存储和删除用户数据
1)为什么需要保留和处置策略
目标是仅存储所需的数据,恰好是所需的数据,并在处理目标结束时安全地删除它们。这降低了法律风险、攻击表面、基础设施成本并简化了审计(许可证、PSP合作伙伴、监管机构)。
主要原则:- 与目标/基础挂钩(合同,法律,合法利益,同意)。
- 最小化和隔离(PII ↔别名↔匿名)。
- 可预测的时间表和可证明的处置程序。
- 持续控制(日志、报告、指标)。
2)数据区和建筑支架
区域A-PII/敏感:KYC,支付令牌,生物识别(允许的地方)。重新加密,严格的RBAC/ABAC,JIT访问。
B区-别名:用于分析/ML的稳定令牌;禁止直接识别。
C区-匿名单位:报告/研究;允许长期保留。
- Data Catalog/RoPA(操作注册表)、Retention Service(规则)、Deletion Orchestrator(端到端删除)、WORM归档(审计/事件)。
3)重构矩阵: 如何构成
步骤:1.比较处理目标↔法律依据↔数据类别↔时间表。
2.描述起点触发器(事件:创建会计,最后登录,帐户关闭,合同终止,最后交易)。
3.在结束时记录方法:删除,匿名,锁定(当需要"带状"时)。
4.指定所有者和例外情况(AML/税收/纠纷/欺诈)。
示例(对于wiki):4)储存政策(骨架)
1.范围,角色(数据所有者,DPO,安全,运营)。
2.定义(PD类别,区域,档案,备份,匿名/别名)。
3.将数据绑定到目标/理由和时间(引用还原矩阵)。
4.例外管理(法律"hold",调查,监管查询)。
5.访问控制,加密,上载审核。
6.修订顺序(季度/目标/提供商更改)。
5)拆卸和匿名的管道
阶段:- Mark-for-Deletion:记录和依赖项的标记;检查"holds"。
- Grace Period:错误取消的缓冲区(例如7-30天)。
- 软删除:从程序服务逻辑隐藏;停止通讯/处理。
- Hard Delete/Anonymize:主存储中的物理清除/不可逆匿名。
- Cascade&Fan-out:级联到衍生产品(缓存,搜索索引,fiche-stor,DWH,ML层)。
- Backups:延迟清除后备策略(见下文)。
- Evidence:删除行为(ID,分类器,时间,系统),WORM中的日志。
- 使用线性跟踪按主题键删除。
- 特效任务、恢复、重复数据消除命令。
- SLA:大多数离请求≤30天(如果适用)。
- 控制"失败"字段:用令牌/面具代替。
6)Bacaps和复制品: 如何处理副本
固定备份(ransomware-可持续性)通过单独的策略存储;禁止直接编辑。
从后备箱中删除对象是通过后备箱到期并禁止在导致重新识别的情况下恢复战斗环境来执行的。
记录:备份存储窗口(例如30/60/90天),恢复脚本以及恢复时的"sanitization"过程(用于重新删除标记条目的后脚本)。
7)例外和"法律限制"
有时,无法立即执行删除(例如AML,税务检查,法律纠纷)。程序:- 列出Legal Hold,说明理由、期限和所有者。
- 阻止出于指定目的以外的任何目的访问数据。
- 定期检查丘陵,并在基地消失后立即拍摄。
8)文档和文物
重构矩阵(可转换)。
删除过程(SOP):步骤、角色、SLA、升级。
Deletion Evidence Log (WORM):是谁/什么时候/结果。
Backups Policy:时间表、存储类、恢复测试。
数据线性图:从主表到派生层。
例外/法律霍尔德登记册。
9)度量与质量控制
Retention Adherence:按计划删除的条目的百分比。
Deletion SLA: 自请求/触发以来的中位数/第95 percentile。
Cascade Completion Rate:完成删除的系统比例。
Backups Window Compliance:按截止日期删除的备份的比例。
Access/Export Violations:未经授权的阅读/上载。
DSR SLA(如果适用):≤规定的时限作出答复。
事件率:删除失败/同步次数。
10)支票清单(运营)
发射前的fichi
- 确定了处理目标/基础和储存区(A/B/C)。
- 将字符串添加到还原矩阵(期限、触发器、方法)中。
- 配置了Deletion Orchestrator(键、级联、idempotency)。
- 已启用审计(WORM逻辑),RoPA已更新。
每日/每周
- 删除任务调度程序没有错误。
- 新的Legal Holds已注册,已过期-已删除。
- 已验证备份报告(创建/到期)。
每季度
- 重新定义矩阵和例外。
- 从becap+脚本的"sanitization"恢复测试。
- 调整度量(SLA,Cascade,Violations),改进计划。
11)常见错误以及如何避免错误
"关于库存"的存储→与目标的紧密联系;按类别自动化TTL。
没有级联→ 数据保留在缓存/索引/fiche-store中;介绍通用编排器。
使用prod-PD的Dev/Stage →使用合成套件/蒙版。自动凸出转储。
退出策略→定义窗口,禁止未经授权的恢复,"sanitization"测试。
缺乏证据→ WORM记录,删除行为,定期报告。
混合理由→共享营销/安全/合同;不要拖延最后期限"以防万一"。
12)自定义删除示例(端到端脚本)
1.用户关闭帐户或提交DSR进行删除。
2.异常检查(AML,争议)→如果存在-具有目标限制的法律保留。
3.如果没有霍尔德:Mark-for-Deletion → Grace 14天→软删除。
4.事务层中的Hard Delete/Anonymize,然后是缓存,索引,DWH,ML-fiche-stor中的级联。
5.在Evidence Log中编写,更新配置文件/邮件中的状态。
6.存储窗口到期时从后备箱中清除。
13)角色和责任(RACI)
Data Owner/Domain Lead-时机和目标;更新续集矩阵。
DPO/Privacy-遵守法律,例外咨询。
安全/CISO-加密,访问,审计,备份/恢复。
Data Engineering — Deletion Orchestrator, lineage, каскады.
支持/运营-DSR,状态和SLA通信。
法律机构-法律机构,与监管机构/法院互动。
14) Wiki的模板
Retention-Matrix.xlsx/MD(类别→目标→基础→期限→方法)。
Deletion-SOP.md(带升级的逐步法规)。
Backups-Policy.md(窗口、存储类、恢复测试计划)。
Legal-Holds-Register.md(制作/拍摄形式)。
Data-Lineage-Diagram(从表到衍生品的链接)。
Monthly-Privacy-Ops-Report.md(指标、事件、改进)。
15)实施路线图(6个步骤)
1.清单:数据/线程映射,目标和基础映射。
2.重构矩阵:时间表草稿+所有者;与Legal/DPO协调。
3.去除编排器:钥匙,级联,备用消毒,WORM记录。
4.政策/程序:Retention Policy,Deletion SOP,Backups Policy,Legal Hold。
5.自动化和监控:时间表、警报、仪表板。
6.审核和培训:季度修订,行为特写,恢复训练。
结果
有效的数据存储和删除是一个托管周期:目标→时限→控制→安全的删除/匿名→可证明性。区域隔离,重构矩阵,级联删除(包括备份),可理解的例外和指标将隐私和合规性从风险转变为竞争优势-对产品速度和UX质量没有损失。