GH GambleHub

Legal Hold и заморозка данных

1) Что такое Legal Hold и зачем он нужен

Legal Hold (правовой мораторий на удаление/изменение данных) — это управляемая «заморозка» конкретных данных, потенциально имеющих значение для расследования, аудита, претензии, судебного или регуляторного процесса. Цель — сохранить доказательную целостность: предотвратить уничтожение, модификацию или автоматическую очистку по расписаниям ретенции, пока существует юридический риск.

Ключевые принципы:
  • Своевременность: hold вводится без задержек после «разумного ожидания» спора/проверки.
  • Точность: замораживаются только релевантные наборы (data minimization).
  • Наблюдаемость и аудируемость: все действия логируются и доступны для проверки.
  • Реверсивность: есть понятная процедура снятия hold и возврата к нормальным графикам удаления.

2) Когда вводится Legal Hold: типовые триггеры

Уведомление о претензии, жалоба регулятора, предписания надзора.
Внутреннее расследование (комплаенс/безопасность/финансы/AML).
eDiscovery/запросы внешних консультантов.
Инциденты безопасности (утечка, мошенничество).
Сигналы от линий защиты: Legal, DPO, CISO, Internal Audit.

3) Объем заморозки: источники данных

Операционные хранилища: БД транзакций, логи платежей, KYC/KYB, AML-сигналы.
Корпоративные коммуникации: почта, чаты, колл-записи, тикеты.
Файловые репозитории и DWH/даталейки: сырые и производные слои.
Бэкапы и архивы: снапшоты, WORM-хранилища, S3 Object Lock/immutability.
Сторонние процессоры: провайдеры KYC, PSP, маркетинговые платформы, облака.

Важно: заморозка распространяется на копии и производные (ETL/виторки/кеши).

4) Роли и ответственность (RACI)

РольОтветственность
General Counsel / Head of Legal (A)Одобряет и закрывает hold, определяет объем и основания eDiscovery/Legal Ops (R)
DPO/Privacy (C)Совместимость с GDPR/локальными законами, конфликт с DSAR
CISO/SecOps (C)Технические меры неизменности, контроль целостности
Data Owners (R)Локализация данных, применение тегов hold в системах
IT/Platform/DBA (R)Техническая заморозка: политики retention/backup/архив
Compliance/AML (C)Пересечение с расследованиями, регуляторные сроки
Internal Audit (I)Аудит следов исполнения
HR/PR (I/C)Коммуникации с сотрудниками/внешними сторонами при необходимости

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Сквозной процесс (SOP)

1. Инициация: Legal регистрирует дело, формирует «scope»: темы, даты, субъекты, системы.
2. Оценка и картирование: Data Owners + Legal Ops создают перечень источников/таблиц/бэкапов.

3. Техническая заморозка:
  • Включить hold-теги/правила в DLP/EDRM/архивации.
  • Перекрыть авто-удаление/анонимизацию в затронутых схемах.
  • Для бэкапов — применить immutability/WORM; зафиксировать retention override.
  • 4. Уведомления (Legal Hold Notice): адресатам (custodians) — кто обязан сохранять и не удалять.
  • 5. Контроль исполнения: подтверждения, напоминания, обучение, мониторинг нарушений.
  • 6. Периодический обзор: минимум ежемесячно — актуален ли hold, нет ли избыточного охвата.
  • 7. Снятие hold: письменное решение Legal; чек-лист восстановления обычных политик.
  • 8. Дефенсибл-диспозишн: возобновление плановых удалений и анонимизации, фиксация в журналах.

6) Политики ретенции и «заморозка»: как они сочетаются

Правило: Hold приостанавливает соответствующие сроки ретенции только для затронутых объектов.
Конфликт с Privacy by Design: минимально расширять scope; не блокировать «непричастные» наборы.
Гранулярность: объект (ID/субъект), таблица/партиция, пространство/бакет, тип документа.

7) Технические контрольные меры

Иммутабельные хранилища: WORM/S3 Object Lock, Write-Once volumes, журналируемые файловые системы.
Контроль целостности: хеши, цепочки доказательств, журнал аудита (append-only).
Заморозка в БД: policy-флаги и триггеры, запрещающие UPDATE/DELETE по заданным ключам.
Архивация коммуникаций: авто-журналация почты/чатов с Legal Hold API (journaling, AIP/EDRM).
DLP/EDRM-интеграции: метки «LegalHold=true», запрет удаления, экспорт по кейсу.
Backups: отдельные hold-бэкапы, с увеличенным сроком хранения, тест восстановления.
Наблюдаемость: дашборд hold-кейсов, SLA, ошибки применения, «дрейф» политик.

8) Точки интеграции (референс-архитектура)

Case Management (Legal): система дел ↔ каталог данных ↔ оркестратор политик.
IAM/Secrets: делегирование минимально необходимого доступа для экспорта/просмотра.
Data Catalog/Lineage: автоматическое «раскрашивание» зависимых датасетов.
CI/CD конфигураций ретенции: hold-правила — как код (policy-as-code), ревью/версии.
SIEM/SOAR: алерты о попытках удаления/модификации под hold.

9) Конфликты и как их разрешать

DSAR/право на удаление vs Legal Hold: запрос субъекта может быть законно отложен, если данные подлежат сохранению для выполнения юридических обязательств; фиксируем обоснование и уведомляем субъекта о задержке.
Минимизация и пропорциональность: пересматривайте scope; отделяйте несвязанные персональные данные.
Кросс-бордер трансферы: если держим копии в других юрисдикциях — проверяем правовые основания и механизмы передачи (SCC/BCR/локальные реестры).
Шифрование и ключи: нельзя «обойти hold» уничтожением ключей; KMS-ротации документируются.

10) Регуляторный контекст (в справочных целях)

eDiscovery / стандарты гражданского процесса (напр., FRCP 37(e)) — санкции за утрату ESI.
GDPR/локальные законы о данных: законность хранения, уведомления, ограничение целей.
Финансовое/AML: предписанные сроки хранения (транзакции, KYC), которые могут быть длиннее обычных.

(Актуальные нормы уточняются Legal для вашей юрисдикции/рынков.)

11) Метрики и SLA

Time-to-Hold: от триггера до применения во всех целевых системах (цель: ≤24 ч).
Coverage: % подтвержденных custodians/систем под hold (цель: 100%).
Drift/Violations: попытки удаления/редактирования, заблокированные политиками.
Scope Creep: доля нерелевантных объектов — снижать ежемесячным обзором.
Time-to-Release: от решения Legal до полного снятия (цель: ≤48–72 ч).

12) Чек-лист запуска Legal Hold

  • Зарегистрировать кейс и юридические основания.
  • Сформировать scope (субъекты, даты, системы, типы данных).
  • Обновить карту данных и lineage.
  • Включить hold-правила в DLP/архивах/БД/файлах/бэкапах.
  • Разослать Legal Hold Notice и инструкции.
  • Включить мониторинг и алерты.
  • Зафиксировать отказоустойчивые бэкапы (immutability) и протестировать восстановление.
  • План регулярного обзора и дата следующей ревизии.

13) Шаблон Legal Hold Notice (краткий)

Тема: Legal Hold: обязательство по сохранению данных

Адресаты: [Список custodians/владельцев данных]

Основание: [№ кейса/тип процесса]

Что сохранять: [системы/папки/таблицы/почтовые ящики/диапазон дат]

Запрещено: удалять, изменять, очищать, перезаписывать, шифровать без согласования

Инструкции: где и как хранить, теги/метки, контакт Legal Ops

Срок: до отдельного уведомления о снятии

Подтверждение: ссылка/форма для подтверждения прочтения и исполнения

14) Процедура снятия Legal Hold (Release)

1. Решение Legal + описание причин.
2. Финальный экспорт/консолидация доказательств (если нужно).
3. Отзыв уведомлений, логирование времени.
4. Восстановление обычных политик ретенции и анонимизации.
5. Закрывающий отчет: что было под hold, кто уведомлен, какие удаления возобновлены.

15) Частые ошибки и как их избежать

Нечеткий scope → избыточное хранение, риски приватности и издержки.
Игнор бэкапов и кешей → неполная заморозка, уязвимость дела.
Нет immutability → риск несанкционированной модификации.
Плохая коммуникация с custodians → человеческий фактор и нарушения.
Отсутствие регулярного обзора → «вечные» holds без нужды.

16) Мини-плейбук «на земле» (операционный)

DBA: применить атрибуты `legal_hold=true` на затронутых партициях/ключах; включить audit-триггеры; заблокировать DDL-изменения схем.
Storage: перевести соответствующие бакеты/папки на режим WORM/Retention Lock; создать снапшоты.
Mail/Chat: включить журналирование и экспорт под кейс; запрет purge.
DWH/ETL: пометить таблицы как read-only; заморозить плановые чистки исторических партиций.
Backups: выделенные реплики с увеличенным сроком; еженедельная проверка восстановления.
Monitoring: оповещения в Slack/Email о любом DELETE/TTL-событии по scope.

17) Политика (образец формулировок)

Организация вводит Legal Hold немедленно при возникновении разумного ожидания спора/проверки.
Объем hold определяется принципами необходимости и пропорциональности.
Все сотрудники обязаны соблюдать уведомления и подтверждать исполнение.
Техническая неизменность обеспечивается средствами immutability и audit-logging.
Hold пересматривается не реже 1 раза в 30 дней.
Снятие hold оформляется письменно и сопровождается восстановлением стандартных политик.

18) Связанные разделы wiki

Privacy by Design и минимизация данных

Графики хранения и удаления данных

Удаление и анонимизация данных

Legal/Regulatory Requests & eDiscovery

Инцидент-менеджмент и форензика

DLP/EDRM и архивирование коммуникаций

Итог

Legal Hold — это управляемая, измеримая и аудируемая «заморозка» строго определенных данных. Сильная программа опирается на: (1) быстрый триггер и точный scope, (2) техническую неизменность (WORM, object lock, audit), (3) прозрачные роли и SLA, (4) регулярный обзор и безопасное снятие hold с возвратом к нормальной ретенции.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.