Verlangt SOC 2 die Löschung Ihrer alten Daten?

September 10, 2024

Bei unserer Arbeit bei Opus Guard führen wir häufig Gespräche mit Kunden über die Frameworks, die sie einhalten, und die auch Anforderungen an die Datenspeicherung und Datenlöschung beinhalten. Es ist zwar leicht zu verstehen wie ISO 27001 das jetzt verlangt, SOC 2 wirft häufig eine verwandte Frage auf: Ist die Aufbewahrung und Löschung von Daten für die Einhaltung von SOC 2 von Bedeutung?

Kurz gesagt, ja. In den SOC 2 Trust Services Criteria sind die Anforderungen an die Aufbewahrung von Daten sowie die Notwendigkeit, ältere Daten angemessen zu löschen, wenn sie nicht mehr den Aufbewahrungsrichtlinien des Unternehmens entsprechen, deutlich zum Ausdruck. Die Kriterien selbst schreiben zwar nicht ausdrücklich vor, wie oder wann Daten vernichtet werden sollten, sie betonen jedoch die Bedeutung der Verwaltung der Datenspeicherung, einschließlich der sicheren Entsorgung von Daten, die nicht mehr benötigt werden. Dies unterscheidet sich etwas von den Anforderungen zur Aufbewahrung von SOC-2-Protokollen. Diese werden wir in Zukunft in einem separaten Beitrag behandeln.

Ein durchdachter Ansatz: Archivieren, bevor Sie löschen

Eine bewährte Methode, die den Übergang zwischen den Anforderungen zur Aufbewahrung und Löschung von Daten erleichtern kann, besteht darin, in einem ersten Schritt ältere Daten zu archivieren. Bei der Archivierung werden Daten, die nicht mehr aktiv verwendet werden, in eine sichere, schreibgeschützte Speicherumgebung verschoben. Dadurch wird nicht nur sichergestellt, dass wertvolle historische Informationen für Prüf- oder Compliance-Zwecke aufbewahrt werden, sondern verringert auch das Risiko, dass Daten versehentlich gelöscht werden, die in Zukunft möglicherweise benötigt werden. Sobald Daten archiviert und gründlich überprüft wurden, können sie gelöscht und schließlich gemäß Ihrer Aufbewahrungsrichtlinie sicher gelöscht werden. Dieser mehrschichtige Ansatz entspricht gut den SOC 2-Prinzipien und bietet ein zusätzliches Maß an Kontrolle und Dokumentation.

Eine kurze Einführung in SOC 2: Was und wer

SOC 2 (System and Organization Controls 2) ist ein Compliance-Framework, das Unternehmen bei der Verwaltung und dem Schutz sensibler Kundendaten unterstützen soll. Es bewertet die Wirksamkeit der internen Kontrollen eines Unternehmens in Bezug auf fünf Schlüsselbereiche, die als Kriterien für Vertrauensdienste (TSCs): Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. SOC 2-Berichte sind für Unternehmen unverzichtbar, insbesondere für Unternehmen, die mit Cloud-basierten Daten umgehen, da sie zeigen, dass sie sich für den Schutz von Kundeninformationen einsetzen. Viele Interessenten möchten den SOC 2-Bericht eines Unternehmens sehen, bevor sie erwägen, Kunde zu werden.

SOC2 wird entwickelt und gepflegt von Amerikanisches Institut für Wirtschaftsprüfer (AKIPA). Die AICPA hat SOC 2 eingerichtet, einschließlich der TSCs ↗️, um zu standardisieren und zu bewerten, wie Unternehmen Daten gemäß den Best Practices für Datensicherheit und Datenschutz verwalten.

So wirken sich die relevanten Trust Services-Kriterien auf Ihre Entscheidungen in Bezug auf Aufbewahrung und Datenvernichtung aus:

1. Prinzip der Sicherheit

Das Sicherheitsprinzip ist weit verbreitet in fast alle SOC 2-Berichte ↗️. Unter dem Sicherheit Im Prinzip erwartet SOC 2 von Unternehmen, dass sie Informationen vor unbefugtem Zugriff schützen und sie während ihres gesamten Lebenszyklus schützen. Dazu gehört auch die Sicherstellung, dass die Datenlöschungsprozesse sicher sind. Die Vernichtung von Daten, deren Alter die Aufbewahrungsrichtlinien überschritten hat, sollte mit dem gleichen Sicherheitsniveau behandelt werden, das während des Aufbewahrungszeitraums angewendet wurde.

Zu den richtigen Methoden zur Datenvernichtung gehören:

  • Löschen von Daten (oder Bereinigen) für digitale Informationen, wo Daten sicher gelöscht werden, um eine Wiederherstellung zu verhindern.
  • Zerkleinern für physische Aufzeichnungen, um sicherzustellen, dass Papierdokumente nicht wiederherstellbar sind.
2. Grundsätze der Vertraulichkeit und des Datenschutzes

Nach den Grundsätzen der Vertraulichkeit und des Datenschutzes müssen Unternehmen sicherstellen, dass sensible oder personenbezogene Daten nur so lange aufbewahrt werden, wie sie ihren beabsichtigten Zweck erfüllen. Und das Prinzip der Vertraulichkeit ist auch in den meisten SOC 2-Berichten enthalten. Sobald Daten aus rechtlichen, betrieblichen oder geschäftlichen Gründen nicht mehr benötigt werden, sollten sie sicher gelöscht oder vernichtet werden, um unbefugten Zugriff oder Missbrauch zu verhindern.

Die Aufbewahrung veralteter Daten kann zu Datenschutzverletzungen oder Vertraulichkeitsverletzungen führen, insbesondere wenn Daten, die hätten vernichtet werden sollen, bei einem Sicherheitsvorfall offengelegt werden. Daher betont SOC 2 wie wichtig es ist, über ein Verfahren zur sicheren Zerstörung veralteter Daten zu verfügen.

3. Konformitäts- und Kontrollanforderungen

Bei SOC 2-Audits wird häufig nach dokumentierten Richtlinien und Kontrollen im Zusammenhang mit der Aufbewahrung und Vernichtung von Daten gesucht. Auditoren erwarten, dass Unternehmen über definierte Verfahren für den Umgang mit Informationen im Laufe der Zeit verfügen, einschließlich Verfahren zur sicheren Entsorgung. Wenn Daten nicht ordnungsgemäß vernichtet werden, kann dies zu Compliance-Problemen führen, insbesondere wenn das Unternehmen nicht nachweisen kann, dass sensible Daten nach dem vorgesehenen Nutzungszeitraum nicht mehr aufbewahrt werden.

Wie Unternehmen mit Archivierung, Aufbewahrung und Löschung umgehen sollten

Um SOC 2 einzuhalten, sollten Unternehmen:

  • Legen Sie klare Richtlinien zur Datenvernichtung fest: Richtlinien zur Datenspeicherung sollten festlegen, wie und wann Daten in ein Archiv verschoben werden und wie und wann sie nach Ablauf der Aufbewahrungsfrist vernichtet werden.
  • Implementieren Sie sichere Archivierung: Verwenden Sie einen sicheren, zugriffskontrollierten Speicher für archivierte Daten. Dies bewahrt nicht nur historische Informationen, sondern dient auch als Kontrollpunkt, um sicherzustellen, dass Daten nur dann dauerhaft gelöscht werden, wenn dies erforderlich ist.
  • Automatisieren Sie Aufbewahrung und Löschung: Automatisierte Systeme können dabei helfen, den Zeitplan für das Verschieben von Daten in ein Archiv und schließlich für das Löschen durchzusetzen. Dies minimiert menschliche Fehler und stellt sicher, dass der Datenlebenszyklus konsistent verwaltet wird.
  • Verwenden Sie sichere Zerstörungsmethoden: Egal, ob es sich um digitale Daten (die dauerhaft gelöscht oder gelöscht werden müssen) oder um physische Daten (die geschreddert oder auf andere sichere Weise gelöscht werden müssen) handelt, die Sicherstellung der richtigen Vernichtungsmethoden ist von entscheidender Bedeutung.
  • Dokumentiere alles: Führen Sie umfassende Aufzeichnungen darüber, wann Daten archiviert wurden und wann sie schließlich gelöscht wurden. Diese Dokumentation ist entscheidend für den Nachweis der Einhaltung der SOC 2-Anforderungen.

Atlassian-Kunden können beispielsweise von Tools wie profitieren Content Retention Manager für Confluence und Content Retention Manager für Jira, die Aufbewahrungsrichtlinien und routinemäßiges Löschen mit einem konformen Audit-Trail ermöglichen. In Kombination mit dem Content Manager und den Automatisierungsregeln von Confluence in beiden Produkten für die Archivierung können diese so konfiguriert werden, dass Daten zuerst archiviert werden. So wird sichergestellt, dass die Löschung erst nach einer entsprechenden Überprüfung durch Space- und Projektadministratoren erfolgt.

Zusammenfassend lässt sich sagen, dass die SOC 2-TSCs die Anforderungen an die Datenspeicherung und die Notwendigkeit einer automatisierten routinemäßigen Löschung alter Informationen und Mitarbeiterinhalte klar darlegen. SOC 2 erwartet im Allgemeinen, dass Unternehmen Daten, die nicht mehr benötigt werden, im Rahmen der Einhaltung der Vertraulichkeits-, Datenschutz- und Sicherheitsprinzipien sicher vernichten. Eine solche Einhaltung wird ein Unternehmen in einem SOC 2-Typ-II-Auditbericht nachweisen.

Testen Sie Content Retention Manager noch heute kostenlos:

Übernehmen Sie noch heute die Kontrolle über Ihre Daten