O que é conformidade e gerenciamento de registros

Publicados: 2019-01-10

A solicitação de um auditor interno por informações sobre gerenciamento e documentação de registros se traduz em medo e incertezas para muitos chefes de departamento.

Você não deve apenas conseguir a retenção ao longo de muitos anos, mas também garantir que as informações sejam adequadamente protegidas.

Definição de Gerenciamento de Registros

O gerenciamento de registros envolve documentar as informações e protegê-las durante o período necessário. Com os avanços tecnológicos, tornou-se possível que as empresas obtenham dados de pessoas com as quais nunca poderão fazer transações! Isso pode vir na forma de pedidos de emprego e auxiliares de marketing. Você precisa ter um mecanismo adequado para coletar, classificar, armazenar e descartar esses documentos no momento apropriado.

Alguns órgãos reguladores se concentrarão apenas em dados relacionados a funcionários e clientes. No entanto, alguns dos regulamentos, como o Regulamento Geral de Proteção de Dados (GDPR), exigem que você proteja todos os dados com os quais interage de qualquer forma de violação. Por exemplo, as informações coletadas por seus profissionais de marketing podem parecer desnecessárias após o programa de geração de leads, mas são um risco de dados significativo para sua empresa.

Cronogramas de retenção típicos: o que são?

Vários setores têm diferentes cronogramas de retenção de registros. Por exemplo, é uma exigência que todas as informações coletadas pelos bancos sejam armazenadas por 5 anos. As categorias mais usadas de programas de retenção de dados incluem 3 anos, 5 anos, 7 anos, 10 anos ou cronogramas de retenção permanentes.

Como a retenção de dados afeta sua organização

O desenvolvimento de métodos de coleta de dados tecnologicamente avançados complicou o processo de retenção e proteção de dados. Ao contrário dos velhos tempos em que você podia coletar documentos e armazená-los em um depósito vigiado, o ambiente de hoje é altamente digital! Isso exige que você invista em programas de armazenamento de dados e institua segurança contra violação de dados.

Você também deve garantir que você tenha sistemas de rastreamento adequados. Isso ajudará você a descartar facilmente os documentos que ultrapassaram o limite de retenção.

5 etapas cruciais para criar uma política de gerenciamento de registros

Você é obrigado a usar as diretrizes da ISO 15489 ao se preparar para esta política. Além disso, certifique-se de elaborar medidas para garantir a conformidade. As etapas incluem:

Revise os ativos e locais de armazenamento

Certifique-se de compreender todas as informações que armazena e os locais de armazenamento específicos. Isso ajudará você a classificar os dados com base nos parâmetros necessários para aumentar a segurança contra violação de dados. Os registros podem ser classificados como:

  • Operacional . Esta é a informação que é essencial para as operações diárias de negócios. Inclua dados de clientes, informações de funcionários, organogramas, informações fiscais, acesso e autorização de dados, informações de marketing, documentos de recursos humanos e atas de reuniões do Conselho de Administração.
  • Jurídico . Esses dados giram em torno das responsabilidades legais de uma empresa. Inclui artigos de incorporação, ações judiciais, informações de fornecedores terceirizados, formulários de consentimento e informações sobre apólices de seguro.
  • Emergência . Isso envolve todas as informações necessárias para garantir a continuidade dos negócios e resolver desastres. Inclui autorização de acesso de emergência, plantas das instalações, políticas e procedimentos, códigos de segurança e documentação técnica do sistema.
  • Financeiro . Essas informações envolvem ativos, passivos e histórico financeiro. Inclui os detalhes de investimentos, informações de folha de pagamento, livros e documentos bancários.
  • Com base na localização . As informações podem ser armazenadas nas redes, servidores, armazenamento em nuvem, locais no local e fora do local e backups.

Revise a importância dos dados e o risco de taxa

É fundamental que todas as políticas se concentrem em informações cruciais cuja interferência resultaria em descontinuidade ou perda financeira. Estas perguntas são necessárias durante a revisão:

  • As informações são necessárias para a continuidade dos negócios?
  • A perda de dados levará a uma perda monetária?
  • É caro reconstruir os dados?
  • Com que rapidez você deve recuperar as informações em caso de perda?
  • A informação pode ser obtida de outras fontes?
  • Os documentos são físicos ou digitais?

Revise os riscos para as informações

Ao decidir o período de retenção, você deve considerar a necessidade de longo prazo das informações e o custo de recuperação em caso de perda. Estas são as perguntas norteadoras:

  • Quem é o responsável pelos dados?
  • Você tem controles adequados, como criptografia e firewalls?
  • Qual é o formato das suas informações?
  • É possível documentar todas as transações?
  • Quem pode acessar as informações?
  • Como você regula/autentica o controle?

Proteção de Registros de Monitoramento

Se você deixar de monitorar suas informações com frequência, sofrerá com a não conformidade com a integridade!

  • Você monitora com frequência todos os softwares, servidores e redes quanto a riscos?
  • Você está atualizando seu software?
  • Os funcionários demitidos continuam acessando os dados?
  • Você está monitorando as ameaças externas?
  • Você está revisando seu acesso?

Descarte de Registros

Você deve ter um plano para descartar seus registros. Certifique-se de não violar um requisito regulatório no processo. Certifique-se de ter backups e uma agência de descarte verificada para concluir o processo.

Uso da Tecnologia na Gestão de Registros

O uso de ferramentas automatizadas ajuda você a organizar todos os seus dados (físicos e digitais de forma organizada. Economiza tempo e recursos necessários para o processo de auditoria, facilitando o atendimento aos órgãos reguladores).

Nota do editor: Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado sobre o que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

  • Segmentação de rede e conformidade com PCI
  • Gerenciamento de log PCI DSS
  • Escopo de uma auditoria SOC2
  • Requisitos de auditoria - empresas privadas dos EUA
  • Plano de gerenciamento de riscos – Para que serve?