Globální trendy v kontextu: Projednána mezinárodní pravidla pro dlouhodobé uchovávání dat
12 minut čtení
Kalyan Manyam0

Globální trendy v kontextu: Projednána mezinárodní pravidla pro dlouhodobé uchovávání dat

Soulad s uchováváním dat je náročný bez ohledu na odvětví. Zjednodušte a zefektivněte správu dat a zároveň zvyšte soulad s předpisy

uchovávání údajů—někdy také označované jako uchovávání záznamů — je ukládání a uchovávání dat a záznamů po určitou dobu, aby byly splněny požadavky na podnikání, audit a shodu. Od vedení přesných finančních záznamů a dodržování předpisů až po obnovu po havárii a zásobování analytickými nástroji, podniky závisí na správných zásadách uchovávání dat, aby fungovaly optimálně.

Dodržování zásad uchovávání dat prokazuje, že vaše firma nakládá s daty v souladu s průmyslovými standardy a zákony. Bez uchovávání dat vaše firma riskuje, že uchová příliš mnoho (nebo příliš málo) informací příliš dlouho (nebo nedostatečně).

V této příručce probíráme tři hlavní kategorie požadavků na uchovávání dat: vládní nařízení, mezinárodní standardy a předpisy specifické pro dané odvětví.

uchovávání údajů
Zdroj: Shutterstock

Proč je uchovávání dat zásadní pro ochranu vašich dat?

Uchovávání dat je zásadní při ochraně vaší společnosti a zájmů vašich zákazníků. Podniková data často obsahují informace, které jsou vysoce cenné v případě sporů; Komplexní struktura uchovávání dat může vaší firmě ušetřit významné právní poplatky a čas v případě regulačního auditu, daňových problémů, personálních problémů nebo spotřebitelských právních kroků.

Kromě toho efektivní strategie uchovávání dat vybaví podniky k poskytování lepších služeb zákazníkům. Použití archivních dat pro generování zpráv umožňuje identifikaci trendů a strategický rozvoj obchodních procesů. Uchovávání dat tedy není jen o uchování záznamů, ale také o vytvoření zdroje pro budoucí plánování.

Se zvýšeným soukromí údajů globálně se předpisy o údajích staly přísnějšími a složitějšími. Ačkoli se zákony o údajích liší mezinárodně a napříč odvětvími, základní pokyny pro uchovávání údajů vyžadují, aby podniky popsaly, jaká data shromažďují, proč je shromažďují, identifikovali, kde jsou uchovávána, a stanovily dobu uchovávání.

Nařízení vlády o uchovávání údajů

Zákony o uchovávání dat se mezi národy – a dokonce i v rámci nich – značně liší v různé intenzitě. Například kvůli federalizovanému systému USA se zákony mohou stát od státu lišit. Na druhou stranu Evropská unie jako nadnárodní orgán nastavuje jedny z nejpřísnějších datových protokolů na světě. Takzvaný „Bruselský efekt“ – při kterém regulace EU způsobí dominový efekt po celém světě – může způsobit, že podniky sídlící jinde budou stále dodržovat pravidla EU. To zdůrazňuje klíčovou zásadu týkající se uchovávání údajů: ujistěte se, že splňujete standardy každé země, ve které působíte.

Podívejme se na hrstku hlavních hráčů uchovávání údajů předpisy.

Nařízení vlády o uchovávání údajů
Zdroj: Shutterstock

United States

Provozovatelé podniků by měli znát platné federální a státní zákony, jako jsou:

  • Zákon o bankovním tajemství (BSA)
  • Federal Information Security Management Act (FISMA)
  • Zákon o federální obchodní komisi (FTC Act)
  • Zákon o spravedlivých pracovních standardech (FLSA)
  • Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)
  • Interní výnosová služba (IRS)

Zákon o záznamech transakcí v elektronické komunikaci také vyžaduje, aby poskytovatelé služeb uchovávali všechny záznamy po dobu 90 dnů a předložili je, pokud o to požádá vládní subjekt.

Švýcarsko

Švýcarské požadavky na uchovávání dat jsou definovány několika kodexy a vyhláškami. Patří mezi ně zákon o ochraně osobních údajů, trestní zákoník, zákon o dani z přidané hodnoty a vyhláška o obchodním účetnictví a uchovávání.

Zákony o uchovávání údajů vyžadují, aby podniky (včetně zrušených společností) uchovávaly údaje po dobu 10 let. Existuje požadavek na uchovávání záznamů o nemovitém majetku s DPH po dobu 20 let.

Čísla mobilních telefonů, umístění a identifikační údaje zařízení jsou některá data, která musí mobilní operátoři uchovávat po dobu šesti měsíců. Podobně musí poskytovatelé služeb uchovávat e-mailová data, včetně typů připojení, přihlašovacích údajů, identifikace uživatele, názvu e-mailu a IP adres.

Evropská unie

EU GDPR (General Data Protection Regulation) se zaměřuje na zničení osobních údajů po uplynutí doby udělení souhlasu, spíše než na diktování standardní doby uchovávání. Předpisy týkající se údajů se týkají všech transakcí uskutečněných v EU.

Instituce nebo podniky nesmějí uchovávat osobní údaje, které identifikují jednotlivce, déle, než je nutné pro původní účel shromažďování. Existují výjimky v případě údajů uchovávaných pro vědecké, historické účely nebo účely veřejného zájmu; anonymizované údaje mohou být také uchovávány po neomezenou dobu.

Podrobnosti o shromažďovaných, používaných nebo uchovávaných informacích musí být výslovně poskytnuty subjektu údajů. Podle GDPR musí všechny organizace také vypracovat zásady uchovávání údajů podrobně popisující jejich proces správy osobních údajů. Pokuty za porušení dosahují maximální výše 20 milionů EUR nebo 4 % celosvětových příjmů plus případné odškodnění zákazníka za škody.

Austrálie

Zásady uchovávání dat v Austrálii jsou z velké části zaměřeny na telekomunikace pro účely národní bezpečnosti a vyšetřování trestných činů. Australské předpisy vyžadují, aby poskytovatelé mobilních služeb uchovávali metadata po dobu dvou let, včetně informací o držiteli účtu, typu komunikace, trvání, umístění a telekomunikačních služeb.

Rozvoj technologií a měnící se obchodní modely vedly k tomu, že telekomunikační společnosti již neuchovávaly data dostatečně dlouho. Nedostatek údajů a nejednotné uchovávání vážně bránily vyšetřování trestných činů. V roce 2017 proto byly zavedeny nové zákony s dostupnými granty, které mají oprávněným poskytovatelům telekomunikačních služeb pomoci splnit předpisy o uchovávání údajů.

zásady uchovávání údajů
Zdroj: Shutterstock

Mezinárodní standardy pro uchovávání dat

ISO/IEC je společný technický výbor, který mezinárodně standardizuje normy informačních a komunikačních technologií. Kritéria regulace v následujících kategoriích informačních a komunikačních technologií jsou zásadní při určování vašich zásad a strategií uchovávání dat.

ISO / IEC 27040

Aspekty informační bezpečnosti systémů a infrastruktur pro ukládání dat byly zanedbávány kvůli omezené znalosti technologie ukládání a omezenému pochopení inherentních rizik a základních bezpečnostních konceptů. Tato norma poskytuje podrobné technické pokyny k technikám ukládání a zabezpečení ke zmírnění narušení dat, změn konfigurace, krádeže a jiného zneužití dat, a tím ke zlepšení ochrany uchovávání dat.

ISO 9001

Norma kvality ISO 9001 se zaměřuje na údržbu a uchovávání dokumentů a záznamů. Podle normy dokument popisuje co musí být hotovo. Protože se to může změnit, dokumenty jsou zachovány. Záznamy uvádějí co byl hotovo. Protože to nelze změnit, jsou zachovány.

Norma definuje požadavky na řízení těchto informací, včetně typu dat, schválení revizí dokumentu, distribuce informací a nakládání se zastaralými dokumenty.

ISO 17068: 2017

Tento standard se týká důvěryhodného úložiště třetích stran (TTPR) pro digitální záznamy. Požadavky specifikují podmínky pro autorizované služby úschovy dat, aby bylo možné spolehlivě chránit digitální záznamy jako zdroj důkazů během období uchovávání zákonné povinnosti. Předpisy platí ve veřejném i soukromém sektoru.

ISO / IEC 27001

ISO/IEC 27001 se zaměřuje na řízení informační bezpečnosti, aby konkrétně řešila výzvy kybernetické bezpečnosti. Poskytuje rámec pro implementaci systému řízení bezpečnosti informací k zajištění důvěrnosti a integrity všech podnikových dat během doby uchovávání dat. To zahrnuje finanční informace a informace o zaměstnancích, duševní vlastnictví a data spravovaná třetími stranami.

Norma obsahuje pokyny pro organizace, aby:

  • Zlepšete odolnost proti kybernetickým hrozbám
  • Poskytněte centrálně spravovaný rámec pro ukládání dat
  • Reagujte na bezpečnostní hrozby
  • Chraňte důvěrnost, dostupnost a integritu dat

Certifikace norem ISO/IEC není povinná, ale organizacím velmi prospívá při zefektivnění uchovávání a správy dat a také poskytuje klientům ujištění, že splňují určitá kritéria nakládání s daty.

Průmyslové předpisy týkající se uchovávání údajů

Odvětví potřebují různé údaje, a proto se liší ve způsobu shromažďování a správy citlivých informací. Zatímco pro většinu průmyslových odvětví platí široká škála pokynů pro nakládání s údaji, existují také předpisy týkající se údajů, které se velmi konkrétně vztahují na finanční, zdravotnické a farmaceutické instituce.

Průmyslové předpisy
Zdroj: Shutterstock

Standard zabezpečení dat odvětví platebních karet (PCI-DSS)

Bezpečnostní standardy PCI jsou technické a provozní požadavky na zabezpečení dat držitelů debetních a kreditních karet proti krádeži dat a podvodům. Tyto normy se vztahují na jakoukoli osobu nebo firmu, která uchovává, zpracovává nebo přenáší data držitelů karet. PCI-DSS zahrnuje předpisy pro aplikace a zařízení používaná při zpracování transakcí.

Protokoly auditu, správa protokolů a uchovávání protokolů jsou klíčové aspekty standardních požadavků. Protokoly auditu je třeba uchovávat po dobu nejméně 12 měsíců. Mezi další osvědčené postupy při udržování souladu a zajištění bezpečnosti uložených dat patří instalace brány firewall, šifrování typu end-to-end a antivirový software a také přísné monitorování přístupu.

Kalifornie Ochrana osobních údajů spotřebitelů zákon (CCPA)

CCPA se týká společností, které podnikají v Kalifornii. Konkrétněji se vztahuje na osoby s hrubým ročním příjmem 25 milionů USD nebo více, kteří zpracovávají osobní údaje více než 100,000 50 obyvatel Kalifornie, nebo na ty, u nichž alespoň XNUMX % příjmů pochází z prodeje osobních údajů obyvatel.

Zákon CCPA dává spotřebitelům kontrolu nad informacemi, které firmy shromažďují, včetně odhlášení ze sdílení osobních údajů a mazání shromážděných dat. Poskytuje také spotřebitelům zákonné právo vědět, jaké informace podnik shromažďuje, a omezuje použití uvedených shromážděných informací.

Sarbanes–Oxley Act (SOX)

SOX se týká zaznamenávání a vykazování firemních finančních aktivit, aby se zabránilo účetním skandálům a finančním ztrátám investorů. Zákon se vztahuje na všechny veřejné obchodní společnosti v USA.

SOX vyžaduje audit a uchování revizních dokumentů po dobu sedmi let po revizi nebo závěru auditu. V některých případech zákon vyžaduje trvalé uchovávání záznamů.

Vnitřní systém zabezpečení dat a kontrola finančních záznamů jsou klíčem k udržení přesného finančního výkaznictví. Zákon vyžaduje, aby nezávislý auditor ověřil správnost informací, včetně potvrzení o zdravé vnitřní finanční struktuře společnosti.

Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)

Tento zákon se netýká výlučně zdravotnické dokumentace, ale také stanoví předpisy pro uchovávání údajů pro různé další dokumenty související s HIPAA týkající se zahrnutých subjektů a obchodních partnerů. Je důležité, abyste si ověřili, zda jakákoli data, která zaznamenáte, mohou spadat pod jurisdikci HIPAA, i když se konkrétně nezabýváte lékařskými záznamy.

Předpisy HIPAA vyžadují, aby zahrnuté subjekty a obchodní partneři uchovávali uvedenou dokumentaci po dobu minimálně šesti let. Úřad pro občanská práva (OCR) Ministerstva zdravotnictví a sociálních služeb (HHS) si může vyžádat dokumenty kdykoli během auditu zahrnutého subjektu nebo obchodního partnera.

Udržování rekordů v potravinářském a nápojovém průmyslu (FDA)

V závislosti na tom, kde v dodavatelském řetězci potravinářské a nápojové podniky působí, mohou mít ze zákona potřebu zaznamenávat, udržovat a uchovávat dokumentaci prokazující vhodné průmyslové postupy. Dokumentace se může týkat:

  • Výroba
  • Zpracování
  • Manipulace a balení
  • Distribuce a držení
  • Příjem a dodavatelé
  • Kupující
  • Interní aktivity

Tyto záznamy usnadňují sledovatelnost v případě, že se objeví nesrovnalosti a obavy o bezpečnost potravin.

Uchovávání dokumentů ve farmaceutickém průmyslu

Farmaceutické společnosti ze zákona potřebují udržovat a uchovávat dokumentaci týkající se výroby, zpracování, balení, interních činností, distribuce a kupujících každé šarže. To umožňuje sledování šarží v případě jakýchkoli nesrovnalostí.

Tyto záznamy o výrobě, kontrole a distribuci šarže musí být uchovávány alespoň jeden rok po datu expirace šarže. Doba uchovávání údajů u volně prodejných (OTC) léků bez data expirace je tři roky po distribuci šarže.

Navrhovaná doba uchovávání pro klinické zkoušky a demonstrační šarže je životní cyklus plus jeden rok. Životním cyklem se rozumí celý proces od požadavků uživatele a návrhu až po realizaci, kvalifikaci a údržbu. Záznamy o školení musí být uchovávány po dobu sedmi let.

Uchovávání dokumentů ve farmaceutickém průmyslu
Zdroj: Shutterstock

Zjednodušte uchovávání dat v souladu s SOLIX

Udržování souladu s uchováváním dat může být náročné, bez ohledu na to, v jakém odvětví se pohybujete. Správné řešení správy dat však může výrazně zlepšit shodu a dostupnost dat.

SOLIXCloud je multicloudová platforma, která shromažďuje, spravuje a řídí uchovávání podnikových dat. Platforma je bezpečná, kompatibilní a nákladově efektivní; s automatickými kontrolami založenými na rolích můžete omezit přístup k datům na oprávněné strany – a zpřístupnit data příslušným zaměstnancům a právníkům odkudkoli a kdykoli.

Spojte se ještě dnes abyste zjistili, jak můžete zjednodušit a zefektivnit správu dat – a přitom ušetřit náklady a zlepšit soulad s nařízením o uchovávání dat.

VP Cloud & Product Marketing

Související příspěvky