Considerações Essenciais para o Desenvolvimento de uma Política de Retenção de Dados

Qualquer discussão sobre retenção de dados inevitavelmente inclui um fator legal, o que faz com que seja um tópico que os profissionais de TI tendem a evitar ou se afastar. Francamente, ninguém pode culpá-los, pois as decisões sobre quais dados podem ser excluídos têm implicações legais sérias. Por outro lado, não tomar decisões sobre a retenção de dados aumenta os custos de armazenamento e também pode levar a repercussões legais. Com esse contexto em mente, este artigo esboçará considerações para o desenvolvimento de uma política de retenção de dados.

Para os fins desta discussão, o termo "registro" neste artigo refere-se a dados do sistema computacional com significância comercial, não a todos os dados. Embora os registros em papel compartilhem características semelhantes, esta discussão se concentra em dados do sistema computacional.

A Significância de uma Política de Retenção de Dados

Há três objetivos principais de uma estratégia de retenção de dados eletrônicos, resumidos como segue:

• Para preservar registros e documentos importantes para uso e pesquisa futuros

• Para se livrar de registros e documentos que não são mais necessários

• Para organizar registros para acesso futuro

Quando analisamos a lista acima mais detalhadamente percebemos rapidamente que o primeiro ponto é a razão principal para a retenção de dados Retemos dados porque acreditamos que eles podem ser necessários posteriormente (já que representam uma riqueza de conhecimento e recursos) ou por razões legais. O segundo ponto destaca por que precisamos de uma estratégia — não queremos reter todos os dados indefinidamente a menos que seja absolutamente necessário. O terceiro ponto enfatiza que se não pudermos localizar e acessar registros quando necessário reter simplesmente os dados é sem sentido.

Motivação para Políticas de Retenção de Dados

O propósito de uma política de retenção de dados já foi claramente declarado. No entanto, ainda existem fatores comerciais que influenciam isso:

• Reduzindo a quantidade de dados para economizar custos

• Simplificando o gerenciamento de dados a um custo menor

• Cumprimento de regulamentos (regulamentações legais, proteção de privacidade)

A redução dos custos de armazenamento de dados pode impulsionar muitas iniciativas de políticas de retenção de dados Além dos custos simples de armazenamento existem custos associados à gestão de ambientes complexos de armazenamento e backup bem como impactos no crescimento do data center Embora as tecnologias de deduplicação de dados ajudem até certo ponto elas principalmente reduzem o impacto em vez de abordar a causa raiz Em outras palavras comprimir dados é importante mas reduzir o volume de dados que precisa ser comprimido é ainda melhor

Quais Dados Devem Ser Retidos e Quais Devem Ser Excluídos?

A primeira consideração para a retenção de dados é a conformidade regulatória: quais dados sua empresa está legalmente obrigada a manter e por quanto tempo. Ao desenvolver uma estratégia de retenção de dados, é necessário uma classificação inicial dos dados. Alguns pontos-chave para a classificação incluem:

• Os dados são um registro temporário?Arquivos de log, rascunhos e cópias de documentos em trabalho podem ser classificados como registros temporários e é improvável que sejam candidatos a armazenamento de longo prazo.

• Os dados são principalmente compostos de atributos de conhecimento? Dados desse tipo devem ser mantidos enquanto forem úteis até se tornarem obsoletos.

• Os dados são um registro de longo prazo? Documentos como contratos declarações de imposto informações de pacientes ou segredos comerciais devem ser mantidos por períodos especificados às vezes indefinidamente.

• Os dados estão sujeitos às leis de liberdade de informação e proteção de privacidade? Nesses casos, os documentos devem ser mantidos por períodos específicos antes da destruição obrigatória.

• É dado legítimo do negócio? Os funcionários frequentemente armazenam dados pessoais não relacionados ao negócio, como arquivos de áudio ou vídeo, nos dispositivos de armazenamento da empresa.

• Os dados estão sujeitos a descoberta legal em atividades judiciais? Em alguns casos, a ausência de uma política clara de retenção de dados pode ser desafiadora para os réus e aumentar o custo da descoberta de documentos, pois localizar documentos relevantes à litigação requer encontrar todos os documentos relacionados.

O último ponto mencionado deve ser a maior motivação para desenvolver uma política abrangente e aplicável de retenção de dados. Alguns dados, como registros fiscais, devem ser legalmente mantidos por períodos específicos, enquanto outros dados devem ser excluídos. Por exemplo, em abril de 2006, novas regras sobre provas cruciais e descoberta eletrônica emitidas pelo Supremo Tribunal dos EUA estabeleceram que as empresas não são obrigadas a manter todos os dados indefinidamente. A regra especifica que se uma empresa puder demonstrar que sua exclusão de dados foi um processo previsível, repetível e de negócios, ela pode ser isenta. A exclusão padronizada, rotineira, automatizada e verificável de emails pode ser o melhor exemplo desse comportamento. É importante enfatizar que, embora as políticas de retenção de dados devam ser compreensíveis, também devem ser gerenciáveis e aplicáveis. Para alcançar isso, a classificação de dados deve ser limitada a um pequeno escopo.

Gerenciando Políticas de Retenção de Dados

Já discutimos os objetivos, motivações e pontos-chave para selecionar dados para uma política de retenção, mas ainda resta uma pergunta: quem é responsável por criar e gerenciar essa política? Voltando à era do gerenciamento de documentos em papel, essa responsabilidade cabia aos gestores de registros, um papel que desapareceu em muitas empresas junto com os registros em papel. Desenvolver uma política requer colaboração entre administradores de armazenamento, líderes de aplicativos e pessoal executivo. Na prática, o departamento de TI pode precisar liderar os esforços para promover e gerenciar a retenção de dados como meio de controlar o crescimento do armazenamento.

A política em si não deve ser complexa, mas resumida em um documento que detalhe o cumprimento da política e as informações sobre retenção de dados. Como mencionado anteriormente, a política deve ser gerenciável e aplicável. Inicialmente, ela deve se concentrar nos dados que podem ou devem ser excluídos, e então expandir conforme necessário. A documentação da política deve ser revisada pelo conselho jurídico da empresa e apoiada por todos os departamentos de gerenciamento. Ela deve ser tratada como uma política de toda a empresa, não como um documento de boas práticas de TI. Revisões são necessárias, então a política deve ser revista anualmente para garantir sua continuidade e relevância. Softwares de descoberta e arquivamento de dados podem desempenhar um papel aqui, pois ninguém quer pesquisar e excluir dados manualmente. O software de automação garante o cumprimento ao identificar, migrar e eventualmente excluir dados (por exemplo, armazenamento de arquivos).

A retenção de dados, e mais importante ainda, a exclusão de dados, é uma tarefa complexa que não deve ser levada levemente. Dados que não precisam ser retidos devem ser excluídos assim que for confirmado que não são legalmente necessários. Deve ser enfatizado novamente que buscar orientação jurídica é necessário. As organizações não devem evitar essa tarefa importante e simples apenas porque não estão familiarizadas com as leis e regulamentos. Os benefícios de uma política de retenção de dados compreensível superam em muito os esforços envolvidos em sua criação e implementação.

Sempre Faça Backup de Dados Críticos

Quando se desenvolve e aplica políticas de retenção de dados, usar as ferramentas certas pode simplificar significativamente o processo de gestão e melhorar a conformidade. Vinchin Backup & Recovery é uma solução abrangente de proteção de dados projetada para proteger ambientes virtualizados, em nuvem e físicos. Ela suporta uma ampla gama de plataformas, incluindo VMware, Hyper-V, Proxmox, XenServer, oVirt e outras. O software oferece recursos como deduplicação de dados, compressão e opções flexíveis de backup e recuperação para garantir utilização otimizada de armazenamento e recuperação rápida.

Também fornece métodos flexíveis de retenção de dados data retention methods, suportando a retenção de dados de backup por dia, pelo número de pontos de backup ou pela cadeia de backup. Este mecanismo pode ser adaptado a diversos cenários de aplicação e diferentes políticas de RTO/RPO, o que aumenta significativamente a flexibilidade e a conveniência da gestão de dados.

É bastante fácil fazer backup de VMs com Vinchin Backup & Recovery:

1. Selecione o objeto do backup.

2. Selecione o destino do backup.

3. Configure estratégias de backup.

4. Reveja e envie o trabalho.

Aqui está uma versão de teste completa de 60 dias abaixo! Ou, entre em contato conosco com suas necessidades, e você receberá uma solução personalizada para seu ambiente de TI.

Perguntas Frequentes sobre a Política de Retenção de Dados

1. P: Por quanto tempo os dados devem ser retidos?

O período de retenção varia dependendo do tipo de dados regulamentações da indústria e necessidades organizacionais. As políticas geralmente são orientadas por leis padrões da indústria e requisitos internos como GDPR CCPA e outras regulamentações.

2. P: Como a retenção de dados é diferente do arquivo de dados?

A retenção de dados define por quanto tempo os dados são mantidos, enquanto o arquivo de dados refere-se à transferência de dados que não são mais utilizados ativamente para um sistema de armazenamento para retenção de longo prazo.

Conclusão

Uma política de retenção de dados é mais do que apenas uma ferramenta de conformidade; é um ativo estratégico que protege dados, mitiga riscos e otimiza custos. Ao estabelecer diretrizes claras de retenção, você pode navegar por paisagens regulatórias complexas, proteger dados sensíveis e manter a eficiência operacional. A implementação proativa e estratégica de políticas de retenção de dados não só minimiza riscos, mas também estabelece as bases para uma abordagem de gerenciamento de dados mais eficiente e resiliente.