Magazyn WORM i legal hold: kiedy potrzebujesz archiwum write-once
Większość archiwów dokumentów jest modyfikowalna. Plik przechowywany w standardowym systemie plików lub magazynie obiektowym może być nadpisany, usunięty lub cicho zmieniony przez każdego, kto ma odpowiednie uprawnienia, w tym przez administratorów systemu. Do celów operacyjnych jest to zazwyczaj akceptowalne. W przypadku regulowanego przechowywania dokumentów stwarza to problem: nie można wiarygodnie twierdzić, że zarchiwizowany dokument jest niezmieniony, jeśli system, który go przechowuje, mógł go zmienić.
Magazyn WORM i legal hold to dwa mechanizmy rozwiązujące ten problem na poziomie warstwy magazynowej.
Co oznacza WORM
WORM to skrót od Write Once, Read Many (zapisz raz, odczytuj wiele razy). System magazynowania WORM akceptuje zapis dokładnie raz dla każdego obiektu. Po zatwierdzeniu zapisu nie można modyfikować, nadpisywać ani usuwać obiektu do momentu upływu skonfigurowanego okresu przechowywania.
Jest to ograniczenie fizyczne lub logiczne na poziomie warstwy magazynowej, a nie polityka kontroli dostępu. Różnica ma znaczenie: politykę kontroli dostępu może zmienić administrator. Ograniczenia WORM nie można obejść przez rekonfigurację uprawnień, ponieważ właściwość zapisu jednokrotnego jest egzekwowana przez sam system magazynowy, a nie przez warstwę polityki nad nim.
Sprzętowy WORM: nośniki optyczne (CD-R, BD-R), niektóre formaty taśm korporacyjnych i specjalistyczne macierze dyskowe WORM wymuszają to na poziomie fizycznym. Po zapisaniu danych nie można ich zmienić niezależnie od oprogramowania działającego na wierzchu.
Obiektowy WORM (programowy): większość nowoczesnych magazynów obiektowych kompatybilnych z S3 obsługuje tryb „Object Lock”, który implementuje semantykę WORM programowo. Po włączeniu Object Lock z datą retencji interfejs API magazynu odrzuca żądania usunięcia i nadpisania obiektu do momentu upływu okresu przechowywania, nawet żądania składane z uprawnieniami administracyjnymi.
Tryby retencji
Magazyny obiektowe obsługujące WORM zazwyczaj oferują dwa tryby retencji:
Tryb zarządzania (Governance): administratorzy z określonym uprawnieniem mogą znieść blokadę retencji. Przydatny do korygowania błędów podczas początkowej konfiguracji okresu przechowywania. Nieodpowiedni dla archiwów regulowanych, ponieważ zachowuje możliwość nadpisania przez administratora.
Tryb zgodności (Compliance): żaden użytkownik, w tym konto root, nie może usunąć ani modyfikować obiektu przed datą retencji. Okres przechowywania można przedłużyć, ale nie skrócić. Jest to tryb wymagany dla zgodności z przepisami w większości jurysdykcji.
Rozróżnienie to ma znaczenie podczas audytów. Na pytanie audytora „czy ten dokument mógł zostać zmodyfikowany po archiwizacji?” odpowiedź powinna brzmieć „nie, było to technicznie niemożliwe”, a nie „nie, mogli to zrobić jedynie administratorzy, którym ufamy”.
Co oznacza legal hold
Legal hold (zwany również litigation hold) to mechanizm odrębny od retencji. Retencja określa, jak długo dokument musi być przechowywany. Legal hold wstrzymuje usuwanie konkretnego dokumentu niezależnie od tego, czy upłynął okres przechowywania.
Gdy organizacja otrzymuje nakaz sądowy, zapytanie regulacyjne lub zostaje poinformowana o potencjalnym sporze prawnym, ma obowiązek zachowania wszystkich istotnych dokumentów. Legal hold automatycznie egzekwuje to zachowanie: dokumenty objęte wstrzymaniem nie mogą być usunięte, nawet jeśli standardowy okres przechowywania minął.
Wstrzymanie jest znoszone przez wyraźne zwolnienie, zazwyczaj przez radcę prawnego, po rozwiązaniu sprawy.
Operacyjnie legal hold wymaga oznaczenia dokumentów na poziomie metadanych oraz egzekwowania tagu przez system magazynowy. W magazynach obiektowych z możliwościami WORM jest to zazwyczaj implementowane jako flaga bezterminowego wstrzymania obok czasowego okresu przechowywania.
Kiedy WORM jest wymagany
Wymagania regulacyjne dotyczące niezmiennego przechowywania są specyficzne dla sektora, ale stają się coraz powszechniejsze.
Usługi finansowe (UE): MiFID II wymaga, aby zapisy transakcji i komunikacji były przechowywane w formacie uniemożliwiającym modyfikację. Wymóg dotyczy wyraźnie magazynowania odpornego na naruszenia, które WORM spełnia. Okresy przechowywania wynoszą pięć lat dla większości rekordów transakcji i siedem lat dla niektórych kategorii.
Ochrona zdrowia: RODO w połączeniu z regulacjami branżowymi (w Niemczech Patientendatenschutzgesetz) wymaga, aby dokumentacja medyczna była przechowywana przez 10 do 30 lat w zależności od rodzaju, w formie gwarantującej integralność. WORM to najbardziej defensywna implementacja.
Sektor publiczny: Wiele regulacji dotyczących zamówień publicznych w państwach UE wymaga, aby dokumentacja umowna była archiwizowana w niezmiennej formie przez czas trwania okresu przedawnienia plus okres przechowywania, co może przekraczać 15 lat.
Rachunkowość (GoBD, Niemcy): GoBD wymaga Unveränderbarkeit (niezmienności) dla zarchiwizowanych dokumentów księgowych. Wytyczne wyraźnie stanowią, że zarchiwizowane dokumenty muszą być chronione przed późniejszymi modyfikacjami. Magazyn WORM spełnia ten wymóg z założenia.
WORM nie zastępuje łańcuchów skrótów
Magazyn WORM dowodzi, że przechowywane bity nie zmieniły się od momentu zapisu. Nie dowodzi, jaki proces te bity wygenerował ani czy proces był prawidłowy.
Łańcuch skrótów dowodzi, że sekwencja zdarzeń przetwarzania była spójna i niemodyfikowana. Nie zapobiega modyfikacji samego magazynu (chyba że magazyn jest również WORM).
Razem adresują różne modele zagrożeń:
| Mechanizm | Co uniemożliwia |
|---|---|
| Magazyn WORM | Modyfikację lub usunięcie zarchiwizowanych plików po zapisie |
| Łańcuch skrótów | Retroaktywne fałszowanie historii przetwarzania |
| Sygnatura czasowa RFC 3161 | Antydatowanie dokumentów lub zdarzeń |
W pełni defensywne archiwum długoterminowe używa wszystkich trzech: WORM dla warstwy magazynowej, łańcuchów skrótów dla ścieżki audytowej i sygnatur czasowych RFC 3161 jako zewnętrznych kotwic czasowych. Każda warstwa zamyka luki pozostawiane przez pozostałe.
Przenośność dowodów
Jednym z ryzyk specyficznych dla archiwów WORM jest uzależnienie od dostawcy na poziomie warstwy magazynowej. Jeśli Twoja implementacja WORM korzysta z zastrzeżonego formatu lub zastrzeżonego API, migracja do innego dostawcy przed upływem okresu przechowywania może być niemożliwa lub prawnie ryzykowna.
Najbezpieczniejsza architektura oddziela dowody od mechanizmu magazynowania: dowody (dokument, łańcuch skrótów, sygnatury czasowe) są weryfikowalne samodzielnie niezależnie od miejsca przechowywania. Właściwość WORM zapewnia, że dane nie były modyfikowane po archiwizacji, ale paczka dowodowa udowadnia integralność nawet jeśli właściwość WORM mogłaby teoretycznie zostać obejęta.
Oznacza to, że format paczki dowodowej i format magazynowania powinny być wybierane niezależnie. PDF/A-3 dla dokumentów, standardowy JSON dla ścieżek audytowych i tokeny RFC 3161 w standardowym kodowaniu CMS są niezależne od formatu. Można je weryfikować za pomocą narzędzi open-source bez konieczności korzystania z oryginalnego systemu magazynowego.
SealDoc i niezmienne archiwizowanie
Tryb archiwizacji SealDoc zapisuje dokumenty do magazynu obiektowego kompatybilnego z WORM z blokadami retencji w trybie zgodności. Okres przechowywania jest konfigurowalny według rodzaju dokumentu: siedem lat dla faktur, dziesięć lat dla umów, niestandardowe okresy dla wymagań branżowych.
Dokumenty przechowywane w trybie archiwizacji łączą magazyn WORM ze ścieżkami audytowymi opartymi na łańcuchu skrótów i sygnaturami czasowymi RFC 3161, zapewniając trzy niezależne warstwy dowodów odporności na naruszenia. Legal hold można zastosować przez API i jest znoszone wyłącznie po wyraźnym zwolnieniu.
Legal Evidence Pack generowany w momencie archiwizacji jest sam w sobie przechowywany z retencją WORM, co gwarantuje, że artefakty dowodowe są tak niezmienne jak dokumenty, które obejmują.