Políticas de retención con bloqueo de depósitos

En esta página, se detalla la característica de bloqueo de depósitos, que te permite configurar una política de retención de datos para un depósito de Cloud Storage que regula por cuánto tiempo se retienen los objetos en el depósito. Esta característica también te permite bloquear la política de retención de datos para evitar de forma permanente que se reduzca o se quite. Para ver ejemplos del uso de esta función, consulta Usa políticas de retención y el bloqueo de depósitos.

Esta característica puede proporcionar almacenamiento inmutable en Cloud Storage. El Bloqueo de depósitos puede ayudar con los requisitos reglamentarios y de cumplimiento, como los asociados con FINRA, SEC y CFTC. También puede ayudarte a abordar ciertas regulaciones de retención de la industria del cuidado de la salud.

Descripción general

  • Puedes agregar una política de retención a un depósito para especificar un período de retención.

    • Si un depósito tiene una política de retención, sus objetos solo se pueden borrar o reemplazar una vez que su antigüedad sea mayor que el período de retención.

    • Una política de retención se aplica de forma retroactiva a los objetos existentes en el depósito, como también a los objetos nuevos que se agreguen después.

  • Puedes bloquear una política de retención para establecerla de forma permanente en el depósito.

    • Una vez que bloquees una política de retención, no puedes quitarla ni reducir su período de retención.

    • No puedes borrar un depósito con una política de retención bloqueada, a menos que cada objeto del depósito cumpla el período de retención.

    • Puedes aumentar el período de retención de una política de retención bloqueada.

    • Bloquear una política de retención puede ayudar a que tus datos cumplan las regulaciones de retención de registros.

  • Puedes colocar conservaciones en objetos individuales para evitar que se borren o reemplacen.

Políticas de retención

Puedes incluir una política de retención cuando creas un depósito nuevo o puedes agregar una política de retención a un depósito existente. Agregar una política de retención a un depósito garantiza que todos sus objetos actuales y futuros no se puedan borrar ni reemplazar hasta que alcancen la antigüedad definida. Los intentos de borrar o reemplazar objetos cuya antigüedad es menor que el período de retención fallan con un error 403 - retentionPolicyNotMet.

Por ejemplo, supongamos que tienes un depósito con dos objetos: el Objeto A, que se agregó hace un mes, y el Objeto B, que se agregó hace dos años. Si aplicas una política de retención a tu depósito con un período de retención de 1 año, no puedes borrar o reemplazar el Objeto A durante otros 11 meses: en la actualidad tiene 1 mes, pero debe tener al menos 1 año para borrarlo o reemplazarlo. El Objeto B, por otro lado, se puede borrar o reemplazar de inmediato, ya que su antigüedad es mayor que el período de retención. Si decides reemplazar el Objeto B, esta nueva versión tendrá una antigüedad de 0 años.

Para facilitar el seguimiento de cuándo se pueden borrar los objetos individuales, los objetos de un depósito con una política de retención tienen metadatos de vencimiento de retención. Estos metadatos muestran la fecha y hora en que un objeto cumple el período de retención.

Cuando trabajes con políticas de retención, ten en cuenta lo siguiente:

  • A menos que la política de retención esté bloqueada, puedes aumentarla, reducirla o quitarla del depósito.

  • Cambiar una política de retención se considera una sola operación de Clase A, sin importar el número de objetos afectados.

  • Los metadatos editables de un objeto no están sujetos a la política de retención y pueden modificarse incluso cuando el objeto en sí no pueda modificarse.

  • Una política de retención contiene un tiempo efectivo, luego del cual se garantiza que todos los objetos del depósito cumplen con el período de retención.

  • Para ver la fecha más temprana en la que un objeto determinado puede borrarse de un depósito con una política de retención, consulta la parte correspondiente a la fecha de vencimiento de retención de los metadatos del objeto.

  • Las políticas de retención y el control de versiones de objetos son características excluyentes entre sí en Cloud Storage: para un depósito dado, solo se puede habilitar una de ellas a la vez. Todos los objetos con control de versiones que se encuentran en un depósito cuando aplicas una política de retención también quedan protegidos por ella.

  • Puedes usar la Administración del ciclo de vida de los objetos para borrar de forma automática los objetos de un depósito, incluso en uno que tenga una política bloqueada. Una regla de ciclo de vida no borrará un objeto hasta que cumpla la política de retención.

  • Debes usar restricciones en las políticas de la organización para exigir que las políticas de retención con períodos de retención específicos se incluyan como parte de la creación de un nuevo depósito o de la adición o actualización de una política de retención en un depósito existente. Si deseas obtener más información, incluidas las instrucciones para configurar estas políticas de la organización, consulta Configura una restricción de política de retención.

Períodos de retención

Los períodos de retención se miden en segundos; sin embargo, algunas herramientas, como Google Cloud Platform Console y gsutil te permiten establecer y ver períodos de retención con otras unidades de tiempo para mayor comodidad. En esos casos, se aplican las siguientes conversiones:

  • Un día son 86,400 segundos.
  • Un mes son 31 días, o 2,678,400 segundos.
  • Un año son 365.25 días, o 31,557,600 segundos.

Puedes establecer un período de retención máximo de 3,155,760,000 segundos (100 años).

Para gsutil, cuando especificas un período de retención, debes usar un formato [NUMBER][UNIT], en el que [UNIT] puede ser s, m, d o y, es decir, segundos, minutos, días o años, de forma respectiva. Solo se puede usar una unidad de tiempo en un comando. Por ejemplo, puedes usar 900s15m, pero no 15m30s.

Bloqueos de políticas de retención

Cuando bloqueas una política de retención en un depósito, impides que la política se pueda quitar o que el período de retención se reduzca (aunque este período se puede aumentar). Si intentas quitar o reducir la duración de la política de un depósito bloqueado, se mostrará un error 400 BadRequestException. Una vez que se bloquea una política de retención, no puedes borrar el depósito hasta que todos sus objetos cumplan el período de retención.

El bloqueo de una política de retención es irreversible y debes estar familiarizado con sus implicaciones antes de usar esta característica. Cuando usas una política de retención sin bloquear, tienes la capacidad de quitarla, lo que te permite borrar objetos cuando lo desees. Cuando bloqueas una política de retención, debes borrar todo el depósito para “quitar” la política. Sin embargo, no puedes borrar el depósito si contiene objetos que no cumplieron su período de retención. Por lo tanto, para “quitar” una política de retención bloqueada, debes esperar hasta que todos los objetos del depósito cumplan su período de retención, tras lo cual podrás borrar el depósito.

Además, cuando bloqueas una política de retención, Cloud Storage aplica de forma automática una retención al permiso projects.delete para el proyecto que contiene el depósito. Mientras esté en vigor, esta retención impide que el proyecto se borre. Para borrar el proyecto, primero debes quitar estas retenciones. Ten en cuenta que quitar una retención requiere el permiso resourcemanager.projects.updateLiens, que forma parte de las funciones roles/owner y roles/resourcemanager.lienModifier.

Para obtener información sobre cómo el bloqueo de una política de retención puede ayudar a que tus datos cumplan con las regulaciones de retención de registros, consulta la sección de cumplimiento.

Conservaciones de objetos

Las conservaciones de objetos son marcas de metadatos que se colocan en objetos individuales. Cuando un objeto tiene una conservación, no se puede borrar. Cloud Storage ofrece los siguientes tipos de conservaciones:

  • Conservaciones basadas en eventos
  • Conservaciones temporales

Las conservaciones basadas en eventos se pueden usar junto con una política de retención para controlar la retención en función de la ocurrencia de algún evento, como la conservación de documentos de préstamo durante un período determinado después del pago. Las conservaciones temporales se pueden usar con fines de investigación legal o regulatoria, como la conservación de documentos comerciales para una investigación legal.

Un objeto puede tener una, ambas o ninguna de estas conservaciones. Ambos tipos de conservaciones se comportan de la misma manera si el objeto se encuentra en un depósito que no tiene una política de retención. Si el depósito tiene una política de retención, las conservaciones tienen diferentes efectos en el objeto cuando se estas se liberan:

  • Una conservación basada en eventos restablece el tiempo del objeto en el depósito para los fines del período de retención.
  • Una conservación temporal no afecta el tiempo del objeto en el depósito para los fines del período de retención.

Ejemplo

Supongamos que tienes dos objetos, el Objeto A y el Objeto B, en un depósito con un período de retención de 1 año. Cuando agregaste los objetos al depósito, colocaste una conservación basada en eventos en el Objeto A y una conservación temporal en el Objeto B. Pasa un año y, debido a que ambos objetos todavía tienen una conservación, no puedes borrar ninguno de ellos, a pesar de que se cumplió el período de retención.

Supongamos que en este momento liberas la conservación de ambos objetos. El tiempo del Objeto A en el depósito comienza desde cero para los fines del período de retención. Esto significa que debe permanecer en el depósito durante un año más antes de que se pueda borrar o reemplazar. Por otro lado, el Objeto B se puede borrar o reemplazar de inmediato, ya que la conservación temporal no tiene efecto en el cumplimiento del tiempo de retención.

La propiedad predeterminada de conservación basada en eventos

Además de colocar conservaciones en objetos individuales, puedes habilitar la propiedad predeterminada basada en eventos en tu depósito. Cuando haces esto, cada objeto nuevo que se agregue al depósito a partir de ese momento tendrá de forma automática una conservación basada en eventos.

Este comportamiento es útil cuando deseas que un objeto se conserve en tu depósito durante un período dado después de que ocurra un evento determinado. Por ejemplo, tu depósito puede estar destinado a almacenar préstamos que debes retener durante una cantidad de años determinada una vez que se cancelan. Con una política de retención adecuada y la propiedad predeterminada de conservación basada en eventos habilitada en tu depósito, cuando subas un documento de préstamo, se le asignará una conservación basada en eventos. Cuando se cancela el préstamo, puedes liberar la conservación, momento en el que la política de retención garantiza que el préstamo permanezca almacenado y no se pueda modificar hasta que cumpla el período de retención establecido en tu política de retención.

Cumplimiento

Las instituciones que ofrecen servicios financieros, como los bancos, los agentes distribuidores y los encargados de mantener registros en los EE.UU., tienen la obligación de cumplir con las regulaciones que especifican los requisitos para la retención de registros electrónicos, lo cual incluye su duración de retención, formato, calidad y disponibilidad, entre otros aspectos. Las siguientes son algunas de estas regulaciones específicas:

Si un cliente de Google Cloud determina que alguna de las regulaciones mencionadas se aplica a su caso, deberá realizar su propia evaluación de cumplimiento en relación con los requisitos específicos bajo la supervisión de sus asesores legales y de su entidad reguladora en materia financiera. A fin de ayudarte con este proceso, Google Cloud se asoció con Cohasset Associates, Inc. (“Cohasset”) para obtener una evaluación independiente y objetiva de las capacidades de cumplimiento de Google Cloud Storage. Cohasset determinó que Cloud Storage, cuando se configura de forma correcta y se usa con la característica de bloqueo de depósitos, puede ayudar a los usuarios a satisfacer ciertas regulaciones de retención de registros de EE.UU., como la regla 17a-4(f) de la SEC, la regla 1.31(c)-(d) de la CFTC y la regla 4511(c) de la FINRA. La característica de bloqueo de depósitos de Cloud Storage incluye códigos de control integrados que pueden brindarte almacenamiento inmutable de tipo WORM (escritura única, lecturas múltiples) en Cloud Storage. El informe está disponible aquí.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.