Comments 6
ох, эта модель хорошо работала, пока надо было только хранить данные (т.е. ошибка "хранили дольше, чем ожидали" была исключительно финансовая). GDPR резко всё поменял, и за избыточное хранение можно вполне получить по ушам.
Не говоря уже про требования про удаление персональных данных. Вот В. Пупкин хочет, чтобы его персональные данные были удалены. Из бэкапов? Потому, что если его данные удалили, а потом, после аварии, восстановили и снова прислали предложение удлиннить сиси, то В. Пупкин будет крайне недоволен. Легально недоволен. Со штрафом до 4% оборота.
1) Проблему восстановления персональных данных из бэкапа B&R позволяет решить через т.н. Staged restore (https://helpcenter.veeam.com/docs/backup/vsphere/staged_restore_about.html?ver=100). Если коротко, то машина сначала публикуется в изолированной среде (прямо из бэкапа, без копирования данных), на ней запускается пользовательский скрипт, который должен вычистить данные, после чего машина уже копируется в продакшен.
2) У нас были кейсы, когда клиенты приходили и просили удалить определенные данные прямо с кассет. Вообще так нельзя, но как альтернативу мы предлагали аккуратно вместе прочитать акты и понять, нужно ли это в принципе. И приходили к выводу, что не нужно. Может быть есть и более сложные случаи, но пока везло. В целом, требования удалять данные из бэкапов для меня выглядят абсурдными. Скажем, есть же кассеты WORM, с которых что-то можно удалить только с помощью молотка или высокой температуры. Как с ними поступать?
Так что GDPR требует чтобы данные мсье Пупкины не были восстановлены на прод, что уже вполне реально организовать. В Veeam это называется Staged Restore.
Если законодательство требует хранить данные (например, банки на Кипре должны 10 лет хранить информацию обо всех владельцах аккаунтов с момента закрытия счёта), то требование удаления данных может быть отклонено. Т.е. банк может сделать себе retention в 10 лет и расслабиться.
Я поискал, вот инфа:
If a valid erasure request is received and no exemption applies then you will have to take steps to ensure erasure from backup systems as well as live systems. Those steps will depend on your particular circumstances, your retention schedule (particularly in the context of its backups), and the technical mechanisms that are available to you.
You must be absolutely clear with individuals as to what will happen to their data when their erasure request is fulfilled, including in respect of backup systems.
It may be that the erasure request can be instantly fulfilled in respect of live systems, but that the data will remain within the backup environment for a certain period of time until it is overwritten.
The key issue is to put the backup data ‘beyond use’, even if it cannot be immediately overwritten. You must ensure that you do not use the data within the backup for any other purpose, ie that the backup is simply held on your systems until it is replaced in line with an established schedule. Provided this is the case it may be unlikely that the retention of personal data within the backup would pose a significant risk, although this will be context specific. For more information on what we mean by ‘putting data beyond use’ see our old guidance under the 1998 Act on deleting personal data (this will be updated in due course).
Ленты это зло. Чувствительность к климатике, хрупкость. Требование по обслуживанию.
Слава богу, время их уходит со стоимостью снижения цен на hdd…
Насчёт «чувствительности к климатике» даже немного смешно, учитывая что ленты сертифицируются так называемой «эвалюацией Баттеля», при которой они на 14 дней помещаются в среду коррозионного газа. Удачи там же выжить жёсткому диску!
Политики хранения Veeam B&R, — бэкапы, цепочки и магнитные ленты