O que é retenção de dados? Implementando Práticas Eficazes

Além do armazenamento: otimizando políticas de retenção de dados para governança aprimorada

Na era digital atual, os dados se tornaram a força vital das empresas em todo o mundo, impulsionando a inovação, impulsionando a tomada de decisões e moldando a experiência do cliente. No entanto, em meio a essa abundância de dados, existe um desafio crucial: como gerenciar e reter essa riqueza de informações de forma eficaz. Você sabia que, até 2025, a esfera de dados global deverá atingir impressionantes 175 zettabytes, um aumento de dez vezes em relação a 2016? À medida que as organizações navegam por esse crescimento exponencial, a importância de retenção de dados nunca foi tão pronunciada. A retenção de dados é complexa, cheia de nuances e exige uma abordagem moderna para lidar com o crescente volume, tipo e sensibilidade dos dados corporativos.

Muitas empresas sistematicamente retêm dados em excesso, o que as expõe a riscos enormes. Cerca de um terço dos armazenamentos de dados não foram tocados por três anos — e 75% de registros retidos em excesso incluem dados pessoais ou sensíveis. Junte-se a nós para explorar o papel vital da retenção de dados na proteção de insights, garantia de conformidade e fortalecimento da tomada de decisões estratégicas na era moderna.

O que é retenção de dados?

Retenção de dados refere-se à prática de armazenar dados por um período específico. Isso pode ser feito por diversos motivos, incluindo conformidade legal, continuidade dos negócios e análise de dados. A retenção adequada de dados é importante para que as organizações garantam o acesso aos dados necessários para operar com eficácia, além de cumprir quaisquer requisitos legais ou regulatórios.

Dependendo do setor e do país, a retenção de dados pode ser muito diferente na prática. Por exemplo, no setor de saúde dos Estados Unidos, a retenção de dados é regida por uma variedade de leis e regulamentos, principalmente o Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). A HIPAA exige que as organizações de saúde mantenham registros de pacientes por pelo menos seis anos, ou mais, se exigido por lei estadual.

O que é uma Política de Retenção de Dados e o que ela deve incluir?

Uma política de retenção de dados é um conjunto de diretrizes que uma organização segue para reter e descartar dados, com base em requisitos regulatórios e necessidades internas. Uma política de retenção de dados deve incluir o seguinte para atender aos requisitos de conformidade:

• Tipos de dados a serem retidos: A política deve especificar quais tipos de dados devem ser retidos, como dados financeiros, legais, de saúde ou pessoais.
• Períodos de retenção: A política deve delinear os períodos de retenção para cada tipo de dado, com base nos requisitos regulatórios e nas necessidades do negócio. O período de retenção deve ser longo o suficiente para atender aos requisitos do negócio e às obrigações regulatórias, mas não mais longo do que o necessário para evitar qualquer armazenamento desnecessário de dados.
• Local de armazenamento: A política deve especificar onde os dados devem ser armazenados, se no local, na nuvem ou em um ambiente de armazenamento híbrido.
• Controles de acesso: A política deve especificar quem tem acesso aos dados e os procedimentos para acessá-los. Isso deve incluir diretrizes sobre como os dados são acessados, quem pode acessá-lo, e quando o acesso é concedido.
• Destruição de dados: A política deve especificar como os dados serão destruídos ao final do período de retenção. Isso deve incluir diretrizes para a exclusão segura dos dados ou o descarte de mídias físicas.
• Manutenção de registros: A política deve delinear procedimentos para manter registros de retenção e destruição de dados. Isso inclui detalhes sobre quem é responsável pelos dados, quando eles foram criados e quando foram destruídos.

Benefícios da retenção de dados

As empresas podem evitar violações e fortalecer a confiança do cliente definindo, gerenciando e remediando políticas de retenção de dados em toda a empresa.

As organizações que implementam um forte programa de retenção de dados podem:

• definir os dados de acordo com o tempo que eles devem mantê-los
• distinguir informações críticas de dados redundantes, obsoletos e triviais (ROT)
• levar em conta as exceções legalmente permitidas aos requisitos de retenção de dados (como processos pendentes ou auditorias)
• determinar se os registros devem ser arquivados ou excluídos
• manter equipes jurídicas e de TI para criar e operacionalizar políticas de retenção de dados
• fornecer uma ponte entre as equipes jurídicas e de TI para que possam manter comunicação constante, atingir a conformidade e se manter atualizadas com todas as regulamentações

Melhores práticas para modificar uma política de retenção de dados

• Revise a política existente: Revise a política existente para identificar áreas que precisam ser atualizadas, como mudanças em requisitos regulatórios, novos tipos de dados ou mudanças em processos de negócios.
• Realizar uma avaliação de risco: Realize uma avaliação de risco para identificar os riscos potenciais associados à retenção de dados e o impacto das mudanças na política.
• Determine os períodos de retenção apropriados: Determine os períodos de retenção apropriados para cada tipo de dado com base nos requisitos regulatórios e nas necessidades comerciais.
• Identifique o local de armazenamento apropriado: Identifique o local de armazenamento apropriado para cada tipo de dado, como no local ou na nuvem.
• Desenvolver procedimentos de destruição de dados: Desenvolva procedimentos para destruir dados com segurança ao final do período de retenção.
• Atualizar o treinamento e a conscientização dos funcionários: Atualize os programas de treinamento e conscientização dos funcionários para garantir que eles estejam cientes da política atualizada e entendam suas responsabilidades em relação à retenção e destruição de dados.
• Obter aprovação: Obter aprovação da alta administração ou do conselho de administração para garantir que a política atualizada esteja alinhada com o objetivo geral da organização. gestão de riscos e estratégias de conformidade.

A frequência de modificação de uma política de retenção de dados dependerá de diversos fatores, incluindo mudanças nos requisitos regulatórios, mudanças nos processos de negócios e o nível de risco associado aos dados. Como regra geral, as organizações devem revisar sua política de retenção de dados pelo menos uma vez por ano para garantir que ela permaneça atualizada e eficaz. Além disso, as organizações devem realizar avaliações de risco regulares para identificar quaisquer mudanças nos riscos associados à retenção de dados e tomar as medidas adequadas, conforme necessário.

Por que você precisa de um programa forte de retenção de dados

Uma política de retenção de dados é a base de qualquer iniciativa de gerenciamento de dados. Tanto as políticas internas quanto as externas ditam regras e regulamentos, e é fundamental que as organizações consigam gerenciar um programa abrangente de retenção de dados que atenda a ambos.

Regulamentos de privacidade e proteção de dados como o Regulamento Geral de Proteção de Dados da UE (GDPR) e o Lei de Privacidade do Consumidor da Califórnia (CCPA), por exemplo, estabelecer requisitos específicos para as informações que as organizações podem reter — e o que precisam excluir — para proteger informações confidenciais do consumidor, minimizar o risco de privacidade individual, cumprir solicitações de acesso do titular dos dados, e muito mais.

Qual é a duração do período de retenção de dados?

Um "período de retenção de dados" — também conhecido como "período de retenção de registros" — envolve o período pelo qual uma organização retém os dados. Não há uma resposta única para a questão de quanto tempo isso deve durar. Em última análise, depende.

Depende do tipo de dado, da finalidade para a qual esses dados foram coletados ou criados, se os dados ainda são considerados úteis e outras considerações — dependendo da regulamentação.

Embora algumas regulamentações como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) exigem que a informação seja conservada durante pelo menos seis anos “a partir da data da sua criação ou da data da sua última entrada em vigor, o que for posterior”, nem todos regulamentos especificar prazos.

Manutenção da conformidade regulatória

Os requisitos específicos da política de retenção de dados para cada regulamentação variam, mas aqui estão algumas diretrizes gerais:

• Regulamento Geral de Proteção de Dados (RGPD): O GDPR exige que as organizações retenham dados pessoais apenas pelo período necessário para cumprir as finalidades para as quais foram coletados. As organizações devem ter uma política de retenção clara e devem ser capazes de demonstrar que estão em conformidade com a política. Além disso, o GDPR exige que as organizações excluam ou destruam com segurança os dados pessoais quando não forem mais necessários.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): A CCPA exige que as organizações divulguem sua política de retenção de dados e as categorias específicas de informações pessoais que coletam, usam e retêm. As organizações também devem conceder aos consumidores o direito de solicitar a exclusão de suas informações pessoais e atender a essas solicitações dentro de um prazo específico.
• Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA): HIPAA A HIPAA exige que as organizações de saúde mantenham registros médicos e outras informações de saúde protegidas (PHI) por um período mínimo de seis anos a partir da data de criação ou da data em que entraram em vigor pela última vez. A HIPAA também exige que as organizações descartem as PHI com segurança quando não forem mais necessárias.
• Lei Sarbanes-Oxley (SOX): A SOX exige que as organizações mantenham registros financeiros e contábeis por um período mínimo de sete anos. Ela também exige que as organizações descartem esses registros com segurança quando não forem mais necessários.
• Lei da Comissão Federal de Comércio (FTC): A FTC exige que as organizações retenham os dados por um período razoável para cumprir as finalidades para as quais foram coletados. As organizações também devem descartar os dados com segurança quando não forem mais necessários.
• Lei Gramm-Leach Bliley (GLBA): De acordo com a GLBA, as instituições financeiras devem ter uma política de retenção de dados por escrito que descreva os tipos de informações de clientes que a instituição coleta, como as informações são usadas e por quanto tempo são retidas. A política também deve descrever como a instituição descarta as informações com segurança quando elas não são mais necessárias. A GLBA não especifica um período específico de retenção para informações de clientes, mas as instituições financeiras devem reter os registros por pelo menos cinco anos a partir da data em que são criados ou da data em que não estão mais em vigor.
• Administração de Segurança e Saúde Ocupacional (OSHA): De acordo com os requisitos de manutenção de registros da OSHA, os empregadores devem manter registros de lesões e doenças ocupacionais por cinco anos e também devem manter registros de qualquer exposição do funcionário a certas substâncias perigosas, como chumbo e amianto, por pelo menos 30 anos. Os registros devem incluir informações como a data da lesão ou doença, o nome e o cargo do funcionário, o tipo de lesão ou doença e qualquer tratamento médico recebido.

Acelere seu programa de retenção de dados com o BigID

BigID é a plataforma líder do setor em privacidade de dados, segurança, conformidade e gerenciamento de dados por IA, que ajuda as organizações a gerenciar melhor seus dados de ponta a ponta. Utilizando IA avançada e aprendizado de máquina, o BigID capacita as organizações a obter maior visibilidade de todos os seus ativos mais valiosos em todo o mundo. multi-nuvem, no local e além.

• Conheça seus dados — em escala: O BigID usa algoritmos de aprendizado de máquina para escanear e classificar dados automaticamente com base em sua sensibilidade, contexto e tipo, permitindo que as organizações os gerenciem adequadamente com base nos requisitos de retenção.
• Definir políticas de retenção de dados: Aplicativo de retenção de dados da BigID permite que as organizações definam políticas de retenção de dados com base na sensibilidade dos dados, nos requisitos regulatórios aplicáveis e nas necessidades comerciais da organização. A plataforma automatiza a aplicação dessas políticas e alerta as organizações quando os dados atingem o fim do período de retenção.
• Melhore a postura de segurança de dados: Priorize e direcione proativamente os riscos de dados, agilize o SecOps e automatizar DSPM isso faz a diferença.
• Reduza sua superfície de ataque: Reduza a superfície de ataque eliminando proativamente dados confidenciais desnecessários e não essenciais para os negócios com Aplicativo de exclusão de dados da BigID. Automatize a destruição segura de dados ao final do período de retenção, reduzindo o risco de acesso não autorizado ou violações de dados.

Para automatizar e reforçar o programa de retenção de dados da sua organização— Agende uma demonstração individual com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.