¿El SOC 2 exige la eliminación de sus datos antiguos?

Nick Wade
September 10, 2024

En nuestro trabajo en Opus Guard, con frecuencia conversamos con los clientes sobre los marcos con los que cumplen, que también tienen requisitos de retención y eliminación de datos. Si bien es fácil de entender cómo lo exige ahora la ISO 27001, el SOC 2 plantea con frecuencia una pregunta relacionada: ¿la retención y la eliminación de datos son importantes para el cumplimiento del SOC 2?

En resumen, sí. Los criterios de servicios de confianza del SOC 2 expresan claramente los requisitos de retención de datos y la necesidad de eliminar adecuadamente la información más antigua a medida que deja de estar incluida en la política de retención de la organización. Si bien los criterios en sí mismos no estipulan explícitamente cómo o cuándo deben destruirse los datos, enfatizan la importancia de la gestión de la retención de datos, incluida la eliminación segura de los datos que ya no se necesitan. Esto difiere en cierta medida de los requisitos de retención de registros del SOC 2; los trataremos en otra publicación en el futuro.

Un enfoque reflexivo: archivar antes de eliminar

Una práctica recomendada que puede facilitar la transición entre los requisitos de retención y eliminación de datos es archivar los datos antiguos como primer paso. El archivado implica mover los datos que ya no se utilizan activamente a un entorno de almacenamiento seguro de solo lectura. Esto no solo garantiza que la valiosa información histórica se conserve para fines de auditoría o cumplimiento, sino que también reduce el riesgo de eliminar accidentalmente los datos que podrían necesitarse en el futuro. Una vez que los datos se hayan archivado y revisado minuciosamente, se pueden eliminar y, por último, purgar de forma segura de acuerdo con su política de retención. Este enfoque por capas se alinea bien con los principios del SOC 2 y ofrece una medida adicional de control y documentación.

Introducción rápida al SOC 2: el qué y el quién

El SOC 2 (System and Organization Controls 2) es un marco de cumplimiento diseñado para ayudar a las empresas a administrar y proteger los datos confidenciales de los clientes. Evalúa la eficacia de los controles internos de una organización en relación con cinco áreas clave, conocidas como Criterios de servicios fiduciarios (TSC): seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Los informes SOC 2 son esenciales para las organizaciones, especialmente para aquellas que manejan datos basados en la nube, ya que demuestran el compromiso de proteger la información de los clientes. Muchos clientes potenciales desean ver el informe SOC 2 de una organización antes de plantearse convertirse en clientes.

SOC2 está desarrollado y mantenido por Instituto Estadounidense de Contadores Públicos Certificados (AIPA). La AICPA estableció el SOC 2, incluidos los TSCs ↗️, para estandarizar y evaluar la forma en que las empresas gestionan los datos de conformidad con las mejores prácticas de seguridad y privacidad de los datos.

Así es como los criterios de servicios de confianza pertinentes afectan a sus decisiones en relación con la retención y la destrucción de datos:

1. Principio de seguridad

El principio de seguridad está ampliamente incluido en casi todos los informes del SOC 2 ↗️. Bajo el Seguridad En principio, el SOC 2 espera que las empresas protejan la información del acceso no autorizado y la protejan durante todo su ciclo de vida. Esto incluye garantizar que los procesos de eliminación de datos sean seguros. La destrucción de los datos que hayan dejado de estar incluidos en la política de retención debe gestionarse con el mismo nivel de seguridad aplicado durante su período de retención.

Los métodos adecuados de destrucción de datos incluyen:

  • Borrar datos (o purga) para obtener información digital, donde los datos se purgan de forma segura para evitar la recuperación.
  • Trituración para registros físicos, garantizando que los documentos en papel sean irrecuperables.
2. Principios de confidencialidad y privacidad

Los principios de confidencialidad y privacidad exigen que las empresas se aseguren de que los datos sensibles o personales solo se conserven mientras cumplan con el propósito previsto. Además, el principio de confidencialidad también se incluye en la mayoría de los informes del SOC 2. Una vez que los datos ya no sean necesarios por motivos legales, operativos o comerciales, deben eliminarse o destruirse de forma segura para evitar el acceso no autorizado o el uso indebido.

La retención de datos desactualizados puede provocar violaciones de la privacidad o de la confidencialidad, especialmente si los datos que deberían haberse destruido quedan expuestos en un incidente de seguridad. Por lo tanto, el SOC 2 hace hincapié en la importancia de contar con un proceso para destruir de forma segura los datos desactualizados.

3. Requisitos de cumplimiento y control

Las auditorías del SOC 2 suelen buscar políticas y controles documentados relacionados con la retención y la destrucción de datos. Los auditores esperan que las empresas cuenten con procedimientos definidos para gestionar la información a medida que envejece, incluidas las prácticas de eliminación segura. No destruir los datos correctamente puede provocar problemas de cumplimiento, especialmente si la empresa no puede demostrar que los datos sensibles ya no se conservan después del período de uso previsto.

Cómo deben gestionar las empresas el archivado, la retención y la eliminación

Para cumplir con el SOC 2, las empresas deben:

  • Establezca políticas claras de eliminación de datos: Las políticas de retención de datos deben especificar cómo y cuándo se moverán los datos a un archivo, así como cómo y cuándo se destruirán una vez que expire su período de retención.
  • Implemente el archivado seguro: Utilice un almacenamiento seguro y de acceso controlado para los datos archivados. Esto no solo preserva la información histórica, sino que también sirve como punto de control para garantizar que los datos solo se eliminen permanentemente cuando sea apropiado.
  • Automatice la retención y la eliminación: Los sistemas automatizados pueden ayudar a hacer cumplir el cronograma para mover los datos a un archivo y, eventualmente, eliminarlos. Esto minimiza los errores humanos y garantiza que el ciclo de vida de los datos se gestione de forma coherente.
  • Utilice métodos de destrucción seguros: Ya se trate de datos digitales (que requieren una eliminación o purga permanentes) o de datos físicos (que deben triturarse u otros métodos seguros), es fundamental garantizar los métodos de destrucción adecuados.
  • Documente todo: Mantenga registros completos de cuándo se archivaron los datos y cuándo se eliminaron finalmente. Esta documentación es fundamental para demostrar el cumplimiento de los requisitos del SOC 2.

Por ejemplo, los clientes de Atlassian pueden beneficiarse de herramientas como Gestor de retención de contenido para Confluence y Gestor de retención de contenido para Jira, que facilitan las políticas de retención y la eliminación rutinaria con un registro de auditoría que cumple con las normas. En combinación con el gestor de contenido y las reglas de automatización de Confluence en ambos productos para el archivado, se pueden configurar para archivar los datos primero, garantizando que la eliminación solo se produzca después de una revisión adecuada por parte de los administradores del espacio y del proyecto.

En resumen, los TSC del SOC 2 establecen claramente los requisitos de retención de datos y la necesidad de eliminar de forma automática y rutinaria la información antigua y el contenido de los empleados. Por lo general, el SOC 2 espera que las empresas destruyan de forma segura los datos que ya no son necesarios, como parte del cumplimiento de los principios de confidencialidad, privacidad y seguridad; y la organización reflejará ese cumplimiento en un informe de auditoría del SOC 2 de tipo II.

Pruebe Content Retention Manager gratis hoy mismo:

Tome el control de sus datos hoy mismo