詳細情報:
Salesforce バックアップおよび復元 (アドオン) - 保持
保持ポリシーは、データのバックアップを保持するために会社が設定した内部要件を満たすように設定できます。
コントロール名
Salesforce バックアップおよび復元 (アドオン) - 保持。
制御の概要
Salesforce のバックアップとリカバリの設定可能な保持ポリシーでは、定義された期間後にバックアップが自動的に削除され、本番データのコピーがストレージに保持される期間を制限することでデータ最小化が適用されます。
説明
システム管理者は、アドオンインターフェースを使用して、バックアップ単位またはグローバル保存ルール (30 日、1 年、無期限など) を設定します。GDPR の 30 日間の削除や HIPAA の 6 年間の保持などのコンプライアンススケジュールと、削除の監査ログをサポートします。
推奨設定
バックアップデータ保持を定義します (推奨 1 年、または会社のコンプライアンス要件に基づきます)。[Backup and Recover (バックアップとリカバリ)]> [Policies (ポリシー)]> [Retention (保持)] で設定し、日次、週次、または月次のスナップショットと Sandbox シードに適用します。
セキュリティへの影響
不要なデータコピーを消去して攻撃対象領域を減らし、PII と PHI の無期限保存を防止し、規制当局に防御可能な削除証明を提供します。
ビジネスへの影響
ストレージ コストを削減(1年間の保持で最大30%のコスト削減など)し、自動化されたコンプライアンスによって監査をシンプルにし、アクティブなデータ管理のためにリソースを解放します。
設定されていない場合のセキュリティリスク
レコードのデータ最小化保持原則に違反すると、組織は古いバックアップによる不要な侵害のリスクにさらされる可能性があります。
脅威のシナリオ
無期限または過度に長いデータ保持は、データ最小化の原則に違反し、データ侵害や規制の罰則にさらされる可能性が高くなります。侵害された管理者アカウントは、過去の PII を盗取する可能性があります。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
保存のニーズは業種によって異なります。リストア頻度や例外が必要な訴訟ホールドの要素。
より高いリスク
組織にデータ保持に関する規制コンプライアンス要件があり、保持ポリシーが設定されていない。
低リスク
組織にデータ保持に関する規制要件はありません。
ビジネスと統合に関する考慮事項
組織の保持ポリシーに従って、期間を確定する前に古いバックアップからのリストアをテストします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
強くお勧めします。
影響を受けるユーザー
バックアップ管理者、コンプライアンス チーム、データ ライフサイクルを確認する監査人、ストレージ予算を管理するdevop。
