金融业的电子邮件管理和保留策略
数字业务领域向混合工作方法的转变也促使财务组织对其数据承担更多责任,例如通过强大的电子邮件管理策略。
其中一个关键的驱动因素是,金融是一个现在比以往任何时候都受到更严格监管的行业。例如,泛欧金融工具市场指令(MiFID II)第二版于2018年生效,要求欧盟成员国对在金融领域运营的公司(例如投资公司、信贷机构或数据报告服务提供商)履行记录保存义务。
根据MiFID II第16(6)条的规定,投资公司必须安排保留企业进行的所有服务,活动和交易的充分记录,以使主管当局能够履行其监督任务,特别是确保遵守所有义务。因此,很明显,财务组织需要密切关注他们如何管理和归档电子通信。
电子邮件归档与电子邮件备份
电子邮件存档的主要目标是确保电子邮件数据以其原始形式保持可用,并且可在任何给定时间检索。组织需要分析哪些类型的电子邮件应存档多长时间。电子邮件中包含的关键业务信息的示例包括发票、报价、支持查询或服务投诉。但是,电子邮件管理策略还必须考虑欧盟-GDPR和类似数据隐私法规的要求,其中一些如下所述。因此,无限期存档所有电子邮件可能毕竟是不可取的。
电子邮件归档的功能与备份解决方案是分开的,备份解决方案应协同使用,以便在外部存储介质或云上仅创建电子邮件服务器数据的临时副本。备份系统用于灾难恢复:允许在数据丢失或系统停机(例如,由于网络攻击的硬件故障)时从外部存储复制临时备份的数据集。
遵守数据隐私法规时的关键要求
与业务相关的电子邮件几乎总是包含个人数据或其他敏感信息。在过去几年中,行业特定法规和数据隐私法(如 EU-GDPR)一直是提高企业对其电子邮件管理策略的认识的关键驱动力。隐私法包含保护人们在处理个人数据时的基本权利和自由的条款。EU-GDPR 的一般原则包括目的限制、数据最小化、存储限制以及完整性和机密性。确定处理目的和方式的实体,即“控制者”,将对遵守这些原则负责。
例如,电子邮件归档解决方案应允许在适当的时候自动删除已成功归档的电子邮件,从而释放存储空间并遵守数据隐私原则,例如数据最小化和目的限制,根据 EU-GDPR 第 5 条。
数据驻留、数据主权和外包给服务提供商
创建电子邮件管理策略还涉及评估电子邮件是存储在由公司自己的 IT 或独立 SaaS 提供商或其分包商管理的本地服务器上。在数据存储方面,利用云技术是一个不错的选择,因为它提供了重要的可扩展性。但这并不能照顾电子邮件数据的驻留位置以及如何保护和管理它。
一方面,在评估云解决方案的实施时,金融企业必须仔细考虑特定行业的要求,例如欧洲银行管理局(EBA)或欧洲保险和职业养老金管理局(EIOPA)关于外包给云服务提供商的指导方针。
另一方面,必须确定电子邮件的处理和存档位置,即数据中心的位置以及可以访问的位置。根据 Art. 44 ff. EU-GDPR 将个人数据传输到第三国只能在欧盟的保护水平未受到损害的情况下进行。例如,在过去,企业可以利用所谓的安全港隐私原则来确保这种足够的保护水平。然而,安全港在2015年被欧洲法院(“ECJ”)宣布无效。这是第一个以现在著名的奥地利活动家马克斯·施雷姆斯命名的“施雷姆斯”决定。欧盟-美国隐私护盾接替了安全港,该安全港于 2020 年在另一起名为 “Schrems II” 的欧洲法院案件中被宣布无效。因此,现在将个人数据合法传输到第三国相当具有挑战性。
此外,在聘请 SaaS 提供商时,企业应考虑签订数据处理附录 (“DPA”)。DPA 是涵盖艺术要求的协议。欧盟通用数据保护条例第 28 条。如果聘请第三方(“处理者”)代表控制者处理个人数据,则需要这样做。其中,控制者必须确保处理者已实施适合风险的技术和组织措施。
邮件归档对金融业非常重要。金融机构需要保持着严格的监管标准,在进行邮件沟通时需要确保安全和邮件合规。邮件归档系统可以帮助金融机构监控邮件在发送和接收时是否遵循法规和内部规章制度,并提供方便的搜索和检索功能,以满足法规对信息可追溯性和保全性的要求。此外,邮件归档还可以在纠纷或法律调查中提供证据支持。
电子邮件归档作为业务连续性战略的一部分
我们建议所有金融机构实施健全的电子邮件治理方法,包括独立的电子邮件归档解决方案,作为其整体业务战略的一部分。
识别和管理组织内的安全和数据风险也可能具有挑战性。电子邮件归档有助于最大限度地降低内部风险,因为它增强了安全性和符合特定于行业和国家或地区的法规。
专业的电子邮件归档解决方案允许企业根据自己的需要在不同的战略归档方法之间进行选择。但是,选择正确的存档策略至关重要。如果合法合规的电子邮件归档是主要关注点,那么期刊归档可能是最佳选择。或者,如果卸载电子邮件服务器是主要目标,则与特定删除规则结合使用的邮箱存档可能是更好的选择。
将这两种方法结合起来也是可行的,允许金融企业将电子邮件归档作为其公司战略不可或缺的一部分。