Kommentare und Vorschläge zu dieser Seite können hier abgegeben werden: https://github.com/chaoss/community/blob/main/governance/data-policies.md.
CHAOSS-Datenrichtlinien
Zuletzt aktualisiert: August 2021
Community-Datenrichtlinie
Als Open-Source-Community erläutern wir hier unseren Ansatz zur Gewährleistung des Datenschutzes und zur Verwaltung personenbezogener Daten.
- CHAOSS ist ein Open-Source-Projekt und Ihre an die Community gesendeten Nachrichten sind oft für alle sichtbar und werden langfristig archiviert, einschließlich der Git-Log, Probleme, Pull-Requests, Google Dokumente, Sitzungsaufzeichnungen, Slack und Mailinglisten.
- Projektmitwirkende können öffentlich durch die Erstellung von Mitwirkendenlisten anerkannt, in Veröffentlichungen referenziert und in sozialen Medien erwähnt werden.
- Daten, die durch Einsendeformulare erhoben werden, werden ausschließlich für den im Formular angegebenen Zweck verwendet. Beispiele hierfür sind Konferenzregistrierungen, D&I-Badging und Anfragen zu Community-Berichten.
- Wir analysieren Daten über die CHAOSS-Community, zum Beispiel auf der Community-Dashboard die von Bitergia gehostet und bereitgestellt wird. Bitergia verwendet oder analysiert die Community-Daten nicht für andere Zwecke als die Bereitstellung des Dashboards.
- Sie können Nachrichten über CHAOSS auf einer Vielzahl verschiedener Kanäle erhalten, einschließlich Benachrichtigungen auf GitHub, Google Dokumente, E-Mail-Listen-Nachrichten, und Konferenzkommunikation. Wir haben kein zentrales System zum Deaktivieren von Mitteilungen, daher bitten wir Sie, jede der Nachrichtenquellen so zu konfigurieren, dass sie Ihnen nur Benachrichtigungen sendet, die Sie erhalten möchten. Siehe die Mitmachen Seite zur Übersicht der Kommunikationskanäle.
- Die gesamte dokumentierte Kommunikation im CHAOSS-Projekt ist lizenziert unter der MIT-Lizenz.
Einige der Aktivitäten von CHAOSS, wie z. B. unsere Mailinglisten, nutzen die von der Linux Foundation oder anderen Drittanbietern wie GitHub, Google und Bitergia bereitgestellte Infrastruktur. Für diese Aktivitäten konsultieren Sie bitte die Datenschutzerklärung der Linux Foundation oder von diesen Dritten, soweit zutreffend. Die in diesem Dokument dargelegte Community-Datenrichtlinie beschreibt die Absichten, wie die Teilnehmer der CHAOSS-Community mit personenbezogenen Daten für Vorgänge umzugehen beabsichtigen, die von den Community-Teilnehmern selbst verwaltet werden.
Umgang mit personenbezogenen Daten (PII).
Als Open-Source-Community erläutern wir hier unseren Ansatz zum Umgang mit PII-Daten, die wir möglicherweise als Ergebnis verschiedener CHAOSS-Initiativen sammeln.
- PII, die in unseren Community-Daten Teil unseres öffentlichen Verlaufs sind und nicht entfernt, anonymisiert oder redigiert werden, um die Authentizität unserer Community-Daten zu wahren. Viele der öffentlich zugänglichen Daten der CHAOSS-Community befinden sich in unserem GitHub Arbeit, Google Docs und E-Mail-Listen-Nachrichten. Diese Community-Daten sind, wie erwähnt, frei verfügbar und lizenziert unter der MIT-Lizenz.
- PII-Daten, die nicht öffentlich verfügbar sind (z. B. Konferenzregistrierungsdaten, Gesundheitsberichtsdaten der Gemeinschaft) entsprechen denen von NIST niedrig Wirkungsstufe:
- „Die potenziellen Auswirkungen sind NIEDRIG, wenn erwartet werden kann, dass der Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit begrenzte nachteilige Auswirkungen auf den Betrieb, das Vermögen der Organisation oder Einzelpersonen hat. Eine begrenzte nachteilige Auswirkung bedeutet, dass beispielsweise der Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit (i) eine Verschlechterung der Einsatzfähigkeit in einem Ausmaß und einer Dauer verursachen könnte, dass die Organisation in der Lage ist, ihre Hauptaufgaben zu erfüllen, aber die Wirksamkeit der Funktionen sind merklich eingeschränkt; (ii) zu geringfügigen Schäden am Unternehmensvermögen führen; (iii) zu geringfügigen finanziellen Verlusten führen; oder (iv) Personen geringfügigen Schaden zufügt.“ Aus: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf
- Als Reaktion darauf bietet das CHAOSS-Projekt operative Sicherheitsvorkehrungen zum Schutz nicht öffentlicher PII, sodass diese Informationen:
- Nur für bestimmte Teammitglieder verfügbar. Zum Beispiel können nur Mitglieder des CHAOSS-Konferenzkomitees private Daten sehen, die über Konferenzregistrierungen gesammelt wurden;
- An sicheren Orten gespeichert;
- Löschung innerhalb von zwei Monaten nach Wegfall des Zwecks der Datenerhebung.
- Vorfälle, die private Informationen betreffen, können Elizabeth Barron, CHAOSS Community Manager, gemeldet werden: elizabeth@chaoss.community.
- Alle Mitglieder der CHAOSS-Community, die Zugriff auf PII haben, werden auf diese Verfahren aufmerksam gemacht.
Zuständigkeit
Die CHAOSS-Projekt ist eine Linux Foundation-Projekt und unterliegen den Gesetzen in den USA und Kalifornien. Die Daten werden nach bestem Wissen und Gewissen in den USA gespeichert.
Möglicherweise unterliegen Sie Gesetzen, die Ihnen Rechte an Ihren eigenen Daten einräumen. Als Open-Source-Projekt haben Sie Ihre Daten mit dem Verständnis bereitgestellt, dass Ihre Daten öffentlich sind und langfristig archiviert werden. Möglicherweise gibt es andere Systeme, in denen wir Ihre Daten haben könnten (z. B. aus Konferenzanmeldungen), und wir entfernen Sie gerne dort. Bitte teilen Sie uns dies mit.
Metriken und Softwarerichtlinie
Das CHAOSS-Projekt produziert Metriken und Software. mit dem Ziel, Menschen und Organisationen dabei zu helfen, den Zustand von Open-Source-Projekten besser zu verstehen. Dieses Ziel ist artikuliert in der Charta des CHAOSS-Projekts und der Über CHAOSS Seite. Die im CHAOSS-Projekt erstellten Metriken und Software sollen dazu beitragen, unser Verständnis von Open-Source-Projekten zu verbessern.
Alle Arbeiten an Metriken und Software werden offen durchgeführt, hauptsächlich am GitHubüber Mailinglisten, Und durch persönliche Treffen. Diese Arbeit unterliegt der oben genannten Community-Datenrichtlinie. Die Verwendung von Metriken und Software durch bestimmte Unternehmen, Projekte oder Organisationen unterliegt den Richtlinien ihrer jeweiligen Einstellungen. Das CHAOSS-Projekt ist nicht verantwortlich für die Verwendung der Metriken oder Software in diesen spezifischen Einstellungen.
Die gesamte CHAOSS-bezogene Dokumentation im Zusammenhang mit der Entwicklung von Metriken und Software ist unter der MIT-Lizenz. Die CHAOSS-Software steht unter den jeweiligen Lizenzen:
- Augur -- MIT-Lizenz
- MARS -- MIT-Lizenz
- GrimoireLab – GPLv3
- Cregit -- GPLv3
Bei Fragen zu unseren Daten, Metriken und Softwarerichtlinien und um Anträge auf Anonymisierung oder Entfernung aus unseren Daten zu stellen, senden Sie bitte eine E-Mail an Elizabeth Barron, CHAOSS Community Manager, unter elizabeth@chaoss.community