本文档概述了删除存储在StratoZone中的客户数据时发生的安全流程(如 StratoZone 订阅和许可协议中所定义)。确保在客户数据的生命周期结束时将其安全删除,是在任何计算平台上处理数据的最基本的方面。
数据存储和复制
在物理存储层级,客户数据静态存储在两种类型的系统中:活跃存储系统和备份存储系统。这两种类型的系统以不同方式处理数据。活跃存储系统是 StratoZone 生产服务器。
StratoZone 备份存储系统存储定义时间段内 StratoZone 活跃系统的完整副本和增量副本,以帮助 StratoZone 在发生灾难性中断或灾难时恢复数据和系统。与活跃系统不同,备份系统旨在接收 StratoZone 系统的定期快照,备份副本存在时间有限,在新备份副本创建后就会停用。在上述存储系统中,静态存储的客户数据都会进行加密。
数据分类
下面介绍系统如何对整个组织中的数据进行分类和保护:
- 客户扫描或客户创建的所有数据均被视为客户数据。
- 对客户数据的访问权限通过应用账号访问权限控制。
- 数据会保留到客户请求删除或最初的三年订阅到期为止。如果过期,客户可以申请延长。
安全有效的数据删除
数据删除流水线
在 Google Cloud 中存储客户数据后,我们的系统会安全地存储数据,直到完成 Google 数据删除流水线的各个阶段。本部分详细介绍这一过程。
第 1 阶段 - 删除请求
客户数据会通过以下两种方式之一开始删除:客户发起删除请求,或者初始订阅期为三年到期。
客户请求的删除:客户账号中具有管理员权限的用户可以启动删除,方法是导航到访问权限管理,然后点击客户账号旁边的垃圾桶图标。
订阅到期:三年初始订阅期结束后,系统将为客户账号启动删除过程。
第 2 阶段 - 软删除
删除请求启动后,客户账号将被标记为删除,并且不再可见。客户账号会保持此状态 60 天。在此期间,客户账号仍可恢复,并且可以请求延长三年。如需请求恢复,客户代表可以在 StratoZone 门户上的支持系统中创建工单,或者向 stratozone-support 发送电子邮件。
软删除期限剩余 14 天后,系统将向有权访问客户账号的用户发送电子邮件通知,告知该账号正在等待删除且无法再恢复。
第 3 阶段 - 活跃系统中的逻辑删除
在数据标记为待删除且恢复期全部过期后,系统将相继从 Google 的活跃存储系统和备份存储系统中删除数据。在活跃系统上,数据会从存储所有客户账号数据的数据库中删除,这又会转而删除数据库集群中的所有副本中的数据。此时,客户账号数据只能从备份系统恢复。
第 4 阶段 - 备份系统过期
所有备份副本都将使用 Google Cloud 备份服务进行保留,保留期限为 90 天。备份系统中存储的每个备份副本都会在备份后的 90 天内被永久删除。
请注意,任何合理的备份周期都会在备份系统中传播数据删除请求时实施预定义的延迟。从活跃系统中删除客户数据时,不再将其复制到备份系统中。删除前执行的备份会根据预定义的备份周期(90 天)定期过期。
删除时间轴
StratoZone 经过专门设计,可实现高级别的速度、可用性、耐用性和一致性,针对这些性能特性进行了优化的系统在设计时必须进行周密地平衡,兼顾到及时删除数据的需求。
StratoZone 承诺在最长大约六个月(180 天)内删除客户数据。
此承诺包含上述 Google 删除流水线的各个阶段,包括:
第 1 阶段:发出删除请求。
第 2 阶段:数据通常会立即标记为删除,我们的目标是在最长 24 小时内执行此步骤。将数据标记为删除后,可能会应用最长 60 天的内部恢复期,具体取决于服务或删除请求。
第 3 阶段:在第 2 阶段的 60 天后,从客户数据库中移除数据所需的时间取决于客户账号的大小,但通常最多需要几分钟的时间即可删除活跃系统中的数据。
第 4 阶段 - Google 备份周期设计为在收到删除请求后的 180 天内使数据中心备份中的已删除数据过期。删除可能会在更早时间发生,具体取决于数据复制级别和 Google 的进行中备份周期的时间点。