o que é uma política de retenção de dados?
uma política de retenção de dados é o protocolo estabelecido por uma empresa para manter registros por um determinado período de tempo. Também pode ser chamado de política de retenção de registros ou política de retenção de backup. O objetivo é proteger seus dados e garantir a conformidade com necessidades específicas de negócios, diretrizes do setor ou requisitos legais.Uma política abrangente de retenção de dados e um plano de gerenciamento de registros detalham os motivos pelos quais uma empresa deseja reter registros específicos e onde armazenará ou arquivará esses dados. A política também deve incluir informações sobre quem é responsável por cada tipo de dados e como ele será excluído (ou purgado) no final de seu período de retenção.
uma política de retenção de dados também deve especificar procedimentos de armazenamento de backup para ajudar uma empresa a se recuperar se tiver perda de dados.
por que uma política de retenção de dados é importante?
Backups regulares e arquivamento
backups de dados adequados são essenciais para o seu plano de continuidade de negócios quando confrontados com Desastres inesperados. Suponha que uma organização não tenha medidas abrangentes de backup de dados em vigor. Nesse caso, a recuperação de desastres será incompleta e afetará a continuidade dos negócios devido à falta de acesso aos dados e registros necessários para funcionar corretamente.Por outro lado, fazer backup de muitos dados pode causar confusão durante o processo de recuperação. Além disso, retenção desnecessária e backups completos podem consumir espaço de armazenamento caro e diminuir a velocidade de acesso à rede.Assim, uma política de retenção de dados ajuda a garantir que a empresa retenha ou Faça backup dos dados apropriados por um período de tempo adequado.
gerenciamento simplificado de dados
uma política de retenção faz parte da estratégia geral de gerenciamento de dados de uma empresa. A organização deve delinear todos os diferentes tipos de dados e registros que retém e por quanto tempo cada tipo deve ser armazenado e feito backup. A Política ajuda a garantir que dados desatualizados ou duplicados sejam descartados adequadamente, facilitando a localização de dados que ainda são relevantes e úteis.
conformidade Legal e Regulatória
o gerenciamento eficiente de dados e registros pode suportar as principais funções de negócios e ajudar a organização a cumprir suas obrigações legais, estatutárias e regulatórias. Nos últimos anos, o foco na privacidade de dados aumentou, o que resultou em leis e regulamentos mais complexos em todo o mundo.Como exemplo, as empresas de capital aberto nos Estados Unidos devem estabelecer uma política de retenção para atender aos requisitos de retenção de dados descritos na Lei Sarbanes-Oxley (SOX). Da mesma forma, as organizações de saúde estão sujeitas aos requisitos de retenção de dados do Health Insurance Portability and Accountability Act (HIPAA).Além disso, as empresas que processam pagamentos de clientes (por exemplo, através de cartões de crédito) devem aderir aos requisitos de retenção de dados e Eliminação de dados especificados no padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS).Qualquer empresa global que recolha e processe os dados pessoais dos cidadãos da UE deve cumprir os requisitos de retenção de dados do Regulamento Geral de proteção de dados da União Europeia (RGPD). Para cumprir a lei de proteção de dados GDPR, as Políticas de retenção de dados devem explicar o que está sendo coletado, por que está sendo coletado, onde está sendo mantido e o período de retenção.Além de cumprir essas leis, uma política de retenção de dados pode ajudar uma organização a garantir que a privacidade e a confidencialidade de seus dados sejam mantidas. Também pode proteger a empresa de multas por não conformidade ou outras ações punitivas e responsabilidades legais futuras.
atender às necessidades de negócios
as organizações também podem ter necessidades contratuais e comerciais específicas que exigem uma política de retenção de dados. Como tal, a política deve especificar por quanto tempo a empresa manterá conjuntos de dados específicos e como planeja fazer exceções em caso de ações judiciais ou outras interrupções.
como determinar a retenção de dados apropriada
para implementar uma política eficaz de retenção de dados, a empresa deve primeiro identificar os tipos de dados que armazena. Então, ele deve classificar esses dados. Essas etapas são cruciais porque a retenção de dados “apropriada” geralmente depende do tipo de dados a serem retidos.
o ciclo de vida dos dados ou o período de retenção também são importantes. Alguns dados podem ser classificados com um curto período de armazenamento antes da exclusão automatizada, como e-mails autônomos. Enquanto outros registros, como contratos de vendas e os detalhes associados, devem ser armazenados por muitos anos.Por exemplo, as organizações de saúde armazenam informações pessoalmente identificáveis (PII), como nome do paciente, data de nascimento, número da Previdência Social e dados médicos. As empresas de serviços financeiros armazenam as pontuações de crédito dos clientes, o histórico de pagamentos e as informações sobre empréstimos. A Política de retenção deve considerar cada um desses tipos de dados e atribuir ciclos de vida apropriados de acordo.
componentes-chave de uma política de retenção de Dados bem-sucedida
uma política de retenção de dados deve cobrir como a organização fará backup, arquivará e excluirá registros em papel e digitais. O documento final deve ser holístico e coeso com entradas de vários grupos e se aplica a toda a empresa. A política pode ser atualizada ou revisada, e um registro dessas revisões deve ser mantido dentro do documento.
uma política de retenção de dados ou backup de dados pode incluir algumas ou todas as seguintes seções:
requisitos legais e comerciais aplicáveis
esta seção deve detalhar a necessidade comercial e legal de retenção e backups de dados. Deve ser atualizado à medida que os requisitos e regulamentos mudam.
Procedimentos de retenção de dados
cada registro e tipo de dados terão diferentes períodos e processos de retenção. Considere onde os dados serão retidos, como serão copiados e por quanto tempo. Especifique a função ou equipe que possui cada tipo de dados e é responsável por gerenciá-lo. Também é importante mencionar quais tipos de registros não precisam ser retidos e podem ser excluídos imediatamente.
Procedimentos de destruição de dados
é essencial destacar como os registros serão excluídos quando o tempo de retenção acabar. Especifique o processo para destruir documentos em papel. Detalhe quais documentos eletrônicos precisam ser excluídos manualmente versus quais são automaticamente eliminados pelo sistema.
Procedimentos de arquivamento de dados
alguns dados podem não ser necessários para o uso diário, mas ainda devem ser arquivados por razões legais ou regulamentares. Os procedimentos de arquivamento especificam os tipos de documentos, locais de armazenamento e processos de recuperação.
talvez alguns documentos em papel sejam armazenados fora do local para recuperação apenas se necessário. Certos documentos eletrônicos podem ser armazenados em servidores diferentes para garantir um tempo de resposta rápido e evitar a desordem em servidores locais.
processos de exceção
a organização pode ter algumas exceções aos seus procedimentos padrão de retenção, destruição ou arquivamento de dados. É importante esclarecer essas exceções na política de retenção de dados para garantir que não haja confusão ou falha de comunicação.
respostas adequadas às solicitações de descoberta, Legal ou auditoria
se houver alguma solicitação de descoberta, legal ou auditoria, a organização deve ter uma resposta padronizada. Esta seção deve especificar o processo de resposta, Quem é responsável por fazer a resposta e como ela será documentada.
além das seções acima, uma política abrangente de retenção deve incluir o seguinte:
- nome da Empresa e detalhes para contato
- controle de Versão
- finalidade da Política
- partes Afetadas
- termos-Chave usados
- Funções e responsabilidades do pessoal envolvido
Práticas recomendadas para fazer Backup de Dados
espaço de Armazenamento pode ser caro, e cada pedaço de dados não precisa ser feito. Quando se trata de retenção de dados e backups, as necessidades de cada organização são diferentes. Não há regras definidas sobre estratégia de backup, frequência ou períodos de retenção. Uma organização deve avaliar seus requisitos de forma holística ao desenvolver sua política de retenção de dados.
no entanto, existem várias práticas recomendadas que as organizações podem considerar para começar:
identificar e classificar tipos de dados
classificar dados pode ajudar a identificar quais dados precisam ser copiados ou arquivados e por quanto tempo. Essas perguntas podem ajudar a determinar se um determinado tipo de dados precisa ser copiado:
- os dados são críticos agora?
- é provável que permaneça crítico no futuro?
- é propriedade intelectual?
- constitui segredos comerciais confidenciais?
- é um documento permanente?
identificar requisitos legais
aqui, a questão mais importante é: os dados são necessários para conformidade ou auditorias?As organizações devem determinar se há requisitos legais ou regulamentares para fazer backup de dados por um determinado período de tempo e gerenciar sua política de backup de acordo.
identificar requisitos de negócios
a Política de backup deve considerar os requisitos de negócios da organização em relação a cada tipo de dados e como eles são copiados. Isso pode depender da probabilidade de perda de dados, da importância relativa dos dados e da frequência com que os dados são atualizados.
especifique detalhes relevantes
a política deve incluir detalhes como o:
- Cópia de segurança de frequência
- período de Retenção
- requisitos de Criptografia
- métodos de Acesso
- Pessoal autorizado a acessar os dados de backup
Fazer ZenGRC Parte de Seu Plano de Proteção de Dados
Como as organizações geram e consomem quantidades cada vez maiores de dados, muitas vezes se esforçam para adequadamente, utilizar, armazenar, arquivar e destruí-lo. Gerenciar manualmente o ciclo de vida dos dados não é viável porque é ineficiente, consome muitos recursos e pode criar sérios riscos de segurança e conformidade.
uma solução automatizada de gerenciamento e backup de registros de retenção de dados é necessária para enfrentar esses desafios. Aqui é onde uma plataforma abrangente como ZenGRC fornece as conveniências e recursos que você precisa. O ZenGRC pode ser facilmente incorporado à estratégia de retenção de dados de uma empresa para atender facilmente aos requisitos legais e regulamentares.
o ZenGRC permite que as organizações automatizem seu ciclo de vida de dados, fornece recursos de auditoria defensáveis, impõe Políticas de retenção estruturadas e mantém uma responsabilidade rastreável. Obtenha uma demonstração e saiba mais sobre os fluxos de trabalho, integrações e configurações de automação do ZenGRC.
Leave a Reply