隱私審核

訪問服務隱私審核

訪問服務概述

San José Public Library的訪問服務部是一個多方面的部門，由各種國王圖書館和系統範圍的職責組成。關於此隱私審核，我們將專注於Sierra集成圖書館系統（ILS）部門的職責。

Access Services，尤其是System Support致力於維護客戶數據庫，包括運行和從客戶數據庫收集數據。這項工作包括清除客戶和客戶數據（如我們的年度計劃所示）或根據管理部門的要求。

系統支持負責收集和維護系統範圍內的循環統計信息。此外，他們的任務是監督與我們的收款代理機構Unique Management Services（UMS）進行的數據交換，並處理客戶對已轉給收款賬戶的查詢。

最近，系統支援的任務是協助 LIT 創建 ILS 的員工登入訊息，並協助技術服務維護與 ILS 相關的貸款規則和位置代碼。最近的其他項目包括RFID員工工作站、自助檢查和自助檢查付款的培訓和實施。我們也被要求參與與客戶資料庫相關的各種項目。這包括預測調度項目的資料提取、壞帳沖銷以及與報告和撥款相關的數據。

信息收集

集成圖書館系統：Sierra

顧客數據庫

客戶數據庫由員工輸入的書面應用程序或圖書館客戶輸入的電子應用程序填充。在任一版本中，都要求提供以下信息：

名字和姓氏
生日
郵寄地址
電子郵件
電話號碼
父母/法定監護人姓名和/或駕駛執照（適用於18歲以下的兒童）
訂閱圖書館時事通訊（可選）

在將信息輸入到我們的數據庫中所需的期間內，將保留紙質申請，然後將其粉碎。唯一的例外是青少年卡。這些應用程序在客戶申請的位置維護了三個月。在線應用程序將在數據庫中維護60天，或者直到客戶訪問我們的位置之一以獲取他們的卡為止。每2個月將清除無人認領的帳戶。

申請卡時，客戶必須提供附照片的身份證件和地址證明。圖書館不會創建不必要的記錄，僅保留履行圖書館使命所需的記錄，並且不從事將資訊置於公眾視野的做法。

該庫每年根據以下條件從系統中刪除一次客戶記錄：

已過期2年
自報表生成之日起4年內未激活

滿足這兩個要求之一的客戶還必須具有：

罰款少於$ 10
沒有項目簽出

只有經過授權的圖書館工作人員才能存取 ILS 中儲存的個人資料。存取此資訊僅用於圖書館的常規操作。除非法律要求或滿足個別客戶的服務請求，否則圖書館不會揭露透過 ILS 從客戶收集的任何個人資料。

在分支或單位級別創建用於訪問客戶數據庫的登錄名。員工能夠僅出於執行圖書館工作的目的而使用該登錄名。該登錄名使工作人員可以執行以下與客戶記錄相關的功能：

創建一個新的客戶帳戶
查看和編輯客戶帳戶信息。 PIN碼在輸入時已加密，只能進行編輯。
查看和編輯詳細信息
查看和修改保全和要求

大多數一線圖書館工作人員和從事技術服務的人員都可以使用ILS（圖書館員，文員，圖書館助理，書頁和經理）。圖書館助手的主要功能是擱置，他們對數據庫的訪問非常有限，只能用來檢入資料。為各個員工和單位創建了個人登錄名；他們的權限取決於他們需要完成的任務。例如，技術服務人員有權打印書脊標籤或有權訪問訂單，但是不會向Web團隊的人員提供相同的權限，因為他們不需要這些功能。

流通記錄

客戶的圖書館記錄包括目前已借出或保留的物品，以及逾期資料和罰款。圖書館不會保留客戶先前借出內容的歷史記錄。材料退回後，該項目將從他們的帳戶中刪除。當客戶的帳戶產生罰款時，圖書館會保留已借出但在到期日後歸還的物品的記錄，或在客戶的記錄中仍然未償還的物品。

罰款已付資料保存在圖書館客戶的流通記錄中。已付罰款資料是在向客戶結帳時延遲歸還、遺失或損壞的物品的清單。罰款已付數據用於顯示客戶罰款和費用的支付歷史記錄。保存已支付罰款的資料是出於財務和記錄保存的目的。罰款繳納資料包含：

項目標題
商品條碼
簽出日期
截止日期
返回日期
付款日期
罰款額
付款地點
員工登錄

項目記錄還保留最後一位簽出物料的客戶的詳細信息。工作人員僅可在日常運行職責（丟失，丟失或損壞的物品）上訪問此信息。客戶將一直附加到該記錄，直到再次檢出該項目。

罰款繳納資訊應保留盡可能長的時間，以滿足業務辦公室的需要及其簿記要求。這需要與行政官員及其工作人員合作，以獲取儲存在罰款已付文件中的資訊。暫定到期日為本財政年度結束。

流通統計

每月收集流通統計信息，並根據會計年度進行報告。它們可用於報告客戶使用情況，獲得資金，對要購買的材料做出明智的決定並確定未來項目的趨勢。我們從ILS收集以下信息以進行流通統計：

在特定的位置代碼中檢出項目的次數
面對面續訂與網站續展的次數
自檢機與員工站之間的結帳次數
通過我們的自動處理系統（AMH）與員工站之間的退貨數量
電子資源的流通

這些統計信息的收集中未收集任何客戶信息。這些統計信息由系統支持部門訪問和編譯。

獨特的管理服務（UMS）

Unique Management Services 是簽約處理已違約客戶帳戶的收債機構，符合以下標準：

開票項目
罰款和費用超過$ 50

我們向UMS提供ILS的提交文件。提交文件是基於收款代理機構模塊/界面內建立的標準新選擇進行收款活動的客戶帳戶的列表，並且每天生成。提交報告僅提供有限的客戶信息，包括：

顧客記錄號
名字
地址
電話號碼
法定監護人/父母姓名和駕駛證（如果未滿18歲）
生日
贊助人類型
家庭圖書館
逾期日期
欠款（僅提供美元金額，UMS不會收到所有權信息以確保保護客戶的機密性）

同步或“同步”報告是一種質量保證工具，可提供標記為收款活動的所有帳戶及其當前餘額的列表。 “同步”的目的是驗證UMS餘額是否與庫餘額匹配。同步報告通常由UMS的客戶服務技術分析師啟動，但是此過程可以由圖書館隨時啟動。

UMS為圖書館工作人員提供對已發送到UMS的圖書館客戶基於雲的數據庫的訪問權限。此訪問權限僅限於訪問服務的高級圖書館員和系統支持的文職人員，後者由圖書館助理和業務員組成。

奧蘭治男孩/薩凡納

從2015年XNUMX月開始，將流通和客戶數據提供給OrangeBoy，以創建一個預測性調度工具，該工具將流通活動與各個分支機構的人員配備水平相關聯。每週將數據上載到OrangeBoy，然後填充儀表板。管理，訪問服務，Web團隊和IT人員當前可以訪問此儀表板，因為這些部門負責上載所請求的信息。分支機構員工對使用已提供的數據創建的預測性調度工具的了解有限。

上週的入住數據將發送到OrangeBoy，該文件包含以下信息：

入住地點
入住日期和時間
值機是通過AMH還是通過員工終端進行的

發送的門數信息包括：

上週各分店的訪客人數

此外，還發送了分支機構員工計劃，包括：

文書工作時間是在以下服務點進行的：區域，物料搬運，貨架，整理，拉動和保持。

Bibliotheca

2016年，我們經歷了將我們的收藏品從基於磁性的安全系統轉換為基於RFID的安全系統的過程。這個新系統還集成了使用RFID設備掃描材料的功能。 RFID標籤被放置在我們所有的流通材料中，並使用附有標籤的物品的條形碼進行編程。標籤不包含標題或客戶信息。

Bibliotheca 是我們的 RFID 轉換供應商。他們為我們提供了以下與RFID相關的設備：員工墊、自助借還機、安全門、手持盤點設備。我們的員工可以存取基於雲端的儀表板，使他們能夠監控自我檢測和安全門的功能和狀態。儀表板為員工提供有關自助檢查交易的信息，包括結帳、續約和罰款支付。

為這些交易提供的信息因功能而異。對於結帳，工作人員可以查看日期，時間，客戶條形碼，已檢出物品的條形碼以及任何續籤的物品的條形碼。對於安全門，工作人員可以訪問走過門的人員的理貨和触發門警報的任何物品的條形碼。

每個位置都有兩個唯一的登錄名。一次登錄可提供顯示交易級別數據的更高級別的功能，並提供給分支機構經理，圖書館助理和FT或PT職員。另一個僅提供有關機器狀態的信息，並且所有人員都可以查看。

ALA清單項目

僅請求和儲存圖書館運作所需的客戶個人資訊。定期刪除圖書館運作不再需要的資料（例如購買請求資料）。如果 LMS 支持，請盡可能使用「模糊」人口統計資訊（例如，使用「未成年/非未成年人」分類，而不是記錄完整的出生日期）。
1. 我們正在審查有關我們收集的有關客戶的信息的紙張和在線申請。已經決定，我們將繼續收集DOB（用於統計目的），並將為工作人員提供一種識別名稱相似的客戶的方式。我們將停止收集駕照和性別，因為圖書館操作不需要這些信息。更新後的書面申請草案已經完成，正在等待批准。（需要工作）
匯總或匿名化報告以刪除個人身份信息。應定期檢查報告，以確保它們不會洩露此類信息。
1. 我們審核了當前發送的數據，並進行了調整以確保我們僅發送必要的數據。
  1. OrangeBoy：我們正在審查發送客戶資訊的必要性，因為它在正在創建的預測調度工具中不起作用。截至 12 年 2018 月 XNUMX 日，我們尚未發送額外的客戶和流通訊息，因為我們正在決定繼續與 Orangeboy 簽訂合約。由於決定不使用客戶資料庫進行訊息傳遞或客戶細分，我們已停止發送客戶資訊。（已完成）
  2. UMS：需要我們提供的資訊才能代表圖書館有效地聯繫客戶。 UMS 提取他們需要的信息，但透過不提取項目標題等資訊來確保客戶隱私。當我們的客戶聯繫 UMS 時，他們會建議客戶直接與圖書館工作人員討論逾期資料，因為他們無法存取我們的資料庫。（已完成）
  3. Bibliotheca：為自檢創建刪除交易的時間表。我們一直在與 Bibliotheca 關於如何最好地實現這一目標。我們正在等待他們的回應，以繼續執行該建議，並在獲得必要信息後立即執行。我們正在與他們的團隊一起制定一個定期計劃，在該計劃中，定期從自檢中清除交易數據。我們希望在18/19財政年度開始之前就可以做到這一點。（需要工作）
默認情況下，將LMS配置為在不再需要進行圖書館操作時刪除客戶與其借入/訪問的物料之間的交易數據。
1. 我們已經確定了儲存這些資訊的區域，並製定瞭如何維護這些資訊的時間表。
  1. 最後的顧客區域：每6個月清除一次上一個顧客區域，條件是該商品在上個月未流通。這樣可以確保在以前的客戶信息可能有幫助的情況下（即退回的商品不完整），員工仍然可以訪問信息。這將在本17/18財年末實施。（需要工作）
  2. 罰款數據：超過4年的罰款或費用將從客戶帳戶中清除。這將與壞賬準則相一致，後者消除了4年以上的債務。這將在18/19財政年度開始時實施。（需要工作）
讓客戶選擇個人化功能，例如保留結帳歷史記錄或喜愛的書籍清單。（已完成）
將LMS中的客戶記錄訪問限制為需要證明的工作人員。例如，流通人員需要進入，而貨架不需要。（完成）
將庫通知配置為保留，逾期等，以發送最少數量的個人信息。
1. 我們最近接受了必要的培訓，以更改當前的打印模板。
  1. 禮貌和逾期的電子郵件：通過創建新模板，我們將能夠從電子郵件通知中刪除客戶地址。我們正在與IT部門合作，以創建新模板。將於2018年XNUMX月完成。（需要工作）
  2. 貨單：Sierra為貨單提供了4個模板選項。票據需要包含一定數量的信息，但是我們無法自定義Sierra提供的模板。 Sierra的模板可以縮短，也可以縮短客戶名稱（名和姓），但我們無法進一步自定義發票。如果我們對單據進一步匿名感興趣，我們將需要購買其他軟件。將於2018年XNUMX月完成。（需要工作）
制定有關從 LMS 提取、儲存和共享客戶資料以供內部或簽約第三方使用的政策和程序。限制適當的人員接觸萃取物。
1. 我們沒有關於提取、儲存和共享客戶資料的正式政策。（需要工作）
2. 我們沒有關於提取、儲存和共享客戶資料的正式程序。對於經過培訓的工作人員來說，有一套非正式的說明，可以運行這些報告，以了解如何提取所要求的某些類型的信息。這些目前位於系統支援群組磁碟機中，只有 Access Services 中的特定群組員工才能存取。何時可以審查這些非正式程序並對其進行標準化並將其儲存在安全位置，完成日期為 2018 年 XNUMX 月。
3. 資料提取由系統支援處理，系統支援是 Access Services 中的一個單位。該單位有 Sierra 登入名，允許他們建立收集有關我們客戶和流通統計資料的報告。對客戶資訊的請求通常與特定的人口統計或地址相關，並且不提供個人信息，因為請求與一組用戶的趨勢相關。我們正在審查提供給不同員工的登入資訊和權限，完成日期為 2018 年 XNUMX 月。

圖書館信息技術隱私審計

圖書館信息技術概述

San José Public Library 是北加州最大的免費公共運算資源提供者。 2016-17 財年，該圖書館記錄了超過 1,200 萬次電腦會話。目前，整個圖書館系統有 1990 台公共電腦可供預約。自 XNUMX 世紀 XNUMX 年代初在 SJPL 實踐保留公共電腦的想法以來，隱私和安全一直是人們關注的首要問題。

為了保護我們的公共桌面環境，該庫已部署了一種產品，每次新客戶登錄到公共計算機時，它都提供一個全新映像的干淨桌面，而不管以前的客戶可能保存或更改了什麼。該產品可以從多個供應商處提供防病毒和反惡意軟件定義文件，以加快對新的網絡威脅的響應時間。

隨著客戶將啟用了設備的設備帶到圖書館以免費連接互聯網，對wifi的需求繼續急劇上升。為了滿足不斷增長的需求，SJPL將所有分支庫的WAN連接升級到1000 Mbps。這些將圖書館網絡連接到加州教育網絡計劃公司CENIC運營的高容量光纖網絡CalREN。不會以任何形式在wifi網絡上收集個人身份信息（PII）。該平台允許高容量連接到Internet，但也可以連接其他參與的具有高度隱私和安全性的公共圖書館，學校，學院和大學。

圖書館最近將其網站轉換為HTTPS，並且還通過證書保護了目錄訪問頁面。為在圖書館網站上進行身份驗證的客戶提供加密連接，可以保護其數據以及圖書館網站和目錄瀏覽的隱私和完整性。除這些措施外，圖書館最近還向目錄網站添加了鏈接電子商務，以確保罰款的安全支付，而無需在組織之間傳遞任何個人信息。客戶希望該庫保護其數據，並且此升級符合該戰略方向。

為了保持對任何其他潛在敏感數據的嚴格控制，並為我們的環境提供移動性和穩定性，SJPL利用開源平台來發布有關服務器和網絡資源的通知和警報。這些工具的實施取得了巨大的成功，並且保留了圖書館信息技術部（LIT）的公共資源預算，這帶來了額外的好處。

隱私一直是SJPL的核心重點，尤其是在我們提供技術服務的方式上。我們了解在終身學習方面開放獲取信息的重要性。我們組織的目標是提供此類訪問權限，而不必擔心身份盜用，個人數據損壞或任何形式的報復。

信息收集

San José Public Library 以提供公共服務所需的有限方式維護與客戶鏈接的數據。以下是可鏈接到客戶隱私的結構化數據的來源。

目錄系統– Innovative Interfaces，塞拉利昂ILS

Sierra ILS 目錄系統是圖書館一系列技術資源中最重要的實用程式。它包含 SJPL 庫存中每本書、有聲讀物、DVD、CD、平板電腦、筆記型電腦和其他可藉材料的項目記錄。 Sierra 也用於管理採購和登記供應商帳戶。對於隱私討論最重要的是，Sierra 維護一個客戶記錄資料庫，讓我們的客戶簽入或簽出物品。它追蹤每個項目的狀態，管理客戶的保留，並可以發送警報以提醒他們退貨到期日期。為了讓客戶在 Sierra 中擁有帳戶，需要某些唯一識別碼才能將個人與借書卡號關聯起來。
- 當前的政策和程序規定，客戶在填寫表格以獲取借書證時必須輸入其姓名，出生日期和地址。他們也可以輸入電話號碼和電子郵件地址，這是可選的（但值得鼓勵）。如果需要，發送通知時通常使用電話號碼或電子郵件地址代替物理地址。
- Sierra不會記錄客戶活動或保留過往退房的任何記錄。

根據加利福尼亞州政府法典第6250至6270條概述的州法律，SJPL的政策是確保對客戶記錄和註冊數據進行保密。圖書館工作人員可以訪問加州政府法令相同部分的Sierra數據庫中的所有物品和客戶記錄。圖書館工作人員不會與任何外部機構共享這些記錄中保存的任何信息，除非得到相應的上級法院的命令。
Sierra 應用程式伺服器和 Sierra 資料庫伺服器的備份每晚進行一次並加密。它們採用多種格式、重複資料刪除並儲存在多個位置。每週一次，Sierra 資料庫的額外加密副本會被發送到異地進行存儲，循環存儲五週，以滿足我們災難復原計劃的需求。無障礙服務部門的工作人員每年都會清除客戶帳戶。如果帳戶符合以下條件，它們將被刪除：
- 帳戶已停用了四年。
- 帳戶已過期兩年。
- 帳戶中的罰款不超過$ 10.00。
- 帳戶目前沒有任何項目已檢出。
否則，只要客戶希望並且繼續使用圖書館資源，客戶帳戶就會保留在Sierra中。

公用計算機預訂系統（RAC)

Reserve-A-計算機系統是一個專有的客戶端/服務器數據庫，位於我們的VMware環境中。所有公用計算機都維護一個本地客戶端，該客戶端管理會話時間並在會話結束時註銷客戶。在 RAC 服務器，但不將用戶鏈接到特定的會話或IP地址。該索引不可公開訪問。所包含的信息僅限於名稱，借書證號和PIN。這些是在ILS中斷或網絡中斷的情況下保持計算機預訂系統的高可用性所必需的。用戶註銷會話後，將立即從系統中清除所有PII。僅列出時間和持續時間（無PII）的預訂統計信息將在系統中保留兩個月。關於每個分支的保留數量的報告在Intranet庫中列出。
管理 RAC 數據庫僅限於LIT中具有管理權限的少數個人。總務人員可以使用一些報告，他們可以更改將來的預訂並檢查當前預訂的狀態，但是圖書館工作人員無法訪問目錄中的任何個人身份信息。 RAC.
RAC 服務器操作系統和系統狀態每48小時備份一次。這些備份將保留30天。這些備份均不包含PII。

公共電腦 - 本機存儲

SJPL的可預訂公用電腦為我們的客戶提供了一個相對開放的桌面環境。這種程度的自由可能會讓他們容易受到所訪問網站的利用，但這並不是因為工作站本地儲存有任何殘留資料。在每個單獨的電腦會話結束時，我們的 Reserve-A-Computer 程式都會強制重新啟動。所有公共電腦每次重新啟動時都會擦除客戶所做的所有變更。客戶離開我們的工作站後，就沒有可用的本地搜尋記錄。
由於本地不存在歷史記錄，因此圖書館員工無法存取任何 PII 或本地儲存的識別客戶或客戶活動的交易日誌。

奧蘭治男孩/薩凡納

OrangeBoy 是一家雲端服務供應商，為學校和圖書館提供排程和資源分析，以便他們提高客戶服務和滿意度。他們以專有格式將這些資料儲存在異地資料中心。 LIT 為他們提供使用報告 RAC，員工安排數據以及對我們的wifi管理控制台進行報告級訪問。曾經從OrangeBoy獲取預訂報告 RAC，但已確定預訂資料不屬於 SJPL 的業務要求，因此我們不再儲存該資訊。有大量使用數據，但這些數據都不包含 PII。
OrangeBoy，Inc.擁有誰有權訪問此信息的知識。
OrangeBoy 有義務在與 SJPL 的合約結束時清除資料。

活動目錄

本圖書館使用 Microsoft Active Directory 2012R2 來提供組合目錄服務 San José Public Library 以及聖何塞州立大學圖書館（SJSU）基礎結構，以提供對域權限和身份驗證，對域資源的訪問以及安全策略的集中管理。儘管SJPL是聖何塞市的一個部門，但是我們擁有獨立於該市域結構的獨立域基礎結構，並且不共享這兩個域之間的任何關係。 SJPL維護大約3000個域對象，其中包括600多個City客戶帳戶以及1000個City工作站和服務器帳戶。
Active Directory 中目前未儲存任何公用或客戶資料。
儲存在 Active Directory (AD) 中的員工客戶資訊僅包含與工作相關的訊息，例如客戶姓名、職位名稱、辦公地點、工作電話號碼以及僅與城市 HR 系統相關的客戶城市員工 ID。圖書館的 AD 目錄沒有與 HR 系統的 AD 目錄集成，因此只能使用單獨的存取憑證透過 HR 系統存取人員的個人資訊。
AD 的存取和管理僅限於指定為網域管理員和帳戶操作員角色的特定個人，允許他們維護目錄服務。
Active Directory 資訊將在每位員工任職期間保留。終止後，客戶帳戶將被停用 3-6 個月，以確保存取存檔的城市擁有的資料。一旦確定不需要城市擁有的數據，或數據已安全存檔，客戶帳戶將被刪除。一旦實體硬體從系統中移除，電腦帳戶就會被刪除。

ASA日誌

SJPL防火牆的事務日誌位於服務器VLAN內的文件服務器上。儘管這些日誌中沒有PII，但如果將其與我們服務器場中的其他兩種形式的數據結合使用，則可以在適用於我們 RAC 服務器日誌。
ASA日誌服務器的管理限於具有管理權限的LIT中的少數個人。
ASA 日誌儲存 14 天，然後丟棄。

合作組織

蘇州交通大學

San José Public Library 與聖何塞州立大學保持合作關係，共享其主要圖書館建築。 SJSU ITS無法訪問客戶數據庫以獲取SJPL，其密碼或任何個人身份信息。但是，它們充當了馬丁·路德·金國王主圖書館（MLK）的互聯網服務提供商（ISP）。這樣，SJSU可以記錄來自MLK的所有互聯網流量。
SJSU ITS還維護MLK的公共wifi系統。它們保留了對MLK中所有交換機和WAP的控制，並能夠記錄所有無線流量並將其鏈接到任何第2層（MAC）地址。
SJSU ITS僅知道有權訪問防火牆網關日誌中保留的信息的客戶列表，但他們遵循與SJPL相同的標準，並受《家庭教育權利和隱私權法案》中概述的法律責任的約束。

聖何西市

圖書館與聖何塞市的網絡保持單向加密VPN連接，為圖書館員工提供對City資源的不間斷訪問。沒有公共信息通過此連接傳遞，也沒有任何非圖書館城市僱員訪問圖書館數據。

CENIC

CENIC 是所有分館網路流量的 ISP。他們的日誌記錄和資料保留政策超出了 SJPL 的控制範圍。雖然 CENIC 作為一個組織無法存取任何個人客戶數據，但他們確實能夠透過 NAT 記錄所有網路流量。每個分庫包含多個NAT，專門為wifi網路vlan、公共電腦vlan等服務。
CENIC是指定給SJPL的所有面向Internet的IP地址的指定數字千年版權法案（DMCA）代理。這意味著，如果發生版權侵權，CENIC承擔將在線版權提供商（OSJ）（在本例中為SJPL）通知要求侵權的通知的法律責任。美國圖書館協會的法律顧問建議圖書館廣泛地解釋該類別，以便從512節中建立的安全港中受益。由於詳細的客戶日誌不是SJPL業務要求的一部分，因此我們不具備將單個客戶鏈接到源IP地址。當客戶“接受”並連接到我們的Wifi或登錄到公共計算機時，我們確實在條款和條件中包含了可接受的使用語言。因此，適用第512節中的安全港。

ALA清單項目

在所有網絡和應用程序通信中使用安全算法對所有客戶數據進行加密。
1. 儘管我們網絡的某些部分在物理上是分開的，在邏輯上是分開的，並且某些客戶端/服務器連接是經過加密的，但目前尚未對所有網絡流量進行加密。（需要工作）
定期清除搜尋記錄，最好是在單一電腦會話結束時清除。
1. 在每個單獨的電腦會話結束時，我們的 Reserve-A-Computer 程式會強制重新啟動。所有公用電腦每次重新啟動時都會擦除客戶所做的所有變更。客戶離開我們的工作站後，就沒有可用的本地搜尋記錄。（已完成）
為設備和服務建立最低安全實務。
1. 圖書館 IT 部門對所有伺服器、工作站、資料庫、服務和網路設備採取最低限度的安全措施。（已完成）
更改所有默認密碼。
1. LIT的政策是更改我們網絡上安裝的任何系統的所有默認密碼。但是，普通帳戶使用的密碼通常由員工長時間放置，從而產生相同類型的漏洞。（需要工作）
停用對超級客戶帳戶（即 root 或管理員）的遠端存取。
1. 該庫不使用任何超級客戶帳戶進行遠程訪問。 Innovative Interfaces, Inc. 確實使用他們自己的超級客戶版本來遠端存取 Sierra，但這是行業標準做法。（已完成）
使用安全且經過驗證的來源使所有軟件保持最新狀態。
1. 第三方軟件僅利用預先批准的軟件包和行業標準更新方法來更新我們的所有公用計算機。 Windows更新是通過Microsoft Update Services完成的。對任何計算機映像的更改都是團隊的工作，需要在工程師和管理級別進行監督。（完成）
所有客戶端連接到允許訪問客戶信息的服務都需要身份驗證。
1. 所有客戶端連接到允許訪問客戶信息的服務都需要驗證。（完成）
將客戶端限制為僅所需的訪問權限，即最小特權模型。
1. LIT 的政策一直是限制客戶僅存取他們需要的內容。對於 Sierra 和所有其他客戶端/伺服器資料庫，LIT 根據行業標準部署最小權限模型。對於公共工作站，最小權限模型是透過利用在每次客戶會話後從硬碟中刪除和恢復所有「更改區塊」的工具來實現的。因此，客戶透過網路存取和操作數位資訊的能力相對不受阻礙。（已完成）
如果支持，則啟用服務器和客戶端的相互身份驗證。
1. SJPL部署的大多數係統不支持相互身份驗證，但是我們很樂意探索這方面的選項。（需要工作）
如果可行，請使用安全認證標準，例如oauth。
1. SJPL尚未部署此功能，但是公共服務的第三方授權的可行性值得懷疑。一種解決方案可能是為遠程訪問Sierra提供此服務，以代替我們當前部署加密VPN隧道的計劃。（需要工作）
為設備和服務實施日誌記錄策略，其中包括輪換和保留，收集的數據類型以及對客戶隱私的影響。
1. 需要明確定義此目標/指標的參數。但是，LIT並未記錄保留和/或輪換的所有方面。（需要工作）
通過客戶訪問控製或sudo程序將管理特權限制為授權的個人。
1. SJPL具有數十種允許該庫運行的系統和服務。與圖書館的業務需求相關聯的所有系統，或維護數字信息的所有系統，都由LIT或在某些情況下由控制部門（訪問，技術服務等）集中管理。（完成）
加強設備和服務的安全性。
1. 此目標需要一些背景信息，但LIT已將加強我們提供給公眾的所有設備的安全性作為優先事項。加強安全性的問題在於，它經常需要與保護隱私相反的日誌或限制。例如，如果客戶有能力清除自己的資料，則意味著該客戶在工作站上的權限級別將很高，並使工作站容易受到惡意軟件的攻擊。（完成）
禁用設備上運行的所有無關服務。
1. 禁用Windows Server和工作站上不需要的服務一直是LIT的策略。我們不保證禁用所有不需要的服務。有些（如Microsoft .NET框架）提供了增強的性能，但從技術上講是多餘的。（完成）
每個服務實例都需要一個唯一的密碼。
1. 根據“服務”的定義，我們可能已經實現也可能未實現這一目標。所有SJPL數據庫都位於單實例服務器上，因此默認情況下它們將具有唯一的密碼。（完成）
實施並實施一個強大的密碼策略，該策略指定密碼的長度，格式和持續時間。考慮使用隨機生成的密碼。
1. 自圖書館開放MLK以來，密碼複雜性規則已用於員工身份驗證。這些適用於所有內部數據庫，但不適用於專有數據庫，包括Sierra使用的數據庫。 LIT正在為所有Sierra客戶帳戶合併複雜性規則和密碼到期日期。（需要工作）
加密客戶端應用程序和服務器應用程序之間的數據通信，其中可能包含客戶信息。
1. 互聯網上發生的涉及客戶信息的所有交易都使用2048私鑰加密。數據庫和應用程序服務器之間的內部通信也被加密。但是，該庫當前不兼容PCI，這是滿足此建議的所有要求的必要標準。（完成）
在可能的情況下將服務配置為默認情況下要求加密，即不允許未加密的連接。
1. SJPL使用的大多數Web服務都是專有的，並在每個供應商的管轄下。就LIT服務而言，僅網站使用強制加密。（需要工作）
如果服務不支持加密（例如SIP2），請使用加密的傳輸方式，例如SSH隧道或VPN。
1. SJPL沒有為每個Sierra客戶端和/或AMH設備使用VPN隧道。如前所述，這裡將以PCI兼容為標準，並且SJPL當前沒有PCI兼容網絡。 PCI合規性已列入我們的項目清單，將於17/18財年末開始。（需要工作）
加密靜態敏感數據（即數據倉庫，檔案，磁帶，異地備份等）
1. 磁帶庫中或場外的所有靜態數據均已完全加密。（完成）
使用最新的最佳加密實踐（即雜湊和加鹽）將密碼儲存在應用程式中。
1. Active Directory 和 Sierra 中儲存的所有密碼均符合建議的標準。（已完成）
所有遠程訪問（包括SSH）均應通過安全密鑰而非密碼進行。
1. 遠程訪問當前不需要具有加密功能的VPN。 LIT正在將這些密鑰安裝在新的防火牆上。（需要工作）
密鑰應不少於2048位，最好為4096位。
1. 根據與加州州立大學的合同，圖書館從 In-Common 獲得所有證書。所有使用的都是2048位，但沒有加密金鑰超過2048位。（已完成）
不允許使用過時或不安全的密碼。
1. 沒有更新SJPL加密密鑰。所有這些都將被丟棄，並在到期日被替換。（完成）
確保私鑰是安全的（使用子密鑰並保持主密鑰非常安全）。
1. 所有私鑰均由 In-Common 異地儲存。 SJPL 可以透過管理控制台遠端存取它們。本地儲存的資料均不可用。（已完成）
定期旋轉鑰匙，並準備在遇到妥協時將其撤銷。
1. SJPL會在所有密鑰到期時旋轉所有密鑰。時間長短不一，但以兩年為標準。（完成）
查看設備和服務使用的協議。
1. 對所有協議的審查將是冗長的並且超出了本文件的範圍。然而，根據 ALA 建議的指南，LIT 始終努力維持協議和實踐的標準化、既定性和開放性。我們所有的網路監控都是透過基於 Linux 的伺服器上的開源工具進行的。（已完成）
支持數據完整性，包括原始身份驗證，原始不可否認性，接收不可否認性以及使用密碼簽名或哈希驗證有效負載。
1. 不適用
使用滲透測試工具驗證設備和服務的安全性。
1. 該圖書館每年都要接受聖荷西市或加州州立大學的安全審計。雖然這些審計的結果始終令人滿意，但在過去七年中，僅由外部安全供應商進行過一次外部審計。作為我們即將推出的 PCI 合規性專案的一部分，我們將進行額外的私人安全審計。 LIT 需要額外的培訓，以掌握執行徹底內部滲透測試的最新方法。（需要工作）
確保所有直接在庫控制下的服務都是安全的。
1. 這是圖書館信息技術部的最高優先事項。通過年度培訓，互聯網研究，同行審查和計劃的升級，我們每天工作，為我們的客戶提供最安全的環境。但是，沒有組織能夠完全安全地連接到Internet。這項工作將永遠在那裡。（需要工作）
隨時注意並補救已知的漏洞利用。
1. LIT盡可能採取主動調整漏洞利用的政策。他們成千上萬，每天都在變化。這需要不斷的努力和努力。如果組織連接到Internet，則永遠不會完全安全。（需要工作）
保持軟件和應用程序為最新。
1. 參見建議編號6。（已完成）
監控入侵日誌並定期執行安全審核。
1. 儘管入侵偵測軟體始終運作以監控網路網關，但並未採取其他措施來監控安全日誌是否有入侵。（需要工作）
執行常規備份並製定災難恢復計劃。請注意，備份應遵守您的數據保留政策。
1. LIT以VDP映像的形式對所有服務器執行每晚備份。開放源備份客戶端用於將數據備份到磁盤。完整數據備份也每週一次在異地發送，並保留五個星期。（完成）
2. 災難恢復計劃已經到位，但目前不包括託管。代管場所的開發正在進行中。（需要工作）
使用最新的SSL / HTTPS安全協議對客戶端應用程序（網絡瀏覽器，電子書閱讀器，移動應用程序等）與服務器應用程序之間的所有在線交易進行加密。服務器應用程序與第三方服務提供商之間的通信應進行加密。
1. 圖書館目錄與其數據庫服務器之間的通信以及圖書館網站與其客戶之間的所有通信均被加密。（完成）
2. LIT無法控制哪些第三方供應商在客戶登錄時向客戶展示，但是正在應用通配符證書，該證書將允許所有供應商加密與我們客戶的交易。供應商鏈接到我們的客戶數據庫，所有交易也通過SIP2進行密碼保護。這種連接需要工作，但是已經竭盡全力保護客戶的隱私。
使用最新的最佳實踐透過加密安全雜湊進行加密來儲存客戶密碼。
1. Active Directory 和 Sierra 中的所有密碼均符合建議的標準。（已完成）
確保異地儲存的任何個人識別資訊和客戶資料（基於雲端的基礎架構、磁帶備份等）均使用加密儲存。
1. 所有異地備份在異地傳輸之前均已加密。由於 SJPL 與 III 保持「純軟體」關係，因此基於雲端的環境中不會儲存任何個人識別資訊。（已完成）
2. 作為我們的災難恢復計劃的一部分，創建託管中心可能需要將某些PII轉移到基於雲的災難恢復站點中。如果發生這種情況，將採取所有必要的預防措施。
探索雙重認證的可能性並在可能的情況下實施。
1. 經過一番考慮，SJPL 尚未部署多重身份驗證。並非每個客戶都可以存取行動裝置甚至電子郵件，因此 MFA 可能會中斷客戶對自己資訊的存取。（已完成）
加密離線數據備份，以防止未經授權的人員訪問。
1. 複製到磁盤時，所有脫機備份均被加密。任何備份都必須先加密，然後再異地傳輸。（完成）
使ILS應用程序和基礎服務器軟件保持最新，以減輕安全漏洞的影響。
1. 圖書館IT會根據需要更新ILS版本。在撰寫本文時，SJPL擁有Sierra的最新版本。新版本通常不會立即應用，因此它們有時間成熟。（完成）
2. 我們的ILS有時使我們無法升級用於Sierra的操作系統。由於ILS供應商的限制，SJPL已在RH版本6.9上加載了Sierra。我們的版本按照行業標準流程進行更新。
使用適當的加密雜湊函數以安全的方式儲存所有密碼（客戶和員工）。此時 bcrypt 或更好的標準就是好的標準。
1. 用於ILS密碼的加密方法是公認的行業標準，並且符合推薦的標準，但是它們的專有性意味著我們不知道確切的加密方法。
2. Active Directory 密碼符合本文檔的建議標準。（已完成）
加密ILS服務器與安全LAN外部的所有客戶端連接之間的所有流量。例如，使用VPN加密分支庫中結帳站通過Internet到主庫中ILS服務器的連接。
1. 互聯網上發生的涉及客戶信息的所有交易都使用2048私鑰加密。數據庫和應用程序服務器之間的內部通信也被加密。但是，該庫當前不兼容PCI，這是滿足此建議的所有要求的必要標準。
2. LIT正在創建加密的VPN連接以供客戶端外訪問。（需要工作）
對網絡和ILS服務器進行定期審核，以確保採取合理的安全措施以防止未經授權的訪問。
1. 該圖書館每年都要接受聖荷西市或加州州立大學的安全審計。雖然這些審計的結果始終令人滿意，但在過去七年中，僅由外部安全供應商進行過一次外部審計。作為我們即將推出的 PCI 合規性專案的一部分，我們將進行額外的私人安全審計。（已完成）
創建程序來處理對未經授權方的數據洩露並減輕其對客戶的影響。
1. 沒有現有的經過審核的過程或程序來處理對未經授權方的數據洩露。儘管從LIT開始研究適當的應對措施，但尚未建立正式程序。（需要工作）
使用模擬標牌和/或初始屏幕來解釋圖書館的網絡和wifi訪問策略，包括任何與隱私相關的信息。
1. 每台公用計算機都有一個登錄頁面，其中包含一些在SJPL上使用公用計算機的有限條款和條件。 wifi連接的歡迎頁麵包含相同類型的語言。庫中存在模擬標牌，以提供有關使用 RAC 電腦。但是，所有這些形式的語言都需要定期進行審核，以解決新出現的問題。（完成）
制定有關圖書館將為其wifi客戶提供隱私和便利程度的政策決策，並充分警告客戶流量攔截的潛在可能性以及網絡不安全的其他風險。
1. 對話正在進行中，並將永久延續。每次我們重新映像標準計算機或考慮添加服務時，LIT都會進行調整以滿足客戶的需求和關注。這將永遠需要工作。（需要工作）
設定公共電腦以清除各個客戶會話中的下載、儲存的文件、瀏覽記錄和其他資料。
1. 在每個單獨的電腦會話結束時，我們的 Reserve-A-Computer 程式都會強制重新啟動。所有公用電腦每次重新啟動時都會擦除客戶所做的所有變更。所有下載或儲存的檔案都會被覆蓋並從電腦中清除。所有歷史文件也是如此。客戶離開我們的工作站後，沒有可用的本地搜尋記錄或瀏覽記錄。（已完成）
在所有公用計算機上使用防病毒軟件。確保已安裝防病毒軟件，並且該軟件可以阻止間諜軟件和鍵盤記錄軟件。
1. 所有公用計算機都裝有防病毒/防惡意軟件解決方案，該解決方案利用了來自多個來源的定義文件。這使AV軟件有更好的機會捕獲新的或變異的惡意軟件。它可以防禦間諜軟件和鍵盤記錄軟件。 LIT還禁用了自動運行功能，以防止客戶的USB閃存驅動器意外傳輸文件。後一種措施還可以作為抵禦勒索軟件的第一道防線。（完成）
確保不再需要任何與計算機使用有關的計算機預訂管理系統記錄，打印管理記錄或ILS記錄匿名或銷毀。
1. 我們的計算機預訂管理系統（RAC）會在首次預訂後三天銷毀個人身份信息。打印管理記錄不包含任何PII。 ILS數據庫不包含有關計算機使用的詳細信息。（完成）
當不再需要時，匿名或破壞網絡活動的事務日誌。
1. 14天后銷毀所有網絡活動日誌。（完成）
對所有公用計算機執行定期安全審核，包括對安全風險和缺陷進行數字檢查以及對未知設備進行物理檢查。
1. 目前正在對所有公用計算機的性能和安全風險以及缺陷進行持續分析，從而根據需要進行映像更新。由於每次會話結束後，任何計算機的硬盤驅動器上都沒有變化，因此可以減輕大多數風險。
2. MLK的LIT員工和每個分支機構的圖書館員工每天都要進行物理檢查。這些檢查的徹底性值得商,，但迄今為止，尚未發現可疑或未知的設備。（完成）
在公共電腦上安裝外掛程式以限制第三方追蹤、啟用隱私瀏覽模式並強制 HTTPS 連線。
1. 所有公共電腦上都啟用私人瀏覽模式，但除目錄計算機外，私人瀏覽模式不是強制性的。目錄機器不可預訂，也不能用於瀏覽網路。
2. 除了防毒/反惡意軟體之外，SJPL 不利用插件來限制第三方追蹤。
3. 除了訪問庫資源時，SJPL不會從其公共計算機上強制執行https連接。（需要工作）
安裝 Tor 公共計算機上的瀏覽器作為客戶的隱私選項。
1. 我們目前不提供 Tor 瀏覽器已預先安裝在我們的公用計算機上，但客戶可以在會話期間自行安裝。（完成）
在防火牆上安裝惡意軟件阻止，廣告阻止和反垃圾郵件功能。
1. 庫網絡網關點上的當前防火牆已安裝並配置了第7層過濾器。在第7層應用的規則可能符合或可能不符合ALA建議。（完成）
分割網絡以將員工計算機，公用計算機和無線客戶隔離到其自己的子網中。
1. 所有分支機構均為員工，公共和wifi客戶提供單獨的VLAN。 MLK也是一樣。（完成）
確保禁止公共計算機上的所有應用程序和操作系統與軟件發布者自動共享活動數據（例如，錯誤報告）。
1. 這些功能在安裝時被禁用，但是客戶可以在會話期間進行更改。（完成）

行動計劃

圖書館信息技術部門建議開展以下項目，以解決大多數需要工作或關注的建議。儘管我們認識到不可能提供一個完全安全的公共環境，但我們認為在前進的過程中應採取以下行動：

研究追蹤插件
確定安裝類似於以下產品的插件的可行性 Privacy Badger 阻止第三方通過嵌入式腳本或cookie收集數據，從而提高客戶的隱私。預計完成時間：第四季度17/18財年
數據洩露響應政策
LIT需要與行政和執行人員合作，制定一項正式政策，以解決圖書館對未來任何數據洩露的應對措施。預計完成時間：第四季度17/18財年
用於遠程訪問的加密VPN
安裝和設定需要與 L2TP 相當的加密的 VPN 解決方案（最低）。研究包括多因素身份驗證的可能性。預計完成時間：18 財年：第 19 季度
安全審核詢價
索取外部實體的服務報價，以在站點上執行漏洞測試和網絡安全性的常規審核 San Jose Public Library。預計完成時間：第一季度18/19財年
部門範圍的PCI合規性
盡可能重新設計網絡組件，並在必要時升級和安裝新設備，以創建符合部門規定的PCI兼容網絡。這樣一來，您就可以從任何位置安全地進行現場付款，並且會強制進行許多更改，以符合ALA推薦的標準。預計完成時間：第四季度18/19財年

市場營銷和通訊隱私審計

營銷與傳播概述

San José Public Library的營銷和傳播部門以多種方式與客戶訊息互動。該部門負責維護和監控各種社群媒體帳戶，包括：Twitter、NextDoor、Facebook、Flickr、YouTube、Snapchat 和 Instagram。我們也透過圖書館競賽和分享圖書館故事來監督資訊收集。當客戶被拍照時，我們將透過模特兒授權表獲取他們的個人信息，以獲得公開分享其照片的許可。我們的部門也處理外部媒體的所有資訊請求。客戶資訊不會洩漏給任何媒體機構。最後，我們使用電子郵件通訊定期向圖書館客戶發送更新資訊。

收集什麼信息？

我們收集客戶的個人識別資訊並與之交互，以執行常規業務運營。收集的資訊包括：

名字
年齡
地址
電話號碼
信箱
家庭圖書館分館
學校
职业
年級
社交媒體屏幕名稱

如何收集信息？

通過模型發布表，競賽提交，社交媒體和新聞通訊收集有關客戶的信息。

模型發布表格

當圖書館工作人員或志工在圖片或影片中很容易被識別時，他們必須獲得顧客的書面許可。模特兒授權書收集客戶的姓名、年齡、地址、電話或電子郵件以及個人描述。這些表格最初是由市通訊總監創建的。我們希望將這些表格上收集的資訊減少到僅姓名、電話或電子郵件以及人員描述。與傳播總監的聯繫將於 13 年 2018 月 XNUMX 日星期五之前進行。

圖書館，聖何塞市或聖何塞州立大學只能將客戶的照片和視頻用於促銷目的。

圖書館網站

該圖書館定期舉辦競賽，並透過其網站收集顧客的個人故事。網路團隊使用 Drupal 建立表單，然後將客戶資訊傳送到 Gmail 帳戶。客戶可能會被要求提供姓名、電話或電子郵件、地址、家庭圖書館分館、學校、年齡、年級和/或職業。

客戶還可以通過我們的電子郵件通訊註冊定期更新。通訊由以下人員提供 Constant Contact.

競賽與圖書館故事

除了透過我們的網站收集資訊外，圖書館分館還可以促進競賽並透過紙本表格收集客戶的圖書館故事。

社群媒體

該圖書館經營多個社交媒體帳戶，包括：Twitter、NextDoor、Facebook、Flickr、YouTube、Snapchat 和 Instagram。只有網路團隊和行銷團隊的成員才能存取這些社交媒體帳戶。本政策正在與網路團隊一起編寫，並將於 30 年 2018 月 XNUMX 日之前完成。

與誰共享信息？

有關客戶的個人身份信息僅在他們的同意下共享。

圖書館網站

市場營銷和傳播團隊以及網絡團隊都可以訪問通過圖書館網站提交的信息。我們的團隊還可以使用以下方式訪問已提交以註冊新聞簡報的電子郵件地址 Constant Contact.

模型發布表格

只有圖書館工作人員或最初收集信息的志願者才能看到模型發布表上的信息。發布照片或視頻時，可以使用客戶的名字。

與第三人共用個人資料之政策

如果比賽要求第三方直接與獲得大獎的客戶合作，我們將與他們分享他們的姓名和聯繫信息以進行安排。

社群媒體

通過社交媒體或我們的網站共享的評論，帖子和消息可用於營銷材料。它們也可以與包括報紙在內的媒體共享。除非獲得批准分享更多信息，否則客戶只會識別其名字。圖書館不使用其他Facebook數據分析或目標廣告。

資訊儲存在哪裡？

行銷和傳播部收集的所有紙本表格均存放在國王圖書館的上鎖櫃子中。

競賽結束後，將刪除數字提交。

圖書館分館維護所有收集的模型授權表格。這些文件存放在一個上鎖的文件櫃中，只有工作人員才能進入。行銷部將在 1 年 2018 月 XNUMX 日之前提醒員工如何儲存材料。

比賽結束時，所有表格都會被粉碎。

資訊保存多久？

模型發布表格和任何收集的圖書館故事都將無限期保留。這遵循市政府的記錄保留要求。

比賽結束後，工作人員會粉碎比賽表格。

社交媒體資訊將無限期保留，並且僅儲存在正在使用的平台上。

Partners in Reading 隱私審核

Partners in Reading 總覽

我們維護機密信息，以便向 San José Public Library (SJPL) 和加州圖書館掃盲服務。這包括 Partners in Reading (PAR) 成人掃盲服務、Together We Read (TWR) 家庭掃盲服務、ESL、電腦和線上教學以及加州州立圖書館 (CSL) 計劃、加州州立圖書館 (CLLS) 的加州圖書館掃盲服務、 Career Online High School （COHS）。除了COHS（需要更多細節）外，我們從PAR項目的所有參與者那裡收集相同的信息。

收集什麼信息？

我們的部門在與所有學習者和/或導師互動時可能會收集以下任何資訊：

名字
地址
信箱
聯絡電話
緊急聯繫人
出生日期
性別
種族
學歷
就業/職業
圖書館卡號碼

成人識字學習者也可能被要求提供：

第一語言
出生國家
學習障礙
14歲以下的兒童人數

Career Online High School 可能會要求參與者提供：

最高年級完成/上學
圖書館卡號碼
參加特殊教育班

加州圖書館素養服務要求報告時提供性別和種族資訊。 PAR 的記錄包含教育背景和就業情況，以便為學習者與可能有關鍵興趣的導師進行專業配對。

如何收集信息？

客戶可以透過線上、郵寄、親自或透過電話填寫報名表來表達參與 PAR 計畫的興趣。導師必須使用標準志工表格和流程提交資訊。

進入 PAR 接待區後，參與者和志工在電腦實驗室簽到表上簽到。其中包括姓名、狀態複選框（學習者、導師、COHS 或其他）、進出日期和時間。目前，我們沒有辦法保存此私人記錄，但計劃使用類似於醫生辦公室中使用的記錄管理器，您可以將資訊剝離並將其放在私人辦公桌上。此次升級計劃於 3-2017 年第三季進行。也想到在未來（明年的CLLS預算），我們也許可以使用iPad來登入參與者並自動將資訊記錄到接待電腦。

與誰共享信息？

在聚合數據類別中，與PAR計劃參與者有關的信息與SJPL，CLLS和CSL共享。沒有共享任何個人信息。

導師可以存取學習者提供的所有資訊（地址、電子郵件和圖書卡資訊除外）。導師會收到相關資訊以及由我們的兩位掃盲計畫專家之一撰寫的評估摘要。導師在進入該專案時受到保密協議的約束。

對於COHS學生，CSL與以下人員共享學生的個人信息和數據 Gale Cengage Learning and Smart Horizons，這所學校提供該課程的認可課程，高中文憑和職業證書。該COHS信息發佈到儀表板，該儀表板也由PAR / COHS計劃經理，項目經理和支持人員共享。

信息用於將個人放置在PAR程序中。為COHS收集的信息用於使個人有資格獲得獎學金。每位候選人必須符合COHS文檔中描述的COHS指南中規定的資格，才能被視為獎學金。對於COHS畢業生，他們的名字與聖何塞市市長和市圖書館員共享，以用於簽署證書。畢業生在發布會上簽名，使用他們的姓名，照片和視頻參加畢業典禮。

資訊儲存在哪裡？

PAR 程式記錄保存在我們的受密碼保護的資料庫中，並存檔在備份儲存中。紙本記錄保存在鎖定文件中。所有員工都可以透過密碼存取資料庫，可以提供新客戶及其資訊的輸入，並且可以在鎖定文件櫃中找到資訊。

COHS 計劃於 2016 年 XNUMX 月開始，資訊在 PAR 資料庫以及共享 PAR 電腦上儲存的電子表格中進行維護和存檔。 Gale Cengage Learning，Smart Horizons和CSL也會根據其政策和程序要求來維護/存檔此信息。

資訊保存多久？

我們的記錄保存了 7 年。所有資訊都儲存在我們的客製化資料庫中以供歷史用途。我們的首席辦公室專家負責辦公室運作並安排清除記錄。紙本記錄在 7 年後被粉碎。

安全隱私審核

安全概述

保安部為警察局的所有23個分支機構提供服務 San José Public Library （SJPL）和聖荷西州立大學（SJSU）校區的馬丁·路德·金博士圖書館。安全人員受僱於聖何塞市，並與大學僱用的警官密切合作。圖書館工作人員和官員收集並獲取信息，以記錄非犯罪和刑事，可疑的行為，違反客戶行為政策的情況，並根據需要處理暫停情況。

信息用於協助圖書館工作人員提供一個熱情，和平的公共空間。對於不遵守SJPL客戶行為政策的人員，SJPL可能會暫停對King庫和23個分支的訪問。收集到的信息用於完成中止文書工作。

收集什麼信息？

當客戶違反SJPL策略時，將收集標准信息以將其包括在事件報告或行為日誌中。收集的信息可能包括：

名字
出生日期
圖書館卡號碼
地址
信箱
電話號碼
事件摘要
SJPL 事件歷史

如何收集信息？

信息是通過以下任何一種或所有方法收集的：

詢問圖書館主顧
詢問圖書館工作人員
視頻/攝像機鏡頭
- 靜態照片是通過SJSU和帶有閉路電視（CCTV）攝像機，大學警察身體攝像機的圖書館分支機構獲得的，或者詢問顧客是否可以拍攝自己的照片以作暫停記錄。靜止圖像可幫助圖書館工作人員確定圖書館顧客，他們已被暫停以執行暫停程序。
- 那些有CCTV的SJPL分公司有30天的保留期。設有閉路電視的 SJPL 分公司每 30 天重置一次錄影。 SJSU 儲存和保存期限為 1 年。

使用事件追蹤器完成並歸檔事件報告。事件追蹤軟體記錄可能再次發生的犯罪、攻擊性和高優先事件。

行為日誌已使用在線SharePoint表單完成了一些小錯誤。

與誰共享信息？

事件報告、行為日誌和停學文件中包含的資訊僅向 SJPL 工作人員和大學警察提供。沒有傳票、搜索令、法院命令或其他要求我們這樣做的法律文件，圖書館記錄不會提供給州、聯邦或地方政府的任何機構。這些命令必須有充分的理由並且採用適當的形式。我們對所有圖書館工作人員和志工進行了培訓，將任何執法請求轉交給圖書館管理員。

僅授權城市圖書館員和/或其指定人員接收或遵守執法人員的要求。在確定適當的對策之前，我們會盡可能與法律顧問交談。

資訊儲存在哪裡？

該信息可以在“ SharePoint安全性”頁面中找到。 SharePoint安全性頁面的內容包括：

事件追蹤器（報告）
行為記錄
停權文件
- 懸掛包裝
- 上訴
- 重新輸入暫停的圖書館顧客信息

事件追蹤器

事件追蹤器是一款存檔軟體，用於記錄可能重複發生的犯罪、攻擊性和高優先級事件。所有資料都被無限期地儲存和保存。事件追蹤器是一種線上報告解決方案，可讓圖書館工作人員以電子方式記錄事件報告，並隨時查看和查詢。事件追蹤器提供詳細的分析報告和趨勢圖，可以建立工作流程，甚至設定自動電子郵件警報。員工必須使用登入名稱和密碼才能存取該軟體。分館/單位經理、圖書館助理、SJPL 和 King 圖書館保全人員以及行政領導團隊可以存取事件追蹤器。

行為記錄

行為日誌用於記錄非犯罪、非重複行為以及違反除客戶行為政策之外的圖書館政策的行為。員工使用行為日誌作為快速參考，以了解與客戶的具體互動。行為日誌位於安全 SharePoint 上，任何圖書館工作人員都可以透過 SJPL SharePoint 頁面存取。

停權，申訴和文件

SharePoint上的暫停，申訴和文檔文件夾包含有關過去和當前暫停的圖書館顧客的信息。其中包括所有暫停文件，客戶照片，有關送達文件的信息，上訴，空白暫停錶格，客戶行為政策執行規則以及已完成的重新進入和恢復圖書館特權文檔。

被暫停的客戶可以使用暫停資料包中提供的表格提出上訴。暫停申訴表要求客戶提供姓名、地址、電子郵件、電話號碼、解釋其為何對暫停提出申訴的簡短摘要，以及恢復圖書館存取權限的請求。填妥的申訴表將提交給任何 SJPL 或 King 圖書館保全人員或分館/部門經理。然後，表格將立即交給行政支援人員，他們與圖書館行政官員和指定部門經理協調安排上訴聽證會。

聽證會的日期/時間/地點將在收到上訴表格後的五個工作日內郵寄或通過電子郵件發送給客戶。所有上訴聽證會都在金圖書館舉行。被停職的客戶，高級安全員，證人和指定的部門經理必須出席私人聽證會。聽證的結果然後轉發給行政支持人員，後者將副本發送給客戶。

暫停客戶的照片可以張貼在員工工作室中，只有圖書館工作人員和志願者才能查看。這些照片是應高級安全官的要求發布的。張貼內容包括被暫停的客戶的照片和被暫停的原因。這些張貼僅限於對圖書館工作人員或顧客構成安全風險，極有可能光顧該分支機構或事故發生在該位置的客戶。

資訊保存多久？

事件追蹤器資料、行為日誌和暫停/上訴文件無限期存儲

在員工工作室中張貼的照片至少要保留12個月，然後將其粉碎。

SharePoint安全性頁面會不斷更新以改善訪問權限。 12個月或更長時間的非犯罪違規事件和事件將重新定位到“舊禁令”文件夾中。 10歲及XNUMX歲以上的刑事違法行為將轉移到“舊的停職”文件夾中。目前對暫停，上訴，記錄（包括照片）的保留期進行審查。

技術服務隱私審核

技術服務概述

技術服務不會收集、提取或分享圖書館客戶的任何個人識別資訊。提取給供應商或與供應商共享的所有數據僅與材料的流通和識別相關。

收集什麼信息？

集合總部

技術服務部門每月向 Baker & Taylor 的 CollectionHQ 擷取資料。數據點已附上，包括入住和退房日期。提取的所有資訊都在書目、項目或規範欄位中。運行新資料提取後，舊資料提取將被刪除。

供應商訪問Sierra

只能通過目錄以及訂單和發票信息的交換來訪問Sierra。所有訪問都需要登錄名，並且該登錄名的權限僅限於完成工作所需的有限任務。登錄和權限由LIT或Innovative設置。

ALA清單項目

制定有關從 ILS 提取、儲存和共享顧客資料以供內部或簽約第三方使用的政策和程序。
1. 技術服務不會提取、儲存或共享任何顧客資料。（已完成）
限制適當的人員接觸萃取物。
1. 限製到位（已完成）
該政策應包括提取物的處置/刪除。
1. 技術服務會在每月發送新摘錄時刪除所有摘錄。（已完成）

志願者服務隱私審計

義工服務總覽

義工服務部 San José Public Library 在志工申請時收集信息，以便篩選申請人、追蹤志工貢獻並報告為圖書館貢獻的志工數量和志工小時數。

收集什麼信息？

我們部門收集個人識別信息，以便將志工納入圖書館系統。收集到的資訊使圖書館能夠對志工進行背景調查，協助分會的志工協調員分配志工執行不同的任務，以及進行「志工遠離罰款」活動。僅收集進行正常業務運作所需的資訊。收集的個人資訊可能包括：

名字和姓氏
出生日期
郵寄地址
信箱
電話號碼
年齡範圍（13 +，15 +，18 +，21 +或50+）
語言能力
緊急聯繫信息
雇主
學校
最高學歷
圖書館卡號碼
豁免罰款額

如何收集信息？

信息是通過各種不同的來源收集的。

網上義工申請

所有正在進行的 SJPL 志工都會在 Better Impact 中建立個人資料，SJPL 是志工管理軟體，用於追蹤志工申請、工作時間和影響力。

志願者申請者必須輸入名字，姓氏，出生日期‌，郵寄地址，電子郵件，電話號碼，年齡段（13歲以上，15歲以上，18歲以上，21歲以上或50歲以上），語言能力，緊急聯繫信息以及他們如何了解志願服務。它們還可以包含此可選信息；學校或工作地點，以及最高學歷。

志願者簽名表

根據聖何塞市法律部門的要求，所有SJPL志願者在開始志願活動之前，均會返回一份完整的志願者簽名表格副本。

志願者申請者必須填寫其名字，姓氏，父母/監護人簽名（如果他們未滿18歲），如果是一次性志願者，則需要填寫緊急聯繫信息。

志願人員罰款登記

當某人參加志願者參加您的罰款活動時，他們的信息將輸入到excel電子表格中，以便在活動期間可以從正確的帳戶中免除罰款。

登記表上有每位參與者的名字，姓氏，電話號碼或電子郵件地址，年齡級別（成人或兒童），借書證號以及免除的罰款金額。

LiveScan指紋背景檢查

所有正在進行的成年志願者都必須在開始成為志願者之前提交指紋背景檢查。 SJPL不收集任何信息。

與誰共享信息？

與某些工作人員（圖書館和聖何塞市）共享個人身份信息，志願者可以訪問自己的信息。

網上義工申請

線上志工個人資料資訊只能由志工和 SJPL Better Impact 帳戶管理員（SJPL 工作人員以及偶爾經過特殊培訓和背景調查的志工）存取。

Better Impact帳戶信息僅與志願者本身（而不是父母或潛在雇主）共享。我們只會與潛在的雇主和家人確認服務日期和工作時間。

志願者簽名表

簽名表單僅對圖書館工作人員（圖書館員，文員和分支機構經理）可用。工作人員可以應要求為志願者製作簽名表格的副本。

志願人員罰款登記

這些excel文件只能由負責登錄或取消活動罰款的圖書館工作人員訪問。

LiveScan指紋背景檢查

只有SJPL志願服務分析師（或其主管）和聖何塞市人力資源人員可以訪問。

資訊儲存在哪裡？

網上義工申請

志工資訊儲存在 Better Impact 軟體中。更好的影響隱私權政策可以在以下位置找到： https://www.betterimpact.com/siteguide/privacy-policy.

志願者簽名表

簽名表儲存在傳回簽名表的分公司或單位的鎖定文件或辦公室。表格按姓氏提交，以便在需要時輕鬆找到。當志工被存檔時，他們的簽名表格會被移入標有當前年份的文件中，以便在 3 年後可以將其粉碎。

志願人員罰款登記

這些 Excel 表格儲存在舉辦活動的圖書館分館的員工電腦上。該表格不會列印出來。將事件總計輸入系統範圍的追蹤表後（事件發生後 24 小時內），所有條目都將被刪除。

LiveScan指紋背景檢查

志工指紋背景檢查的結果由聖荷西市人力資源辦公室接收並儲存。 Better Impact 軟體或志工的實體文件中不包含 LiveScan 背景調查結果的資訊。發送給志願服務機構的所有收據均保存在安全的鎖定文件中。

資訊保存多久？

網上義工申請

設定檔資訊將無限期地儲存。

志願者簽名表

志願者離開SJPL服務後，表格將保留3年。

志願人員罰款登記

將活動總計新增至系統範圍的追蹤表後，登記 Excel 表格將會被刪除。

LiveScan指紋背景檢查

志願者結束對圖書館的服務後，必須進行3年的背景調查。

網站團隊隱私審核

網絡團隊概述

San José Public Library （SJPL）網站提供有關圖書館服務和活動，圖書館目錄以及各種電子資源和eBooks / eMedia的信息。該網站每年收到超過3萬次訪問，而eBooks / eMedia每年記錄超過XNUMX萬次結帳。

圖書館網站（https://www.sjpl.org）由圖書館的網絡團隊內部維護。它是使用Drupal開源內容管理系統構建的。全球的Drupal社區擁有超過1萬用戶，其中包括專注於安全性的多個團隊。 Drupal提供頻繁的安全更新。 Drupal受到許多大型組織的信任，包括白宮，特斯拉和美國紅十字會。

圖書館網站託管在Acquia Cloud上，該數據庫提供了一系列訪問和身份驗證控件，防火牆控件，防禦性安全性以及頻繁的安全性更新。所有網站流量均使用https加密。圖書館的IT部門確保安全證書是最新的。

SJPL 與許多第三方供應商簽訂合同，提供各種電子資源，供圖書館卡持有者現場和異地使用。這些資源包括可下載和串流媒體材料以及傳統資料庫。

我們所有的電子資源均由與我們簽約的供應商提供。儘管我們無法控制這些供應商的行為，但我們致力於

準確發現我們的供應商合作夥伴正在採取哪些隱私措施
發現這些供應商收集的有關我們顧客的個人身份信息
與我們的供應商合作，以確保他們符合我們的隱私標準和要求
使用我們的採購/投標流程與能夠滿足我們的隱私標準和要求的供應商簽訂合約

信息收集

的WebForms

圖書館網站包含許多Web表單，客戶可以出於某些目的而提交這些表單，例如申請特殊服務，提交圖書館競賽以及要求工作人員提供在線幫助。這些表格收集了一些個人身份信息，這些信息僅應用於表格所述的目的。我們已經與索取這些表格的圖書館單位核實，要求提供的所有信息都是必要的，並且在以後創建任何表格時也會這樣做。收集的信息可能包括姓名，年齡，電子郵件地址，電話號碼，實際地址，圖書館卡號以及其他與表格目的相關的信息。我們清除了超過6個月的Webform活動，並從網站的當前副本和存檔副本中刪除了此信息。每年三月和九月將執行兩次類似的清除操作。

網絡團隊使用網絡表單從要求建立帳戶的顧客那裡收集信息（姓名，電子郵件，圖書館卡） Treehouse，這是我們的eResources供應商之一。此信息用於預期目的，並在一個月後清除。

Webform也會收集用戶IP地址。我們正在調查收集此數據的影響，並考慮改善匿名性的方法，例如實現Drupal模塊以匿名化此信息。

分析（Analytics）

我們使用 Google Analytics 對我們的網站使用情況進行統計分析。我們已經通過Drupal啟用了“匿名IP地址”功能 Google Analytics 模塊。我們的數據保留期對於 Google Analytics 在應用或可能應用與Cookie相關的用戶級和事件級數據的任何情況下，均設置為14個月的最低設置。

我們已經/正在收集以下與SJPL相關的網絡媒體資源的信息：

https://www.sjpl.org -我們的主要網站。
Localist-託管我們的圖書館活動網站。在2018年XNUMX月之後，我們將不再使用Localist。圖書館活動將駐留在我們的Drupal網站上。
SRC（當它是Drupal實例時）-它是由第3方建造的；我們沒有存檔副本
https://sjlibrary.org -與聖何塞州立大學（SJSU）圖書館共享的網站。 SJPL收集的數據是匿名的。我們將與SJSU圖書館工作人員討論匿名化。
我們的目錄-再來一次和經典-見下文
Digitalcollections.sjlibrary.org-由我們使用 California Room 對於歷史圖像。我們正在將這項服務轉移到新的供應商，並且在設定過程中將意識到隱私問題。
LibCal/LibAnswers/LibChat - 每位使用者統計已停用，因此個人識別資訊無法與預訂相關聯。該資源與 SJSU 共享，我們正在與他們討論其他隱私選項，包括匿名 IP 位址和更改追蹤程式碼腳本。
Beanstack - 用於在幼兒園和暑期閱讀計劃之前追蹤顧客的 1,000 本書的閱讀清單。收集的資訊包括姓名、電子郵件地址和書名。我們每月收到 Google Analytics 活動報告。

我們也用 Hot Jar 獲取有關網站使用情況的分析數據，例如熱圖，屏幕記錄和民意測驗。數據用於改善我們的圖書館網站。收集的所有數據都是匿名的。不會記錄擊鍵。

我們根據要求向圖書館工作人員，聖何塞市，加利福尼亞州立圖書館，公共圖書館數據服務以及其他組織提供使用情況摘要報告。所有報告信息都是匿名的。

第三方腳本和嵌入式內容

目前，我們嵌入了YouTube，Flickr，Facebook，Twitter和Google Maps的內容，並且使用了以下腳本 Google Analytics，Google翻譯，HotJar，Flickr，New Relic，AddThis和 LibAnswers。我們正在評估通過第三方腳本和嵌入式內容收集哪些數據，並限制不必要的數據收集。

電子資源

關於電子資源的使用，SJPL不會收集有關我們客戶的個人身份信息。我們通過供應商網站上運行的報告或由供應商發送給我們的報告，從供應商那裡收集統計信息。這是不包含標識信息的常規用法信息。

我們的某些供應商確實允許我們訪問包含個人身份信息的報告和功能。該信息僅由圖書館用於協助顧客解決故障帳戶/技術問題，並且僅適用於有限數量的員工（通常不超過3人）。

我們已經準備了一封信，將發送給供應商，以表達我們對我們所有供應商應該的期望：

將服務配置為在涉及個人信息收集的功能時盡可能使用選擇加入。
為客戶提供有關從他們那裡收集多少資訊以及如何使用這些資訊的選項。客戶應該可以選擇是否選擇需要收集個人資訊（例如藉款人歷史記錄、閱讀清單或喜愛的書籍）的功能和服務。
在訪問點將其隱私策略通知客戶。
為客戶提供一種訪問，查看，更正和刪除其個人數據的方法。
使用SSL / HTTPS加密連接以提供對數字內容的安全訪問
一旦供應商發現資料或安全漏洞或違反合約條款，請立即通知圖書館。
允許客戶卸載供應商應用程式並從個人裝置中刪除關聯的儲存資料。
進行定期的隱私審核，並將審核結果提供給圖書館以供審核。將審核結果作為續訂標準之一。
限制收集有關用戶的個人信息量。通常，圖書館或服務提供商應收集提供服務或滿足特定運營需求所需的最少個人信息。

在未來的供應商合約和續約中，我們將期望每個供應商：

遵守所有適用的地方，州和聯邦法律，有關圖書館記錄的機密性。
符合圖書館的隱私，數據保留和數據安全策略。
確保要求所有分包商遵守圖書館與供應商之間的合約中的隱私和資料安全保護條款，並且每當供應商僱用分包商時都通知圖書館。
規定圖書館保留所有顧客數據的所有權。
包括用於響應政府和執法機構對顧客數據的請求的協議。
包括有關供應商用於保護保留數據的措施以及其用於確保安全性的安全措施的詳細信息。
說明如果發生數據洩露，供應商有責任通知圖書館和受影響的顧客。

我們正在準備一項數字材料戰略，其中將隱私期望（見上文）作為供應商選擇/續訂的評級標準的一部分。

我們已編制了一個指向供應商隱私政策的鏈接列表。此列表位於 SJPL網站。我們還列出了每個供應商收集的數據及其使用方式的列表。見附錄A.

我們也正在為顧客創建文件，以告知他們每個供應商的政策和選擇以及相關的圖書館政策和程序。這些將在圖書館網站上提供，其中包括：

供應商網站上個人帳戶的設置。
個人設備上供應商應用程式的設置，包括任何隱私設置以及如何刪除應用程式和任何關聯的儲存資料。
如果供應商遇到數據洩露，則執行圖書館程序。見附錄B.

在線目錄

在線圖書館目錄（Encore和Classic目錄）允許顧客登錄他們的圖書館帳戶，以訪問結帳，保管箱和其他帳戶信息，這些信息位於我們的集成圖書館系統Sierra中。有關更多信息，請參見Access Services白皮書。在線目錄和Sierra之間的所有交易均已加密。

顧客可以選擇開啟追蹤其閱讀歷史的功能。此功能是可選擇加入的，他們可以隨時選擇退出。他們還可以建立個人圖書清單，這些清單不會與任何人共享，並且可以隨時刪除。他們可以選擇為圖書館目錄中的項目新增標籤並隨時刪除它們。工作人員可以查看新增特定標籤的人員的姓名。此資訊不對外公開。

用戶體驗研究

Web團隊與圖書館顧客進行用戶體驗（UX）研究，以便就改善用戶體驗做出明智的決定。收集知情同意書的簽名和一些一般人口統計信息，例如年齡範圍和首選圖書館位置。在進行定性訪談時，參與者可以分享他們的生活細節。此信息通常記錄在紙上。然後將其上載到研究人員的OneDrive帳戶，並僅與直接參與研究項目的圖書館人員共享。

可能會製作視訊記錄，尤其是在可用性測試期間。這些錄音會上傳到一個私人 YouTube 帳戶，只有指定的圖書館工作人員才能存取該帳戶。一旦這些物品被裝載，原始錄音和紙製品就會被銷毀。錄音和任何帶有 PII 的電子研究工件的保存期限不得超過兩年，並且如果與使用者體驗研究相關的專案已經完成，則銷毀時間會更早。可能會保留研究摘要，但不會保留任何帶有 PII 的工件。使用者行為、意見和一般使用者特徵（例如技術技能水平）可以與外部利害關係人共享，以展示 SJPL 如何做出設計決策，但不會共享可推斷或連接到參與者的 PII 或數據點。

行動計劃

調查收集此數據的影響，並考慮改善匿名性的方法，例如實現Drupal模塊以匿名化此信息。（將於2018年XNUMX月完成）
繼續評估通過第三方腳本和嵌入式內容收集的數據，並限制不必要的數據收集。（將於2018年XNUMX月完成）
發送信通知eResource供應商我們的隱私要求。
對所有未來的採購和投標實施新的隱私要求。
數據洩露響應政策[見附錄B]（在此方面與IT部門合作）
在我們的網站上為用戶提供有關如何保護其供應商帳戶，如何在可用時選擇加入和退出以及卸載供應商應用程序的說明。（將於2018年XNUMX月完成）
完整的數位材料策略，其中包括對新供應商的期望和更新的供應商合約。（將於2018年XNUMX月完成）

附錄A

每個供應商收集的數據
供應商	認證	提供給我們的個人身份報告？	收集資料
ABCmouse	條形碼，PIN碼和電子郵件	沒有	ABCmouse 收集大量個人信息以評估孩子的進度，包括孩子和父母的名字，孩子的年齡和電子郵件地址。當他們在家中退房時，孩子還要進行兩次評估測試。這些名稱盡可能地無名，但是確實有一定數量的信息傳輸給它們。我們的報告中沒有個人身份信息，只有一般使用信息。
Axis 360	條形碼和PIN碼	是	圖書館卡號，PIN和電子郵件地址（可選）。
Beanstack	電子郵件	是	Beanstack 需要一個帳戶。他們需要一個名稱和電子郵件地址。其他個人信息（包括條形碼）是可選的。
BiblioBoard 電子圖書館	地理位置	是	如果讀者建立了帳戶，Biblioboard 也會透過條碼進行身份驗證。帳戶需要電子郵件地址（可選）、使用者名稱、密碼。除非註冊，否則電子郵件是可選的 Pressbooks
Big Interview	條形碼和電子郵件	是	顧客創建一個帳戶並在註冊時輸入其條形碼。
Bookan –不接受任何個人信息	other	沒有	現場無需登錄。異地需要使用與所有顧客共享的通用用戶名和密碼登錄。可能收集IP地址。
圖書24x7	僅代理	沒有	他們可能會收集IP地址。
Discover & Go	條形碼和PIN碼	沒有	我們只有很少的管理權限。我們能夠運行有關使用情況的非常常規的報告。必須提供顧客條形碼和電子郵件，但我們沒有該信息。的管理員 Discover & Go （目前是孔塔哥斯達黎加縣立圖書館）。
EBSCO 電子書	代理和電子郵件	沒有	見下文。贊助人可以創建一個帳戶（與 EBSCO主機），以查看可供下載的電子書。許多電子書也可以離線閱讀而無需檢出。
EBSCO主持人	代理和電子郵件	沒有	贊助人可以創建一個用於保存文章，搜索等的帳戶。這完全是可選的。帳戶要求輸入名稱和密碼。電子郵件是可選的。
恩基	條形碼，PIN碼和電子郵件	沒有	需要圖書卡和 PIN 碼。電子郵件是可選的，但需要收到保留通知。 enki 從 Sierra 中提取全名和庫。我們無法存取任何個人訊息，但 enki 能夠運行附加到條碼的報告。
Gale	other	沒有	無需登錄，但 Gale 允許用戶使用Microsoft或Google帳戶登錄。他們可以保存文章，搜索等。
Gale 虛擬參考圖書館	other	沒有	無需登錄，但 Gale 允許用戶使用Microsoft或Google帳戶登錄。他們可以保存文章，搜索等。
Hoopla	條形碼和電子郵件	是	圖書館卡號和電子郵件地址。需要創建帳戶。我們能夠運行報告，以查看每個借書證已簽出材料的次數，但看不到各個書名的含義。 Hoopla 能夠獲取有關單個條形碼的標題級別信息。
LearningExpress	條形碼和電子郵件		贊助人使用條形碼和電子郵件創建帳戶。
Library Journal 自我e	other	沒有	這只是一種形式，允許用戶將其稿件提交給 Library Journal。該表格要求您提交個人信息。這是一種資源，只有極少數的顧客會使用。
Lynda.com（現在為LinkedIn學習）	條形碼，PIN碼和電子郵件	是	需要“姓氏和名字”以及電子郵件，儘管“Lynda“ .com成員”是默認名稱。大多數人可能會更改它。
LinkedIn學習（以前 Lynda。com）	條形碼，PIN碼和電子郵件	是	如果您使用與登錄時相同的借書證號碼和PIN Lynda.com，您的歷史記錄和進度將在 LinkedIn Learning 上提供。
Mango 語言	電子郵件	沒有	需要姓名和電子郵件地址。可以選擇使用訪客訪問，但不會追蹤進度。似乎根本沒有對用戶進行身份驗證。
在線 New York Times (紐約時報)	代理和電子郵件	沒有	現場身份驗證是通過IP地址進行的。在場外，顧客必須通過代理並在NYTimes上創建一個帳戶。姓名和電子郵件地址為必填項。
Newsbank (新聞銀行)	代理和電子郵件	沒有	贊助人可以選擇創建一個帳戶，但這不是必需的。
OverDrive	條形碼，PIN碼和電子郵件	是	訂閱者可以透過以下三種方式之一登入 OverDrive。 1. 使用借書證號碼和密碼。 2. 使用需要電子郵件地址以及借書卡號和 PIN 碼的 OverDrive 帳戶。 3. Facebook 以及圖書館卡號和 PIN 碼。 OverDrive 中有一個歷史記錄功能，而 Libby 中有 OverDrive 應用程式和活動。現在可以選擇加入歷史記錄。 OverDrive 聲稱歷史和活動資訊僅供顧客使用。我們實際運行的唯一報告是一般使用報告和管理報告。截至 2018 年 XNUMX 月，只有網站超級使用者才能存取包含個人識別資訊的報告。
Pressbooks	條形碼和電子郵件	是	與...一樣 BiblioBoard 以上。電子郵件是必填項 Pressbooks 我們可以看到有關用戶的信息，因為 BiblioBoard 配置文件將附加到創建的書籍。
PrivCo	僅代理	沒有	我們沒有管理權限。報告每月發送給我們，但它們是匿名的。 IP地址可能已收集。
Pronunciator	條形碼和電子郵件		讀者可以只使用借書卡號登錄，但不會追蹤進度。註冊需要電子郵件。
ProQuest的	僅代理	沒有	其中包括Digital Sanborn Maps和San Jose Mercury Digital Microfilm。他們倆都沒有收集個人信息，除了可能的IP地址。我們擁有Digital Sanborn Maps的管理員登錄名，但僅提供常規用法信息。我們提供了《 SJ水星新聞》的使用情況報告。
RBdigital	條形碼和電子郵件	是	我們可以訪問顧客名稱，條形碼和電子郵件。該信息僅用於解決帳戶問題。
RBdigital Magazines	條形碼和電子郵件	是	顧客條形碼和電子郵件。
參考美國	代理和電子郵件	沒有	顧客可以使用此功能創建個人帳戶。電子郵件地址和全名是必需的，但是這樣的帳戶是完全可選的。
里奇的	僅代理	沒有	我們沒有管理權限。報告每月發送給我們，但它們是匿名的。 IP地址可能已收集。
Rock's Backpages	條形碼	沒有	收集圖書館卡號以在場外驗證用戶。無需現場登錄。
羅森 PowerKnowledge	僅代理	沒有	僅IP地址。
Safari Books Online	僅代理	是	除IP地址外，不收集任何信息。我們可以運行一個報告，查看在特定IP地址上進行了多少次查看，但沒有查看過。
Springshare LibApps	other	是	這實際上是SJSU資源，但是我們將其用於實時和電子郵件參考。管理員可以訪問大量個人信息，包括姓名，電子郵件地址，圖書館卡號以及顧客提供/我們要求的其他任何信息。系統每隔幾個月就會刪除聊天記錄中的個人身份信息，因此，我們沒有超過三到六個月的信息日誌。
總Boox	條形碼，PIN碼和電子郵件		僅需要條形碼和PIN，但它們確實要求提供電子郵件。電子郵件是可選的並不明顯，並且每次登錄時都會要求贊助者添加一封。該名稱是從Sierra提取的。根據隱私政策，他們收集IP地址。
Treehouse	電子郵件	是	僅收集電子郵件地址。我們還要求將顧客的條形碼通過網絡表單提交給我們，但是在創建帳戶後不會保留該條形碼。 Treehouse.
不倒翁書	代理和電子郵件	沒有	代理是主要認證。用戶可以創建一個可選帳戶，但是它沒有太多用處，因為它是為教師和學生而設計的，並且需要我們沒有的功能。要求是姓名和電子郵件。
Tutor.com	條形碼，PIN碼和電子郵件	是	聲明自己未滿13歲的用戶以匿名方式登錄，不提供個人資料。 13 歲以上或由監護人註冊的使用者提供姓名、年齡和電子郵件地址。他們還可能在輔導課程期間提供其他信息，但這些課程會受到仔細監控，以確保用戶不會提供或不會被要求提供不必要的個人資訊。我們可以在報告中存取 PII，但只能執行一般使用報告。可以以匿名模式運行其他報告。只有電子資源館員有權存取管理員帳戶。 Tutor.com 尤其關注隱私和安全，並且比其他供應商擁有更多保護信息的措施。
Value Line	僅代理	沒有	系統會將有關此資源的報告發送給我們-我們沒有管理員權限，也沒有用戶登錄。
World Trade Press （美國AtoZ，AtoZ世界旅行，全球道路勇士）	僅代理	沒有	沒有登錄。我相信他們可能會收集IP地址。我們每月收集基本使用情況統計信息。可用的只是會話數和使用的單個設備數。

附錄B

數據洩露響應

在綫

如果我們意識到數據洩露，我們將與圖書館IT部門合作保護數據遭到洩露的用戶，並採取措施防止將來發生數據洩露。我們將通過以下任何或所有方式立即通知我們的用戶：

網站公告
電郵通訊
通過電子郵件發送給可能受到影響的顧客
部落格
Twitter，Facebook，Instagram帳戶
必要時設有分行標牌
當地媒體

通知的級別將取決於違規的嚴重程度以及庫用戶可能受到的影響。

電子資源

借助eResources，我們依靠供應商讓我們知道是否存在數據洩露。如果/當我們收到違規警報時，我們將按照從賣方那裡收到的所有說明進行操作，並立即如上所述通知用戶。