home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / rfc / rfc1355 < prev    next >
Text File  |  1992-08-04  |  9KB  |  228 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                         J. Curran
  8. Request for Comments: 1355                                         NNSC
  9. FYI: 15                                                       A. Marine
  10.                                                                     SRI
  11.                                                             August 1992
  12.  
  13.  
  14.        Privacy and Accuracy Issues in Network Information Center
  15.                                Databases
  16.  
  17. Status of This Memo
  18.  
  19.    This memo provides information for the Internet community.  It does
  20.    not specify an Internet standard.  Distribution of this memo is
  21.    unlimited.
  22.  
  23. Abstract
  24.  
  25.    This document provides a set of guidelines for the administration and
  26.    operation of public Network Information Center (NIC) databases.  The
  27.    purpose is to formalize procedures for the responsible handling of
  28.    the personal and organizational information maintained by NICs in
  29.    publically accessible databases, and to improve the accuracy and
  30.    accessibility of such data where appropriate.
  31.  
  32. Acknowledgments
  33.  
  34.    This document is based upon the work of the Network Information
  35.    Services Infrastructure (NISI) working group in the User Services
  36.    Area of the IETF.  Thanks are due to the members of this working
  37.    group who contributed ideas and comments, especially to Glee Cady
  38.    (University of Michigan) for her significant contributions.  Special
  39.    thanks are also extended to Steve Crocker (TIS) for his guidance in
  40.    this area.  Due to the natural overlap between NIC databases and
  41.    public user directories, this document also references concepts
  42.    contained in the North American Directory Forum's (NADF) "User Bill
  43.    of Rights for Entries and Listings in the Public Directory" (RFC
  44.    1295).
  45.  
  46. 1. Purpose
  47.  
  48.    The purpose of this document is to consider the privacy and accuracy
  49.    issues that result from many NIC databases being publicly accessible.
  50.    This document considers only generic concerns about such systems; it
  51.    intentionally does not make recommendations for specific databases on
  52.    the Internet.  Clearly, it is the responsibility of each NIC to
  53.    determine what procedures should apply for each of its databases.
  54.    The document discusses the obligations a NIC that maintains such a
  55.  
  56.  
  57.  
  58. Curran & Marine                                                 [Page 1]
  59.  
  60. RFC 1355         Privacy and Accuracy in NIC Databases       August 1992
  61.  
  62.  
  63.    database has towards those about whom data appears in the database.
  64.    These obligations apply to database entries that contain information
  65.    that is publically accessible to Internet users.
  66.  
  67. 2. Background and Organization
  68.  
  69.    In fulfilling the functions of a Network Information Center, each NIC
  70.    needs to collect and distribute a variety of information about the
  71.    network it serves.  Much of the information handled by a NIC is
  72.    "directory" information that provides pointers to people,
  73.    organizations, and resources throughout a network.  The use of
  74.    publically accessible databases to disseminate such data is seen as
  75.    beneficial to the Internet because it allows efficient information
  76.    retrieval by users, Network Operation Centers (NOCs), and other NICs.
  77.  
  78.    This document is organized into two parts.  The first part contains
  79.    recommendations for preventing unauthorized disclosure of information
  80.    in NIC databases.  The second part recommends formal accuracy
  81.    guidelines for NIC databases.
  82.  
  83. 3. NIC Database Privacy
  84.  
  85.    The existence of publically accessible databases brings up a number
  86.    of significant questions regarding controls over the gathering and
  87.    distribution of the data.  It is important that these concerns are
  88.    addressed prior to the wide-scale deployment of a public NIC database
  89.    or a NIC risks having to retrofit an established system to formal
  90.    guidelines regarding such controls when they are finally available.
  91.  
  92.    For each publically accessible database that a NIC manages, the NIC
  93.    needs to provide a clear statement of the purpose of the database,
  94.    the types of information it contains, and the privacy policy that
  95.    applies to the information stored within it.  In general, this policy
  96.    should inform people or organizations listed in the database of the
  97.    content and purpose of their database entries.  Specifically, the
  98.    privacy policy should:
  99.  
  100.       1) Describe why the NIC needs the information and how it will use
  101.          the information.
  102.  
  103.       2) List of all the information being stored in an entry.
  104.  
  105.       3) Detail which information will be made available outside of the
  106.          NIC, to whom it will be made available, and for what purpose.
  107.  
  108.       4) Provide for notification of any person or organization added
  109.          to the database at the request of a third party.
  110.  
  111.  
  112.  
  113.  
  114. Curran & Marine                                                 [Page 2]
  115.  
  116. RFC 1355         Privacy and Accuracy in NIC Databases       August 1992
  117.  
  118.  
  119.       5) Explain how to have the information changed or updated.
  120.  
  121.       6) Explain how to get information removed from the database,
  122.          including any references to one's information in another's
  123.          database entry.
  124.  
  125.       7) Explain the consequences of removing information from the
  126.          database and of failing to provide all or part of the
  127.          information a NIC requests.
  128.  
  129.    The privacy policy enables people to make informed decisions
  130.    regarding which information to supply for a given NIC database.  Any
  131.    information supplied should treated in a manner consistent with the
  132.    current privacy policy.  If a NIC makes a database available in its
  133.    entirety to another organization, the NIC should also provide that
  134.    organization with a copy of the current privacy policy for the
  135.    database.
  136.  
  137. 4. NIC Database Accuracy
  138.  
  139.    The value of any NIC database is dependent on the accuracy and
  140.    timeliness of its contents.  Any database not being maintained well
  141.    can create major difficulties for those using it and for those people
  142.    and organizations listed.
  143.  
  144.    For each publically accessible database that a NIC operates, the NIC
  145.    should have a clear statement that describes the process that the NIC
  146.    uses to maintain accuracy in the database.  This statement could be
  147.    combined with the privacy statement described above for sake of
  148.    administrative convenience.
  149.  
  150.    The accuracy statement informs potential participants in the database
  151.    of the precautions taken by the NIC to ensure accurate information.
  152.    Any information supplied should be treated in a manner consistent
  153.    with the current accuracy policy.  If a NIC makes a database
  154.    available in its entirety to another organization, the NIC should
  155.    also provide that organization with a copy of the current accuracy
  156.    policy for the database.
  157.  
  158.    The accuracy statement should:
  159.  
  160.       1) Allow an individual or organization access to its own
  161.          database entry, including private fields, for the purpose
  162.          of correcting errors.
  163.  
  164.       2) Allow an individual or organization to correct any errors
  165.          that occur in its database entry.
  166.  
  167.  
  168.  
  169.  
  170. Curran & Marine                                                 [Page 3]
  171.  
  172. RFC 1355         Privacy and Accuracy in NIC Databases       August 1992
  173.  
  174.  
  175.       3) Inform an individual or organization when information about
  176.          them appears in an entry belonging to another party, so
  177.          that the individual or organization can review that
  178.          information and have the opportunity to submit corrections.
  179.  
  180.       4) Change information in an entry only at the request of or
  181.          with the approval of the individual or organization
  182.          about which the entry applies.
  183.  
  184.       5) Encourage an individual or organization to report any errors
  185.          that occur in the database entries of others.
  186.  
  187.       6) Provide for a "date of last review" for each entry in the
  188.          database; this would reflect the date that the entry was
  189.          last checked by the owner for accuracy.
  190.  
  191.       7) Describe any and all practices used by the NIC to confirm
  192.          data prior to inclusion in the database.
  193.  
  194.       8) State the data backup procedures in use for this database.
  195.  
  196. 5. Security Considerations
  197.  
  198.    This memo briefly considers the security aspects of information in
  199.    NIC databases.  This memo should revisited as security infrastructure
  200.    becomes more developed in the Internet.
  201.  
  202. 6. Authors' Addresses
  203.  
  204.    John Curran
  205.    NSF Network Service Center (NNSC)
  206.    10 Moulton Street
  207.    Cambridge, MA 02138
  208.  
  209.    Phone: (617) 873-3400
  210.    EMail: jcurran@nnsc.nsf.net
  211.  
  212.  
  213.    April N. Marine
  214.    SRI International
  215.    Network Information Systems Center
  216.    333 Ravenswood Avenue, EJ294
  217.    Menlo Park, CA  94025-3493
  218.  
  219.    Phone: (415) 859-5318
  220.    EMail: april@nisc.sri.com
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Curran & Marine                                                 [Page 4]
  227.  
  228.