Che cos’è una politica di conservazione dei dati?

Immagine

Una politica di conservazione dei dati è il protocollo stabilito da un’azienda per la conservazione dei record per un determinato periodo di tempo. Può anche essere definito un criterio di conservazione dei record o un criterio di conservazione del backup. L’obiettivo è proteggere i tuoi dati e garantire la conformità a particolari esigenze aziendali, linee guida del settore o requisiti legali.

Una politica di conservazione dei dati completa e un piano di gestione dei record descrivono i motivi per cui un’azienda desidera conservare record specifici e dove memorizzerà o archivierà questi dati. La politica dovrebbe anche includere informazioni su chi è responsabile di ciascun tipo di dati e su come verranno cancellati (o eliminati) al termine del periodo di conservazione.

Un criterio di conservazione dei dati dovrebbe anche specificare le procedure di archiviazione di backup per aiutare un’azienda a recuperare in caso di perdita di dati.

Perché una politica di conservazione dei dati è importante?

Backup e archiviazione regolari

Backup dei dati adeguati sono essenziali per il piano di continuità aziendale di fronte a disastri imprevisti. Supponiamo che un’organizzazione non disponga di misure complete di backup dei dati. In tal caso, il ripristino di emergenza sarà incompleto e influirà sulla continuità aziendale a causa della mancanza di accesso ai dati e ai record necessari per funzionare correttamente.

D’altra parte, il backup di troppi dati può causare confusione durante il processo di ripristino. Inoltre, la conservazione non necessaria e i backup completi possono consumare spazio di archiviazione costoso e ridurre la velocità di accesso alla rete.

Pertanto, una politica di conservazione dei dati aiuta a garantire che l’azienda conservi o esegua il backup dei dati appropriati per un periodo di tempo adeguato.

Gestione semplificata dei dati

Una politica di conservazione fa parte della strategia globale di gestione dei dati di un’azienda. L’organizzazione deve delineare tutti i diversi tipi di dati e record che conserva e per quanto tempo ogni tipo deve essere memorizzato e eseguito il backup. La politica aiuta a garantire che i dati obsoleti o duplicati siano smaltiti in modo appropriato, semplificando la ricerca di dati ancora pertinenti e utili.

Conformità legale e normativa

Una gestione efficiente dei dati e dei record può supportare le funzioni di core business e aiutare l’organizzazione a soddisfare i propri obblighi legali, statutari e normativi. Negli ultimi anni, l’attenzione alla privacy dei dati è aumentata, il che ha portato a leggi e regolamenti più complessi in tutto il mondo.

Ad esempio, le società quotate in borsa negli Stati Uniti devono stabilire una politica di conservazione per soddisfare i requisiti di conservazione dei dati delineati nel Sarbanes-Oxley Act (SOX). Allo stesso modo, le organizzazioni sanitarie sono soggette ai requisiti di conservazione dei dati del Health Insurance Portability and Accountability Act (HIPAA).

Inoltre, le aziende che elaborano i pagamenti dei clienti (ad esempio tramite carte di credito) devono rispettare i requisiti di conservazione e smaltimento dei dati specificati nello standard PCI DSS (Payment Card Industry Data Security Standard).

Qualsiasi azienda a livello globale che raccoglie e tratta i dati personali dei cittadini dell’UE deve rispettare i requisiti di conservazione dei dati del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea. Per rispettare la legge sulla protezione dei dati GDPR, le politiche di conservazione dei dati devono spiegare cosa viene raccolto, perché viene raccolto, dove viene tenuto e il periodo di conservazione.

Oltre a raggiungere il rispetto di queste leggi, una politica di conservazione dei dati può aiutare un’organizzazione a garantire che la privacy e la riservatezza dei propri dati siano mantenute. Può anche proteggere l’azienda da multe di non conformità o altre azioni punitive e future responsabilità legali.

Soddisfare le esigenze aziendali

Le organizzazioni possono anche avere specifiche esigenze contrattuali e aziendali che richiedono una politica di conservazione dei dati. Come tale, la politica dovrebbe specificare per quanto tempo la società manterrà particolari set di dati e come prevede di fare eccezioni in caso di cause legali o altre interruzioni.

Come determinare la conservazione dei dati appropriata

Per implementare una politica di conservazione dei dati efficace, l’azienda deve prima identificare i tipi di dati che memorizza. Quindi, deve classificare quei dati. Questi passaggi sono cruciali perché la conservazione dei dati” appropriata ” dipende spesso dal tipo di dati da conservare.

Anche il ciclo di vita dei dati o il periodo di conservazione sono importanti. Alcuni dati possono essere classificati con un breve periodo di archiviazione prima della cancellazione automatica, come le e-mail standalone. Mentre altri record, come i contratti di vendita e i dettagli associati, devono essere conservati per molti anni.

Ad esempio, le organizzazioni sanitarie memorizzano informazioni di identificazione personale (PII), come nome del paziente, data di nascita, numero di previdenza sociale e dati medici. Le società di servizi finanziari memorizzano i punteggi di credito dei clienti, la cronologia dei pagamenti e le informazioni sui prestiti. La politica di conservazione dovrebbe considerare ciascuno di questi tipi di dati e assegnare di conseguenza i cicli di vita appropriati.

Componenti chiave di una politica di conservazione dei dati riuscita

Una politica di conservazione dei dati dovrebbe coprire il modo in cui l’organizzazione eseguirà il backup, l’archiviazione e l’eliminazione dei record cartacei e digitali. Il documento finale dovrebbe essere olistico e coeso con input da più gruppi e si applica a tutta l’azienda. La politica può essere aggiornata o rivista e una registrazione di queste revisioni deve essere mantenuta all’interno del documento.

Una politica di conservazione dei dati o di backup dei dati può includere alcune o tutte le sezioni seguenti:

Requisiti legali e aziendali applicabili

Questa sezione dovrebbe descrivere in dettaglio la necessità aziendale e legale per la conservazione dei dati e i backup. Dovrebbe essere aggiornato man mano che cambiano i requisiti e le normative.

Procedure di conservazione dei dati

Ogni tipo di record e dati avrà periodi e processi di conservazione diversi. Considerare dove verranno conservati i dati, come verrà eseguito il backup e per quanto tempo. Specificare il ruolo o il team che possiede ciascun tipo di dati ed è responsabile della sua gestione. È anche importante menzionare quali tipi di record non devono essere conservati e possono essere eliminati immediatamente.

Procedure di distruzione dei dati

È essenziale evidenziare come i record verranno eliminati quando il tempo di conservazione è scaduto. Specificare il processo per la distruzione di documenti cartacei. Dettaglio quali documenti elettronici devono essere eliminati manualmente rispetto a quelli che vengono automaticamente eliminati dal sistema.

Procedure di archiviazione dei dati

Alcuni dati potrebbero non essere necessari per l’uso quotidiano, ma devono comunque essere archiviati per motivi legali o normativi. Le procedure di archiviazione specificano i tipi di documento, le posizioni di archiviazione e i processi di recupero.

Forse alcuni documenti cartacei vengono memorizzati fuori sede per il recupero solo se necessario. Alcuni documenti elettronici possono essere memorizzati su server diversi per garantire tempi di risposta rapidi ed evitare confusione sui server locali.

Processi di eccezione

L’organizzazione potrebbe avere alcune eccezioni alle procedure standard di conservazione, distruzione o archiviazione dei dati. È importante chiarire queste eccezioni nella politica di conservazione dei dati per garantire che non vi sia confusione o problemi di comunicazione.

Risposte corrette alle richieste di discovery, Legal o Audit

Se esiste una richiesta di discovery, legal o audit, l’organizzazione dovrebbe avere una risposta standardizzata. Questa sezione dovrebbe specificare il processo per la risposta, chi è responsabile della risposta e come verrà documentata.

Oltre alle sezioni precedenti, una politica di conservazione completa dovrebbe includere quanto segue:

  • nome dell’Azienda e i dati di contatto
  • controllo di Versione
  • Politica scopo
  • parti Interessate
  • termini Chiave usati
  • Ruoli e responsabilità del personale addetto

procedure ottimali per il Backup dei Dati

spazio di Archiviazione può essere costoso, e ogni pezzo di dati che non hanno bisogno di essere sostenuti. Quando si tratta di conservazione dei dati e backup, le esigenze di ogni organizzazione sono diverse. Non ci sono regole impostate sulla strategia di backup, sulla frequenza o sui periodi di conservazione. Un’organizzazione deve valutare i propri requisiti in modo olistico quando sviluppa la propria politica di conservazione dei dati.

Tuttavia, ci sono diverse best practice che le organizzazioni possono prendere in considerazione per iniziare:

Identificare e classificare i tipi di dati

La classificazione dei dati può aiutare a identificare quali dati devono essere sottoposti a backup o archiviati e per quanto tempo. Queste domande possono aiutare a determinare se è necessario eseguire il backup di un particolare tipo di dati:

  • I dati sono critici ora?
  • È probabile che rimanga critico in futuro?
  • È proprietà intellettuale proprietaria?
  • Costituisce segreto commerciale confidenziale?
  • È un documento permanente?

Identificare i requisiti legali

Qui, la domanda più importante è: i dati sono necessari per la conformità o gli audit?
Le organizzazioni devono determinare se esistono requisiti legali o normativi per eseguire il backup dei dati per un certo periodo di tempo e gestire di conseguenza i criteri di backup.

Identificare i requisiti aziendali

I criteri di backup devono considerare i requisiti aziendali dell’organizzazione in relazione a ciascun tipo di dati e al modo in cui vengono eseguiti i backup. Ciò può dipendere dalla probabilità di perdita di dati, dall’importanza relativa dei dati e dalla frequenza con cui i dati vengono aggiornati.

Specificare i dettagli rilevanti

La politica deve includere dettagli come:

  • frequenza di Backup
  • periodo di Conservazione
  • requisiti di Crittografia
  • metodi di Accesso
  • Personale autorizzato ad accedere ai dati di backup

Fare ZenGRC Parte del Vostro Piano di Protezione dei Dati

Come organizzazioni che producono e consumano sempre crescente quantità di dati, che spesso hanno difficoltà a utilizzare in modo appropriato, memorizzare, archiviare, e distruggerlo. La gestione manuale del ciclo di vita dei dati non è fattibile perché è inefficiente, richiede molte risorse e può creare seri rischi per la sicurezza e la conformità.

Per affrontare queste sfide è necessaria una soluzione automatizzata di gestione e backup dei record di conservazione dei dati. Ecco dove una piattaforma completa come ZenGRC offre le comodità e le funzionalità necessarie. ZenGRC può essere facilmente incorporato nella strategia di conservazione dei dati di un’azienda per soddisfare senza sforzo i requisiti legali e normativi.

ZenGRC consente alle organizzazioni di automatizzare il ciclo di vita dei dati, fornisce funzionalità di controllo difendibili, applica politiche di conservazione strutturate e mantiene la responsabilità tracciabile. Ottieni una demo e scopri di più sui flussi di lavoro di automazione, le integrazioni e le configurazioni di ZenGRC.

Leave a Reply