Información general sobre la administración y retención de datos
De forma predeterminada, Adobe Acrobat Sign conserva de forma segura todos los documentos de cliente en el servicio mientras la cuenta esté activa.
La información transaccional persiste en el sistema hasta que el cliente toma medidas para eliminar los acuerdos explícitamente.
- El servicio Acrobat Sign cumple diversas normas del sector sobre la seguridad y disponibilidad de los datos, como son PCI DSS 3.0, HIPAA, SOC 2 (tipo II) e ISO 27001.
Al caducar o rescindirse la licencia de Acrobat Sign de un cliente, Adobe no tiene ninguna obligación de conservar los acuerdos, informes de auditoría u otros datos del cliente.
Sin embargo, si Adobe conservara dichos datos, se eliminarán de acuerdo con la política de retención que estuviera en vigor mientras el cliente tuviera activa la licencia de Acrobat Sign.
Para los clientes que prefieran almacenar sus registros de acuerdos en sus propios sistemas y que deseen eliminar los documentos originales de los sistemas de Acrobat Sign se puede definir una “política de retención” que indique cuánto tiempo debe mantener Acrobat Sign la transacción y eliminar automáticamente el acuerdo (y, opcionalmente, los datos personales o de auditoría complementarios) de Acrobat Sign después de dicho periodo de tiempo.
Las reglas de retención las define un administrador a nivel de cuenta en la sección Administración de datos del menú de administración.
- Los administradores de nivel de grupo no tienen autoridad para crear o deshabilitar reglas de retención
- Todos los grupos de la cuenta heredan la configuración de nivel de cuenta como su valor predeterminado
- Los grupos deben configurarse individualmente para que no coincidan con la configuración de nivel de cuenta
- La configuración de nivel de grupo siempre anula la configuración de nivel de cuenta
Diferencia entre documentos, archivos y archivos adjuntos con respecto a los acuerdos y a las transacciones
- Todos los documentos, archivos y archivos adjuntos son archivos individuales que se cargan en el sistema Acrobat Sign. Son la base del acuerdo.
- Los acuerdos son los objetos orientados al cliente que Acrobat Sign crea a partir de los archivos cargados y que los destinatarios rellenan o firman. "Acuerdo" es el término que se utiliza para definir tanto el objeto durante el proceso de obtención de firmas como el PDF final que se genera.
- Transacciones abarca el acuerdo y todo el registro y la documentación asociados que genera el acuerdo o se genera para este durante el proceso. Por ejemplo, informes de auditoría, resultados de autenticación, datos a nivel de campo o páginas .csv.
Regla frente a ID de regla
El término Regla (en el contexto de este artículo) describe un proceso prescrito. En este caso, el proceso que rige cuando se elimina un acuerdo del sistema Acrobat Sign. Es un término genérico utilizado para hablar de la idea de aplicar una condición de variable (cuándo eliminar un acuerdo) a otro objeto (acuerdos en este caso).
El término ID de regla se utiliza para describir una regla configurada específica. Cuando se crea una regla, se asigna un número de ID exclusivo (por lo tanto ID de regla) para diferenciarlo del resto de reglas. El ID de regla configurado es el objeto literal relacionado con el acuerdo
Estado de finalización para un acuerdo
Las reglas de retención se activan cuando un acuerdo alcanza un "estado de finalización".
Se obtiene un estado de finalización cuando el acuerdo no tiene más acciones que los destinatarios puedan realizar para completarlo. Existen tres estados de finalización:
- Completado: se consigue cuando el acuerdo completa todos los procesos con todos los destinatarios correctamente.
- Abandonado: un acuerdo abandonado se ha detenido mediante una acción explícita. Esta acción puede proceder de una de las siguientes fuentes:
- Cancelado por el remitente
- Rechazado por el destinatario
- Error debido a error de autenticación del destinatario
- Error debido a un error del sistema
- Caducado: acuerdos que alcanzan su fecha de caducidad debido a la inacción dentro del período de tiempo definido.
Cómo funciona
Cuando un acuerdo entra en estado de finalización:
- Acrobat Sign comprueba las reglas de retención con respecto al grupo del usuario que creó el acuerdo (el grupo en el que se encuentra el usuario cuando el acuerdo entra en estado de finalización).
- Si no se aplica ninguna regla de nivel de grupo, se utilizará la regla de nivel de cuenta
- Si tampoco se ha definido la regla de nivel de cuenta, no se definen reglas de retención y el acuerdo no adquiere una fecha de eliminación
- Los acuerdos que no adquieren una fecha de eliminación cuando adquieren el estado de eliminación pueden eliminarse a través de las herramientas de RGPD
Si se aplica una regla de retención al acuerdo:
- El acuerdo se programa para su eliminación en función de los parámetros de la regla
- El ID de regla de la regla aplicada está asociado a la transacción, lo que garantiza que se cumpla la regla correcta en el momento de la eliminación
El acuerdo en estado de finalización espera hasta el momento de eliminación designado.
- El número de días hasta la eliminación es literal.
- P. ej.: si se han definido 14 días, la acción de eliminación se activa exactamente 14 días (hasta el segundo) después de que el acuerdo adquiriese el estado de eliminación
Cuando llega la hora de eliminación, Acrobat Sign comprueba el ID de regla para determinar si la regla está Deshabilitada o no
- Si la regla está Deshabilitada, no se realiza ninguna acción.
- Si la regla no está Deshabilitada, se elimina el acuerdo
- Si está activada la opción para eliminar el informe de auditoría y la información personal (PII), este mismo proceso se aplica en función del intervalo de tiempo definido para esos documentos
- Las cuentas que utilizan el método de autenticación ID gubernamental eliminan el informe de identidad del firmante (si se recopila) como parte de la PII
- Si está activada la opción para eliminar el informe de auditoría y la información personal (PII), este mismo proceso se aplica en función del intervalo de tiempo definido para esos documentos
Configuración
Configurar las reglas de retención a nivel de cuenta
Configure primero la retención a nivel de cuenta (si la hay).
Todos los grupos heredan automáticamente la configuración de nivel de cuenta, por lo que si su intención es aplicar una directiva a todos los grupos, se consigue ese objetivo:
- Vaya a Cuenta > Configuración de cuenta > Administración de datos.
- Haga clic en el icono más.
La superposición Crear regla de retención muestra:
- Defina el número de días que se debe conservar un acuerdo después de que haya alcanzado un estado de finalización
- 1 día es el mínimo
- 5475 días (15 años) es el máximo
- Opcionalmente, establezca un período de retención para la pista de auditoría del acuerdo, así como la información personal asociada de las partes involucradas en el acuerdo
- La auditoría y la PII deben mantenerse al menos el mismo tiempo que el acuerdo y, potencialmente, más
- Si esta opción no está habilitada, el registro de auditoría y la PII se conservan hasta que se eliminan por otro método (p. ej.: eliminación de RGPD)
La primera regla (en la parte superior de la pila, sin Fecha de finalización) es la regla aplicada actualmente. Solo se puede aplicar una regla a un grupo a la vez.
Si se crea una nueva regla:
- La nueva regla se convierte en la regla aplicada actualmente
- La nueva regla se inserta en la parte superior de la lista, su Fecha de inicio es la fecha cuando se creó y no tiene Fecha de finalización
- Si hay una regla existente que se está aplicando activamente al crear la nueva regla:
- La regla existente anteriormente deja de aplicarse a los acuerdos que entran en estado de finalización
- La regla existente anteriormente baja en la lista, justo debajo de la nueva regla (actual)
- La regla existente anteriormente adopta automáticamente un valor de Fecha de finalización que se alinea con la Fecha de inicio de la nueva regla (actual)
Configuración de las reglas de retención en el nivel de grupo
Al configurar las reglas de retención a nivel de grupo, anulará las reglas heredadas en el nivel de cuenta para los usuarios que se encuentran actualmente en el grupo.
Si se mueve un usuario entre grupos con acuerdos en curso, las reglas de retención del nuevo grupo se aplicarán a todos los acuerdos que entren en estado de finalización mientras estén en ese grupo.
Los acuerdos en estado de finalización que tengan una regla de retención aplicada antes de mover el usuario que la creo a un nuevo grupo respetarán la fecha de eliminación de la regla aplicada, siempre que la regla no esté deshabilitada antes de la acción de eliminación.
Teniendo en cuenta lo anterior, la configuración de las reglas de retención a nivel de grupo se diferencia en dos aspectos:
Para acceder a la pestaña de control de datos de un grupo:
- Vaya a: Cuenta > Grupos.
- Haga un solo clic en el grupo que desee editar
- Seleccione Configuración de grupo
- Seleccione la opción Administración de datos en el menú de la izquierda
- Tenga en cuenta que si no se aplican reglas de retención a nivel de grupo, existe un indicador claro de que las reglas a nivel de cuenta están en vigor
- Cree nuevas reglas haciendo clic en el icono de signo más (al igual que con la interfaz de nivel de cuenta)
Una vez que las reglas se hayan creado en grupos, puede acceder a ellas desde la pestaña Administración de datos a nivel de cuenta:
- Vaya a Cuenta > Configuración de cuenta > Administración de datos.
- Haga clic en la pestaña Grupos con reglas de retención.
- Haga un solo clic en el nombre del grupo que desea editar.
- Seleccione Ver reglas de retención de grupo y se abrirá la página de Administración de datos con respecto al grupo
.
Al configurar reglas a nivel de grupo, está disponible una opción adicional para Conservar todos los acuerdos para este grupo.
Esta opción permite que un grupo anule una regla de retención a nivel de cuenta y mantenga todos los acuerdos (para los usuarios del grupo) indefinidamente.
Estado de la regla de retención
Habilitada: reglas que siguen siendo válidas para los acuerdos que entraron en estado de finalización cuando se aplicó la regla.
- La regla aplicada actualmente siempre está en la parte superior de la lista y no tiene Fecha de finalización
Deshabilitada: las reglas Deshabilitada ya no se aplican. Si un acuerdo alcanza un estado de finalización con una regla desactivada, no se eliminará el día de eliminación objetivo.
- Las reglas Deshabilitadas aparecen atenuadas.
- Es posible que las reglas Deshabilitadas no se vuelvan a activar.
Caducada: las reglas Caducadas no tienen acuerdos en estado de finalización pendientes de eliminación.
- Por ejemplo: si tiene una regla durante 14 días cuya fecha de finalización es el 10 de marzo, la regla caducará a última hora del 24 de marzo, puesto que todos los acuerdos cubiertos por la regla ya se han eliminado.
Heredada: los clientes que tenían una política de retención regida por la configuración de back-end heredada verán esa política reflejada como una regla de retención Heredada.
- Los acuerdos que ya estaban programados para su eliminación bajo la regla heredada (antes de que se establecieran las nuevas reglas) respetarán la hora de eliminación de la regla heredada
Filtrado de reglas por estado
La lista de reglas de retención se puede filtrar haciendo clic en el icono "hamburguesa" en la parte superior derecha de la tabla.
Este conjunto de opciones le permite filtrar por:
- Todas las reglas: el valor predeterminado
- Solo reglas habilitadas
- Solo reglas deshabilitadas
- Solo reglas caducadas
También tiene la opción de devolver 15, 30 o 50 registros por página.
Deshabilitación de una regla
No se puede deshacer
la deshabilitación de una regla.
Al deshabilitar una regla, todos los acuerdos restantes sujetos a la regla dejarán de tener una fecha de eliminación que se respetará.
Estos acuerdos tendrían que eliminarse utilizando las herramientas del RGPD.
Para deshabilitar una regla:
- Seleccione la regla
- Haga clic en el vínculo Deshabilitar.
Grupos eliminados
La retención se basa en la configuración a nivel de grupo (establecida explícitamente o heredada de la configuración a nivel de cuenta).
La auditoría futura de las reglas de retención que se han aplicado exige que persista un historial de las reglas.
Por este motivo, el ID de grupo no se elimina por completo. En su lugar, la configuración necesaria se conserva y se puede revisar o editar mediante el acceso del administrador de nivel de cuenta a Grupos.
Los grupos eliminados se pueden mostrar en la página Grupos haciendo clic en el icono "hamburguesa" y seleccionando Mostrar solo grupos eliminados
Haga un solo clic en el grupo que se va a editar y después haga clic en el vínculo Configuración del grupo.
- Las reglas se pueden crear y deshabilitar del mismo modo que cuando el grupo estaba activo
Acción Eliminar basada en API
Puede habilitarse la retención a pedido, con la cual los administradores de los clientes tienen la opción de utilizar la API de Acrobat Sign para eliminar documentos de forma individual.
- La llamada a la API utilizada es DELETE /agreements/{agreementId}/documents
Póngase en contacto con el equipo de asistencia para activar esta opción.
Aspectos que debe recordar
- Solo se puede aplicar una regla cuando los acuerdos alcanzan un estado de finalización.
- Pueden habilitarse varias reglas, ya que una regla permanece habilitada mientras haya acuerdos que tengan una fecha de eliminación objetivo (según el ámbito de la regla).
- Las reglas deshabilitadas no pueden volver a habilitarse. La deshabilitación es permanente.
- Las reglas de retención se aplican cuando un acuerdo entra en estado de finalización, no cuando se crea el acuerdo.
- La regla de retención aplicada se basa en el grupo en el que el usuario que la creó se encuentra cuando el acuerdo entra en estado de finalización.
- No hay forma de editar las reglas de retención aplicadas a un acuerdo una vez que ha entrado en un estado de finalización en términos de tiempo de espera.
- Puede deshabilitar una regla para evitar que se elimine el acuerdo, pero esto impediría la eliminación de todos los acuerdos que adoptaron la regla y que aún no se han eliminado.
- Puede determinar qué regla se aplica a cualquier acuerdo comprobando el informe de auditoría del acuerdo y comparando la fecha en que se completó con los intervalos de fechas de las distintas reglas de retención
- 5475 días es el período máximo de retención que puede instalar