¿Cuál es el estándar actual de la UE para la destrucción de datos?

Navega tus respuestas
11

He estado buscando durante un par de semanas tratando de encontrar cuáles son los estándares actuales para la destrucción de datos confidenciales en la UE / Reino Unido.

Si nos fijamos en las empresas de destrucción, tienen varias respuestas. BS EN: 15713: 2009 aparece mucho, pero también lo hace la norma DIN 66399, que algunos lugares colocan una EN delante de convertirla en un estándar de la UE. Además de eso, muchos lugares se refieren al estándar UK HMG IA 5, pero han sido reemplazados. El último estándar que puedo encontrar es la destrucción segura de información confidencial de CPNI de abril de 2014.

Pero nada parece ser tan definitivo como FIPS 880-88r1 y la investigación CMRR de UC: SD, pero parte de ella contradice esto.

    
pregunta EnviableOne 12.04.2016 - 17:16
fuente

2 respuestas

2

Sin embargo, no estoy 100% seguro de cuáles serían las leyes y directrices de la UE; Sospecho que los Estados miembros deben decidir qué emitir respecto a la eliminación de información personal. dicho esto, encontré un PDF de la Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés) y afirman en este documento que ...

  

... el ICO adoptará un enfoque realista en términos de reconocer que eliminar la información de un sistema no siempre es un asunto directo y que es posible poner la información "fuera de uso", y que los problemas de cumplimiento de la protección de datos sean 'suspendido' siempre que existan ciertas salvaguardas

     

la información se ha eliminado sin intención alguna por parte del controlador de datos para usar o acceder a este nuevamente, pero puede que   Todavía existen en el éter electrónico. Por ejemplo, podría estar esperando a que se sobrescriba con otros datos.

     

la información que debería haberse eliminado, pero en realidad aún se mantiene en un sistema en vivo porque, por razones técnicas, no es posible eliminar esta información sin eliminar también otra información contenida en el mismo lote.

y en adición a esto en la siguiente sección que indica.

  

El ICO estará satisfecho de que la información haya sido "puesta fuera de uso"   si no se eliminó realmente, siempre que el controlador de datos lo contenga:

     
  1. no puede, o no intentará, usar los datos personales para informar cualquier decisión con respecto a cualquier persona o de una manera que afecte a la persona de cualquier manera;
    2.   
  2. no le da a ninguna otra organización acceso a lo personal   datos;
    3.   
  3. rodea los datos personales con las técnicas adecuadas y   seguridad organizacional; y
    4.   
  4. se compromete a la eliminación permanente de la información si, o cuando, esto sea posible.
    5.   

Así que sospecho que ellos mismos no saben cuál es el mejor enfoque, por lo que están dejando el vago. Mientras haga el esfuerzo de mostrar que lo eliminó y trató de hacer que no se pueda recuperar, supongo que están contentos con eso. Como usted y Graham Hill (comentarios) sugirieron, aceptaría un estándar de la industria como BS EN: 15713 o DIN 66399.

Accedido el 15 de mayo de 2016

Sitio web de la OIC para las directrices más recientes (Reino Unido)

PDF de ICO en eliminación

    
respondido por el Lmnoppy 16.05.2016 - 00:55
fuente
2

ENISA es probablemente tu amigo aquí. Echa un vistazo al informe ENISA en Asegurar datos personales en el contexto de la retención de datos , hay una cita específica:

  

no existen normas ni estándares que regulen cómo los   La destrucción de los datos debe tener lugar.

junto con la recomendación:

  

Proporcione instrucciones claras sobre los procedimientos que deben seguirse   al final del período de retención, cuando los datos se eliminarán   de forma segura.

Supongo que todavía no hay estándares.

    
respondido por el Colin Cassidy 07.07.2016 - 17:16
fuente

Lea otras preguntas en las etiquetas

Burpsuite desfiguración accidental, ¿debería preocuparme? HMACSHA512 versus Rfc2898DeriveBytes para el hash de contraseña