Quay lại blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Cách tài liệu hóa việc sử dụng proxy cho tuân thủ: mẫu và chính sách bảo mật

Hướng dẫn đầy đủ về việc tài liệu hóa việc sử dụng máy chủ proxy để tuân thủ các yêu cầu compliance: mẫu chính sách, nhật ký truy cập và hướng dẫn thực tiễn.

📅3 tháng 3, 2026
```html

Nếu công ty của bạn làm việc với dữ liệu cá nhân của khách hàng, nhận thanh toán hoặc phải chịu sự kiểm toán an ninh, việc tài liệu hóa việc sử dụng máy chủ proxy trở thành yêu cầu bắt buộc. Việc thiếu tài liệu đúng có thể dẫn đến các khoản phạt lên đến 20 triệu euro theo GDPR hoặc mất chứng nhận PCI DSS.

Trong hướng dẫn này, chúng tôi sẽ xem xét cách tài liệu hóa đúng cách việc sử dụng proxy để tuân thủ các yêu cầu của cơ quan quản lý, những chính sách cần thiết để tạo ra và cách duy trì nhật ký truy cập. Bạn sẽ nhận được các mẫu tài liệu sẵn có và danh sách kiểm tra để triển khai.

Tại sao tài liệu hóa proxy là rất quan trọng cho compliance

Máy chủ proxy thường trở thành "điểm mù" trong tài liệu an ninh của doanh nghiệp. Các công ty mô tả cẩn thận các quy trình làm việc với cơ sở dữ liệu, nhưng quên ghi lại cách mà nhân viên hoặc hệ thống của họ truy cập vào các nguồn tài nguyên bên ngoài thông qua proxy.

Vấn đề trở nên nghiêm trọng trong một số tình huống:

  • Kiểm toán an ninh thông tin: Các kiểm toán viên ISO 27001 hoặc SOC 2 yêu cầu xác nhận rằng tất cả các kênh truy cập dữ liệu đã được tài liệu hóa và kiểm soát. Proxy là một kênh truy cập.
  • Điều tra sự cố: Khi có rò rỉ dữ liệu hoặc nghi ngờ gian lận, bạn cần chứng minh ai, khi nào và vì lý do gì đã sử dụng proxy để truy cập vào các nguồn tài nguyên cụ thể.
  • Kiểm tra GDPR: Nếu bạn xử lý dữ liệu của công dân EU thông qua proxy ở các quốc gia khác, bạn cần tài liệu hóa tính hợp pháp của việc chuyển giao dữ liệu xuyên biên giới.
  • Chứng nhận PCI DSS: Đối với các công ty nhận thanh toán bằng thẻ, tất cả các điểm truy cập vào dữ liệu thẻ phải được tài liệu hóa, bao gồm cả máy chủ proxy.

Ví dụ thực tế: vào năm 2022, một công ty fintech châu Âu đã nhận được cảnh báo từ cơ quan quản lý vì thiếu tài liệu về cách mà hệ thống giám sát rủi ro của họ sử dụng proxy để kiểm tra các giao dịch. Họ đã tránh được khoản phạt chỉ sau khi khẩn trương tạo ra một bộ tài liệu đầy đủ và nhật ký hồi cứu trong 12 tháng.

Quan trọng: Tài liệu phải được tạo ra TRƯỚC khi bắt đầu sử dụng proxy, chứ không phải vào thời điểm kiểm toán. Việc tạo tài liệu hồi cứu luôn gây nghi ngờ cho các kiểm toán viên.

Các yêu cầu quy định nào liên quan đến proxy

Các tiêu chuẩn quy định khác nhau đưa ra các yêu cầu cụ thể về việc tài liệu hóa việc sử dụng máy chủ proxy. Dưới đây là những yêu cầu chính mà doanh nghiệp thường gặp:

GDPR (Quy định chung về bảo vệ dữ liệu)

Nếu bạn sử dụng proxy để xử lý dữ liệu cá nhân của công dân EU, bạn cần tài liệu hóa:

  • Mục đích sử dụng proxy (Điều 5.1.b — giới hạn mục đích)
  • Vị trí địa lý của các máy chủ proxy (Điều 44 — chuyển giao dữ liệu xuyên biên giới)
  • Các biện pháp an ninh để bảo vệ dữ liệu khi chuyển giao qua proxy (Điều 32)
  • Hợp đồng với nhà cung cấp proxy như một người xử lý dữ liệu (Điều 28)
  • Nhật ký truy cập để đảm bảo tính trách nhiệm (Điều 5.2)

Ví dụ thực tiễn: nếu bộ phận marketing của bạn sử dụng proxy cư trú để phân tích đối thủ cạnh tranh ở các quốc gia khác nhau trong EU, và đồng thời thu thập dữ liệu về giá cả hoặc danh mục sản phẩm (có thể gián tiếp chứa dữ liệu cá nhân), bạn cần một chính sách sử dụng proxy phù hợp với GDPR.

PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán)

Đối với các công ty xử lý thanh toán, các yêu cầu PCI DSS phiên bản 4.0 bao gồm:

  • Yêu cầu 1.2.1: Tài liệu hóa tất cả các kết nối được phép giữa môi trường dữ liệu thẻ và các mạng bên ngoài (proxy là một kết nối như vậy)
  • Yêu cầu 10.2: Duy trì nhật ký tất cả các hành động của người dùng có quyền quản trị, bao gồm cả việc quản lý proxy
  • Yêu cầu 12.3: Chính sách sử dụng công nghệ, bao gồm cả máy chủ proxy

ISO 27001 (Hệ thống quản lý an ninh thông tin)

Tiêu chuẩn yêu cầu tài liệu hóa trong bối cảnh kiểm soát A.13.1.1 (quản lý các yếu tố an ninh mạng):

  • Kiểm kê tất cả các máy chủ proxy và cấu hình của chúng
  • Quy trình quản lý truy cập vào proxy
  • Giám sát việc sử dụng và phát hiện các bất thường
  • Xem xét định kỳ các chính sách (tối thiểu hàng năm)

152-FZ "Về dữ liệu cá nhân" (Nga)

Luật pháp Nga yêu cầu tài liệu hóa:

  • Mô hình mối đe dọa an ninh dữ liệu cá nhân (proxy như một phương tiện bảo vệ hoặc mối đe dọa tiềm tàng)
  • Đặc tả kỹ thuật cho việc tạo ra hoặc hiện đại hóa hệ thống thông tin (nếu proxy là một phần của nó)
  • Các văn bản phân loại và phân loại hệ thống thông tin
Tiêu chuẩn Tài liệu chính Tần suất cập nhật
GDPR Sổ đăng ký xử lý dữ liệu (ROPA) Khi có thay đổi
PCI DSS Sơ đồ luồng dữ liệu Hàng năm
ISO 27001 Chính sách an ninh thông tin Hàng năm
152-FZ Mô hình mối đe dọa Mỗi 3 năm

Mẫu chính sách sử dụng máy chủ proxy

Chính sách sử dụng proxy là một tài liệu cơ bản, xác định các quy tắc, trách nhiệm và quy trình. Dưới đây là cấu trúc của chính sách, được điều chỉnh theo yêu cầu compliance:

1. Các quy định chung

Tên tài liệu: Chính sách sử dụng máy chủ proxy

Phiên bản: 1.0

Ngày phê duyệt: [ngày]

Người phê duyệt: [chức vụ và họ tên, ví dụ: Giám đốc an ninh thông tin]

Ngày xem xét tiếp theo: [ngày sau 12 tháng]

Mục đích của chính sách: Xác định các quy tắc sử dụng máy chủ proxy để đảm bảo an ninh, tính riêng tư và tuân thủ các yêu cầu quy định khi truy cập vào các nguồn tài nguyên bên ngoài và xử lý dữ liệu.

Phạm vi áp dụng: Chính sách áp dụng cho tất cả nhân viên, nhà thầu và hệ thống tự động của công ty, những người sử dụng máy chủ proxy để truy cập vào các nguồn tài nguyên internet hoặc xử lý dữ liệu.

2. Các mục đích sử dụng proxy được phép

Máy chủ proxy chỉ có thể được sử dụng cho các mục đích kinh doanh sau:

  • Theo dõi đối thủ cạnh tranh: Thu thập thông tin công khai về giá cả, danh mục sản phẩm và hoạt động marketing của đối thủ để phân tích thị trường (các bộ phận: marketing, sản phẩm).
  • Kiểm tra dịch vụ web: Kiểm tra tính khả dụng và độ chính xác của các nguồn tài nguyên web của chính mình từ các khu vực địa lý khác nhau (các bộ phận: phát triển, QA).
  • Xác minh các chiến dịch quảng cáo: Kiểm tra việc hiển thị quảng cáo ở các khu vực khác nhau và trên các thiết bị khác nhau (bộ phận: marketing).
  • Bảo vệ chống lại DDoS: Che giấu địa chỉ IP của các hệ thống doanh nghiệp khi truy cập vào các API bên ngoài (bộ phận: IT).
  • Đảm bảo tính ẩn danh: Bảo vệ dữ liệu cá nhân của nhân viên khi thực hiện nghiên cứu hoặc làm việc với thông tin nhạy cảm (bộ phận: an ninh, compliance).

Cấm: Sử dụng proxy để vượt qua các chính sách an ninh của công ty, truy cập vào các nguồn tài nguyên bị cấm, che giấu hoạt động không được phép hoặc bất kỳ hành động nào vi phạm pháp luật.

3. Các loại proxy và ứng dụng của chúng

Loại proxy Nhiệm vụ được phép Yêu cầu về dữ liệu
Proxy cư trú Theo dõi đối thủ, xác minh quảng cáo, kiểm tra từ các khu vực khác nhau Chỉ dữ liệu công khai, không có dữ liệu cá nhân
Proxy di động Kiểm tra ứng dụng di động, kiểm tra quảng cáo di động Chỉ dữ liệu công khai, không có dữ liệu cá nhân
Proxy trung tâm dữ liệu Thu thập tự động, kiểm tra khả năng truy cập tài nguyên hàng loạt Chỉ dữ liệu công khai, tốc độ cao

4. Quy trình truy cập vào proxy

Bất kỳ nhân viên nào cần truy cập vào máy chủ proxy phải thực hiện quy trình sau:

  1. Đăng ký yêu cầu: Điền vào mẫu yêu cầu truy cập với lý do kinh doanh, loại proxy và thời gian sử dụng.
  2. Phê duyệt từ quản lý: Được phê duyệt bởi quản lý trực tiếp của bộ phận.
  3. Kiểm tra compliance: Đánh giá yêu cầu bởi bộ phận an ninh thông tin hoặc compliance để đảm bảo tuân thủ chính sách.
  4. Cung cấp thông tin đăng nhập: Bộ phận IT cung cấp quyền truy cập với thông tin đăng nhập duy nhất cho mỗi người dùng.
  5. Đào tạo: Nhân viên tham gia một buổi hướng dẫn ngắn về việc sử dụng proxy an toàn (có thể dưới dạng video hoặc tài liệu).

Thời gian xem xét yêu cầu: Không quá 3 ngày làm việc kể từ khi nộp.

5. Trách nhiệm và vai trò

  • Giám đốc an ninh thông tin (CISO): Phê duyệt chính sách, kiểm soát việc tuân thủ, phối hợp các cuộc kiểm toán.
  • Bộ phận IT: Triển khai kỹ thuật, cấp quyền truy cập, giám sát cơ sở hạ tầng proxy.
  • Nhân viên compliance: Kiểm tra việc sử dụng proxy có tuân thủ các yêu cầu quy định hay không, duy trì tài liệu.
  • Quản lý bộ phận: Phê duyệt yêu cầu từ nhân viên của họ, kiểm soát việc sử dụng đúng mục đích.
  • Người dùng cuối: Tuân thủ chính sách, thông báo ngay lập tức về bất kỳ sự cố hoặc hoạt động đáng ngờ nào.

Nhật ký truy cập và giám sát: những gì cần ghi lại

Việc duy trì nhật ký (logs) sử dụng proxy không chỉ là một yêu cầu kỹ thuật mà còn là yêu cầu bắt buộc của hầu hết các tiêu chuẩn compliance. Nhật ký cho phép theo dõi ai, khi nào và vì lý do gì đã sử dụng proxy, cũng như phát hiện các bất thường hoặc truy cập không được phép.

Các trường bắt buộc trong nhật ký truy cập

Mỗi bản ghi trong nhật ký phải chứa các thông tin sau:

Trường Mô tả Ví dụ
Timestamp Ngày và giờ kết nối (UTC) 2024-01-15 14:23:45 UTC
User ID Mã định danh duy nhất của người dùng user_12345 hoặc ivanov@company.com
Proxy IP Địa chỉ IP của proxy đã sử dụng 185.123.45.67
Proxy Location Vị trí địa lý của proxy DE, Frankfurt
Target URL Tài nguyên mục tiêu (miền, không có URL đầy đủ để bảo mật) example.com
Session Duration Thời gian phiên 00:15:32
Data Volume Khối lượng dữ liệu đã truyền 15.3 MB
Purpose Code Mã mục đích sử dụng từ chính sách COMP_MONITOR (theo dõi đối thủ)
Status Trạng thái hoàn thành phiên THÀNH CÔNG / LỖI / BỊ CHẶN

Tự động hóa việc thu thập nhật ký

Hầu hết các nhà cung cấp proxy cung cấp API để lấy thống kê sử dụng. Tích hợp dữ liệu này vào hệ thống SIEM của bạn (Quản lý thông tin và sự kiện an ninh) hoặc kho lưu trữ nhật ký tập trung.

Các công cụ được khuyến nghị để thu thập và phân tích nhật ký:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Giải pháp miễn phí cho các doanh nghiệp nhỏ và vừa, cho phép trực quan hóa việc sử dụng proxy trong thời gian thực.
  • Splunk: Nền tảng thương mại với khả năng tương quan sự kiện mạnh mẽ và phát hiện bất thường.
  • Graylog: Giải pháp mã nguồn mở thay thế Splunk với giao diện đơn giản.
  • Azure Monitor / AWS CloudWatch: Giải pháp đám mây cho các công ty sử dụng các nền tảng tương ứng.

Cài đặt cảnh báo (thông báo)

Cảnh báo tự động giúp phát hiện vi phạm chính sách hoặc hoạt động đáng ngờ:

  • Khối lượng dữ liệu bất thường: Nếu nhân viên đã truyền qua proxy hơn 1 GB trong một phiên (có thể chỉ ra việc tải xuống cơ sở dữ liệu).
  • Truy cập ngoài giờ làm việc: Sử dụng proxy vào ban đêm hoặc vào cuối tuần mà không có sự đồng ý trước.
  • Thay đổi địa lý: Một người dùng sử dụng proxy từ 5+ quốc gia khác nhau trong một khoảng thời gian ngắn.
  • Truy cập vào các nguồn tài nguyên bị cấm: Cố gắng kết nối với các miền trong danh sách đen của công ty.
  • Nhiều lần thử không thành công: Hơn 10 lần thử xác thực không thành công trong một giờ (có thể là sự xâm phạm thông tin đăng nhập).

Mẹo: Thiết lập báo cáo tự động hàng tuần cho các quản lý bộ phận với thông tin về việc sử dụng proxy của nhân viên họ. Điều này nâng cao nhận thức và kỷ luật.

Tài liệu hóa bảo vệ dữ liệu cá nhân thông qua proxy

Nếu hệ thống của bạn xử lý dữ liệu cá nhân thông qua proxy (ví dụ: để xác minh người dùng, kiểm tra giao dịch gian lận hoặc thu thập phân tích), bạn cần tài liệu hóa các biện pháp bảo vệ dữ liệu này.

Đánh giá tác động xử lý dữ liệu (DPIA) cho proxy

GDPR yêu cầu thực hiện đánh giá tác động đến bảo vệ dữ liệu (DPIA) cho các hoạt động xử lý có thể gây ra rủi ro cao cho quyền và tự do của cá nhân. Việc sử dụng proxy có thể nằm trong yêu cầu này nếu:

  • Bạn xử lý dữ liệu cá nhân nhạy cảm (sức khỏe, tài chính, sinh trắc học)
  • Bạn sử dụng proxy ở các quốc gia có mức độ bảo vệ dữ liệu không đầy đủ (không phải EU)
  • Bạn xử lý dữ liệu trên quy mô lớn (hơn 10.000 chủ thể dữ liệu)

Cấu trúc DPIA cho việc sử dụng proxy:

  1. Mô tả xử lý: Những dữ liệu nào được truyền qua proxy, cho những mục đích nào, các loại chủ thể dữ liệu nào bị ảnh hưởng.
  2. Những yêu cầu và tính tương xứng: Giải thích lý do tại sao việc sử dụng proxy là cần thiết và không có các lựa chọn ít rủi ro hơn.
  3. Rủi ro đối với các chủ thể dữ liệu: Những gì có thể xảy ra không đúng (rò rỉ dữ liệu, truy cập không được phép, mất kiểm soát dữ liệu).
  4. Các biện pháp giảm thiểu rủi ro: Mã hóa, hạn chế truy cập, hợp đồng với nhà cung cấp proxy, kiểm toán định kỳ.
  5. Tư vấn với DPO: Nếu bạn có Nhân viên bảo vệ dữ liệu, ý kiến của họ phải được tài liệu hóa.

Hợp đồng với nhà cung cấp proxy như một người xử lý dữ liệu

Nếu nhà cung cấp proxy có khả năng kỹ thuật để truy cập vào dữ liệu cá nhân đang đi qua máy chủ của họ, họ sẽ trở thành "người xử lý dữ liệu" theo thuật ngữ của GDPR.

Trong hợp đồng với nhà cung cấp, cần quy định:

  • Đối tượng và thời gian xử lý: Những dữ liệu nào được xử lý, trong khoảng thời gian nào.
  • Nhiệm vụ của người xử lý: Đảm bảo an ninh, tính riêng tư, hỗ trợ trong việc thực hiện quyền của các chủ thể dữ liệu.
  • Người xử lý phụ: Nhà cung cấp có thể thuê bên thứ ba không, cần sự đồng ý của bạn không.
  • Chuyển giao xuyên biên giới: Các quốc gia nơi máy chủ proxy được đặt, các cơ chế bảo vệ nào được áp dụng (Các điều khoản hợp đồng tiêu chuẩn, Quyết định đủ điều kiện).
  • Thông báo về sự cố: Nghĩa vụ của nhà cung cấp phải thông báo ngay lập tức về bất kỳ vi phạm an ninh dữ liệu nào.
  • Kiểm toán và thanh tra: Quyền của bạn để kiểm tra việc nhà cung cấp tuân thủ các điều kiện của hợp đồng.

Quan trọng: Nhiều nhà cung cấp proxy hoạt động theo nguyên tắc "no-log" (không lưu trữ nhật ký lưu lượng). Hãy nhận được xác nhận bằng văn bản về chính sách này và đưa vào tài liệu compliance.

Mã hóa dữ liệu khi truyền qua proxy

Tài liệu hóa các phương pháp mã hóa được áp dụng:

  • Proxy HTTPS: Tất cả lưu lượng giữa hệ thống của bạn và máy chủ proxy được mã hóa theo TLS 1.2 hoặc cao hơn.
  • SOCKS5 với tunnel SSH: Cấp độ mã hóa bổ sung cho các dữ liệu nhạy cảm.
  • Mã hóa end-to-end: Dữ liệu được mã hóa ở phía người gửi và chỉ được giải mã ở phía người nhận, proxy chỉ thấy lưu lượng đã được mã hóa.

Trong tài liệu, hãy chỉ rõ các phiên bản giao thức và thuật toán mã hóa (ví dụ: "TLS 1.3 với AES-256-GCM").

Chuẩn bị tài liệu cho kiểm toán

Khi đến thời điểm kiểm toán bên ngoài hoặc bên trong, bạn cần nhanh chóng cung cấp một bộ tài liệu đầy đủ chứng minh compliance việc sử dụng proxy. Dưới đây là những gì cần chuẩn bị trước:

Bộ tài liệu cho kiểm toán

  1. Chính sách sử dụng máy chủ proxy (phiên bản hiện tại có chữ ký của người phê duyệt)
    • Lịch sử thay đổi chính sách
    • Tài liệu xác nhận của nhân viên (đã ký hoặc xác nhận điện tử)
  2. Kiểm kê máy chủ proxy
    • Danh sách tất cả các proxy đang sử dụng (địa chỉ IP, vị trí địa lý, loại)
    • Thông tin về các nhà cung cấp (tên công ty, thông tin liên hệ, thông tin hợp đồng)
    • Ngày bắt đầu sử dụng mỗi proxy
  3. Nhật ký truy cập
    • Nhật ký trong 12 tháng qua (hoặc thời gian yêu cầu bởi tiêu chuẩn của bạn)
    • Báo cáo về các bất thường đã phát hiện và các biện pháp đã thực hiện
    • Thống kê sử dụng theo các bộ phận
  4. Hợp đồng với các nhà cung cấp
    • Hợp đồng chính cung cấp dịch vụ proxy
    • Hợp đồng xử lý dữ liệu (DPA) cho compliance với GDPR
    • Các điều khoản hợp đồng tiêu chuẩn (SCC), nếu proxy được đặt ngoài EU
    • Thỏa thuận mức dịch vụ (SLA) với các đảm bảo về khả năng truy cập và an ninh
  5. DPIA (Đánh giá tác động bảo vệ dữ liệu) — nếu áp dụng
  6. Các quy trình quản lý truy cập
    • Mẫu yêu cầu truy cập vào proxy
    • Ví dụ về các yêu cầu đã được phê duyệt và từ chối
    • Quy trình thu hồi quyền truy cập khi nhân viên nghỉ việc
  7. Các sự cố và điều tra của chúng
    • Sổ đăng ký các sự cố liên quan đến proxy (nếu có)
    • Báo cáo về các cuộc điều tra
    • Các hành động khắc phục
  8. Đào tạo và nhận thức
    • Tài liệu đào tạo về việc sử dụng proxy an toàn
    • Ghi chép về việc nhân viên đã tham gia đào tạo

Các câu hỏi thường gặp của kiểm toán viên

Chuẩn bị để trả lời các câu hỏi sau (kèm theo bằng chứng):

  • "Bạn kiểm soát như thế nào để đảm bảo proxy chỉ được sử dụng cho các mục đích được phép?" — Cho thấy nhật ký và quy trình giám sát.
  • "Bạn đảm bảo như thế nào rằng dữ liệu cá nhân không bị rò rỉ đến nhà cung cấp proxy?" — Cho thấy DPA, chính sách mã hóa, xác nhận no-log.
  • "Bạn thường xuyên xem xét danh sách nhân viên có quyền truy cập vào proxy như thế nào?" — Cho thấy quy trình xem xét hàng quý.
  • "Điều gì sẽ xảy ra nếu nhà cung cấp proxy ngừng hoạt động hoặc bị xâm phạm?" — Cho thấy kế hoạch liên tục kinh doanh (BCP) và danh sách các nhà cung cấp thay thế.
  • "Bạn đảm bảo sự tuân thủ khi chuyển giao dữ liệu xuyên biên giới như thế nào?" — Cho thấy SCC và phân tích các quốc gia nơi proxy được đặt.

Tự động hóa chuẩn bị cho kiểm toán

Tạo một "thư mục kiểm toán" (vật lý hoặc điện tử) với các phiên bản hiện tại của tất cả các tài liệu. Chỉ định người chịu trách nhiệm cập nhật nó (thường là nhân viên compliance hoặc CISO).

Sử dụng các nền tảng GRC (Quản trị, Rủi ro, Compliance) để tự động hóa:

  • OneTrust: Quản lý chính sách, nhắc nhở tự động về việc xem xét tài liệu.
  • ServiceNow GRC: Tích hợp với các quy trình IT, thu thập chứng cứ compliance tự động.
  • Vanta / Drata: Tự động hóa compliance cho SOC 2, ISO 27001 với giám sát liên tục.

Thời gian lưu trữ tài liệu và nhật ký

Các tiêu chuẩn và luật pháp khác nhau quy định thời gian lưu trữ tối thiểu cho tài liệu và nhật ký. Việc không tuân thủ các thời gian này có thể dẫn đến phạt hoặc không thể chứng minh compliance trong trường hợp điều tra.

Loại tài liệu Thời gian lưu trữ tối thiểu Cơ sở
Chính sách sử dụng proxy Vĩnh viễn (có lịch sử thay đổi) ISO 27001, chính sách nội bộ
Nhật ký truy cập vào proxy 12 tháng (tối thiểu) GDPR, ISO 27001
Nhật ký truy cập (dữ liệu tài chính) 7 năm PCI DSS, luật thuế
Hợp đồng với các nhà cung cấp Thời gian hiệu lực + 5 năm Luật dân sự
DPIA (đánh giá tác động) Khi việc xử lý còn hiệu lực + 3 năm GDPR
Yêu cầu truy cập vào proxy 3 năm Kiểm toán nội bộ
Báo cáo về các sự cố 5 năm ISO 27001, chính sách nội bộ
Chứng chỉ đào tạo nhân viên Thời gian làm việc + 1 năm Luật lao động

Khuyến nghị: Lưu giữ nhật ký truy cập vào proxy tối thiểu 24 tháng, ngay cả khi tiêu chuẩn chỉ yêu cầu 12. Điều này cho phép thực hiện phân tích hồi cứu và phát hiện các mẫu lạm dụng dài hạn.

Quy trình xóa an toàn

Sau khi hết thời gian lưu trữ, tài liệu và nhật ký phải được xóa an toàn để giảm thiểu rủi ro rò rỉ dữ liệu cũ:

  • Tài liệu điện tử: Sử dụng các phương pháp xóa an toàn (không chỉ "Xóa", mà là ghi đè dữ liệu ít nhất 3 lần).
  • Tài liệu giấy: Tiêu hủy qua máy hủy tài liệu với mức độ bảo mật P-4 hoặc cao hơn (theo DIN 66399).
  • Sao lưu: Đừng quên xóa dữ liệu khỏi tất cả các bản sao lưu, không chỉ từ kho lưu trữ chính.
  • Tài liệu hóa việc xóa: Duy trì nhật ký về việc xóa tài liệu và nhật ký.
```