Les risques cachés de négliger votre politique de rétention de données

Découvrez les risques de négligence des calendriers de rétention des données et de la manière dont les solutions de transfert de fichiers gérées peuvent aider les organisations à appliquer les politiques de rétention.

Les données sont l’élément vital des organisations modernes. Nous en collectons de grandes quantités auprès des clients, des employés, des partenaires et plus encore. Mais dans la hâte de recueillir des données, de nombreuses entreprises négligent un aspect critique de la gestion responsable des données – établissant et appliquant une politique de rétention des données solide.

Le fait de ne pas mettre en œuvre des règles claires concernant la durée des données doit être conservée et, lorsqu’elle doit être supprimée, expose les entreprises à une myriade de risques, des violations de la conformité et des amendes aux dommages de réputation et à la perte de la confiance des clients.

Cette pièce explore les meilleures pratiques de l’industrie pour les calendriers de rétention des données, les risques de négliger ce problème vital et comment Solutions de transfert de fichiers gérées (MFT) Peut aider les organisations à appliquer les politiques de rétention et à mieux protéger les données sensibles. Continuez à lire.

Normes de l’industrie pour la rétention des données

Bien que les détails varient selon l’industrie et la juridiction, certaines normes et réglementations courantes fournissent des conseils sur la rétention des données:

• GDPR (EU): Le règlement général sur la protection des données exige que Les données personnelles doivent être conservées «NOR plus que nécessaire Aux fins pour lesquelles les données personnelles sont traitées. » Les périodes de rétention exactes ne sont pas spécifiées mais doivent être définies et justifiées par le contrôleur de données.
• HIPAA (US Healthcare): La loi sur la portabilité et la responsabilité d’assurance maladie ne spécifie pas une période de rétention requise pour les dossiers médicaux. Cependant, il nécessite la documentation liée aux politiques de confidentialité, aux pratiques de sécurité et à d’autres dossiers administratifs à conserver pour au moins six ans.
• IRS (Records fiscaux américains): L’Internal Revenue Service recommande de conserver les déclarations de revenus et les documents de soutien pendant trois à sept ans en fonction de la forme et de la situation spécifiques.
• SOX (Records financiers américains): La loi Sarbanes-Oxley stipule une période de rétention de sept ans Pour auditer les enregistrements et autres documents qui soutiennent les états financiers.
• PCI DSS (données de carte de paiement): L’historique des sentiers d’audit doit être conservé pendant au moins un anavec un minimum de trois mois immédiatement disponibles pour analyse.

Bien que ceux-ci fournissent des directives de rétention générales, finalement chaque organisation doit évaluer les exigences juridiques, réglementaires et commerciales spécifiques à leurs données et définir les calendriers de rétention appropriés dans le cadre d’une politique complète de gouvernance des données.

Les risques de ne pas avoir de calendrier de conservation des données

La négligence de mettre en œuvre et d’appliquer un programme de rétention des données approprié expose les organisations à de nombreux risques:

Violations et amendes de la conformité

Alors que le paysage réglementaire autour de la confidentialité des données continue d’évoluer, les autorités réduisent de plus en plus de non-conformité, suscitant de lourdes amendes contre les délinquants.

Par exemple, en 2019, l’Allemagne a publié son Première amende de GDPR de plusieurs millions d’euros—Une pénalité de 14,5 millions d’euros contre la société immobilière Deutsche Wohnen pour, entre autres, n’ayant pas des calendriers de rétention de données adéquats en place et en gardant des données personnelles plus longtemps que nécessaire à l’objectif d’origine.

Le CNIL français (Data Protection Authority) a également une amende Sergique 400 000 € Pour des violations similaires du RGPD, notamment le non-respect des limites de rétention des données. La société avait conservé des documents personnels sensibles tels que les dossiers de santé, les détails de la banque et les copies de cartes d’identité longtemps après la fin des demandes de location.

Au-delà de l’impact financier immédiat, ces défaillances de la conformité du public portent également un coup dur pour la confiance des clients.

Risque accru de violations de données

La conservation des données au-delà de sa durée de vie nécessaire augmente également inutilement l’exposition d’une entreprise aux violations de données. Les données anciennes et inutilisées font une cible attrayante pour les cybercriminels qui chéritent les informations personnelles pour voler et exploiter.

Coûts élevés de stockage et de maintenance des données

Garder un excès de données qui ne sert plus d’objectif peut également avoir un impact sur les résultats grâce à des coûts de stockage, de maintenance et d’infrastructure gonflés. En particulier pour les industries lourdes de données, conserver chaque octet des données historiques n’est pas économiquement réalisable ou conseillé.

Problèmes de productivité et de qualité des données

À un niveau pratique, les données anciennes et obsolètes peuvent obstruer les systèmes, ralentir le traitement et entraver la capacité des employés à trouver les informations actuelles et précises dont ils ont besoin pour faire leur travail efficacement.

Les informations obsolètes pose également un problème de qualité des données. Par exemple, si l’adresse d’un client ou d’autres détails changent, des données en double et en conflit entre les systèmes peuvent conduire à des envois, des rapports et des analyses inexacts. Le nettoyage régulier des données en fonction des règles de rétention aide les entreprises à maintenir les données à jour et à filer.

Appliquer la rétention des données avec MFT

L’établissement de politiques de rétention claires est une première étape importante, mais les organisations ont également besoin des bonnes technologies et processus en place pour les appliquer. C’est là que les solutions de transfert de fichiers gérées (MFT) comme Progress Moveit le logiciel entre.

Plus précisément, MFT aide à la rétention des données de plusieurs manières clés:

1. Contrôle centralisé sur les données

MFT fournit aux équipes informatiques un Hub centralisé unique pour gérer et surveiller la transmission de données sensibles à l’intérieur et à l’extérieur de l’organisation. Plutôt que d’avoir des données dispersées sur des systèmes disparates et des canaux peu sûrs tels que les services de partage par e-mail, FTP ou de fichiers de catégorie, MFT consolide l’activité de transfert de fichiers dans un environnement sécurisé et contrôlé.

2. Gestion du cycle de vie des fichiers granulaires

Les principales solutions MFT incluent des capacités de gestion de fichiers robustes qui permettent aux administrateurs de définir des politiques granulaires autour de la durée des données doivent être conservées sur le système et lorsqu’elle doit être automatiquement supprimée en fonction de la date de création ou de la dernière utilisation.

Avec Moveit, les administrateurs peuvent configurer un calendrier de nettoyage de dossier automatisé, permettant au système de réaliser l’application. Les fichiers âgés sont automatiquement supprimés en fonction de la politique sans nécessiter une intervention manuelle. Cela fait non seulement gagner du temps, mais réduit également le risque d’erreur humaine, ce qui entraîne des données expirées et laissées à s’attarder.

3. Sentiers d’audit conformes et approuvés

Les journaux d’audit détaillés sont un incontournable pour démontrer la conformité aux politiques de rétention des données internes et aux réglementations externes comme HIPAA, RGPD, CCPA et PCI DSS. Le logiciel Moveit MFT fournit une trace d’audit de l’activité de transfert de fichiers dans une base de données de sabotage. Les journaux ne peuvent pas être modifiés ou supprimés, offrant une meilleure intégrité des informations d’audit. De plus, le logiciel Moveit peut enregistrer des événements directement aux consoles de gestion de Syslog pour une analyse plus approfondie et une rétention de journaux à long terme, comme l’exige certaines normes de conformité.

4. Contrôle d’accès basé sur les stratégies et intégration DLP

En plus du stockage et de la transmission chiffrés, MFT permet un contrôle plus granulaire sur qui peut accéder aux fichiers, dossiers et fonctionnalités. Moveit Software permet aux administrateurs de définir et d’appliquer les politiques d’accès basées sur l’utilisateur, du groupe et des rôles pour le moins de privilèges.

De plus, Moveit Software s’intègre aux outils de prévention de la perte de données (DLP) pour scanner automatiquement les fichiers pour des données sensibles. Les transferts sortants peuvent être bloqués et l’accès au fichier entrant restreint Basé sur les règles DLP-Set. Cette couche supplémentaire de sensibilisation au contenu aide à prévenir l’exposition non autorisée aux données et les violations des politiques.

Pensées finales

La rétention des données n’est pas une activité unique, mais un processus continu qui nécessite une application et une surveillance continues. En mettant en œuvre une solution de transfert de fichiers gérée comme Progress Moveit Software, les organisations peuvent améliorer leur posture de gouvernance des données et réduire les risques de collecteur de l’étalement des données non réglées.

Demandez une démo de transfert de fichiers Moveit aujourd’hui.

Les informations fournies sur ce blog ne sont pas destinées à constituer des conseils juridiques. Tout lecteur qui a besoin de conseils juridiques doit contacter son avocat pour obtenir des conseils concernant une question juridique particulière. Aucun lecteur, utilisateur ou navigateur de ce contenu ne devrait agir ou s’abstenir d’agir sur la base d’informations ici sans avoir d’abord de conseil juridique de l’avocat dans leur compétence pertinente.