La retención de datos y la gestión del ciclo de vida también tendrán un impacto desde una perspectiva cibernética.
De hecho, algunos de los denominados datos técnicos que permiten el seguimiento de los sistemas contienen datos personales. Por lo tanto, están sujetos al RGPD.
Además, el responsable del tratamiento, como responsable de los datos tratados, estará sujeto a obligaciones legales en materia de plazos de conservación.
Gestión de riesgos cibernéticos
Como se mencionó anteriormente, algunos datos técnicos permiten el monitoreo de los sistemas, como los archivos de acceso que contienen la lista de conexiones a los sistemas.
Esta lista contiene archivos de registro de conexión que se procesarán para analizar los sistemas de información, identificar alertas y sus fuentes e implementar un plan de acción de gestión de crisis.
Los archivos de registro pueden contener todo tipo de datos personales, incluida la dirección IP del usuario.
Por lo tanto, es fundamental conocer el período de retención de estos archivos de registro e implementar una política de retención de datos específica para la gestión del riesgo cibernético aplicable al negocio y la empresa.
Periodo de retención
El período de retención de los archivos de registro puede estar sujeto a restricciones legales y reglamentarias sectoriales. El responsable del tratamiento deberá leerlos para definir los medios técnicos necesarios para el archivo de los periódicos.
La CNIL considera que los registros de conexión no pueden conservarse durante más de 6 meses a menos que se apliquen otras restricciones reglamentarias específicas.
El período máximo de retención de registros según la ley es de 1 año, con referencia al CPCE (Code des Postes et des Communications Electroniques) y al decreto n° 2011-219 relativo a la conservación y comunicación de datos que permiten la identificación de cualquier persona. que contribuyeron a la creación de contenido publicado en línea.
Se recuerda que cada reglamento o norma define sus propios requisitos.
A efectos de la lucha contra las ciberamenazas y en el marco del interés legítimo, es posible justificar periodos de conservación más largos: ejemplos para responder al análisis de ataques persistentes (APT). Es entonces necesario argumentar en la documentación del tratamiento, bajo responsabilidad. Se requerirán medidas de apoyo (acceso restringido y seguro a los datos, DPIA, etc.).
Finalmente, más allá de la vida útil de los registros, debe plantearse la cuestión de cómo se conservan (archivo intermedio). Se recomienda encarecidamente incluir con las Políticas de retención de datos un capítulo dedicado a la gestión de los períodos de retención de datos dentro de la gestión del riesgo cibernético.
Regulación
Las organizaciones también pueden estar sujetas a requisitos adicionales relacionados con su industria en términos de trazabilidad y archivo, en particular cuando desarrollan su actividad en un sector regulado.
Por ejemplo, para efectos de pago, se requiere la conservación de una pista de auditoría durante al menos 1 año, con un mínimo de 3 meses de accesibilidad inmediata de acuerdo con la sección 10.7 del Estándar de Seguridad de la industria de tarjetas de pago PCI DSS.
En Francia, los operadores de vital importancia (OVI) deben conservar durante un período de al menos 6 meses los eventos registrados por el sistema de registro de sus sistemas de información de vital importancia (SVI). Los decretos sectoriales definen las obligaciones de cada familia de operadores (“Audiovisual e información”, “Comunicaciones electrónicas e Internet”, “Industria” y “Finanzas”).
También en Francia, “Los operadores de servicios OES esenciales deben conservar” los eventos registrados por el sistema de registro (…) durante un período de al menos 6 meses “.
Finalmente, la Autoridad Nacional del Juego (en Francia) debe poder acceder a los datos archivados del sector del juego en línea. Los archivos deben cubrir al menos los últimos doce meses de actividad del operador.
Por ello, se recomienda encarecidamente realizar un inventario de la normativa sectorial aplicable a su sistema de información.
