Certificado de destrucción de datos explicado: qué incluye y cuándo lo necesita
Un certificado de destrucción de datos es su prueba de que los soportes se destruyeron de forma irreversible. Indica la fecha, el nivel DIN aplicado y los números de serie de cada soporte destruido. Son justamente esos números de serie los que lo distinguen de un certificado de papel, porque vinculan la prueba a sus discos duros, memorias USB o teléfonos concretos.
Borrar un archivo o limpiar un disco parece definitivo, pero sin prueba no puede mostrar después que los datos se hicieron realmente ilegibles. En una devolución de leasing, una auditoría de TI o una inspección bajo el RGPD, esa prueba cuenta. En este artículo lee qué es exactamente un certificado de destrucción de datos, qué incluye, en qué se diferencia de un certificado de papel y cuándo lo necesita.
¿Qué es un certificado de destrucción de datos?
Un certificado de destrucción de datos es un documento que deja constancia de que sus soportes se destruyeron en un momento y a un nivel determinados. Es la pieza de cierre del proceso de destrucción, la prueba de que los datos ya no pueden recuperarse. A diferencia de una nota interna o una confirmación por correo, es un documento formal que puede presentar a un auditor, una empresa de leasing o la autoridad de protección de datos. El certificado de destrucción general se explica aparte en el certificado de destrucción explicado.
¿Qué es la destrucción de datos en realidad?
La destrucción de datos consiste en hacer ilegibles de forma irreversible los datos de un soporte. Puede hacerse por sobrescritura, desmagnetización o destrucción física. Para mayor seguridad con datos sensibles, la destrucción física es la vía más segura, porque el soporte se rompe literalmente y los datos ya no son accesibles. El certificado acompaña a esa destrucción física, porque solo entonces un proveedor puede registrar por número de serie qué se destruyó. Un aparato borrado pero aún intacto no aporta esa prueba de la misma forma.
¿Qué incluye el certificado?
Un buen certificado de destrucción de datos contiene al menos:
- La fecha en que se destruyeron los soportes.
- El nivel DIN 66399 aplicado, por ejemplo el nivel E para medios electrónicos.
- Los números de serie de cada soporte destruido, registrados uno a uno.
- El tipo de soporte, como disco duro, SSD, memoria USB o teléfono.
- Un número de servicio único con el que el certificado es rastreable.
- El nombre de la parte que lo ejecuta.
El registro de números de serie es la parte más importante. Sin números de serie demuestra que se destruyó algo, pero no qué soportes exactamente.
La diferencia con un certificado de papel
Para el papel confidencial, el certificado indica la fecha, la cantidad y el nivel DIN, pero no números de serie, porque las hojas sueltas no los tienen. Para los soportes de datos es distinto. Cada disco duro o teléfono tiene un número de serie único que debe figurar en el certificado. Así puede mostrar más tarde con precisión que ese disco concreto de ese aparato concreto se destruyó. Para una devolución de leasing o un registro de activos es indispensable.
¿Cuándo lo necesita?
Un certificado de destrucción de datos es importante en varias situaciones:
- Devolución de hardware en leasing. La empresa de leasing quiere la prueba de que el disco del aparato se destruyó con seguridad antes de devolverlo.
- Una auditoría de TI. Un auditor comprueba si el equipo amortizado se destruyó de forma demostrable.
- ISO 27001. La norma exige una eliminación controlada de los medios, con prueba. Más sobre esto en ISO 27001 y destrucción física.
- El RGPD. Si había datos personales en el soporte, el certificado es su prueba de que los hizo destruir correctamente.
¿Para quién es?
Un certificado de destrucción de datos es sobre todo relevante para empresas, departamentos de TI y organizaciones que amortizan o alquilan hardware. Pero un particular también puede hacer destruir con seguridad un viejo portátil o teléfono lleno de datos personales. El enfoque es el mismo para ambos, recogida, registro por número de serie y destrucción, con un certificado como prueba. Tanto si es un solo disco como un lote entero, la prueba siempre es rastreable hasta el soporte.
¿Qué nivel DIN para los soportes de datos?
La norma DIN 66399 tiene categorías distintas para diferentes medios. Para los soportes de datos electrónicos rigen los niveles E.
| Categoría | Para | Ejemplo |
|---|---|---|
| H | Discos duros | Triturado o desmagnetización de HDD |
| E | Medios electrónicos | SSD, memoria USB, tarjeta de memoria |
| O | Medios ópticos | CD, DVD, Blu-ray |
El nivel que necesita depende del tipo de soporte y de la sensibilidad de los datos. El certificado indica el nivel aplicado, para que pueda mostrar que era adecuado.
¿NIST 800-88 o DIN 66399?
Además de DIN 66399, a nivel internacional se hace referencia a menudo a NIST 800-88, una directriz estadounidense para el borrado y la destrucción de medios. Ambas describen cómo dejar los datos fiablemente inutilizables, con un punto de partida comparable, a saber, que la destrucción física ofrece la mayor certeza. Para su certificado importa poco qué norma se mencione, mientras se registren el nivel aplicado y los números de serie. La diferencia entre ambas está en NIST 800-88 frente a DIN 66399.
¿Borrar o destruir?
Una distinción importante. El borrado por software sobrescribe los datos, pero no es fiable en todos los soportes. En un SSD, el wear-leveling y las celdas de reserva hacen que no todos los datos se sobrescriban, como se explica en destruir un SSD, por qué el borrado no funciona. Para mayor seguridad, la destrucción física es la vía más segura. Solo entonces recibe un certificado con números de serie. La diferencia entre borrar y destruir está en borrar frente a destruir un disco duro.
¿Certificado o informe de borrado?
Con el borrado por software a veces recibe un informe de borrado, un archivo de registro que indica que un disco se sobrescribió. Eso es distinto de un certificado de destrucción. Un informe de borrado dice que se borró, un certificado con números de serie demuestra que el soporte se destruyó físicamente. Para la mayoría de auditorías y devoluciones de leasing, el certificado es la opción más fuerte, porque el soporte ya no existe de forma demostrable en lugar de solo estar sobrescrito.
Lo que exige el RGPD
El RGPD exige la limitación de la conservación en el artículo 5 y medidas adecuadas en el artículo 32 para proteger los datos personales. Ese deber dura hasta que los datos queden destruidos de forma ilegible, también en los soportes de datos. Un viejo disco con datos de clientes que se queda en un cajón es un riesgo. Si se pierde, es una brecha de datos. El certificado de destrucción de datos es la prueba de que cumplió ese deber.
¿Y si algo sale mal? Brecha por viejos soportes
La mayoría de las brechas de datos con hardware no surgen de un ataque sino de una eliminación descuidada. Una caja de viejos discos duros que acaba en los voluminosos, una memoria USB que desaparece de un cajón, un teléfono desechado revendido sin que los datos se hayan ido de verdad. En todos esos casos alguien puede recuperar datos de la empresa o de clientes. Una brecha grave se comunica en 72 horas a la autoridad de protección de datos. La destrucción física con certificado elimina ese riesgo de antemano.
¿Qué soportes de datos hacer destruir?
- Discos duros y SSD de portátiles, ordenadores de sobremesa y servidores.
- Memorias USB y tarjetas de memoria con datos de la empresa o de clientes.
- Smartphones y tablets al final de su vida útil.
- Cintas de copia de seguridad con viejas copias.
- Multifuncionales y copiadoras con un disco interno, a menudo al final del leasing. Vea multifuncionales y copiadoras al final del leasing.
¿Cuándo está un soporte listo para la destrucción?
Un soporte de datos está listo para la destrucción en cuanto ya no se usa y los datos ya no tienen que conservarse. Piense en un portátil que se sustituye, un servidor al final de su vida, un teléfono que sale de circulación o una memoria USB en la que ya no confía. No deje los soportes indefinidamente en un cajón, porque mientras los datos estén en él sigue siendo un riesgo. Compruebe primero si aún deben conservarse datos. Entregue el resto para destrucción.
Cerrar papel y soportes de datos de una vez
Una limpieza rara vez se detiene en el papel o solo en los soportes digitales. A menudo ambos se liberan a la vez, por ejemplo en una mudanza o un vaciado de oficina. La ventaja práctica de un servicio de recogida es que papel y soportes de datos pueden ir en la misma recogida, cada uno destruido a su propio nivel. El papel figura en el certificado como cantidad y nivel, los soportes de datos por número de serie. Así cierra todo el flujo confidencial de una vez, con una prueba concluyente para ambos.
¿Cómo obtiene el certificado?
- Solicitud. Indica qué soportes tiene. Recibe un precio fijo.
- Recogida. Recogemos los soportes sellados en su dirección.
- Registro. Cada soporte se registra por número de serie.
- Destrucción. Los soportes se destruyen al nivel DIN adecuado.
- Certificado. Recibe el certificado con los números de serie y el nivel.
Papel y soportes de datos pueden ir en la misma recogida, cada uno destruido a su propio nivel. Más sobre destrucción digital en destrucción de datos.
Recogida y transporte sellados
Igual que con el papel, la destrucción de datos gira en torno a una cadena cerrada. Los soportes se recogen en su dirección y se transportan sellados, para que nadie pueda acceder por el camino. Entre la recogida y la destrucción no hay ningún momento en que un disco se extravíe o se consulte. Esa cadena segura es justo lo que confirma el certificado al final.
¿Cuánto cuesta la destrucción de datos con certificado?
Los soportes de datos suelen liquidarse por pieza, porque cada soporte se registra aparte por número de serie y se destruye. El precio depende del tipo de soporte y de la cantidad. La ventaja práctica es que puede entregar papel y soportes de datos en la misma recogida, así solo paga una vez el desplazamiento. En un radio de 20 km alrededor de Ámsterdam no cobramos desplazamiento. Conoce el precio de antemano, certificado con números de serie incluido.
¿Qué pasa con el soporte tras la destrucción?
Tras la destrucción, los restos de los soportes se envían al reciclaje de materiales. Metales y plásticos se separan y se reutilizan, mientras que los datos se pierden de forma definitiva. Así combina una destrucción de datos segura con un tratamiento limpio de los residuos electrónicos.
¿Cuánto tiempo conserva el certificado?
Conserve el certificado al menos 5 años en su expediente RGPD o registro de activos. En una auditoría, una inspección o una pregunta de un cliente puede mostrar entonces de inmediato que el soporte se destruyó. Archívelo preferiblemente en digital, para encontrarlo rápido. Un certificado que no encuentra es en la práctica tan inútil como no tener certificado.
Un certificado que aguanta en una auditoría
No todos los certificados son igual de sólidos. Un documento sin números de serie, sin fecha o sin el nivel aplicado dice poco. Asegúrese por eso de que el certificado contenga todos los datos que un auditor quiere ver, a saber, por soporte un número de serie, la fecha y el nivel DIN. Pregúntelo antes de aceptar.
Consejos prácticos
- Pida siempre el registro por número de serie, no solo un certificado general.
- Combine papel y soportes de datos en la misma recogida.
- Guarde el certificado en digital para encontrarlo enseguida en una auditoría.
- No deje los discos meses guardados, porque un cajón lleno de soportes es un riesgo.
Errores frecuentes
- Confiar solo en el borrado. Sin destrucción física y certificado no tiene prueba.
- No pedir los números de serie. Un certificado sin números de serie no vincula la prueba a sus soportes.
- Dejar viejos discos guardados. Un cajón lleno de soportes amortizados es una brecha de datos latente.
- Perder el certificado. Sin prueba localizable se queda con las manos vacías en una auditoría.
Un ejemplo práctico
Imagine una empresa que sustituye quince portátiles en leasing. La empresa de leasing quiere los aparatos de vuelta, pero los discos contienen años de datos de la empresa. La empresa hace retirar los discos de los portátiles y los hace destruir al nivel H. Cada disco se registra por número de serie y la empresa recibe un certificado con los quince números. En la devolución del leasing puede mostrar con precisión que los datos de esos discos concretos se destruyeron. Sin discusión, sin riesgo de brecha de datos.
¿Destruir soportes de datos con certificado?
Indique qué soportes tiene y recibe un precio fijo. Los recogemos sellados, los destruimos al nivel DIN adecuado y recibe un certificado con números de serie. Sin gastos de desplazamiento en un radio de 20 km alrededor de Ámsterdam.
Solicitar presupuestoPreguntas frecuentes
¿Qué es un certificado de destrucción de datos?
Un documento que demuestra que sus soportes de datos se destruyeron de forma irreversible, con la fecha, el nivel DIN aplicado y los números de serie de los soportes destruidos.
¿Cuál es la diferencia con un certificado para papel?
Para los soportes de datos, los números de serie figuran en el certificado pieza por pieza. Para el papel son la fecha, la cantidad y el nivel, sin números de serie.
¿Cuándo necesito un certificado de destrucción de datos?
Para la devolución de hardware en leasing, una auditoría de TI, la ISO 27001 y como prueba bajo el RGPD de que destruyó correctamente datos personales en soportes.
¿Cuánto tiempo conservo el certificado?
Conserve el certificado al menos 5 años en su expediente RGPD, para poder mostrar en una inspección o auditoría que los soportes se destruyeron.
¿También recibo un certificado solo con el borrado?
Un informe de borrado es posible, pero un certificado con números de serie acompaña a la destrucción física. Para mayor seguridad con datos sensibles, la destrucción física es la vía más segura.
Conclusión
Un certificado de destrucción de datos es la prueba de que sus soportes se destruyeron de forma demostrable e irreversible, vinculada a los números de serie. Eso lo hace indispensable para la devolución de leasing, una auditoría de TI, la ISO 27001 y como prueba bajo el RGPD. Haga destruir físicamente los soportes al nivel DIN adecuado, pida el registro por número de serie y conserve el certificado al menos 5 años. Así cierra el flujo digital tan limpiamente como el de papel.
¿Destruir soportes de datos con seguridad? Solicite un presupuesto en desnipperaar.nl o lea cómo funciona la destrucción de datos. Recibe un certificado con números de serie como prueba.