WORM úložiště a právní blokace: kdy potřebujete archivy pro zápis jednou
Většina archivů dokumentů je měnitelná. Soubor uložený na standardním souborovém systému nebo objektovém úložišti může kdokoli s příslušnými oprávněními přepsat, smazat nebo tiše upravit, včetně správců systému. Pro většinu provozních účelů je to v pořádku. Pro regulovanou retenci dokumentů to vytváří problém: nelze věrohodně tvrdit, že archivovaný dokument je nezměněný, pokud ho mohl systém, který ho uchovává, změnit.
WORM úložiště a právní blokace jsou dva mechanismy, které to řeší na úrovni úložiště.
Co znamená WORM
WORM znamená Write Once, Read Many (zapsat jednou, číst mnohokrát). Systém WORM úložiště přijme zápis pro každý objekt přesně jednou. Po potvrzení zápisu nelze objekt upravovat, přepisovat ani mazat až do vypršení nakonfigurované doby uchovávání.
Jde o fyzické nebo logické omezení na úrovni úložiště, nikoli o politiku řízení přístupu. Tento rozdíl je podstatný: politiku řízení přístupu může správce změnit. Omezení WORM nelze obejít změnou konfigurace oprávnění, protože vlastnost zápisu jednou vynucuje samotný systém úložiště, nikoli vrstva politiky nad ním.
Hardwarové WORM: optická média (CD-R, BD-R), určité formáty podnikových pásek a specializované WORM diskové pole toto vynucují na fyzické úrovni. Po zapsání nelze data měnit bez ohledu na to, jaký software nad nimi běží.
WORM objektového úložiště (softwarově vynucené): většina moderních objektových úložišť kompatibilních se S3 podporuje režim „Object Lock”, který implementuje sémantiku WORM v softwaru. Pokud je Object Lock povolen s datem retence, úložiště API odmítá požadavky na smazání a přepsání daného objektu až do vypršení doby uchovávání, a to i pro požadavky s administrátorskými přihlašovacími údaji.
Režimy uchovávání
Objektová úložiště s podporou WORM obvykle nabízejí dva režimy uchovávání:
Governance mode (správcovský režim): Správci s konkrétním oprávněním mohou přepsat zámek uchovávání. Užitečné pro opravy chyb v počátečním nastavení doby uchovávání. Nevhodné pro regulované archivy, protože zachovává možnost správcovského přepsání.
Compliance mode (režim shody): Žádný uživatel, včetně kořenového účtu, nemůže objekt smazat ani upravit před datem retence. Dobu uchovávání lze prodloužit, ale nikoli zkrátit. To je režim vyžadovaný pro regulatorní shodu ve většině jurisdikcí.
Tento rozdíl je v auditech zásadní. Na otázku auditora „mohl být tento dokument po archivaci upraven?” by odpověď měla znít „ne, technicky to bylo znemožněno”, nikoli „ne, mohli to udělat jen správci a my jim věříme”.
Co znamená právní blokace
Právní blokace (také litigation hold) je mechanismus oddělený od uchovávání. Uchovávání definuje, jak dlouho musí být dokument uchováván. Právní blokace pozastavuje mazání konkrétního dokumentu bez ohledu na to, zda uplynula doba uchovávání.
Když organizace obdrží soudní příkaz, regulatorní šetření nebo je upozorněna na potenciální spor, má povinnost zachovat všechny relevantní dokumenty. Právní blokace toto zachování vynucuje automaticky: dokumenty pod blokací nelze smazat, ani když jejich standardní doba uchovávání uplynula.
Blokace je zrušena explicitním uvolněním, obvykle právním poradcem, jakmile je věc vyřešena.
Operačně právní blokace vyžaduje označení dokumentů na úrovni metadat a vynucování tohoto označení systémem úložiště. V objektovém úložišti s možnostmi WORM je to obvykle implementováno jako příznak neomezeného pozastavení vedle časové doby uchovávání.
Kdy je WORM vyžadováno
Regulatorní požadavky na neměnné úložiště jsou sektorově specifické, ale stále více rozšířené.
Finanční služby (EU): MiFID II vyžaduje, aby záznamy o transakcích a komunikaci byly uchovávány ve formátu, který zabraňuje úpravám. Požadavek je výslovně na úložiště odolné vůči manipulaci, které WORM splňuje. Doby uchovávání jsou pět let pro většinu záznamů o transakcích, sedm let pro některé kategorie.
Zdravotnictví: GDPR v kombinaci se sektorovými pravidly (v Německu Patientendatenschutzgesetz) vyžaduje uchovávání zdravotních záznamů po dobu 10 až 30 let v závislosti na typu, ve formě garantující integritu. WORM je nejobhajitelnější implementací.
Veřejný sektor: Mnoho předpisů členských států EU o zadávání veřejných zakázek vyžaduje archivaci smluvní dokumentace v neměnné podobě po dobu trvání promlčecí lhůty plus dobu uchovávání, což může přesáhnout 15 let.
Účetnictví (GoBD, Německo): GoBD vyžaduje Unveränderbarkeit (neměnnost) pro archivované účetní doklady. Pokyny výslovně uvádějí, že archivované dokumenty musí být chráněny před následnou úpravou. WORM úložiště tento požadavek splňuje ze své podstaty.
WORM nenahrazuje hašové řetězce
WORM úložiště prokazuje, že uložené bity se od zápisu nezměnily. Neprokazuje, jaký proces tyto bity vytvořil, ani zda byl tento proces správný.
Hašový řetězec prokazuje, že sekvence zpracovatelských událostí byla konzistentní a nezměněná. Nebrání úpravě podkladového úložiště (pokud úložiště není také WORM).
Dohromady řeší různé modely hrozeb:
| Mechanismus | Čemu zabraňuje |
|---|---|
| WORM úložiště | Úpravě nebo smazání archivovaných souborů po zápisu |
| Hašový řetězec | Zpětné falšování historie zpracování |
| RFC 3161 razítko | Antedatování dokumentů nebo událostí |
Plně obhajitelný dlouhodobý archiv používá všechny tři: WORM pro úložnou vrstvu, hašové řetězce pro auditní stopu a RFC 3161 razítka jako externí časová ukotvení. Každá vrstva uzavírá mezery, které ostatní ponechávají otevřené.
Přenositelnost důkazů
Jedním rizikem specifickým pro WORM archivy je uváznutí na úrovni úložiště (vendor lock-in). Pokud vaše implementace WORM používá proprietární formát nebo proprietární API, migrace k jinému poskytovateli úložiště před uplynutím doby uchovávání může být nemožná nebo právně riziková.
Nejbezpečnější architektura odděluje důkazy od mechanismu úložiště: důkazy (dokument + hašový řetězec + razítka) jsou samoověřitelné bez ohledu na to, kde jsou uloženy. Vlastnost WORM zajišťuje, že nebyly po archivaci upraveny, ale balíček důkazů prokazuje integritu i v případě, že by vlastnost WORM mohla být teoreticky obejita.
To znamená, že formát balíčku důkazů a formát úložiště by měly být zvoleny nezávisle. PDF/A-3 pro dokumenty, standardní JSON pro auditní stopy a RFC 3161 tokeny v jejich standardním CMS kódování jsou všechny formátově nezávislé. Ověřují se pomocí open-source nástrojů bez potřeby původního systému úložiště.
SealDoc a neměnná archivace
Archivní režim SealDoc zapisuje dokumenty do WORM-kompatibilního objektového úložiště se zámky uchovávání v compliance mode. Doba uchovávání je konfigurovatelná podle typu dokumentu: sedm let pro faktury, deset let pro smlouvy, vlastní doby pro sektorové požadavky.
Dokumenty uložené v archivním režimu kombinují WORM úložiště s auditními stopami hašového řetězce a RFC 3161 razítky, čímž poskytují tři nezávislé vrstvy tamper evidence. Právní blokace může být aplikována prostřednictvím API a je zrušena pouze explicitním uvolněním.
Balíček právních důkazů generovaný v době archivace je sám uložen pod retencí WORM, čímž jsou artefakty důkazů stejně neměnné jako dokumenty, které pokrývají.