Este documento mostra uma visão geral do processo seguro que ocorre quando você exclui os dados do cliente (conforme definido na Assinatura do StratoZone e no contrato de licenciamento) armazenados em StratoZone. Garantir a exclusão segura de dados do cliente no final de ciclo de vida é um aspecto básico do trabalho com dados em qualquer plataforma de computação.
Armazenamento e replicação de dados
No nível de armazenamento físico, os dados do cliente são armazenados em repouso em dois tipos de sistemas: sistemas de armazenamento ativo e sistemas de armazenamento de backup. Esses dois tipos de sistemas processam dados de maneiras diferentes. Os sistemas de armazenamento ativo são servidores de produção do StratoZone.
Os sistemas de armazenamento de backup do StratoZone abrigam cópias completas e incrementais dos sistemas ativos do StratoZone por um período definido para ajudar o StratoZone a recuperar dados e sistemas no caso de uma falha ou desastre catastrófico. Ao contrário dos sistemas ativos, os sistemas de backup são projetados para receber snapshots periódicos dos sistemas do StratoZone. As cópias de backup são retiradas após um período limitado, conforme novas cópias de backup são feitas. Em todos os sistemas de armazenamento descritos acima, os dados do cliente são criptografados quando armazenados em repouso.
Classificação de dados
Veja abaixo como os dados em toda a organização são classificados e protegidos:
- Todos os dados verificados pelo cliente ou criados por ele são considerados dados do cliente.
- O acesso aos dados do cliente é controlado pelo acesso da conta do aplicativo.
- Os dados são mantidos até que o cliente solicite a exclusão ou a assinatura inicial de três anos expire. No caso de expiração, o cliente pode solicitar uma extensão.
Exclusão segura e eficaz de dados
Pipeline de exclusão de dados
Depois que os dados do cliente são armazenados no Google Cloud Platform, nossos sistemas são projetados para armazenar os dados com segurança até que eles completem os estágios do pipeline de exclusão de dados do Google. Veja nesta seção a descrição detalhada desse processo.
Etapa 1: solicitação de exclusão
A exclusão de dados do cliente começa de duas maneiras: quando um cliente inicia uma solicitação de exclusão ou quando o período de assinatura inicial de três anos expira.
Exclusão de cliente solicitada: um usuário na conta de cliente com acesso de administrador pode iniciar a exclusão navegando até o Gerenciamento de acesso e clicando no ícone de lixeira ao lado conta de cliente.
Validade da assinatura: após o período de três anos da assinatura inicial, o processo de exclusão será iniciado para a conta do cliente.
Etapa 2: exclusão reversível
Quando a solicitação de exclusão é iniciada, a conta de cliente é marcada para exclusão e não fica mais visível. A conta de cliente permanece nesse estado por um período de 60 dias. Durante esse período, a conta de cliente ainda poderá ser recuperada e poderá ser solicitada a estender por mais um ano. Para solicitar uma recuperação, um representante do cliente pode criar um tíquete no suporte criando um tíquete no sistema de suporte no portal do StratoZone ou enviando um e-mail para stratozone-support.
Quando restam 14 dias no período de exclusão reversível, os usuários com acesso à conta de cliente recebem uma notificação por e-mail informando que a exclusão da conta de cliente está pendente e não podem mais ser recuperadas.
Etapa 3: exclusão lógica de sistemas ativos
Depois que os dados são marcados para exclusão e o período de recuperação expirou, os dados são excluídos sucessivamente dos sistemas de armazenamento ativo e de backup do Google. Em sistemas ativos, os dados são excluídos do banco de dados, armazenando todos os dados da conta do cliente, o que, por sua vez, exclui os dados de todas as réplicas no cluster do banco de dados. Nesse ponto do processo, os dados da conta de cliente só podem ser recuperados dos sistemas de backup.
Etapa 4: expiração de sistemas de backup
Todas as cópias de backup são retidas usando os serviços de backup do Google Cloud e têm um período de retenção de 90 dias. Cada cópia de backup armazenada nos sistemas de backup será excluída permanentemente em um período de 90 dias após o backup.
Observe que qualquer ciclo de backup razoável impõe um atraso predefinido na propagação de uma solicitação de exclusão de dados por meio de sistemas de backup. Quando os dados do cliente são excluídos dos sistemas ativos, eles não são mais copiados nos sistemas de backup. Os backups realizados antes da exclusão expiram regularmente com base no ciclo de backup predefinido de 90 dias.
Linha do tempo de exclusão
O Google Cloud Platform foi projetado para atingir um alto grau de velocidade, disponibilidade, durabilidade e consistência. Além disso, o design de sistemas otimizados para esses atributos de desempenho precisa ser cuidadosamente equilibrado com a necessidade de uma exclusão de dados em tempo hábil.
O StratoZone tem o compromisso de excluir os dados do cliente em um período máximo de cerca de seis meses (180 dias).
Esse compromisso incorpora os estágios do pipeline de exclusão do Google descritos acima, incluindo os seguintes:
Fase 1: a solicitação de exclusão é feita.
Fase 2: os dados geralmente são marcados para exclusão imediatamente, e nossa meta é executar essa etapa em um período máximo de 24 horas. Depois que os dados são marcados para exclusão, um período interno de recuperação de até 60 dias pode ser aplicado, dependendo da solicitação de serviço ou exclusão.
Fase 3: o tempo necessário para remover os dados do banco de dados do cliente após o período de 60 dias na Etapa 2 depende do tamanho da conta do cliente, mas geralmente leva alguns de semanas para excluir dados de sistemas ativos.
Etapa 4: o ciclo de backup do Google foi projetado para invalidar os dados excluídos nos backups do data center dentro de 180 dias a partir da solicitação de exclusão. A exclusão pode ocorrer mais cedo, dependendo do nível de replicação de dados e do tempo dos ciclos de backup contínuos do Google.