F. Was sind die Anforderungen für die Qualifizierung eines Downstream-Anbieters (DSV) für die Verarbeitung von Datengeräten?

Wenn die Datenbereinigung nicht von der R2-Einrichtung durchgeführt wird, müssen alle Elemente, die möglicherweise Daten enthalten, sicher an einen DSV übertragen werden, der gemäß Anhang A – nachgelagerte Recyclingkette – qualifiziert ist.

Die Qualifizierung des DSV für die Datenbereinigung muss einen der folgenden Punkte beinhalten:

1. 1. Bestätigen Sie gemäß A (7), dass der DSV über eine aktive R2-Zertifizierung verfügt, die Anhang B – Datenbereinigung für die zu bereinigenden Geräte enthält; oder
   2. Gemäß A (8)(d)(1) jährlich überprüfen, ob der DSV die Datengeräte zur endgültigen Vernichtung einschmilzt oder verbrennt; oder
   3. Lassen Sie den DSV gemäß A (8)(d)(2) jährlich von einem unabhängigen Wirtschaftsprüfer auditieren und bestätigen Sie die Konformität mit den Anforderungen von Kernanforderung 7 und Anhang B – Datenbereinigung.

HINZUGEFÜGT 10   Q.   Kann eine R2-Einrichtung Datenspeichergeräte an einen nachgelagerten Anbieter liefern, der dieselben Geräte an sendet ein anderer Downstream-Anbieter für Desinfektion?

Die kurze Antwort ist nein. Kernanforderung 7 bietet drei Optionen zum Bereinigen von Daten enthaltenden Elementen. Die ersten beiden Optionen finden sich in Core 7(c)(2) A & B und beziehen sich auf die betriebsinterne Desinfektion. Die dritte Option findet sich in Core 7(c)(2)(C):

Versenden/Übertragen von Datenspeichergeräten im Rahmen eines schriftlichen Vertrags an einen nachgelagerten Anbieter, der gemäß Anhang A – Nachgelagerte Recyclingkette verifiziert wurde, mit der Möglichkeit, Daten zu bereinigen von der Art der Ausrüstung, die gemäß der dem Lieferanten mitgeteilten geplanten Methode versandt wird. 

Diese Anforderung legt fest, dass der DSV ausgewählt wurde, um die Datenspeichergeräte zu erhalten müssen in der Lage sein, sie zu desinfizieren.   Eine weitere Übertragung dieses Datengeräts an ein anderes DSV zur Bereinigung ist nicht als Option aufgeführt. Der Zweck dieser Anforderung besteht darin, sicherzustellen, dass Geräte, die Daten enthalten, mit höchster Sorgfalt nachverfolgt und behandelt werden, und dass R2-Einrichtungen eine strenge Kontrolle über diese Daten enthaltenden Geräte behalten, indem sie die Anzahl der Parteien begrenzen, die Zugriff auf diese Geräte haben.

HINZUGEFÜGT 8  F: Wenn meine Einrichtung R2-zertifiziert ist, verfüge ich dann über die erforderlichen Qualifikationen, um Datenspeichergeräte von R2-zertifizierten Vorlieferanten zur Weiterverarbeitung zu erhalten? 

 Während Core 7 des R2-Standards strenge Datensicherheitsanforderungen für alle R2-zertifizierte Einrichtungen und einige Lieferanten (einschließlich aller R2-zertifizierten Lieferanten) verlangen die spezielleren Datenbereinigungsprozesse in Anhang B – Datenbereinigung.    

ERFORDERLICHE QUALIFIKATIONEN FÜR DEN ERHALT VON DATENSPEICHERGERÄTEN 

• Zum Empfangen von Datenträgern von einem R2 ZERTIFIZIERTER LIEFERANT zur Weiterverarbeitung, Der R2-Downstream-Anbieter (DSV) muss Zertifiziert nach Anhang B für logische und/oder physische Datenbereinigung, je nach Art des durchzuführenden Datenbereinigungsprozesses. Dies finden Sie in den Anforderungen weiter unten. 

Kern 7(c)(2)(C) - Versenden/übertragen Sie Datenspeichergeräte im Rahmen eines schriftlichen Vertrags an einen nachgelagerten Lieferanten, der gemäß Anhang A – Nachgelagerte Recyclingkette verifiziert wurde und über die Fähigkeit verfügt, Daten von dem versendeten Gerätetyp gemäß der dem Lieferanten mitgeteilten geplanten Methode zu bereinigen. 

Anhang A(7) – erfordert dass ein R2-zertifizierter Downstream-Lieferant über Folgendes verfügen muss:
"... a Zertifizierungsumfang, einschließlich anwendbarer Prozessanforderungen, im Einklang mit der erhaltenen Ausrüstung, den Komponenten und Materialien sowie den durchgeführten Prozessen …“  

• Beim Empfang von Datenträgern von einem NON-R2 LIEFERANT, der R2 DSV kann die Datenspeichergeräte auf eine der drei unten aufgeführten Arten verarbeiten. Eine Zertifizierung nach Anhang B wäre nur im ersten Szenario gemäß Kern 7(c)(2)(A) erforderlich. Für die beiden anderen Szenarien ist eine Zertifizierung nach Anhang B nicht erforderlich. 

• Kern 7(c)(2)(A) – Bereinigen Sie die Daten auf den Datenspeichergeräten gemäß Anhang B – Datenbereinigung. (Bescheinigung nach Anhang B IS erforderlich). 

• Kern 7(c)(2)(B) – Zerstören Sie die Datenspeichermedien physisch gemäß einer anwendbaren Methode, die in Anhang A der NIST-Richtlinien zur Datenträgerbereinigung definiert ist: Sonderveröffentlichung 800-88 (rev.1) und überprüfen Sie die Zerstörung gemäß einem definierten Prozess, um die 100-prozentige Wirksamkeit des Zerstörungsprozesses nachzuweisen.
  (Anhang B NICHT falls angefordert).  

• Kern 7(c)(2)(C) – Versenden/übertragen Sie Datenspeichergeräte im Rahmen eines schriftlichen Vertrags an einen nachgelagerten Lieferanten, der gemäß Anhang A – Downstream-Recyclingkette verifiziert wurde und über die Fähigkeit verfügt, Daten von dem versendeten Gerätetyp gemäß der dem Lieferanten mitgeteilten geplanten Methode zu bereinigen. (Anhang B NICHT falls angefordert).