Questo documento offre una panoramica del processo sicuro che si verifica quando elimini i dati dei clienti (come definiti nell'abbonamento e nel contratto di licenza StratoZone) archiviati in StratoZone. Garantire l'eliminazione sicura dei dati dei clienti alla fine del loro ciclo di vita è un aspetto fondamentale della gestione dei dati su qualsiasi piattaforma di elaborazione.
Archiviazione e replica dei dati
A livello di archiviazione fisica, i dati inattivi dei clienti sono archiviati in due tipi di sistemi: sistemi di archiviazione attivi e sistemi di archiviazione di backup. Questi due tipi di sistemi elaborano i dati in modo diverso. I sistemi di archiviazione attivi sono server di produzione StratoZone.
I sistemi di archiviazione di backup StratoZone ospitano copie complete e incrementali dei sistemi StratoZone attivi per un periodo di tempo definito per aiutare StratoZone a recuperare dati e sistemi in caso di interruzione catastrofica o disastro. A differenza dei sistemi attivi, i sistemi di backup sono progettati per ricevere snapshot periodici dei sistemi StratoZone e le copie di backup vengono ritirate dopo un periodo di tempo limitato quando vengono create nuove copie di backup. In tutti i sistemi di archiviazione descritti sopra, i dati inattivi dei clienti vengono criptati.
Classificazione dati
Per quanto riguarda la classificazione e la protezione dei dati in tutta l'organizzazione:
- Tutti i dati scansionati dal cliente o creati dal cliente sono considerati dati dei clienti.
- L'accesso ai dati dei clienti è controllato dall'accesso all'account dell'applicazione.
- I dati vengono conservati fino a quando il cliente non richiede l'eliminazione o fino alla scadenza dell'abbonamento iniziale di tre anni. In caso di scadenza, il cliente può richiedere un'estensione.
Eliminazione dei dati sicura ed efficace
Pipeline di eliminazione dei dati
Una volta archiviati i dati dei clienti in Google Cloud, i nostri sistemi sono progettati per archiviare i dati in modo sicuro fino al completamento delle fasi della pipeline di eliminazione dei dati di Google. Questa sezione descrive il processo nel dettaglio.
Fase 1 - Richiesta di eliminazione
L'eliminazione dei dati dei clienti inizia in due modi: quando un cliente avvia una richiesta di eliminazione o quando scade il periodo di abbonamento iniziale di tre anni.
Il cliente ha richiesto l'eliminazione: un utente all'interno dell'account del cliente con accesso come amministratore può avviare l'eliminazione andando a Access Management e facendo clic sull'icona del cestino accanto all'account del cliente.
Scadenza dell'abbonamento: una volta trascorso il periodo di abbonamento iniziale di tre anni, viene avviato il processo di eliminazione dell'account del cliente.
Fase 2 - Eliminazione temporanea
Una volta avviata la richiesta di eliminazione, l'account del cliente viene contrassegnato per l'eliminazione e non è più visibile. L'account del cliente rimane in questo stato per un periodo di 60 giorni. Durante questo periodo l'account del cliente è ancora recuperabile e può essere richiesto di prolungarlo per altri tre anni. Per richiedere il recupero, un rappresentante del cliente può creare un ticket con l'assistenza creando un ticket nel sistema di assistenza sul portale StratoZone o inviando un'email all'assistenza Stratozone.
Quando rimangono 14 giorni nel periodo di eliminazione temporanea, agli utenti con accesso all'account del cliente viene inviata una notifica via email che indica che l'account del cliente è in attesa di eliminazione e che non sarà più recuperabile.
Fase 3: eliminazione logica dai sistemi attivi
Una volta contrassegnati per l'eliminazione e scaduto il periodo di recupero, i dati vengono eliminati dai sistemi di archiviazione attivi e di backup di Google. Nei sistemi attivi, i dati vengono eliminati dal database in cui sono archiviati tutti i dati degli account del cliente, il che a sua volta li elimina da tutte le repliche nel cluster di database. A questo punto del processo, i dati degli account del cliente sono recuperabili solo dai sistemi di backup.
Fase 4 - Scadenza dai sistemi di backup
Tutte le copie di backup vengono conservate utilizzando i servizi di backup di Google Cloud e hanno un periodo di conservazione di 90 giorni. Ogni copia di backup archiviata nei sistemi di backup verrà eliminata definitivamente entro 90 giorni dopo il backup.
Un ciclo di backup ragionevole impone un ritardo predefinito nella propagazione di una richiesta di eliminazione dei dati attraverso i sistemi di backup. Quando i dati dei clienti vengono eliminati dai sistemi attivi, non vengono più copiati nei sistemi di backup. I backup eseguiti prima dell'eliminazione vengono regolarmente scaduti in base al ciclo di backup predefinito di 90 giorni.
Cronologia di eliminazione
StratoZone è progettata per ottenere elevati livelli di velocità, disponibilità, durabilità e coerenza e la progettazione di sistemi ottimizzati per questi attributi prestazionali deve essere attentamente bilanciata con la necessità di ottenere un'eliminazione tempestiva dei dati.
StratoZone si impegna a eliminare i dati dei clienti entro un periodo massimo di circa sei mesi (180 giorni).
Questo impegno incorpora le fasi della pipeline di eliminazione di Google descritte sopra, incluse quelle seguenti:
Fase 1: viene effettuata la richiesta di eliminazione.
Fase 2: in genere i dati vengono contrassegnati immediatamente per l'eliminazione e il nostro obiettivo è eseguire questo passaggio entro un periodo massimo di 24 ore. Dopo che i dati sono stati contrassegnati per l'eliminazione, potrebbe essere applicato un periodo di recupero interno della durata massima di 60 giorni, a seconda del servizio o della richiesta di eliminazione.
Fase 3: il tempo necessario per rimuovere i dati dal database dei clienti dopo il periodo di 60 giorni della fase 2 dipende dalle dimensioni dell'account cliente, ma in genere l'eliminazione dei dati dai sistemi attivi richiede fino a un paio di settimane.
Fase 4: il ciclo di backup di Google è progettato per far scadere i dati eliminati all'interno dei backup del data center entro 180 giorni dalla richiesta di eliminazione. L'eliminazione potrebbe avvenire in tempi più brevi, a seconda del livello di replica dei dati e delle tempistiche dei cicli di backup in corso di Google.