GDPR 是否要求删除的备份不可恢复？

Question

尽管 GDPR 已经实施了一段时间，但我的组织到目前为止基本上一直忽略它。这次豁免是因为我们所签订的政府合同是临时性的，而新的提供商将他们的系统上线。我们的想法是我们随时关闭我们的系统并移交。一晃七年过去了，新的提供商还没有完成他们的要求，所以我们保持原样。

该部门现在要求我们遵守 GDPR，而提出的问题之一就是备份。我的理解是，对于日常业务来说，只需在备份文件过期时删除它就足以符合要求。处理硬件时可能需要更彻底的清理，但照常备份维护不需要额外的措施。

然而，有人问我们是否需要从磁盘上完全删除所有已删除的文件。这种完全擦除显然使用第三方软件来完全删除文件并使其不可恢复。

由于 GDPR，现在完全删除备份是否已成为常态？

如果人们一直都是这么做的，而我们却从来没有做得对过，那么我也会这么做。

Answer 1

从我根本不是法律专家的角度来看，我们认为使备份不可恢复是尽职调查，即使没有在任何地方明确说明。如果法规要求它需要消失，那么它就需要完全消失。许多人认为仅删除备份就足够了，但我们采取了更仔细的解释，部分原因是我们无论如何都愿意这样做，部分原因是有些客户无论如何都会坚持。我们与受到严格监管的公司合作，并存储客户的用户和客户的客户的 PPI。

\n

对于本地存储，这是通过以下方式完成的：

\n

\n
1. 静态加密：我们所有的驱动器都使用 FDE（通过 Windows 的 BitLocker）。这也涵盖了所有活动数据。
\n
2. 虽然上述内容对于大多数威胁来说应该足够了（拿走驱动器的人不应该能够解锁它），但我建议粉碎文件而不是仅仅删除它们。这并不能保护您免受 FDE 以外的影响（如果有人在通过 RCE 缺陷安装时访问驱动器，他们仍然会获得尚未删除的备份），这样做很容易，将其作为尽职调查。
\n
3. 正如您所说，在不再使用驱动器时正确处置它们：安全擦除然后物理销毁。
\n
4. 也考虑为您的数据库配置 TDE。
\n

\n

对于云存储，我们的控制较少，数据在活动时可能会被移动到各处，即使您知道它存在于哪些驱动器上，您也没有适当确保它们被安全擦除所需的控制级别，我们几乎所有包含敏感数据的数据库都位于 Azure 中。在这里你需要：

\n

\n
1. 确保存储保护的所有相关选项均已打开。DB 中的 TDE、存储帐户和 VM 驱动器上的 FDE……这些天通常都是默认的，但请确保并考虑是否需要使用 \xe2\x80\x9c 带来自己的密钥 \xe2\x80 \x9d 变体等等。
\n
2. 确保针对您向客户做出的到期承诺正确设置备份保留级别。
\n

\n

根据我们对 GDPR 的解读，备份属于灰色地带，即使数据不存在，我们也会对数据采取非常相似的立场，因此您可能需要找具有立法专业知识的人来评估您的立场尊重您持有哪些数据、关于谁以及为谁持有的数据。

\n

在考虑这些问题时要问自己的一个关键问题是：如果您是您的客户，或者您是代表此类客户对您进行评估的第三方审计员，或者您的个人数据存在于这些系统中，您是否满意数据是否代表尽职调查和最佳实践？

\n