Panoramica sulla governance e la conservazione dei dati
Per impostazione predefinita, Adobe Acrobat Sign conserva in modo sicuro tutti i documenti dei clienti fintanto che l’account resta attivo.
Le informazioni sulle transazioni permangono nei server finché non ne viene esplicitamente richiesta la rimozione da parte del cliente.
- Il servizio Acrobat Sign è conforme a vari standard di settore per la sicurezza e disponibilità dei dati come PCI DSS 3.0, HIPAA, SOC 2 Type II e ISO 27001.
Alla scadenza o alla cancellazione della licenza Acrobat Sign di un cliente, Adobe non ha alcun obbligo di mantenere gli accordi, i report di audit o altri dati del cliente.
Tuttavia, se Adobe mantiene tali dati, questi verranno eliminati in conformità a eventuali criteri di conservazione definiti quando il cliente disponeva di una licenza attiva per Acrobat Sign.
I clienti che preferiscono memorizzare i record degli accordi sul proprio sistema ed eliminare i documenti originali dai sistemi Acrobat Sign possono introdurre un “criterio di conservazione” per definire il tempo di conservazione della transazione in Acrobat Sign. Trascorso tale periodo, l’accordo (ed eventualmente anche i relativi dati di audit e personali) verrà eliminato in automatico da Acrobat Sign.
Le regole di conservazione vengono definite da un amministratore a livello di account nella sezione Governance dati del menu di amministrazione.
- Gli amministratori a livello di gruppo non dispongono delle autorizzazioni necessarie per creare o disabilitare le regole di conservazione.
- Le impostazioni a livello di account vengono applicate anche a tutti i gruppi di un account, come impostazioni predefinite.
- Per applicare a singoli gruppi delle impostazioni diverse da quelle dell’account, è necessario configurarli singolarmente.
- Le impostazioni a livello di gruppo hanno precedenza rispetto a quelle a livello di account.
Documenti/file/allegati, accordi, e transazioni
- I documenti, file e allegati sono i singoli file caricati nel sistema Acrobat Sign. Rappresentano i materiali di base di un accordo.
- Gli accordi sono oggetti rivolti al cliente che Acrobat Sign crea dai file caricati e che i destinatari possono compilare e/o firmare. Con il termine “accordo” si intende sia l’oggetto durante il processo di raccolta delle firme che il PDF finale generato.
- Il termine transazione indica l’accordo e tutta la relativa documentazione e dati registrati che vengono generati per e da un accordo. Esempi di documentazione e dati sono i report di audit, i risultati di autenticazione, i dati a livello di campo e le pagine csv.
Regola e ID regola
Il termine Regola (nel contesto di questo articolo) descrive un determinato processo. In questo caso, il processo che definisce quando un accordo viene eliminato dal sistema Acrobat Sign. È un termine generico utilizzato per il concetto di applicazione di una condizione variabile (quando cancellare un accordo) a un altro oggetto (in questo caso, gli accordi).
Il termine ID regola indica una specifica regola configurata. Quando si crea una regola, le viene assegnato un numero ID univoco (ID regola) che la distingue dalle altre regole. L’ID regola configurato è l’oggetto letterale correlato all’accordo.
Stato terminale di un accordo
Le regole di conservazione vengono attivate quando un accordo raggiunge uno “stato terminale”.
Lo stato terminale viene raggiunto quando per l’accordo in questione non sono previste ulteriori azioni da parte dei destinatari per completarlo. Esistono tre stati terminali:
- Completato: tutti i processi che interessano tutti i destinatari dell’accordo sono stati completati con successo.
- Abbandonato: l’accordo è stato interrotto mediante un’azione esplicita. Tale azione può provenire da una di queste fonti:
- Annullato dal mittente
- Rifiutato dal destinatario
- Errore dovuto a un errore di autenticazione del destinatario
- Errore dovuto a un errore di sistema
- Scaduto: è stata raggiunta la data di scadenza dell’accordo, a causa di inattività entro il periodo di tempo definito.
Come funziona
Quando un accordo entra in uno stato terminale:
- Acrobat Sign controlla le regole di conservazione a livello di gruppo per l’utente che ha creato l’accordo (il gruppo corrente in cui si trova l’utente quando l’accordo diventa terminale).
- Se non è stata applicata alcuna regola a livello di gruppo, verrà utilizzata la regola a livello di account.
- Se non è stata definita una regola a livello di account, non sono specificate regole di conservazione e l’accordo non prevede alcuna data di eliminazione.
- Gli accordi privi di una data di eliminazione che diventano terminali possono comunque essere eliminati tramite gli strumenti GDPR.
Se all’accordo è stata applicata una regola di conservazione:
- L’accordo verrà eliminato in base ai parametri della regola.
- L’ID regola della regola applicata è associato alla transazione, assicurando il rispetto della regola appropriata al momento dell’eliminazione.
L’accordo terminale viene mantenuto fino al momento di eliminazione previsto.
- Il numero di giorni fino all’eliminazione è letterale.
- Esempio: se il numero definito è 14 giorni, l’eliminazione viene attivata esattamente 14 giorni (al secondo) dopo che lo stato dell’accordo è diventato terminale.
Quando arriva il momento dell’eliminazione, Acrobat Sign controlla l’ID regola per determinare se la regola è disabilitata o meno.
- Se la regola è disabilitata, non viene eseguita alcuna azione.
- Se la regola non è stata disabilitata, l’accordo viene eliminato.
- Se è abilitata l’opzione per eliminare il report di audit e i dati personali (PII), lo stesso processo è applicabile in base all’intervallo di tempo definito per tali documenti.
- Per gli account che utilizzano il metodo di autenticazione Documento di identità, nell’eliminazione dei dati personali è incluso anche il report sull’identità dei firmatari (se raccolto).
- Se è abilitata l’opzione per eliminare il report di audit e i dati personali (PII), lo stesso processo è applicabile in base all’intervallo di tempo definito per tali documenti.
Configurazione
Configurare le regole di conservazione a livello di account
Configura innanzitutto eventuali regole di conservazione a livello di account.
Tutti i gruppi dell’account ereditano automaticamente le impostazioni a livello di account. Pertanto, se desideri applicare un criterio a tutti i gruppi, puoi configurarlo a livello di account:
- Passa a Account > Impostazioni account > Governance dati.
- Fai clic sull’icona con il segno più (+).
Viene visualizzata la finestra in sovrapposizione Crea regola di conservazione:
- Specifica per quanti giorni deve essere conservato un accordo dopo che avrà raggiunto uno stato terminale.
- Il valore minimo è 1 giorno.
- Il valore massimo è 5475 giorni (15 anni).
- Facoltativamente, imposta un periodo di conservazione per la traccia di audit dell’accordo e per i dati personali delle parti interessate dall’accordo.
- Il periodo di conservazione dei dati di audit e personali deve essere uguale a quello dell’accordo, e potenzialmente più lungo.
- Se questa opzione non è abilitata, il record di audit e i dati personali vengono conservati fino a quando non vengono eliminati mediante un altro metodo (ad esempio, eliminazione GDPR).
La prima regola (all’inizio dell’elenco, senza Data di fine) è la regola attualmente applicata. Per ogni gruppo può essere applicata una sola regola alla volta.
Se viene creata una nuova regola:
- La nuova regola diventa la regola attualmente applicata.
- La nuova regola viene inserita all’inizio dell’elenco, la sua Data di inizio corrisponde alla data in cui è stata creata, e non è presente alcuna Data di fine.
- Se, quando si crea una nuova regola, viene già applicata attivamente una regola esistente:
- La regola esistente non viene più applicata ai nuovi accordi terminali.
- La regola esistente viene spostata appena sotto la nuova regola (corrente).
- Alla regola esistente viene automaticamente assegnato un valore Data di fine allineato alla Data di inizio della nuova regola (corrente).
Configurare le regole di conservazione a livello di gruppo
Quando si configurano delle regole di conservazione a livello di gruppo, queste hanno precedenza sulle regole ereditate a livello di account per gli utenti che si trovano attualmente nel gruppo.
Se un utente passa a un altro gruppo con accordi in corso, le regole di conservazione del nuovo gruppo vengono applicate a tutti gli accordi che entrano in uno stato terminale mentre l’utente appartiene a tale gruppo.
Per gli accordi terminali a cui è stata applicata una regola di conservazione prima che l’utente che li ha creati passi a un nuovo gruppo, viene rispettata la data di eliminazione della regola applicata, purché questa non venga disabilitata prima dell’azione di eliminazione.
In considerazione di quanto sopra, la configurazione delle regole di conservazione a livello di gruppo è diversa solo per due aspetti:
Per accedere alla scheda Governance dei dati di un gruppo:
- Passa a Account > Gruppi.
- Fai un solo clic sul gruppo da modificare.
- Seleziona Impostazioni gruppo.
- Seleziona l’opzione Governance dei dati nella barra a sinistra.
- Se non è stata applicata alcuna regola di conservazione a livello di gruppo, viene chiaramente indicato che sono attive le regole a livello di account.
- Crea nuove regole facendo clic sull’icona con il segno più (+) (come nel caso della configurazione a livello di account).
Una volta create le regole per i gruppi, puoi accedervi dalla scheda Governance dei dati a livello di account:
- Passa a Account > Impostazioni account > Governance dati.
- Fai clic sulla scheda Gruppi con regole di conservazione.
- Fai un solo clic sul nome del gruppo da modificare.
- Seleziona Visualizza regole di conservazione del gruppo; viene aperta la pagina Governance dei dati a livello di gruppo.
Quando si configurano le regole a livello di gruppo, è disponibile la regola aggiuntiva Conserva tutti gli accordi per questo gruppo.
Questa opzione consente a un gruppo di ignorare la regola di conservazione a livello di account, e di conservare a tempo indefinito tutti gli accordi (per gli utenti del gruppo in questione).
Stato delle regole di conservazione
Abilitato: la regola è ancora valida per gli accordi entrati in stato terminale quando la regola veniva applicata.
- La regola attualmente applicata è sempre all’inizio dell’elenco e non presenta una Data di fine.
Disabilitato: le regole disabilitate non vengono più applicate. Se un accordo raggiunge uno stato terminale per una regola disabilitata, non verrà eliminato nel giorno in cui è prevista l’eliminazione.
- Le regole disabilitate sono visualizzate in grigio.
- Le regole disabilitate non possono essere nuovamente abilitate.
Scaduto: le regole scadute non hanno alcun accordo terminale in attesa di eliminazione.
- Esempio: se esiste una regola di eliminazione a 14 giorni con una data di fine impostata sul 10 marzo, la regola scadrà alla fine del 24 marzo, poiché entro tale data tutti gli accordi soggetti alla regola saranno stati eliminati.
Precedente: per i clienti che usavano un criterio di conservazione regolato dall’impostazione back-end precedente, tale criterio sarà disponibile mediante una regola di conservazione Precedente.
- Gli accordi per i quali era già prevista l’eliminazione base alla regola precedente (prima dell’introduzione di nuove regole) rispetteranno la data di eliminazione della regola precedente.
Filtraggio delle regole in base allo stato
L’elenco delle regole di conservazione può essere filtrato facendo clic sull’icona con le tre linee in alto a destra della tabella.
Questo set di opzioni consente di filtrare in base ai seguenti criteri:
- Tutte le regole - Impostazione predefinita
- Solo le regole abilitate
- Solo le regole disabilitate
- Solo le regole scadute
È inoltre possibile specificare 15, 30 o 50 record per pagina.
Disabilitazione di una regola
La disabilitazione di una regola non può essere annullata.
Se si disabilita una regola, per tutti gli accordi rimanenti soggetti a tale regola non verrà più applicata una data di eliminazione.
Questi accordi dovranno quindi essere eliminati utilizzando gli strumenti GDPR.
Per disabilitare una regola:
- Seleziona la regola.
- Fai clic sul collegamento Disabilita.
Gruppi eliminati
La conservazione si basa su impostazioni a livello di gruppo (impostate esplicitamente o ereditate dalle impostazioni a livello di account).
Per attività di auditing future relative alle regole di conservazione applicate, è necessario mantenere una cronologia delle regole.
Per questo motivo, l’ID gruppo non viene eliminato completamente. Le impostazioni necessarie vengono mantenute e possono essere riviste o modificate dall’amministratore a livello di account, mediante l’accesso ai gruppi.
Per visualizzare i gruppi eliminati nella pagina Gruppi, fai clic sull’icona con le tre linee e seleziona Mostra solo gruppi eliminati.
Fai un solo clic sul gruppo da modificare e quindi sul collegamento Impostazioni gruppo.
- Le regole possono essere create e disabilitate seguendo la stessa procedura usata per i gruppi attivi.
Azione di eliminazione basata su API
È possibile abilitare la conservazione su richiesta, con la quale gli amministratori dei clienti hanno la possibilità di utilizzare l’API Acrobat Sign per rimuovere singolarmente i documenti.
- Viene utilizzata la seguente chiamata API: DELETE /agreements/{agreementId}/documents
Per abilitare questa opzione, contatta il team di supporto.
Aspetti da considerare
- È possibile applicare una sola regola per gli accordi che raggiungono uno stato terminale.
- Più regole possono essere abilitate; una regola resta abilitata fintanto che esistono degli accordi con una data di eliminazione impostata (in base all’ambito di validità della regola).
- Le regole disabilitate non possono essere nuovamente abilitate. Disabilitate per sempre
- Le regole di conservazione vengono applicate quando un accordo entra in uno stato terminale, non quando viene creato.
- La regola di conservazione applicata dipende dal gruppo a cui appartiene l’utente che crea l’accordo nel momento in cui l’accordo entra in stato terminale.
- Non è possibile modificare le regole di conservazione applicate a un accordo dopo che è entrato in stato terminale, in termini di tempo di attesa.
- Puoi disabilitare una regola per impedire che l’accordo venga eliminato. Tuttavia così facendo si impedisce che vengano eliminati anche tutti gli accordi soggetti a tale regola che non sono ancora stati eliminati.
- Per determinare a quale regola è soggetto un accordo, controlla il report di audit dell’accordo e confrontane la data di completamento con gli intervalli di date delle varie regole di conservazione.
- Il valore massimo di conservazione è 5475 giorni.