Ce document présente le processus sécurisé de suppression des données client (telles que définies dans l'contrat de licence et d'abonnement StratoZone) stockées dans StratoZone Quand vous exploitez des données sur une plate-forme informatique, il est essentiel que les données client puissent être supprimées de manière sécurisée à la fin de leur cycle de vie.
Stockage et réplication des données
Au niveau du stockage physique, les données client sont stockées au repos dans deux types de systèmes : les systèmes de stockage actifs et les systèmes de stockage de sauvegarde. Ces deux types de systèmes traitent les données différemment. Les systèmes de stockage actifs sont des serveurs de production StratoZone.
Les systèmes de stockage de sauvegarde StratoZone conservent les copies complètes et incrémentielles des systèmes actifs StratoZone pendant un certain temps. Cela permet à StratoZone de récupérer les données et les systèmes en cas d'interruption ou de sinistre. Contrairement aux systèmes actifs, les systèmes de sauvegarde sont conçus pour recevoir des instantanés périodiques des systèmes StratoZone. En outre, les copies de sauvegarde sont éliminées après une certaine période à mesure que de nouvelles sauvegardes sont effectuées. Dans les systèmes de stockage décrits ci-dessus, les données client sont chiffrées lorsqu'elles sont stockées au repos.
Classification des données
Vous devez suivre les étapes ci-dessous concernant la classification et la sécurisation des données dans l'ensemble de l'organisation :
- Toutes les données analysées ou créées par le client sont considérées comme des données client.
- L'accès aux données client est contrôlé par l'accès au compte d'application.
- Les données sont conservées jusqu'à ce que le client demande leur suppression ou jusqu'à l'expiration de la période d'abonnement initiale de trois ans. En cas d'expiration, le client peut demander une extension.
Suppression des données performante et sécurisée
Pipeline de suppression des données
Une fois que des données client sont stockées dans Google Cloud, nos systèmes sont conçus pour les conserver de manière sécurisée jusqu'à ce que toutes les étapes du pipeline de suppression des données de Google soient terminées. Cette section décrit ce processus en détail.
Étape 1 – Demande de suppression
La suppression des données client commence de deux manières : lorsqu'un client effectue une demande de suppression ou lorsque la période d'abonnement initiale de trois ans expire.
Le client a demandé la suppression : un utilisateur du compte client disposant d'un accès administrateur peut lancer la suppression en accédant à Access Management et en cliquant sur l'icône de la corbeille à côté du compte client.
Expiration de l'abonnement : une fois la période d'abonnement initiale de trois ans terminée, le processus de suppression du compte client est lancé.
Étape 2 – Suppression réversible
Une fois la demande de suppression lancée, le compte client est marqué pour suppression et n'est plus visible. Le compte client reste dans cet état pendant 60 jours. Pendant cette période, le compte client peut toujours être récupéré et sa prolongation peut être demandée pour une autre période de trois ans. Pour demander la récupération, un représentant du client peut créer une demande d'assistance en créant une demande dans le système d'assistance sur le portail StratoZone ou en envoyant un e-mail à stratozone-support.
Lorsqu'il reste 14 jours dans la période de suppression réversible, les utilisateurs ayant accès au compte client reçoivent une notification par e-mail indiquant que le compte client est en attente de suppression et ne pourra plus être récupéré.
Étape 3 – Suppression logique des données des systèmes actifs
Une fois des données marquées pour suppression et l'éventuelle période de récupération écoulée, les données sont supprimées successivement des systèmes de stockage actifs et de sauvegarde de Google. Dans les systèmes actifs, les données sont supprimées de la base de données où sont stockées toutes les données du compte client, ce qui supprime également ces données de toutes les instances dupliquées du cluster de base de données. À ce stade, les données du compte client ne peuvent être récupérées qu'à partir des systèmes de sauvegarde.
Étape 4 – Expiration des systèmes de sauvegarde
Toutes les copies de sauvegarde sont conservées à l'aide des services de sauvegarde Google Cloud et ont une durée de conservation de 90 jours. Chaque copie de sauvegarde stockée dans les systèmes de sauvegarde sera définitivement supprimée dans un délai de 90 jours après la sauvegarde.
Notez que tout cycle de sauvegarde raisonnable impose un délai prédéfini lors de la propagation d'une demande de suppression de données via des systèmes de sauvegarde. Lorsque des données client sont supprimées des systèmes actifs, elles ne sont plus copiées dans les systèmes de sauvegarde. Les sauvegardes effectuées avant la suppression expirent régulièrement en fonction du cycle de sauvegarde prédéfini de 90 jours.
Calendrier de suppression
Google Cloud est conçu pour offrir de hautes performances en termes de vitesse, de disponibilité, de durabilité et de cohérence, et il est important que les systèmes optimisés pour ces attributs puissent également permettre une suppression rapide des données.
StratoZone s'engage à supprimer les données client dans un délai maximum de six mois (180 jours).
Cet engagement s'applique aux étapes du pipeline de suppression de Google décrit ci-dessus, y compris les étapes suivantes :
Étape 1 : la demande de suppression est effectuée.
Étape 2 : les données sont généralement immédiatement marquées pour suppression, et notre objectif est d'effectuer cette étape dans un délai maximum de 24 heures. Une fois les données marquées pour suppression, une période de récupération interne de 60 jours maximum peut être appliquée en fonction du service ou de la demande de suppression.
Étape 3 : le temps nécessaire à la suppression des données de la base de données client après la période de 60 jours de l'étape 2 dépend de la taille du compte client. Toutefois, la suppression des données des systèmes actifs prend généralement quelques semaines.
Étape 4 : le cycle de sauvegarde de Google est conçu pour que les données supprimées des sauvegardes du centre de données expirent dans les 180 jours suivant la demande de suppression. La suppression peut survenir plus tôt en fonction du niveau de réplication des données et de la fréquence des cycles de sauvegarde en cours de Google.