位于我们的集成图书馆系统Sierra中。有关更多信息，请参见Access Services白皮书。在线目录和Sierra之间的所有交易均已加密。

顾客可以选择打开一个功能rac让他们读他的tory。此功能是选择加入的，他们可以随时选择退出。他们还可以创建个人图书清单，该清单不会与任何人共享，并且可以随时删除。他们可以选择将标签添加到库目录中的项目，并随时将其删除。员工可以看到添加了特定标签的人员的姓名。此信息对公众不可用。

用户体验研究

Web团队与图书馆顾客进行用户体验（UX）研究，以便就改善用户体验做出明智的决定。收集知情同意书的签名和一些一般人口统计信息，例如年龄范围和首选图书馆位置。在进行定性访谈时，参与者可以分享他们的生活细节。此信息通常记录在纸上。然后将其上载到研究人员的OneDrive帐户，并仅与直接参与研究项目的图书馆人员共享。

可能会产生视频记录，尤其是在可用性测试期间。这些录音将上传到一个专用的YouTube帐户，只有指定的图书馆工作人员才能访问。装入这些项目后，原始录音和纸质文物将被销毁。带有PII的录音和任何电子研究文物应保存不超过两年，并且如果与UX研究相关的项目已经完成，则应尽快销毁。可以保留研究的摘要，但不会保留PII的伪像。用户行为，意见和一般用户聊天rac可以与外部利益相关者共享诸如技术技能水平之类的技术，以证明SJPL是如何做出设计决策的，但是没有共享可以推断出或与参与者相关的PII或数据点。

行动计划

调查收集此数据的影响，并考虑改善匿名性的方法，例如实现Drupal模块以匿名化此信息。（将于2018年XNUMX月完成）
继续评估通过第三方脚本和嵌入式内容收集的数据，并限制不必要的数据收集。（将于2018年XNUMX月完成）
发送信通知eResource供应商我们的隐私要求。
对所有未来的采购和投标实施新的隐私要求。
数据泄露响应政策[见附录B]（在此方面与IT部门合作）
在我们的网站上为用户提供有关如何保护其供应商帐户，如何在可用时选择加入和退出以及卸载供应商应用程序的说明。（将于2018年XNUMX月完成）
完整的数字材料策略，其中包括对新供应商的期望和更新的供应商续racts。（将于2018年XNUMX月完成）

附录A

每个供应商收集的数据
供应商	认证	提供给我们的个人身份报告？	采集的数据
ABCmouse	条形码，PIN码和电子邮件	没有	ABCmouse 收集大量个人信息以评估孩子的进度，包括孩子和父母的名字，孩子的年龄和电子邮件地址。当他们在家中退房时，孩子还要进行两次评估测试。这些名称尽可能地无名，但是确实有一定数量的信息传输给它们。我们的报告中没有个人身份信息，只有一般使用信息。
Axis 360	条形码和PIN码	含	图书馆卡号，PIN和电子邮件地址（可选）。
Beanstack	邮箱地址	含	Beanstack 需要一个帐户。他们需要一个名称和电子邮件地址。其他个人信息（包括条形码）是可选的。
BiblioBoard 自学资料库	地理位置	含	Biblioboard 如果顾客创建并记帐，还可以通过条形码进行身份验证。帐户需要电子邮件地址（可选），用户名和密码。电子邮件是可选的，除非注册 Pressbooks
Big Interview	条形码和电子邮件	含	顾客创建一个帐户并在注册时输入其条形码。
Bookan –不接受任何个人信息	other	没有	现场无需登录。异地需要使用与所有顾客共享的通用用户名和密码登录。可能收集IP地址。
图书24x7	仅代理	没有	他们可能会收集IP地址。
Discover & Go	条形码和PIN码	没有	我们只有很少的管理权限。我们能够运行有关使用情况的非常常规的报告。必须提供顾客条形码和电子邮件，但我们没有该信息。的管理员 Discover & Go （目前是孔塔哥斯达黎加县立图书馆）。
EBSCO 电子书	代理和电子邮件	没有	见下文。赞助人可以创建一个帐户（与 EBSCO主机），以查看可供下载的电子书。许多电子书也可以离线阅读而无需检出。
EBSCO主持人	代理和电子邮件	没有	赞助人可以创建一个用于保存文章，搜索等的帐户。这完全是可选的。帐户要求输入名称和密码。电子邮件是可选的。
enki	条形码，PIN码和电子邮件	没有	需要借书证和PIN。电子邮件是可选的，但需要通知保留状态。 enki 从Sierra获取全名和资料库。我们无法访问任何个人信息，但是 enki 能够运行附加在条形码上的报告。
Gale	other	没有	无需登录，但 Gale 允许用户使用Microsoft或Google帐户登录。他们可以保存文章，搜索等。
Gale 虚拟参考图书馆	other	没有	无需登录，但 Gale 允许用户使用Microsoft或Google帐户登录。他们可以保存文章，搜索等。
Hoopla	条形码和电子邮件	含	图书馆卡号和电子邮件地址。需要创建帐户。我们能够运行报告，以查看每个借书证已签出材料的次数，但看不到各个书名的含义。 Hoopla 能够获取有关单个条形码的标题级别信息。
LearningExpress库	条形码和电子邮件		赞助人使用条形码和电子邮件创建帐户。
Library Journal SELF-e	other	没有	这只是一种形式，允许用户将其稿件提交给 Library Journal。该表格要求您提交个人信息。这是一种资源，只有极少数的顾客会使用。
Lynda.com（现在为LinkedIn学习）	条形码，PIN码和电子邮件	含	需要“姓氏和名字”以及电子邮件，尽管“Lynda“ .com成员”是默认名称。大多数人可能会更改它。
LinkedIn学习（以前 Lynda.COM）	条形码，PIN码和电子邮件	含	如果您使用与登录时相同的借书证号码和PIN Lynda.com，您的tory和进度将在LinkedIn学习中提供。
Mango 语言	邮箱地址	没有	需要姓名和电子邮件地址。可以选择使用来宾访问权限，但是进度不是rac凯德似乎根本没有对用户进行身份验证。
纽约时报在线	代理和电子邮件	没有	现场身份验证是通过IP地址进行的。在场外，顾客必须通过代理并在NYTimes上创建一个帐户。姓名和电子邮件地址为必填项。
Newsbank	代理和电子邮件	没有	赞助人可以选择创建一个帐户，但这不是必需的。
OverDrive	条形码，PIN码和电子邮件	含	顾客可以登录 OverDrive 以三种方式之一。 1.使用借书证号码和PIN码。 2.使用 OverDrive 需要电子邮件地址以及图书馆卡号和PIN的帐户。 3. Facebook加上图书馆卡号和PIN。有一个他的tory功能 OverDrive 和 OverDrive Libby中的应用程序和活动。他的tory现在已选择加入。活动trac国王选择退出。 OverDrive 声称他的tory和活动信息仅对顾客可用。我们实际运行的唯一报告是常规使用情况报告，并包含管理报告。截至2018年XNUMX月，只有网站超级用户才能访问包含个人身份信息的报告。
Pressbooks	条形码和电子邮件	含	与...一样 BiblioBoard 以上。电子邮件是必填项 Pressbooks 我们可以看到有关用户的信息，因为 BiblioBoard 配置文件将附加到创建的书籍。
PrivCo	仅代理	没有	我们没有管理权限。报告每月发送给我们，但它们是匿名的。 IP地址可能已收集。
Pronunciator	条形码和电子邮件		顾客只能使用他们的借书证号登录，但是进度不会rac凯德注册需要电子邮件。
ProQuest	仅代理	没有	其中包括Digital Sanborn Maps和San Jose Mercury Digital Microfilm。他们俩都没有收集个人信息，除了可能的IP地址。我们拥有Digital Sanborn Maps的管理员登录名，但仅提供常规用法信息。我们提供了《 SJ水星新闻》的使用情况报告。
RBdigital	条形码和电子邮件	含	我们可以访问顾客名称，条形码和电子邮件。该信息仅用于解决帐户问题。
RBdigital Magazines	条形码和电子邮件	含	顾客条形码和电子邮件。
参考美国	代理和电子邮件	没有	顾客可以使用此功能创建个人帐户。电子邮件地址和全名是必需的，但是这样的帐户是完全可选的。
里奇的	仅代理	没有	我们没有管理权限。报告每月发送给我们，但它们是匿名的。 IP地址可能已收集。
Rock's Backpages	条形码	没有	收集图书馆卡号以在场外验证用户。无需现场登录。
罗森 PowerKnowledge	仅代理	没有	仅IP地址。
Safari Books Online	仅代理	含	除IP地址外，不收集任何信息。我们可以运行一个报告，查看在特定IP地址上进行了多少次查看，但没有查看过。
Springshare LibApps	other	含	这实际上是SJSU资源，但是我们将其用于实时和电子邮件参考。管理员可以访问大量个人信息，包括姓名，电子邮件地址，图书馆卡号以及顾客提供/我们要求的其他任何信息。系统每隔几个月就会删除聊天记录中的个人身份信息，因此，我们的信息日志不会超过三到六个月。
总Boox	条形码，PIN码和电子邮件		仅需要条形码和PIN，但它们确实要求提供电子邮件。电子邮件是可选的并不明显，并且每次登录时都会要求赞助者添加一封电子邮件。名字是从Sierra提取的。根据隐私政策，他们收集IP地址。
Treehouse	邮箱地址	含	仅收集电子邮件地址。我们还要求将顾客的条形码通过网络表单提交给我们，但是在创建帐户后不会保留该条形码。 Treehouse.
不倒翁书	代理和电子邮件	没有	代理是主要认证。用户可以创建一个可选帐户，但是它没有太大作用，因为它是为教师和学生设计的，并且需要我们没有的功能。要求是姓名和电子邮件。
Tutor.com	条形码，PIN码和电子邮件	含	声明自己未满13岁的用户将匿名登录，并且不提供个人信息。 13岁以上的用户或由监护人注册的用户提供姓名，年龄和电子邮件地址。他们也可能会在旅行期间提供其他信息tor会话，但是这些会话是仔细监控的tor，以确保用户不提供或不被要求提供不必要的个人信息。我们可以在报告中访问PII，但只能运行常规使用情况报告。可以以匿名模式运行其他报告。只有电子资源库管理员可以访问管理员帐户。 Tutor.com 尤其关注隐私和安全，并且比其他供应商拥有更多保护信息的措施。
Value Line	仅代理	没有	系统会将有关此资源的报告发送给我们-我们没有管理员权限，也没有用户登录。
World Trade Press （美国AtoZ，AtoZ世界旅行，全球道路勇士）	仅代理	没有	没有登录。我相信他们可能会收集IP地址。我们每月收集基本使用情况统计信息。可用的只是会话数和使用的单个设备数。

附录B

数据泄露响应

网路

如果我们意识到数据泄露，我们将与图书馆IT部门合作保护数据遭到泄露的用户，并采取措施防止将来发生数据泄露。我们将通过以下任何或所有方式立即通知我们的用户：

网站公告
电邮通讯
通过电子邮件发送给可能受到影响的顾客
博客
Twitter，Facebook，Instagram帐户
必要时设有分行标牌
当地媒体

通知的级别将取决于违规的严重程度以及库用户可能受到的影响。

电子资源

借助eResources，我们依靠供应商让我们知道是否存在数据泄露。如果/当我们收到违规警报时，我们将按照从供应商处收到的所有说明进行操作，并立即如上所述通知用户。