سياسة الاحتفاظ بالبيانات

من أجل جمع ومعالجة البيانات الحساسة للمستهلكين لتلبية احتياجات العمل اليومية وعلى المدى الطويل ، يجب على الشركات تنفيذ سياسة الاحتفاظ بالبيانات التي تتوافق مع معايير الاحتفاظ المنصوص عليها في قوانين خصوصية البيانات الفيدرالية والدولية وتفرضها.

ما هي سياسة الاحتفاظ بالبيانات؟

تحدد سياسة الاحتفاظ بالبيانات الخاصة بالشركة الغرض من جمع البيانات الحساسة ، وكيفية معالجة هذه البيانات واستخدامها للأعمال التجارية ، والمدة التي يجب الاحتفاظ بها ، وكيف سيتم التخلص منها عندما لا تعود صالحة للاستخدام ، وفقًا لمتطلبات التنظيم.

بالإضافة إلى الحفاظ على الامتثال التنظيمي ، تحافظ سياسة الاحتفاظ بالبيانات على مستودعات التخزين نظيفة ومنظمة وخالية من المعلومات القديمة التي قد تشكل تهديدًا لأمن البيانات. ستوفر المال على التخزين وتزيد الكفاءة عندما يتعلق الأمر بتحديد موقع البيانات ، كل ذلك مع حماية المعلومات الحساسة للمستهلكين من خلال سياسة الاحتفاظ المعمول بها.

المكونات الأساسية لسياسة الاحتفاظ بالبيانات

 يجب أن تنص السياسة بوضوح على أغراض جمع البيانات الحساسة وتخزينها ، والتي تشمل معلومات بطاقة الدفع أو سجلات الرعاية الصحية أو معلومات التعريف الشخصية الأخرى (PII). تجمع العديد من الشركات أشكالًا متعددة من البيانات الحساسة ، وبالتالي فهي تخضع لعدة لوائح خصوصية البيانات.
 بناءً على البيانات التي تجمعها ، يجب على الشركة إدراج تلك اللوائح ، وبشكل أكثر تحديدًا ، متطلبات الاحتفاظ بها. يمكن أن يشمل ذلك الجدول الزمني للاحتفاظ ، والتدابير الأمنية المعمول بها لحماية البيانات أثناء الاحتفاظ بها ، وتعليمات التدمير بعد انقضاء فترة الاحتفاظ ، والإجراءات التي تتخذها الشركة عندما يتعلق الأمر بتنفيذ السياسة ، ودعم الامتثال ، والرد على خرق البيانات .
 تتضمن خطة الاستجابة الشائعة للاختراق استعادة البيانات من النسخ الاحتياطية ، ويجب أن تحدد سياسة الاحتفاظ بالبيانات إرشادات لها أيضًا ، أي مدى تكرار حدوثها وكيفية الاحتفاظ بها. نظرًا لأن النسخة الاحتياطية تتضمن نسخ بياناتك الحساسة إلى موقع تخزين ثانوي في حالة تعديلها لخرق أو فقدها تمامًا ، فلا تزال اللوائح القانونية سارية. إذا كان هناك خطر فقدان البيانات - ودائمًا ما يكون موجودًا في الوقت الحاضر - فإن مستوى حساسية بياناتك سيؤثر على إيقاع النسخ الاحتياطي ، والذي يمكن أن يتراوح من يومي إلى سنوي. يجب الاحتفاظ بالنسخ الاحتياطية اليومية والأسبوعية لفترة زمنية أقصر بكثير من النسخ الاحتياطية الشهرية أو السنوية ، ولكن مهما قررت ، يجب توثيقها في سياستك.

كيف تملي البيانات الحساسة سياسات الاحتفاظ بالبيانات

الآن أنت تفهم حجم الدور الذي تلعبه اللوائح في تشكيل سياسات الاحتفاظ بالبيانات. إن الخطوة الأساسية لضمان حسابات السياسة الخاصة بك لجميع البيانات التي تمتلكها مؤسستك - والتي تفي بدورها بمتطلبات الاحتفاظ الخاصة بالامتثال - هي اكتشاف بيانات شامل ودقيق يقوم بمسح جميع المواقع داخل مؤسستك حيث من المحتمل أن تتواجد البيانات ويحددها. إذا كان نوع معين من البيانات الحساسة يمر دون أن يلاحظه أحد ، ودون حماية ، والاحتفاظ به بشكل غير صحيح ، فقد تكون عقوبات عدم الامتثال الناتجة مدمرة.

دعونا نلقي نظرة على متطلبات الاحتفاظ لبعض اللوائح الأكثر صرامة

 عندما يتعلق الأمر باللائحة العامة لحماية البيانات (GDPR) ، التي تحمي معلومات تحديد الهوية الشخصية لمواطني الاتحاد الأوروبي ، فإن مقدار الوقت المحدد للاحتفاظ بالبيانات ليس إلزاميًا. بدلاً من ذلك ، يتطلب القانون من الشركات أن تنص صراحةً في سياساتها على غرض جمع البيانات الحساسة ومعالجتها ، وبمجرد أن تصبح هذه البيانات غير مفيدة للغرض المعلن ، لم يعد من الممكن الاحتفاظ بها.
 وبالمثل ، تتطلب PCI-DSS معلومات بطاقة الدفع التي تحميها ليتم إتلافها عندما لا تكون هناك حاجة إليها لأسباب تجارية أو قانونية ، ولكنها لا تقدم فترة احتفاظ محددة.
 تتطلب CCPA في الواقع من المنظمات التي تجمع معلومات تحديد الهوية الشخصية من سكان كاليفورنيا التمسك بهذه البيانات ، حيث يمنح القانون المستهلكين الحق في طلب معلومات حول كيفية استخدام بياناتهم ، وكذلك الحق في طلب حذف بياناتهم. يجب الاحتفاظ بسجلات طلبات الوصول إلى موضوع البيانات هذه لمدة 24 شهرًا. إذا لم تتمكن الشركة من تلبية DSAR لأنها حذفت البيانات في وقت مبكر جدًا ، فإنها تنتهك الامتثال.
 أخيرًا ، هناك FERPA ، الذي يحمي سجلات الطلاب. يحتوي هذا القانون على فترة احتفاظ بالبيانات محددة المدة التي ينشط فيها الطالب ، بالإضافة إلى ست سنوات بعد توقفهم عن النشاط.

إثبات أهمية التصنيف والمعالجة

مع وجود الكثير من البيانات التي يجب تتبعها ، يمكن أن يكون الالتزام بمتطلبات الاحتفاظ مملاً ويستغرق وقتًا طويلاً ومن المستحيل تحقيقه من خلال العمليات اليدوية. وهذا ما يجعل أدوات التصنيف والمعالجة الآلية التي يمكنها تطبيق سياسات الاحتفاظ بالبيانات بكفاءة ودقة.

عندما يتم اكتشاف البيانات الحساسة ، يصنفها برنامج التصنيف الآلي بناءً على معايير مختلفة ، بما في ذلك لوائح الامتثال التي تخضع لها ، ومستوى حساسيتها ، والمعلمات المخصصة الأخرى ، مثل سياسة الاحتفاظ بالبيانات لشركتك. من هنا ، يمكن معالجة البيانات واستخدامها بأمان من قبل الأفراد المعتمدين داخل مؤسستك ، وفقط للغرض الموضح في سياسة الاحتفاظ الخاصة بك.

بفضل هذا التصنيف الدقيق للبيانات ، يمكن لأدوات العلاج الآلي بعد ذلك التخلص من البيانات وفقًا لسياستك. لا تدعو جميع السياسات إلى إتلاف البيانات بمجرد انتهاء فترة الاحتفاظ بها. بالإضافة إلى الحذف الآمن ، يمكن للمعالجة نقل البيانات الحساسة القديمة إلى موقع ثانوي لأغراض الأرشفة. يمكنه أيضًا استخدام النسخ الاحتياطية لاستعادة البيانات التي تم حذفها قبل الأوان قبل انتهاء فترة الاحتفاظ بها. عند الحديث عن النسخ الاحتياطية ، يمكن للمعالجة الآلية إدارة الاحتفاظ بها وتدميرها في الوقت المناسب ، لذلك لا يتم التغاضي عن النسخ الاحتياطية القديمة ويعرض الامتثال للخطر.

باختصار ، تعتبر أدوات التصنيف والمعالجة الآلية ضرورية لفرض سياسة الاحتفاظ بالبيانات المتوافقة ، وعلى نطاق أوسع ، فإنها تزيل المكون اليدوي - والمحفوف بالمخاطر - من أمان البيانات والامتثال.
تقوم منصة البيانات الحساسة تلقائيًا باكتشاف وتصنيف ومعالجة بياناتك الحساسة بحيث يمكن تأمينها والاحتفاظ بها بشكل مناسب وفقًا للوائح (اللوائح) القانونية التي تحميها ، وكذلك سياسة الاحتفاظ بالبيانات الخاصة بك.