GDPR 是否要求已刪除的備份不可恢復?
儘管 GDPR 已經實施了一段時間,但到目前為止,我的組織基本上可以忽略它。豁免是因為我們所在政府的契約是臨時基礎,而新的供應商將他們的系統上線。當時的想法是我們會隨時關閉系統並移交。快進七年了,新的供應商沒有做他們要求的事情,所以我們留在原地。
該部現在告訴我們要讓自己遵守 GDPR,提出的問題之一是關於備份。我的理解是,對於日常業務,只需在備份文件過期時刪除它就足以合規。處理硬體時可能需要更徹底的清理,但無需採取額外措施即可進行一切照舊的備份維護。
但是,有人詢問我們是否需要從磁碟上完全刪除所有已刪除的文件。這種完全擦除顯然使用了第三方軟體來完全刪除文件並使其無法恢復。
由於 GDPR,現在完全刪除備份是常態嗎?
如果這是人們一直在做的事情,而我們從來沒有做對過,我也會接受。
從我作為非法律專家的立場來看,我們認為即使沒有在任何地方明確說明,使備份不可恢復也是盡職調查。如果法規說它需要消失,那麼它需要完全消失。許多人建議僅刪除備份就足夠了,但我們採取了更仔細的解釋,部分原因是我們更願意這樣做,部分原因是一些客戶無論如何都會堅持。我們與受到嚴格監管的公司合作,並儲存客戶使用者和客戶客戶的 PPI。
對於本地儲存,這是通過以下方式完成的:
- 靜態加密:我們所有的驅動器都使用 FDE(通過 Windows 的 BitLocker)。這也涵蓋了任何活動數據。
- 雖然以上對於大多數威脅來說應該足夠了(拿走驅動器的人應該無法解鎖它),但我建議粉碎文件而不是僅僅刪除它們。這並不能保護您免受 FDE 的影響(如果有人在通過 RCE 缺陷安裝時訪問驅動器,他們仍然會獲得尚未刪除的備份),這樣做很容易做到盡職調查。
- 正如您所說,在不再使用驅動器時正確處理它們:安全擦除然後物理銷毀。
- 考慮也為您的數據庫配置 TDE。
對於雲儲存,我們的控制較少,數據可能會在它處於活動狀態時移動到各處,即使您知道它存在於哪些驅動器上,您也沒有適當確保它們被安全擦除所需的控制級別,幾乎我們所有包含敏感數據的數據庫都在 Azure 中。在這裡你需要:
- 確保所有相關的儲存保護選項都已打開。DB 中的 TDE、儲存帳戶和 VM 驅動器上的 FDE……這些天通常都是預設設置,但請確保並考慮是否需要使用“自帶密鑰”變體等等。
- 確保為您向客戶提供的到期承諾正確設置備份保留級別。
根據我們對 GDPR 的解讀,備份是一個灰色地帶,無論如何,即使數據不存在,我們也會對我們的數據採取非常相似的立場,因此您可能需要讓具有立法專業知識的人來評估您的立場尊重您持有的數據以及關於誰和為誰的數據。
在考慮這些問題時要問自己的一個關鍵問題是:如果您是您的客戶,或者您是代表此類客戶對您進行評估的第三方審計師,或者您的個人數據在這些系統中,您是否對以下內容感到滿意?完成數據是否代表盡職調查和最佳實踐?
絕對不是律師,這絕不是法律建議。與專業人士交談。
那就是說…
我被告知可以接受的技術方法來自美國的法律體系。有一個法律程序(見上文,不是律師),案件以這樣的方式被駁回,不僅當事人是無辜的,而且從法律的角度來看,他們從未受到指控。他們是否需要檢查所有舊備份並刪除所有內容,或者使備份無法使用?
不。
相反,他們需要使用人工鑰匙來標記他們的案件。然後,當必須清除某些內容時,即使是從備份中,他們也會保留密鑰並根據該密鑰執行刪除過程作為還原的一部分。密鑰不能包含個人辨識資訊,否則會違背目的。它需要相當多的計劃和紀律,但這是我對如何管理這些事情的理解。
我已經和法律人士談過了(同樣,這並不適合你),他們說這種方法應該有效。然而,他們確實在語言方面確實對沖他們的賭注。我無法從任何人那裡得到完全、完美、足夠的保證。
當然,最重要的是,加密、隱私、安全,所有這些東西都必須到位。