O que é retenção de dados? Implementando Práticas Eficazes

Além do armazenamento: otimizando as políticas de retenção de dados para uma governança aprimorada.

Na era digital atual, os dados se tornaram a força vital dos negócios em todo o mundo, impulsionando a inovação, orientando a tomada de decisões e moldando as experiências dos clientes. No entanto, em meio a essa abundância de dados, reside um desafio crítico: como gerenciar e reter efetivamente essa riqueza de informações. Você sabia que, até 2025, a esfera de dados global deverá atingir a impressionante marca de 175 zettabytes, um aumento de dez vezes em relação a 2016? À medida que as organizações lidam com esse crescimento exponencial, a importância de retenção de dados A importância da retenção de dados nunca foi tão evidente. A questão é complexa, repleta de nuances e exige uma abordagem moderna para lidar com o crescente volume, variedade e sensibilidade dos dados corporativos.

Muitas empresas retêm dados em excesso de forma sistemática, expondo-se a enormes riscos. Cerca de um terço dos bancos de dados não foram alterados nos últimos três anos. — e 75% de registros retidos em excesso incluem dados pessoais ou sensíveisJunte-se a nós enquanto exploramos o papel vital da retenção de dados na proteção de informações, na garantia da conformidade e no fortalecimento da tomada de decisões estratégicas na era moderna.

O que é retenção de dados?

Retenção de dados Refere-se à prática de armazenar dados por um período específico. Isso pode ser feito por diversos motivos, incluindo conformidade legal, continuidade dos negócios e análise de dados. A retenção adequada de dados é importante para que as organizações garantam o acesso aos dados necessários para operar com eficácia, além de cumprirem todas as exigências legais e regulamentares.

Dependendo do setor e do país, a retenção de dados pode variar bastante na prática. Por exemplo, no sistema de saúde dos Estados Unidos, a retenção de dados é regida por diversas leis e regulamentações, principalmente a Lei de Proteção de Dados Pessoais (Lei nº 11.111/2011). Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)A HIPAA exige que as organizações de saúde mantenham os registros dos pacientes por pelo menos seis anos, ou por um período mais longo, se exigido pela legislação estadual.

O que é uma política de retenção de dados e o que ela deve incluir?

Uma política de retenção de dados é um conjunto de diretrizes que uma organização segue para reter e descartar dados, com base em requisitos regulamentares e necessidades internas. Para atender aos requisitos de conformidade, uma política de retenção de dados deve incluir o seguinte:

• Tipos de dados a serem retidos: A política deve especificar quais tipos de dados devem ser retidos., como dados financeiros, jurídicos, de saúde ou pessoais.
• Períodos de retenção: A política deve definir os períodos de retenção para cada tipo de dado, com base nos requisitos regulamentares e nas necessidades do negócio. O período de retenção deve ser suficientemente longo para atender aos requisitos do negócio e às obrigações regulamentares, mas não mais longo do que o necessário para evitar o armazenamento desnecessário de dados.
• Local de armazenamento: A política deve especificar onde os dados devem ser armazenados, se localmente, na nuvem ou em um ambiente de armazenamento híbrido.
• Controles de acesso: A política deve especificar quem tem acesso aos dados. e os procedimentos para acessá-los. Isso deve incluir diretrizes sobre como os dados são acessados, quem pode acessare quando o acesso for concedido.
• Destruição de dados: A política deve especificar como os dados são destruídos ao final do período de retenção. Isso deve incluir diretrizes para a exclusão segura dos dados ou o descarte da mídia física.
• Registro de informações: A política deve descrever os procedimentos para manter registros de retenção e destruição de dados. Isso inclui detalhes sobre quem é o responsável pelos dados, quando foram criados e quando foram destruídos.

Benefícios da retenção de dados

As empresas podem evitar violações e fortalecer a confiança do cliente definindo, gerenciando e remediando Políticas de retenção de dados em toda a empresa.

Organizações que implementam um programa robusto de retenção de dados podem:

• definir dados de acordo com o tempo que devem ser mantidos.
• Distinguir informações críticas de dados redundantes, obsoletos e triviais (ROT).
• levar em conta as exceções legalmente permitidas aos requisitos de retenção de dados (como, por exemplo, processos judiciais pendentes ou auditorias)
• Determinar se os registros devem ser arquivados ou excluídos.
• Manter equipes jurídicas e de TI para criar e operacionalizar políticas de retenção de dados.
• Criar uma ponte entre as equipes jurídicas e de TI para que possam manter uma comunicação constante, garantir a conformidade e se manter atualizadas com todas as regulamentações.

Melhores práticas para modificar uma política de retenção de dados

• Analisar a política existente: Analise a política existente para identificar áreas que precisam ser atualizadas, como mudanças nos requisitos regulamentares, novos tipos de dados ou alterações nos processos de negócios.
• Realizar uma avaliação de riscos: Realizar uma avaliação de riscos para identificar os riscos potenciais associados à retenção de dados e o impacto de alterações na política.
• Determine os períodos de retenção adequados: Determine os períodos de retenção adequados para cada tipo de dado com base nos requisitos regulamentares e nas necessidades da empresa.
• Identifique o local de armazenamento apropriado: Identifique o local de armazenamento apropriado para cada tipo de dado, como em infraestrutura própria ou na nuvem.
• Desenvolver procedimentos de destruição de dados: Desenvolver procedimentos para a destruição segura de dados ao final do período de retenção.
• Atualizar o treinamento e a conscientização dos funcionários: Atualize os programas de treinamento e conscientização dos funcionários para garantir que eles estejam cientes da política atualizada e compreendam suas responsabilidades em relação à retenção e destruição de dados.
• Obter aprovação: Obtenha a aprovação da alta administração ou do conselho de administração para garantir que a política atualizada esteja alinhada com a visão geral da organização. gestão de riscos e estratégias de conformidade.

A frequência com que uma política de retenção de dados deve ser modificada depende de diversos fatores, incluindo mudanças nos requisitos regulatórios, alterações nos processos de negócios e o nível de risco associado aos dados. Como regra geral, as organizações devem revisar sua política de retenção de dados pelo menos anualmente para garantir que ela permaneça atualizada e eficaz. Além disso, as organizações devem realizar avaliações de risco regulares para identificar quaisquer mudanças nos riscos associados à retenção de dados e tomar as medidas apropriadas conforme necessário.

Por que você precisa de um programa robusto de retenção de dados?

Uma política de retenção de dados é a pedra angular de qualquer esforço de gestão de dados. Tanto as políticas internas quanto as externas ditam regras e regulamentos, e é fundamental que as organizações sejam capazes de gerenciar um programa abrangente de retenção de dados que atenda a ambas.

Regulamentos de privacidade e proteção de dados, como o Regulamento Geral de Proteção de Dados da UE (RGPD) e o Lei de Privacidade do Consumidor da Califórnia (CCPA)Por exemplo, estabelecer requisitos específicos para as informações que as organizações podem reter — e o que precisam excluir — para proteger informações confidenciais do consumidor, minimizar o risco à privacidade individual e cumprir as normas. solicitações de acesso do titular dos dadose muito mais.

Qual é o período de retenção de dados?

Um “período de retenção de dados” — também conhecido como “período de retenção de registros” — refere-se ao tempo que uma organização mantém os dados. Não existe uma resposta única para a pergunta sobre quanto tempo esse período deve durar. Em última análise, depende.

Depende do tipo de dados, da finalidade para a qual esses dados foram coletados ou criados, se os dados ainda são considerados úteis e de outras considerações — dependendo da regulamentação.

Embora algumas regulamentações como a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) exigem que as informações sejam retidas por pelo menos seis anos “a partir da data de sua criação ou da data em que estiveram em vigor pela última vez, o que ocorrer por último”, nem todas. regulamentos Especifique os prazos.

Manutenção da conformidade regulamentar

Os requisitos específicos da política de retenção de dados para cada regulamentação variam, mas aqui estão algumas diretrizes gerais:

• Regulamento Geral de Proteção de Dados (RGPD): O RGPD exige que as organizações retenham dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados. As organizações devem ter uma política de retenção clara e devem ser capazes de demonstrar que estão em conformidade com essa política. Além disso, o RGPD exige que as organizações excluam ou destruam os dados pessoais de forma segura quando estes não forem mais necessários.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): A CCPA exige que as organizações divulguem sua política de retenção de dados e as categorias específicas de informações pessoais que coletam, usam e retêm. As organizações também devem fornecer aos consumidores o direito de solicitar a exclusão de suas informações pessoais e devem atender a essas solicitações dentro de um prazo específico.
• Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA): HIPAA A HIPAA exige que as organizações de saúde mantenham registros médicos e outras informações de saúde protegidas (PHI, na sigla em inglês) por um período mínimo de seis anos a partir da data de criação ou da data em que estiveram em vigor pela última vez. A HIPAA também exige que as organizações descartem as PHI de forma segura quando não forem mais necessárias.
• Lei Sarbanes-Oxley (SOX): A Lei Sarbanes-Oxley (SOX) exige que as organizações mantenham registros financeiros e contábeis por um período mínimo de sete anos. A SOX também exige que as organizações descartem esses registros de forma segura quando não forem mais necessários.
• Lei da Comissão Federal de Comércio (FTC): A FTC exige que as organizações retenham os dados por um período razoável para cumprir as finalidades para as quais foram coletados. As organizações também devem descartar os dados de forma segura quando não forem mais necessários.
• Lei Gramm-Leach-Bliley (GLBA): De acordo com a GLBA (Lei Gramm-Leach-Bliley), as instituições financeiras devem ter uma política de retenção de dados por escrito que descreva os tipos de informações do cliente que a instituição coleta, como as informações são usadas e por quanto tempo são retidas. A política também deve descrever como a instituição descarta as informações de forma segura quando elas não forem mais necessárias. A GLBA não especifica um período de retenção específico para informações do cliente, mas as instituições financeiras devem reter os registros por pelo menos cinco anos a partir da data em que os registros são criados ou da data em que deixam de estar em vigor.
• A Administração de Segurança e Saúde Ocupacional (OSHA): De acordo com as normas da OSHA (Administração de Segurança e Saúde Ocupacional), os empregadores devem manter registros de lesões e doenças ocupacionais por cinco anos e também devem manter registros de qualquer exposição de funcionários a certas substâncias perigosas, como chumbo e amianto, por pelo menos 30 anos. Os registros devem incluir informações como a data da lesão ou doença, o nome e o cargo do funcionário, o tipo de lesão ou doença e qualquer tratamento médico recebido.

Acelere seu programa de retenção de dados com o BigID.

BigID é a plataforma líder do setor para privacidade de dados, segurança, conformidade e gerenciamento de dados com IA, que ajuda as organizações a gerenciar melhor seus dados de ponta a ponta. Usando IA avançada e aprendizado de máquina, a BigID capacita as organizações a obter maior visibilidade de todos os seus ativos mais valiosos em toda a organização. multicloud, on-premise e além.

• Conheça seus dados — em escala: A BigID utiliza algoritmos de aprendizado de máquina para analisar e classificar dados automaticamente com base em sua sensibilidade, contexto e tipo, permitindo que as organizações os gerenciem adequadamente de acordo com os requisitos de retenção.
• Definir políticas de retenção de dados: Aplicativo de retenção de dados da BigID Permite que as organizações definam políticas de retenção de dados com base na sensibilidade dos dados, nos requisitos regulamentares aplicáveis e nas necessidades de negócio da organização. A plataforma automatiza a aplicação dessas políticas e alerta as organizações quando os dados atingem o fim do período de retenção.
• Melhorar a postura de segurança de dados: Priorizar e direcionar proativamente os riscos de dados, agilizar as operações de segurança (SecOps) e Automatizar DSPM Isso faz toda a diferença.
• Reduza sua superfície de ataque: Reduza a superfície de ataque eliminando proativamente dados sensíveis desnecessários e não essenciais para os negócios com Aplicativo de exclusão de dados da BigIDAutomatize a destruição segura de dados ao final do período de retenção, reduzindo o risco de acesso não autorizado ou violações de dados.

Para automatizar e reforçar o programa de retenção de dados da sua organização— Agende uma demonstração individual com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.