In diesem Dokument erhalten Sie eine Übersicht über den sicheren Prozess, der abläuft, wenn Sie Ihre in StratoZone gespeicherten Kundendaten (wie in der StratoZone-Abo- und Lizenzvereinbarung definiert) löschen. Die sichere Entfernung von Kundendaten am Ende ihres Lebenszyklus ist ein grundlegender Aspekt der Arbeit mit Daten auf jeder Computing-Plattform.
Datenspeicherung und Replikation
Auf der physischen Speicherebene werden inaktive Kundendaten in zwei Arten von Systemen gespeichert: aktive Speichersysteme und Sicherungsspeichersysteme. Diese beiden Arten von Systemen verarbeiten Daten unterschiedlich. Aktive Speichersysteme sind StratoZone-Produktionsserver.
StratoZone-Sicherungsspeichersysteme enthalten für einen definierten Zeitraum vollständige und inkrementelle Kopien der aktiven StatoZone-Systeme, um die Daten und Systeme von StratoZone bei einem Totalausfall oder Notfall leicht wiederherstellen zu können. Im Gegensatz zu aktiven Systemen sind Sicherungssysteme so konzipiert, dass sie in regelmäßigen Abständen Snapshots von StratoZone-Systemen empfangen und Sicherungskopien nach einem begrenzten Zeitfenster beim Erstellen neuer Sicherungskopien entfernt werden. In den oben beschriebenen Speichersystemen werden Kundendaten während der Speicherung verschlüsselt.
Datenklassifizierung
Im Folgenden sollte beschrieben werden, wie Daten im gesamten Unternehmen klassifiziert und gesichert werden:
- Alle vom Kunden gescannten oder vom Kunden erstellte Daten gelten als Kundendaten.
- Der Zugriff auf Kundendaten wird durch den Zugriff auf das Anwendungsserver gesteuert.
- Die Daten werden aufbewahrt, bis der Kunde ein Löschen anfordert oder das erste dreijährige Abo abläuft. Im Ablauf kann der Kunde eine Erweiterung anfordern.
Sichere und effektive Datenlöschung
Pipeline zur Datenlöschung
Unsere Systeme sind darauf ausgelegt, Kundendaten auf der Google Cloud Platform so lange sicher zu speichern, bis sie die Löschpipeline von Google durchlaufen haben. In diesem Abschnitt wird dieser Prozess detailliert beschrieben.
Phase 1: Löschanfrage
Das Löschen von Kundendaten beginnt auf zwei Arten: Wenn ein Kunde eine Löschanfrage initiiert oder wenn der erste Abozeitraum von drei Jahren abläuft.
Vom Kunden angefordertes Löschen: Ein Nutzer innerhalb des Kundenkontos mit Administratorzugriff kann den Löschvorgang initiieren. Dazu rufen Sie Zugriffsverwaltung auf und klicken auf das Papierkorbsymbol neben dem Kundenkonto.
Aboablauf: Nach Ablauf der dreijährigen Abolaufzeit wird der Löschvorgang für das Kundenkonto initiiert.
Phase 2: Vorläufiges Löschen
Sobald die Löschanfrage initiiert wurde, wird das Kundenkonto zum Löschen markiert und ist nicht mehr sichtbar. Das Kundenkonto verbleibt 60 Tage lang in diesem Status. Während dieser Zeit kann das Kundenkonto noch wiederhergestellt werden und kann für eine weitere dreijährige Laufzeit angefordert werden. Um eine Wiederherstellung anzufordern, kann ein Kundenmitarbeiter ein Ticket mit Support erstellen, indem er entweder ein Ticket im Supportsystem im StratoZone-Portal erstellt oder eine E-Mail an stratozone-support sendet.
Wenn im vorläufigen Löschvorgang 14 Tage verbleiben, erhalten Nutzer, die Zugriff auf das Kundenkonto haben, eine E-Mail-Benachrichtigung, dass das Kundenkonto zum Löschen vorgemerkt ist und nicht mehr wiederhergestellt werden kann.
Phase 3: Logisches Löschen aus aktiven Systemen
Nachdem die Daten zum Löschen markiert wurden und alle Wiederherstellungszeiträume abgelaufen sind, werden die Daten nacheinander aus den aktiven Speichersystemen und den Sicherungsspeichersystemen von Google gelöscht. Auf aktiven Systemen werden Daten aus der Datenbank gelöscht, in der alle Kundendaten gespeichert sind. Dadurch werden die Daten aus allen Replikaten im Datenbankcluster gelöscht. Zu diesem Zeitpunkt können die Kundendaten nur aus Sicherungssystemen wiederhergestellt werden.
Phase 4: Entfernung aus Sicherungssystemen
Alle Sicherungskopien werden mit Google Cloud-Sicherungsdienst aufbewahrt und haben eine Aufbewahrungsdauer von 90 Tagen. Jede in den Sicherungssystemen gespeicherte Sicherungskopie wird innerhalb von 90 Tagen nach der Sicherung endgültig gelöscht.
Beachten Sie, dass bei jedem angemessenen Sicherungszyklus eine vordefinierte Verzögerung beim Weiterleiten einer Datenlöschanfrage an Sicherungssysteme erfolgt. Aus aktiven Systemen gelöschte Kundendaten werden nicht mehr in Sicherungssysteme kopiert. Vor dem Löschen durchgeführte Sicherungen werden regelmäßig basierend auf dem vordefinierten Sicherungszyklus von 90 Tagen beendet.
Löschzeitachse
StratoZone wurde entwickelt, um ein hohes Maß an Geschwindigkeit, Verfügbarkeit, Langlebigkeit und Konsistenz zu erreichen. Die Gestaltung von Systemen, die für diese Leistungsmerkmale optimiert sind, muss demnach sorgfältig mit der Notwendigkeit einer zeitnahen Datenlöschung in Einklang gebracht werden.
StratoZone verpflichtet, Kundendaten innerhalb eines Zeitraums von maximal sechs Monaten (180 Tagen) zu löschen.
Diese Verpflichtung umfasst die oben beschriebenen Phasen der Löschpipeline von Google, einschließlich der folgenden Phasen:
Phase 1: Die Löschanfrage wird gestellt.
Phase 2: Daten werden in der Regel sofort zum Löschen markiert und unser Ziel ist es, diesen Schritt innerhalb von maximal 24 Stunden durchzuführen. Nachdem die Daten zum Löschen markiert wurden, kann je nach Dienst oder Löschanfrage ein interner Wiederherstellungszeitraum von bis zu 60 Tagen gelten.
Phase 3: Die Zeit, die zum Entfernen von Daten aus der Kundendatenbank nach 60 Tagen in Phase 2 erforderlich ist, hängt von der Größe des Kundenkontos ab, aber in der Regel dauert es bis zu Wochen gelöscht, um Daten aus aktiven Systemen zu löschen.
Phase 4: Der Sicherungszyklus von Google ist so konfiguriert, dass gelöschte Daten in Rechenzentrumssicherungen innerhalb von 180 Tagen nach der Löschanfrage ablaufen. Das Löschen kann je nach Datenreplikationsebene und dem Zeitpunkt der aktiven Sicherungszyklen von Google früher erfolgen.