Politica de păstrare și eliminare a datelor

Politica de păstrare și eliminare a datelor (P14) stabilește cerințe cuprinzătoare pentru păstrarea și eliminarea securizată a tuturor datelor organizației pe parcursul ciclului de viață, pentru a asigura conformitatea, a reduce riscul și a sprijini eficacitatea operațională. Această politică se aplică la nivelul întregii organizații, extinzându-se la fiecare activ informațional fizic și digital deținut, prelucrat sau păstrat de companie, inclusiv cele gestionate de terți, filiale și parteneri de externalizare. Activele acoperite includ fișiere digitale, baze de date, e-mailuri și sisteme de backup, precum și înregistrări pe hârtie și hardware dezafectat. Scopul principal al politicii P14 este de a defini controale stricte privind durata de păstrare a datelor, în funcție de nevoile legale, de reglementare și operaționale, și de a asigura ștergerea permanentă și securizată atunci când datele nu mai sunt necesare. Prin impunerea unor programe clare de păstrare a datelor și a unor proceduri riguroase de eliminare, politica sprijină cerințele ISO/IEC 27001:2022, permite managementul trasabil al înregistrărilor și protejează confidențialitatea, integritatea și disponibilitatea datelor. În mod important, politica ajută organizația să prevină acumularea inutilă de date care ar putea duce la încălcări ale confidențialității datelor, ineficiențe sau creșterea riscului de afaceri. Rolurile și responsabilitățile sunt clar delimitate în cadrul politicii: Conducerea executivă aprobă și supraveghează conformitatea; Ofițerul-șef pentru securitatea informațiilor (CISO) deține, definește și monitorizează implementarea politicii; DPO oferă consultanță privind confidențialitatea datelor și validează gestionarea datelor cu caracter personal; iar Proprietarii de informații se asigură că programele sunt justificate și autorizate. Echipele IT sunt responsabile pentru implementarea controalelor tehnice, în timp ce toți angajații, contractanții și terții relevanți au obligația de a urma instrucțiunile de păstrare și eliminare. Furnizorii externalizați și furnizorii de servicii cloud trebuie să respecte clauzele contractuale de securitate și să furnizeze dovezi de eliminare la cerere. Cerințele de guvernanță prevăd crearea și menținerea unui Program general de păstrare a datelor (MDRS), revizuit cel puțin anual, precum și aprobarea metodelor de eliminare și a certificatelor pentru toate datele expirate. Politica impune perioade de păstrare determinate de clasificare, corelate cu nevoile de afaceri și bazele legale, și interzice în mod explicit păstrarea pe termen nedefinit, orfană sau neaprobată. Prevederi specializate abordează păstrarea copiilor de rezervă și a arhivelor, asigurând alinierea cu obiectivele de recuperare în caz de dezastru și sprijin pentru ștergerea datelor la cerere, conform GDPR sau altor legi privind confidențialitatea datelor. Controalele de eliminare sunt aplicate conform NIST SP 800-88 sau standardelor echivalente, impunând metode ireversibile și documentate de distrugere atât pentru mediile digitale, cât și pentru cele pe hârtie. Reținerea în scop juridic și suspendarea ștergerii prevalează asupra programelor normale de ștergere în cazul unui litigiu sau al unei investigații, iar toate excepțiile de la păstrarea programată necesită evaluarea riscurilor și aprobarea conducerii. Activitățile de aplicare și conformitate includ audituri periodice, verificări de conformitate, raportarea încălcărilor și măsuri disciplinare, după caz. Politica solicită, de asemenea, instruire continuă de conștientizare a securității pentru personal și invocă Politica de răspuns la incidente pentru orice încălcare sau incident de eliminare. Prin revizuirea și actualizarea periodică a politicii și sincronizarea documentelor asociate, precum Politica de control al accesului și Politica de management al activelor, organizația asigură o abordare defensabilă, eficientă și aliniată la reglementări pentru guvernanța ciclului de viață al datelor.