数据保留策略

状态： 活跃策略 版本： 1.1

执行摘要

本文档制定了 KYRA AI MDR 平台的数据保留要求，以确保：

合规遵守区域数据保护法律（GDPR、CCPA、SOX、PCI-DSS）
法律可辩护性 通过不可变审计跟踪和证据保留
运营效率 通过自动化生命周期管理
成本优化 通过分层存储和智能清除

数据分类与保留矩阵

主要数据类别

数据类别	描述	业务理由	基础保留期
事件数据	原始安全事件、日志、遥测	SOC 调查、取证	90 天（可配置：30-365）
告警数据	处理后的告警、调查、分类结果	威胁狩猎、模式分析	365 天（可配置：180-1095）
事件数据	案例、响应活动、高管报告	合规审计、经验教训	6 年
审计日志	平台访问、配置变更	合规监管、违规调查	7 年（不可变）
计费数据	使用指标、发票记录	财务审计、收入保证	7 年
分析数据	性能指标、AI 训练数据	平台优化、威胁情报	可变（见下文）

分析数据保留

数据类型	保留期	业务需求
告警指标	2 年	威胁态势趋势
AI 代理性能	1 年	AI 代理优化
采集吞吐量	1 年	基础设施规划
租户每日摘要	3 年	财务报告、SLA 合规

租户可配置覆盖

租户可以在以下限制内延长（但不能缩短）基础保留期：

数据类别	最短保留期	最长保留期
事件数据	30 天	365 天
告警数据	180 天	3 年
事件数据	3 年	7 年

注意： 出于合规原因，审计日志和计费数据的保留期不可配置。

法律保留框架

法律保留优先级

法律保留始终覆盖标准保留策略。 受法律保留约束的数据：

无论配置的保留期如何，均不可清除
必须以原始格式保存，并进行完整性验证
需要法律顾问的明确批准才能释放

法律保留触发条件

以下情况自动启动法律保留：

监管传票（SEC、FTC、DOJ、国际等效机构）
租户法律顾问的诉讼发现请求
被分类为 SEV1（活跃入侵）的安全事件
需要监管报告的数据泄露通知

自动化清除与验证

保留执行

平台按每日计划自动执行保留策略：

评估所有租户数据是否符合配置的保留期
在任何清除操作前遵守法律保留保护
生成加密清除验证记录

清除验证与审计证明

每次清除操作生成加密证据：

加密证明：基于 HMAC 的已清除记录标识符验证
审计记录：已评估、已清除和受保护记录的不可变日志
验证能力：合规审计员可独立验证清除完整性

数据驻留与主权

区域数据固定

数据驻留基于监管要求按租户可配置：

区域	数据类型	合规驱动
欧盟	所有租户数据	GDPR 第 44-49 条
美国	所有租户数据	SOX、HIPAA、FedRAMP
亚太	所有租户数据	区域银行法规、PDPA
全球	仅分析数据	延迟优化

跨境传输控制

原则： 客户数据保留在指定区域，除非获得明确授权。

允许的跨境传输

平台诊断（仅匿名遥测）
法律合规（传票、司法互助）
客户发起的导出（狩猎查询结果、威胁报告）

数据主体请求处理

当数据主体行使被遗忘权时：

验证数据主体身份
检查活跃法律保留是否存在冲突
在平台中识别所有个人数据记录
对记录进行假名化（保留分析价值）或完全删除
记录删除完成并通知数据主体

分层存储

数据自动在存储层之间移动以优化成本：

层级	访问模式	用途
热存储	频繁访问	活跃调查、近期告警
温存储	不频繁访问	历史告警（30+ 天）
冷存储	罕见访问	归档事件（90+ 天）
冻结存储	深度归档	长期合规保留（365+ 天）

备份保留

数据类型	备份频率	保留期
生产数据库	持续	30 天
每日快照	24 小时	90 天
每周快照	7 天	1 年
每月快照	30 天	7 年

保留策略监控

跟踪的关键指标

数据年龄分布 按租户和数据类型
清除操作成功率（目标：99.9%）
法律保留数量 和平均持续时间
存储成本优化 通过分层实现的节省
GDPR 请求处理时间（目标：<30 天）
跨境传输审计跟踪

策略负责人： 首席信息安全官（CISO） 审查频率： 每年或监管变化时