Una mirada a las políticas y el cumplimiento de la retención y eliminación de datos

Una mirada a las políticas y el cumplimiento de la retención y eliminación de datos
Una mirada a las políticas y el cumplimiento de la retención y eliminación de datos

Hay un aspecto de la conversación de cumplimiento que demasiadas organizaciones pasan por alto, y es casi tan importante como la forma en que se utilizan los datos: las políticas de retención y eliminación de datos.

Recientemente, se emitió una multa de 14,5 millones de euros por el RGPD por no cumplir con el cronograma de retención de datos. Y un nuevo informe de 451 Research revela que el 31 % de los encuestados no siempre siguen sus políticas de retención y eliminación de datos, o no han implementado ninguna política de retención.¹

Es una ligera mejora con respecto al estudio del año pasado, pero sigue siendo una clara señal de que demasiadas organizaciones necesitan reforzar sus políticas y procedimientos de gestión de datos. Si tiene un cronograma de retención y eliminación de datos, es fundamental que lo siga. Si no es así, esto es lo que necesita saber, pero tenga en cuenta que esto no es un consejo legal y debe consultar con el abogado o el equipo legal de su organización.

¿Qué es un programa de retención de datos?

Los programas de retención y eliminación de datos abordan lo que sucede con los datos después de que se han utilizado, dictando cuánto tiempo se pueden almacenar los datos y cómo se eliminan. Incluso si no está haciendo un uso indebido de los datos y están debidamente protegidos, retenerlos más allá de la fecha límite cuenta como una infracción.

Un cronograma de retención de datos puede ser absolutamente crítico para este aspecto del cumplimiento. Una política de retención y eliminación cubrirá:

  • Qué tipos de datos se almacenan y dónde, para que se puedan ubicar fácilmente cuando sea el momento de eliminarlos. Esto incluye todos los rastros, como copias de seguridad o servidores de archivos.
  • Un marco basado en permisos para todos los datos retenidos
  • Políticas de anonimización y cifrado que se utilizarán
  • Cómo se procesa y por qué
  • Por qué se almacena, incluido si existen razones legales o reglamentarias para hacerlo, como auditorías o razones fiscales, fines históricos o de investigación, etc.
  • Cuándo se está eliminando (o moviendo) y protocolos para la eliminación o sanitización
  • Cómo documentará la eliminación o anonimización
  • Funciones y responsabilidades de las personas que supervisan el cumplimiento y la retención
See also  Se rumorea que las GPU Ada Lovelace de próxima generación de Nvidia consumen cantidades aterradoras de energía

Al almacenar diferentes conjuntos de datos, encuentro que uno de los enfoques más útiles es una arquitectura de copia de seguridad en niveles. Le permite separar instantáneas de datos que son calientes, tibias o frías. Un búnker solo de datos puede almacenar de forma segura grandes cantidades de datos que no se necesitan para su uso inmediato. Consulte esta publicación para ver un ejemplo de una arquitectura de búnker en niveles que puede crear con Pure.

Nota: Puede establecer los horarios para la retención y eliminación de datos, pero deben estar justificados. Debe proporcionar un razonamiento adecuado para el cronograma y prueba de que lo está siguiendo.

¿Por qué tener una política de retención de datos?

Uno de los mayores errores de cumplimiento que he visto cometer en las empresas es conservar demasiados datos durante demasiado tiempo. En muchos casos, conservar demasiados datos durante demasiado tiempo puede exponer a una organización a riesgos innecesarios. Es un objetivo brillante y destellante tanto para los malos actores como para los oficiales de cumplimiento. Sin mencionar que puede abrir su organización a una tremenda exposición legal.

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) llama a esto el ” derecho al olvido ” de un individuo, y esencialmente significa que una empresa no puede conservar sus datos cuando ya no son necesarios para el procesamiento.² Pero otras regulaciones, como HIPAA e ISO, puede contribuir a lo que debería estar en su política, así que no se detenga solo en GDPR y consulte a su experto en privacidad.

La razón de esto es que los datos que se encuentran en archivos o cementerios presentan más riesgo de violaciones de seguridad. Si no es necesario y se puede quitar, su riesgo puede reducirse sustancialmente.

See also  ¿Recibiste algún regalo de juego el año pasado?

Cómo crear (o mejorar) un programa de retención

Primero, sepa que su política de retención debe ser una parte integral de su estrategia general de seguridad de datos. Los dos están inextricablemente vinculados. Comience con una revisión de seguridad para que pueda alinear los dos. Luego, cree un mapa de flujo de datos para su organización. Su estrategia de retención debe abordar los datos a lo largo del mapa de flujo, documentando exactamente:

  • Qué tipos de datos se almacenan y dónde, para que se puedan ubicar fácilmente cuando sea el momento de eliminarlos. Esto incluye todos los rastros, como copias de seguridad o servidores de archivos.
  • Un marco basado en permisos para todos los datos retenidos
  • Políticas de anonimización y cifrado que se utilizarán
  • Cómo se procesa y por qué
  • Por qué se almacena, incluido si existen razones legales o reglamentarias para hacerlo, como auditorías o razones fiscales, fines históricos o de investigación, etc.
  • Cuándo se está eliminando (o moviendo) y protocolos para la eliminación o sanitización
  • Cómo documentará la eliminación o anonimización
  • Funciones y responsabilidades de las personas que supervisan el cumplimiento y la retención

Nota: la información personal confidencial se puede anonimizar, lo que puede impedir la necesidad de conservar o eliminar ese conjunto de datos en particular. Sin embargo, si estos datos combinados con otro conjunto de datos pueden hacerlo identificable, aún deberá eliminarse.

Cómo Pure Storage puede ayudar a respaldar las estrategias de retención

Junto con medidas integrales de seguridad organizacional, Pure Storage® puede ayudarlo a cumplir con el RGPD y otros requisitos de seguridad y regulaciones de cumplimiento de datos en todo el mundo, sin agregar más complejidad.

  • La creación de datos retenidos en niveles con búnkeres seguros de solo datos: dado que la comunicación se establece dentro, pero no fuera del búnker, se considera una ubicación altamente segura.
  • Movilidad de datos perfecta y lista para la nube: mueva cargas de trabajo sin problemas para satisfacer las cambiantes necesidades comerciales, incluidos los conjuntos de datos que ya no tienen valor para el procesamiento.
  • Datos y copias de seguridad a salvo de encriptación o eliminación. Las instantáneas de SafeMode protegen sus datos, especialmente las copias de seguridad críticas, de la eliminación accidental, las credenciales comprometidas o el cifrado durante un ataque.
  • Protección de datos moderna: ofrecemos las soluciones de protección de datos más modernas, con seguridad y recuperación rápida contra amenazas de ransomware.
  • Un solo panel de control para la visibilidad: es importante tener un control claro sobre dónde se encuentran sus datos más importantes en un momento dado. La configuración simple de Pure, las operaciones sin esfuerzo y el panel de control unificado facilitan ver qué cargas de trabajo están dónde, para que pueda mover conjuntos de datos para eliminarlos.
See also  El efecto de COVID-19 en la industria minorista

Su primer paso es reunirse con su oficial de cumplimiento e incluir a su CISO para asegurarse de que todos estén en la misma página.

Descargue el documento técnico “FlashArray ™Data Security and Compliance” para ver en profundidad cómo hacerlo.


  1. 451 Investigación: Voz de la empresa de 2021: Encuesta de almacenamiento.
  2. https://gdpr-info.eu/art-17-gdpr/
bullfight-doc
bullfight-doc