Διαγραφή και ανωνυμία δεδομένων
1) Σκοπός και περιοχή
Διασφάλιση νομικής, ασφαλούς και αποδεδειγμένης διαγραφής/ανωνυμοποίησης δεδομένων παικτών, συναλλαγών και λειτουργικών αρχείων καταγραφής σε όλα τα συστήματα (προϊόν/πορτοφόλι, KYC/AML, RG, marketing/CRM, analytics/DWH, logs/AWP), συμπεριλαμβανομένων των πωλητών/παρόχων και των εφεδρών, λαμβάνοντας υπόψη τον εντοπισμό ανά δικαιοδοσία.
2) Αρχές
1. Πολιτική πριν από την πρακτική. Η διατήρηση, οι στόχοι και οι χώροι αποθήκευσης προσδιορίζονται πριν από τη συλλογή.
2. Ελαχιστοποίηση και διαχωρισμός. Χωριστά θησαυροφυλάκια για PII, μαρκινοποίηση σε γεγονότα.
3. Διαγραφή = γεγονός με αποδεικτικά στοιχεία. Κάθε διαγραφή επιβεβαιώνεται από τεχνούργημα.
4. Αποτυχία-Κλείσιμο. Άγνωστη κατάσταση/περιοχή → δεν επιτρέπονται λειτουργίες PII.
5. Αντιγραφή αντιγράφων ασφαλείας. Τα αντίγραφα ασφαλείας ακολουθούν τους ίδιους κανόνες με τα δεδομένα μάχης.
6. "Ανωνυμοποίηση αντί για αέναη αποθήκευση. "Εάν ο νόμος δεν απαιτεί το PII, το μεταφέρουμε σε συγκεντρωτικά μεγέθη.
3) Ρόλοι και ΠΓΣ
ΥΠΔ/Συμμόρφωση (ιδιοκτήτης) - πολιτική διατήρησης/διαγραφής, εξαιρέσεις, έλεγχος. (A)
Ασφάλεια/Infra - κρυπτογράφηση, κλειδιά, διαγραφή κρυπτογράφησης, αντίγραφα ασφαλείας/DR. (R)
Πλατφόρμα δεδομένων/Analytics - αγωγοί de-PII, συγκεντρωτικά στοιχεία, DWH/DL. (R)
Προϊόν/Μηχανική/SRE - αφαίρεση API, καταρράκτες, δοκιμές, παρατηρησιμότητα. (R)
Νομικοί - τοπικοί όροι και περιορισμοί (AML/αδειοδοτημένη). Γ)
Privacy Ops/DSAR Team - προσαρμοσμένες διαγραφές/διορθώσεις. (R)
Διαχειριστής πωλητή - υποχρεώσεις των πωλητών, επιβεβαίωση της εκτέλεσης. (R)
Εσωτερικός έλεγχος - δείγματα, CAPA. Γ)
4) Ταξινόμηση δεδομένων και πρότυπο διατήρησης
5) Τεχνικές μέθοδοι
5. 1 Αφαίρεση
Κλιμακωτή λογική/φυσική: απαλή διαγραφή → εργασίας για φυσική διαγραφή.
Κρυπτογράφηση: καταστροφή του κλειδιού κρυπτογράφησης τμήματος/ενοικιαστή. ισχύει για αντίγραφα ασφαλείας/αρχεία.
Ανάκληση μαρκών: ανάκληση μαρκών πληρωμής/ιχνηλάτη από τους παρόχους.
Εκμηδένιση/μάσκα για πεδία που απαιτούν επίσημη εγγραφή εκτός (για παράδειγμα, λογιστική).
5. 2 Ψευδωνυμοποίηση
Αντικατάσταση πρωτογενών αναγνωριστικών με μάρκες. ο πίνακας χαρτογράφησης αποθηκεύεται χωριστά με ξεχωριστό KMS.
5. 3 Ανωνυμοποίηση
Συνάθροιση/συνένωση, k- anonimnost/ℓ - diversity, binning, σπάνια απόκρυψη αξίας, διαφορική ιδιωτικότητα στις αναφορές.
5. 4 Συγκάλυψη λογαρίθμων
Ο πράκτορας επεξεργάζεται το PII στο συγκρότημα (π. χ. ηλεκτρονικό ταχυδρομείο → hash/μερικό), απαγόρευση των «ακατέργαστων» αναγνωριστικών στοιχείων σε APM.
6) Κύκλος ζωής διαγραφής
1. Ενεργοποίηση: περίοδος διατήρησης, διαγραφή DSAR, κλείσιμο λογαριασμών, ανάκληση συγκατάθεσης, ολοκλήρωση σύμβασης/στόχου.
2. Βαθμολογία: Υπάρχουν νομικά μπλοκ (AML/νόμιμη κατοχή/άδεια).
3. Ενορχήστρωση: ένα πακέτο διαγραφής σχηματίζεται από συστήματα/πωλητές.
4. Εκτέλεση: καταρράκτες, ανάκληση σημάτων, κρυπτογράφηση αρχείων.
5. Επικύρωση: αντιπαραβολή των αρχείων, έλεγχος των υπολειμμάτων (ορφανά δεδομένα).
6. Τεχνούργημα: Αναφορά με παρτίδες/κλειδιά, χρόνο και όγκο.
7. Υποβολή εκθέσεων: ταμπλό KPI, ημερολόγιο ελέγχου/ρυθμιστικής αρχής.
7) Ιδιαίτεροι τομείς προσοχής
7. 1 αντίγραφα ασφαλείας/αρχεία/DR
Αντίγραφα ασφαλείας στην ίδια περιοχή, κρυπτογράφηση και καταλογογράφηση κλειδιών.
Ρεαλιστικό: η φυσική αφαίρεση από το αμετάβλητο εφεδρικό είναι δύσκολη → χρησιμοποιούμε το τμήμα κρυπτο-τεμαχισμού όταν επιτυγχάνεται η προθεσμία.
7. 2 Κούτσουρα και τηλεμετρία
Χωρίς PII εξ ορισμού· εάν η PII είναι αναπόφευκτη - τοπικά αρχεία καταγραφής, σύντομες προθεσμίες, κάλυψη του πράκτορα.
7. 3 DWH/Analytics
Δεδομένα de-PII μόνο· εάν είναι απαραίτητο, οι ιστορικοί - ανωνυμοποιούν και σπάνε τη σύνδεση με το αρχικό PII.
7. 4 Πωλητές και πάροχοι
DPA/πρόσθετες συμφωνίες: προθεσμίες, μηχανισμοί διαγραφής, πιστοποιητικό καταστροφής/απόδειξη διαγραφής.
7. 5 Εντοπισμός ανά δικαιοδοσία
Η απομάκρυνση πραγματοποιείται στην περιφερειακή περίμετρο και απαγορεύεται η εξαγωγή PII εκτός αυτής· Συνολικές εκθέσεις - Συγκεντρωτικά στοιχεία μόνο
8) API/Events and Data Model
Γεγονότα (ελάχιστο):- 'retention _ due _ doted', 'erasure _ job _ started', 'erasure _ job _ completed', 'crypto _ shred _ done', 'vendor _ erasure _ ack _ recomed', 'erase _ validation _ failed', 'dsar _ erase _ lined _ linked', '.
erasure_job {
id, subject_id_hash scope{cohort partition}, trigger{retention dsar contract_end consent_withdrawn},
market, region, systems[], vendors[],
started_at_utc, completed_at_utc, status{ok partial failed},
method{cascade crypto_shred nullify token_revoke},
counts{records, tables, bytes}, checksum{before, after},
keys_destroyed[{kms_key_id, destroyed_at_utc, evidence_id}],
validation{orphan_scan:passed failed, sample_checks[]},
linked_cases{dsar_case_id?}, owner, approvers{dpo, security}, audit_artifacts[]
}9) Έλεγχος και παρατηρησιμότητα
Κάλυψη διαγραφής - το ποσοστό των συστημάτων που καλύπτονται από αυτόματη διαγραφή.
Χρόνος έως τη Διαγραφή - διάμεσος χρόνος από την ενεργοποίηση έως την ολοκλήρωση.
Ορφανός ρυθμός δεδομένων - ανίχνευση «ορφανών» αρχείων.
Backup Crypto-Shred SLA - πλήκτρα που καταστράφηκαν εγκαίρως.
Vendor Ack Rate - το μερίδιο των επιβεβαιώσεων των διαγραφών από τους πωλητές εγκαίρως.
DSAR Erase SLA - Τήρηση προθεσμιών για διαγραφές καθορισμένων από το χρήστη.
Βαθμολογία ακουστικότητας - παρουσία τεχνουργημάτων από δείγματα.
10) Κατάλογοι ελέγχου
Α) Πολιτική και σχεδιασμός
- Μητρώο επαγγελματικών προσόντων κατηγορίας/αγοράς που έχει εγκριθεί από τον νομικό/ΥΠΔ.
- Χάρτης συστήματος/προμηθευτή που δείχνει PII/περιφέρειες/κλειδιά.
- Καθορισμένες μέθοδοι: καταρράκτης/κρυπτοκαθαριστήρας/de-PII για την ανάλυση.
- Επικαιροποιημένες DPA/συμβάσεις (διαγραφή SLA, επιβεβαιώσεις).
B) Τεχνική και λειτουργίες
- Η διαγραφή API και ενορχηστρωτή εργασίας είναι ενεργοποιημένη.
- Κούτσουρα/πράκτορες απαλλαγμένα από PII καλύπτουν ευαίσθητα πεδία.
- Τα αντίγραφα ασφαλείας είναι κρυπτογραφημένα, τα κλειδιά κατακερματίζονται ανά αγορά.
- Autotests: DSAR-διαγραφή, cron retents, ορφανή σάρωση.
- Ταμπλό KPI/συναγερμού.
Γ) Έλεγχος και βελτιώσεις
- Τριμηνιαία δείγματα συστήματος/πωλητή με τεχνουργήματα διαγραφής.
Δοκιμή DR/Ανάκτησης με απομακρυσμένα τμήματα.
- CAPA από ισοζύγια/παραβιάσεις που διαπιστώθηκαν.
11) Υποδείγματα (ταχεία εισαγωγή)
Α) Ρήτρα με τον πωλητή (διαγραφή/διατήρηση)
B) Διάλυμα ανωνυμοποίησης (εσωτερική μορφή)
C) Απάντηση στο χρήστη (πλήρης διαγραφή DSAR)
12) Συχνά σφάλματα και πρόληψη
Αφαίρεση από τη βάση δεδομένων μάχης, αλλά όχι από αντίγραφα ασφαλείας.
PII in logs/AWP.
Orphan records (cross-services). → Orphan scans and contract cascades.
DWH με ουρές PII → αγωγοί De-PII πριν από την εξαγωγή, απαγόρευση ακατέργαστων αναγνωριστικών.
Δεν υπάρχουν τεχνουργήματα. → Υποχρεωτική παραγωγή εκθέσεων και αποθήκευση WORM.
→ SLA και κυρώσεις/κατοχή πληρωμών πριν από την επιβεβαίωση.
13) σχέδιο εφαρμογής 30 ημερών
Εβδομάδα 1
1. Εγκρίνεται το μητρώο κρατήσεων και ο πίνακας μεθόδων (καταρράκτης/κρυπτογράφηση/de-PII).
2. Δημιουργία χάρτη συστημάτων/πωλητών/κλειδιών, σήμανση περιφερειακών περιμέτρων.
3. Προσδιορίστε το μοντέλο των αντικειμένων και το ταμπλό KPI.
Εβδομάδα 2
4) Εφαρμογή ενορχηστρωτή διαγραφών, API και εκδηλώσεων· σύνδεση συνδέσμων DSAR.
5) Ενεργοποιήστε εξ ορισμού τη συγκάλυψη καταγραφής και τους κανόνες «χωρίς PII».
6) Διαμόρφωση κρυπτογράφησης για αντίγραφα ασφαλείας, κατάτμηση KMS ανά αγορά.
Εβδομάδα 3
7) Αγωγός De-PII για DWH (ομάδες/k-ανωνυμία/binning).
8) Πιλοτικές διαγραφές: 20 υποθέσεις DSAR + 2 μέρη διατήρησης· Κλείσιμο του CAPA.
9) Ενημέρωση DPA με βασικούς πωλητές (SLA/επιβεβαιώσεις).
Εβδομάδα 4
10) Πλήρης ελευθέρωση. εκκίνηση ταμπλό και ειδοποιήσεων (Time-to-Erase, Vendor Ack).
11) δοκιμή DR με απομακρυσμένο τμήμα κλειδιού.
12) Σχέδιο v1. 1: diff. ιδιωτική ζωή σε αναφορές, προγραμματισμένες αυτόματες-ορφανές σαρώσεις.
14) Αλληλοσυνδεόμενα τμήματα
GDPR: διαχείριση συναίνεσης χρήστη
Cookies και CMP System Policy
Προστασία της ιδιωτικής ζωής κατά σχεδιασμό: αρχές σχεδιασμού
Εντοπισμός δεδομένων ανά δικαιοδοσία
DSAR: αιτήματα των χρηστών για δεδομένα
Σε ηρεμία/σε διαμετακόμιση, κρυπτογράφηση KMS/BYOK/HYOK
Πίνακας συμμόρφωσης και παρακολούθηση/εσωτερικός και εξωτερικός έλεγχος