NIST 800-88 frente a DIN 66399: dos normas comparadas
Quien atiende a un cliente internacional o a una matriz se topa tarde o temprano con dos vocabularios distintos para el mismo asunto. Los contratos estadounidenses se refieren a «NIST 800-88 Purge» o «Destroy». Los contratos europeos, a DIN 66399 P-5 o H-4. No son traducciones el uno del otro. Plantean preguntas diferentes. Quien los usa indistintamente se lleva sorpresas en la auditoría.
NIST 800-88: una norma de proceso
La norma estadounidense NIST Special Publication 800-88 (Guidelines for Media Sanitization) divide el saneamiento de soportes en tres niveles, por orden de intensidad:
- Clear: sobrescribir todos los datos de usuario a través de interfaces estándar. Adecuado para reutilización dentro de la propia organización.
- Purge: métodos más potentes como el comando secure-erase, el borrado criptográfico o la desmagnetización para soportes magnéticos. Adecuado para reutilización fuera de la organización.
- Destroy: destrucción física como triturar, fundir o incinerar. Para el fin de vida en el que el soporte ya no necesita funcionar.
NIST mira el objetivo. Tras el saneamiento, ¿puedes descartar razonablemente que los datos sean recuperables? La norma no especifica un tamaño de partícula exacto, pero sí qué método es apropiado para qué clase de soporte. Para un SSD, por ejemplo, «Clear» mediante sobrescritura no es fiable (wear leveling), por lo que se indica Purge o Destroy. Lee nuestro artículo sobre la destrucción de SSD.
DIN 66399: una norma de especificación
La norma alemana y de facto europea DIN 66399 mira en cambio el resultado. ¿De qué tamaño son los fragmentos tras la destrucción? La norma se divide por tipo de soporte:
- P (Paper): de P-1 a P-7, según la superficie de las virutas de papel en mm².
- F (Film): película y microfilm.
- O (Optical): CD, DVD, Blu-ray.
- T (Magnetic): discos duros, cintas magnéticas.
- H (Hard drive): discos duros en concreto.
- E (Electronic): soportes electrónicos con chips de memoria, es decir, SSD, memorias USB, tarjetas de memoria.
Para cada tipo de soporte, DIN reconoce tres clases de protección (1 = normal, 2 = elevada, 3 = especialmente sensible) y siete niveles de seguridad (del 1 al 7). Lee nuestro artículo sobre DIN 66399 P-5 y P-6 para los detalles del papel.
Una tabla de equivalencias
Las dos normas se solapan, pero no se cubren del todo. Una tabla de equivalencias sencilla para discos duros:
| NIST 800-88 | DIN 66399 (HDD) | Método |
|---|---|---|
| Clear | no aplica (DIN solo trata lo físico) | Sobrescritura por software |
| Purge | H-2 / H-3 | Desmagnetización o borrado criptográfico |
| Destroy | H-4 / H-5 | Aplastar o triturar en fragmentos |
| Destroy (defensa) | H-6 / H-7 | Trituración fina |
Para el papel, la traducción a la inversa es más difícil porque NIST no prescribe tamaños de partícula específicos para el papel. Una «cross-cut shredding» contractual estadounidense equivale a grandes rasgos a DIN P-3 o P-4.
Regla práctica: NIST describe la política (qué nivel y cuándo), DIN describe la prueba de ejecución (qué tamaño de partícula al final). Las dos juntas dan cobertura completa.
¿Qué norma para qué organización?
- Matrices o clientes estadounidenses. NIST 800-88 en los contratos. Pide al proveedor la clasificación DIN como prueba.
- Organizaciones de la UE con obligación de RGPD. DIN 66399 es dominante en el mercado europeo de proveedores, y la supervisión del RGPD considera la norma DIN una «medida técnica apropiada».
- Defensa o alta seguridad. Pide ambas: NIST Destroy más DIN H-6 o H-7.
- Multinacional con datos mixtos. Menciona ambas normas en tu política y elige un proveedor que pueda certificar las dos en el certificado.
Combinación con la elección del método
Cómo tomas la decisión entre desmagnetizar, aplastar o triturar depende de qué nivel de norma sea tu objetivo. Si quieres alcanzar NIST Purge, la desmagnetización es suficiente para los HDD. Para NIST Destroy debes triturar o combinar aplastar más desmagnetizar. Para DIN H-5 se exige triturar. La desmagnetización por sí sola no basta.
¿Qué debe figurar en tu certificado?
Un buen certificado de destrucción menciona explícitamente ambas normas cuando proceda. Ejemplo: «Destruido según DIN 66399 P-5, equivalente a NIST 800-88 Destroy.» Eso le da al auditor en una sola línea la prueba para ambos regímenes y evita que tengas que volver a deducirlo en la siguiente auditoría.
Certificado final con ambas normas.
Nuestros certificados mencionan DIN 66399 P-5 y NIST 800-88 Destroy cuando corresponde, tanto para papel como para hardware.
Solicita un presupuesto¿Tu cliente o matriz tiene una norma concreta en el contrato? Escríbenos a través de desnipperaar.nl y entregamos un certificado que cumple ambas.