Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?

Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?

A minősített szoftveres adattörlés egy dokumentált, szabványalapú folyamat, amelynek során az adathordozón tárolt információt visszaállíthatatlanná teszik – a hozzáférhető területek felülírásával, illetve kriptográfiai törléssel, sérült eszköznél pedig fizikai megsemmisítéssel –, a műveletet a törlést végző által kiállított, eszközszintű tanúsítvány dokumentálja. A biztonságos adattörlés az adatvédelmi jogszabályok (GDPR 17. és 5. cikk) és a vonatkozó iparági szabványok (NIST SP 800-88 Rev. 2, ADISA) követelményeire épül, és audit-bizonyítékként szolgál megfelelőségi vizsgálatok során. A tanúsított adattörlés a gyári visszaállítástól és a formázástól abban különbözik, hogy az eszközönkénti workflow (leltár → törlés → verifikáció → tanúsítvány) teljes audit trail-lel zárul; a fogalmi különbségekről részletesen a kapcsolódó cikkben olvashat.
Legfontosabb megállapítások:

  • A minősített törlés lényege a szabványnak megfelelő felülírás plusz az eszközönkénti audit-nyomvonal – sem a formázás, sem az operációs rendszer törlése nem éri el ezt a szintet.
  • A NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavont változata) meghatározza, hogy melyik adathordozó-típusnál (HDD, SSD, NVMe, telefon) milyen módszerrel érhető el biztonságos adattörlés.
  • A folyamat végén kiállított tanúsítvány eszközazonosítót (sorozatszám), alkalmazott szabványt, dátumot és felelős szervezetet tartalmaz – ez a megfelelőség igazolását támogató bizonyíték GDPR- vagy NIS2-megfelelőségi vizsgálaton.

Mi a minősített adattörlés, és miben különbözik a sima törléstől?

Működőképes adathordozóknál a minősített szoftveres adattörlés a leggazdaságosabb megoldás, mert az eszköz utána újrahasználható marad; sérült vagy nem írható adathordozóknál a fizikai megsemmisítés a szükséges eljárás. Mindkét útnak közös eleme a dokumentált, auditbiztos lezárás.

A köznapi értelemben vett törlés – legyen az Lomtárból való végleges törlés, partíció-formázás vagy gyári visszaállítás – nem távolítja el az adatokat fizikailag az adathordozóról. Az operációs rendszer csupán felszabadítja a területet és eltávolítja a fájlrendszer hivatkozásait; maga az adat visszaállítható marad mindaddig, amíg az érintett szektorokat felül nem írja új adat. A fogalmi különbségekről (Clear / Purge / Destroy szintek, SSD vs. HDD viselkedés, gyári visszaállítás korlátai) részletesen a gyári visszaállítás és formázás összehasonlításáról szóló cikkben olvashat.

A minősített vagy tanúsított adattörlés ezzel szemben három kötelező elemből áll:

  1. Szabványos, az adathordozó típusához illesztett módszertan – HDD-nél a hozzáférhető logikai területek teljes felülírása, SSD/NVMe-nél viszont a wear-leveling és az over-provisioning miatt a host-oldali felülírás önmagában nem ér el minden fizikai cellát, ezért ott a kriptográfiai törlés vagy a gyártói sanitize/Secure Erase, illetve végső esetben a fizikai megsemmisítés az arányos megoldás.
  2. Ellenőrzés (verification) – a felülírást követően a szoftver ellenőrzi a törlés eredményét, jellemzően a felülírt területek (teljes vagy mintavételes) visszaolvasásával, illetve az eszköz állapotának és anomáliáinak kiértékelésével; az eltérések rögzítésre kerülnek.
  3. Dokumentálás (audit trail) – az egész folyamat naplózódik: az eszköz sorozatszáma, típusa, a törlés módszere, az operátor azonosítója, a dátum és az ellenőrzés eredménye mind rögzítve van.

Ez a hármas követelmény különbözteti meg a minősített adattörlést az egyszerű, dokumentálatlan eljárásoktól. Adattörlés cégeknek összefüggésében az utóbbi szempont – a dokumentálás – különösen kritikus: ez az egyik legerősebb bizonyíték arra, hogy a szervezet valóban gondoskodott az adat visszaállíthatatlan megsemmisítéséről.

Szabványháttér: NIST 800-88 Rev. 2, ADISA

A minősített adattörlés mögött álló legelterjedtebb referenciadokumentum a NIST SP 800-88 Rev. 2 (hatályos 2025. szeptember 26-a óta, a Rev. 1 ugyanekkor visszavonásra került; elérhető: csrc.nist.gov/pubs/sp/800/88/r2/final). A Rev. 2 három szintet határoz meg:

  • Clear – logikai felülírás, amely megvéd a szoftveres helyreállítástól (pl. szabványos egy-menetes felülírás HDD-n).
  • Purge – olyan módszer, amely a fejlettebb laborfelszereléssel végzett helyreállítás ellen is véd; SSD esetén jellemzően a kriptográfiai törlés (cryptographic erase), illetve a gyártó által támogatott, eszközszinten verifikált parancsok (pl. ATA Secure Erase, NVMe Sanitize) tartoznak ide – ezek Purge-szintű megbízhatósága azonban eszköz- és firmware-függő, ezért az eredmény verifikálása elengedhetetlen (a Rev. 2 a részletes technikai követelményeknél részben külön médiasanitizációs szabványokra – például az IEEE 2883-ra – támaszkodik).
  • Destroyfizikai megsemmisítés (aprítás, olvasztás), amelyre akkor kerül sor, ha a szoftveres módszerek nem alkalmazhatók.

Az ADISA (Asset Disposal and Information Security Alliance) például olyan iparági termékminősítési sémát működtet, amely a szoftver- és szolgáltatói piacot hivatott függetlenül értékelni: az ilyen termékvizsgálatok célja annak igazolása, hogy egy adattörlő megoldás eléri a deklarált biztonsági szintet az adott adathordozó-típuson.

Az iparágban referenciának tekintett törlőszoftverek – például a Blancco – jellemzően független tesztelésen és/vagy értékelésen esnek át, amelyek célja a törlési logika megbízhatóságának igazolása. A „blancco törlés” fogalma az iparágban a dokumentált, verifikált és tanúsítványos szoftveres megközelítés egyik közismert szinonimájává vált.

SSD-k és NVMe-eszközök esetén különös figyelmet igényel a wear-leveling mechanizmus: az SSD firmware automatikusan egyenlíti az írások terhelését a cellák között, ami azt jelenti, hogy egy egyszerű szekvenciális felülírás nem feltétlenül ér el minden fizikai cellát. Ezért SSD-kre a Purge szintű módszerek ajánlottak – a Clear szint önmagában nem garantál teljes adatmegsemmisítést.

Telefon minősített törlése esetén az eszköz típusa döntő: a modern mobileszközöknél a gyári visszaállítás jellemzően kriptográfiai törlést (crypto-erase) hajt végre a titkosítási kulcs eltávolításával, ami megfelelő módszer lehet – de ez eszköztámogatástól függ, ezért üzleti környezetben az eredményt minden esetben verifikálni és dokumentálni kell.

A minősített törlési workflow lépései: leltártól a tanúsítványig

Minősített szoftveres adattörlés verifikációja – SSD ellenőrző olvasása fizikai adatkábellel csatlakoztatva
A törlés utáni ellenőrző olvasás (verifikáció): az adathordozó fizikai kapcsolaton keresztül, auditálható módon kerül igazolásra.

A biztonságos adattörlés folyamata az eszköz fizikai átvételével kezdődik. A chain of custody (ellenőrzési lánc) azt dokumentálja, hogy az adathordozó az eredeti helyétől a törlési helyszínig, majd az eszköz visszaadásáig vagy megsemmisítéséig minden átadási ponton azonosítva volt, és felelős személy kezelte. Ez a logisztikai lánc fontos kontrollelem az ISO 27001 és a NIS2 szerinti eszközkezelés szempontjából is.

1. lépés – Előzetes eszközleltár (asset inventory)

Az eszközök sorozatszám, gyártó, modell, kapacitás és fizikai állapot alapján azonosítva kerülnek rögzítésre. A szerver-rack pozíció, eszközcímke és a szervezet belső leltárszáma is feljegyzésre kerül. Ez az előzetes leltár válik az összesített projekt-tanúsítvány alapjává, és az egyeztetés alapján visszaigazolja, hogy minden eszköz feldolgozásra került.

Az eszközleltár kialakításakor érdemes figyelembe venni a különböző adathordozó-típusokat:

  • HDD (magnetic hard drive): host-oldali szekvenciális felülírás + verifikáció a standard módszer.
  • SSD / NVMe: kriptográfiai törlés, ATA Sanitize vagy NVMe Sanitize parancs – wear-leveling miatt a host-oldali overwrite önmagában nem elegendő.
  • Mobileszközök / táblagépek: crypto-erase a gyártói visszaállítási mechanizmuson keresztül, verifikált eszköztámogatással.
  • Hibás vagy felismerhetetlenné vált eszközök: ezeket a leltárban külön jelölik; törlés helyett fizikai megsemmisítés következik.

2. lépés – Szállítás vagy helyszíni törlés

Az eszközök vagy biztonságos szállítással kerülnek a törlési helyszínre, vagy a szolgáltató a megrendelő telephelyén végzi a munkát (on-site törlés). Mindkét esetben az átvételi dokumentum aláírásra kerül, és rögzítésre kerül az átadás pontos időpontja, helyszíne és a felelős képviselők neve. Az on-site törlés különösen ajánlott, ha az adathordozók különleges személyes adatokat, üzleti titkokat vagy törvényi titoktartási kötelezettség alá eső információkat tároltak.

3. lépés – Törlés végrehajtása (eszközönként)

A minősített szoftver eszközönként futtatja a kiválasztott módszert (kriptográfiai törlés, overwrite-algoritmus, ATA Secure Erase vagy NVMe Sanitize). Minden eszköz eredménye önállóan rögzítve van; a párhuzamosan futó törlési folyamatok nem mosódnak össze – az audit trail mindig visszavezethető egy konkrét sorozatszámhoz.

4. lépés – Ellenőrző olvasás (verification pass)

A szoftver a szabványtól és a szervezeti előírástól függően ellenőrzi a törlés eredményét – a felülírt területek (teljes vagy mintavételes) visszaolvasásával és a várt mintával való összevetésével, illetve az eszköz státuszának és hibáinak kiértékelésével. Az eltérések – beleértve a sikertelen szektorokat is – rögzítve maradnak a naplóban. Ez a verification pass kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték áll rendelkezésre.

5. lépés – Tanúsítvány kiállítása

A törlési szoftver eszközönkénti tanúsítványt (certificate of erasure) állít ki automatikusan. Ez a lépés nem opcionális: dokumentáció nélkül a „minősített” jelző nehezen állja meg a helyét, mert a tanúsítvány teszi a törlést utólag igazolhatóvá.

A törlési tanúsítvány mezői és audit trail struktúrája

A törlési tanúsítvány az adattörlés cégeknek folyamat legfontosabb kimenetele. A tanúsítvány minimálisan tartalmazza:

  • az eszköz gyártóját, modelljét és sorozatszámát,
  • a törlési módszert és alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge),
  • a törlés dátumát és idejét,
  • a törlést elvégző operátor/szervezet azonosítóját,
  • az ellenőrző olvasás eredményét (sikeres/sikertelen szektorok),
  • az esetleges hibás szektorok listáját és a kezelési döntést (fizikai megsemmisítés / exception approval).

Egy jól dokumentált törlési projekt esetén a megrendelő megkapja:

  1. Összesített projekt-tanúsítványt – projekt szintű összefoglaló, összes eszközszám, dátum, módszer, felelős szervezet neve és aláírása.
  2. Eszközszintű egyedi tanúsítványokat – minden egyes sorozatszámhoz külön dokumentum, visszakereshető azonosítóval.
  3. Törlési naplót (audit log) – részletes szoftveres log, exportálható auditcélokra; tartalmazza az összes sikeresen és sikertelenül törölt szektor adatát, az alkalmazott módszer pontos paramétereit és az időbélyegeket.

Ez a háromszintű dokumentáció támogatja, hogy a szervezet igazolni tudja megfelelőségét belső auditon, hatósági ellenőrzésen vagy ügyfél által megkövetelt due diligence folyamatban.

Mit kér egy auditor? ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során jellemzően a következőket kérik: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (melyik eszköz, mikor, ki által), eszközszintű törlési tanúsítványok, chain-of-custody dokumentumok, failed wipe log és a sikertelen esetekre vonatkozó kezelési döntések feljegyzései. Ha ezek bármelyike hiányzik, a kontroll bizonyítatlanná válik – akkor is, ha az eszközök technikailag rendben lettek törölve.

Megőrzési idő: az adatvédelmi és informatikai biztonsági dokumentumok megőrzési kötelezettségét a szervezet belső iratkezelési szabályzata, valamint az alkalmazandó jogszabályok határozzák meg. A digitálisan aláírt, időbélyegzett formában megőrzött tanúsítvány adja a legerősebb bizonyítékot.

Mikor szoftveres, mikor fizikai megsemmisítés?

A szoftveres és a fizikai megközelítés nem egymás helyettesítője – a választás az eszköz állapotától, a biztonsági követelménytől és a jövőbeli felhasználástól függ.

Szoftveres minősített törlés ajánlott, ha:

  • Az eszköz fizikailag működőképes és a törlőszoftver el tudja érni az adathordozó összes területét.
  • A szervezet az eszközt értékesíteni, újrahasznosítani vagy visszaadni kívánja (pl. lízingvisszaadás, viszonteladás, adományozás).
  • A biztonsági besorolás nem igényel fizikai megsemmisítést.

Fizikai megsemmisítés szükséges vagy indokolt, ha:

  • Az eszköz meghibásodott és a szoftver nem fér hozzá az adatterületekhez.
  • Az adatok besorolása (pl. különleges személyes adat, üzleti titok, kormányzati minősített adat) fizikai megsemmisítést ír elő.
  • Az SSD wear-leveling-ből eredő bizonytalanság nem fogadható el a szervezet belső kockázatvállalási szintje alapján.

A fizikai megsemmisítés részleteiről – aprítási kategóriák, tanúsítványkövetelmények – külön cikk szól; itt a folyamat mindkét ágát egyformán az adattörlési tanúsítvány köti össze.

A tanúsított adattörlés mint GDPR- és NIS2-megfelelőségi bizonyíték

A GDPR a személyes adatok kezelésének megszűnésekor az adatkezelőtől azt várja el, hogy a törlési kötelezettség teljesítéséről bizonyítékot tudjon felmutatni. A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelőnek képesnek kell lennie igazolni, hogy az adatkezelési elveknek (köztük a tárolás korlátozásának, 5. cikk (1) e) pont) megfelelt. A GDPR 17. cikke alapján fennálló törlési kötelezettség teljesítésének bizonyítéka szintén ez az elvárás mentén vizsgálódik. Az adatvédelmi hatóság vizsgálata során a törlési tanúsítvány az, ami alátámasztja, hogy a szervezet gondoskodott az adat visszaállíthatatlan megsemmisítéséről – nem egyszerűen „törölte” azt.

A NIS2 irányelv (2022/2555, 21. cikk) az alapvető és fontos szervezetektől általános kiberbiztonsági kockázatkezelési intézkedéseket vár el – köztük az eszköz- és hozzáférés-kezelést –, amelyek kontrollkörnyezetében az adathordozók biztonságos kivonása is releváns. A megfelelőséget az adatkivonásnál is célszerű bizonyíthatóan dokumentálni.

Az ISO 27001:2022 kockázatalapú kontrollválasztásában – az alkalmazhatósági nyilatkozat (SoA) keretében – jellemzően szerepelnek az információ biztonságos törlésére és az eszközök biztonságos selejtezésére, illetve újrahasználatára vonatkozó kontrollok; ezek mentén a szervezet dokumentált eljárást és visszakereshető bizonyítékot tart fenn a kivont eszközökre.

Pénzügyi szektorban a DORA (2022/2554) az ICT harmadik felekhez kapcsolódó kockázatok kezelését is elvárja – fontos azonban, hogy egy külső adattörlési szolgáltató nem automatikusan minősül DORA-hatályú ICT harmadik félnek; ez eseti minősítés kérdése. Ahol releváns, ott a tanúsított, auditálható adattörlési folyamat a megfelelést támogató kontroll lehet.

Összefoglalva: a minősített törlés nem csupán technológiai megoldás, hanem megfelelőségi bizonyíték – a törlési tanúsítvány az a dokumentum, amely egy hatósági vizsgálaton vagy auditi eljárásban eszközszintű, mérésen alapuló, archivált bizonyítékot nyújt.

Összefoglaló: mire figyeljen a szervezet adattörlés cégeknek összefüggésében?

A vállalati adatkezelési életciklus utolsó lépése – az eszközök kivonása – pontosan olyan üzleti folyamat, mint bármely más biztonsági kontroll. Öt minimum-ellenőrzési pont:

  1. Törlési szabályzat írásban – tartalmaz-e kategóriánként módszert HDD, SSD és mobileszközre?
  2. Eszközszintű nyilvántartás – rögzítve van-e minden kivont eszköz sorozatszáma, a törlés időpontja és módszere?
  3. Verifikáció – van-e mérésen alapuló bizonyíték (a szabvány vagy a belső szabályzat szerinti verifikáció, tanúsítvány) a törlés sikerességéről?
  4. Hibás eszközök protokollja – definiált-e az út, ha egy eszköz nem írható (fizikai megsemmisítés következik)?
  5. Audit trail visszakereshetősége – a belső iratkezelési szabályzat szerinti megőrzési időre visszamenőleg (például néhány évre) előállíthatók-e a tanúsítványok?

Ha az öt pontból akár egyre is „nem” a válasz, a folyamat felülvizsgálata indokolt – még mielőtt egy hatóság vagy egy ügyfél teszi meg.

Az adattörlési tanúsítvány megkéréséhez és a minősített törlési folyamat elindításához forduljon a Data Destroy Kft. szakértőihez: az ajánlatkérés az adott adathordozó-típus, eszközmennyiség és biztonsági besorolás alapján személyre szabható.

Gyakori kérdések

Mit jelent a minősített törlés, és miben különbözik a sima törléstől?

A minősített törlés (tanúsított adattörlés) szabványos felülírási módszert (NIST SP 800-88 Rev. 2 Clear vagy Purge szint), verifikációs lépést és eszközszintű törlési tanúsítványt jelent. A sima törlés (formázás, Lomtár kiürítése, gyári visszaállítás) csak a fájlrendszer hivatkozásait távolítja el; a tényleges adatterületek visszaállíthatók maradnak. A fogalmi és technikai különbségekről részletesen az összehasonlító cikkben olvashat.

Melyik szabvány alapján kell elvégezni a minősített törlést?

A legelterjedtebb hivatkozás a NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavonásra került). HDD, SSD és flash-alapú adathordozókra eltérő módszereket (Clear, Purge) ír elő. Az ADISA termékminősítési séma a törlőszoftver megbízhatóságát hitelesíti. A konkrét szervezeti követelményt az adatbiztonsági szabályzat és az iparág-specifikus előírások is befolyásolhatják.

SSD-n és telefonon is elvégezhető minősített törlés?

Igen, de más módszertannal, mint HDD-n. SSD-n a wear-leveling miatt az egyszerű szekvenciális felülírás nem elegendő – a Purge szintű módszerek (ATA Secure Erase, NVMe Sanitize parancs, kriptográfiai törlés) alkalmazása szükséges. Telefon minősített törlése esetén a modern, alapból titkosított mobileszközöknél a gyártói visszaállítás jellemzően kriptográfiai törlést (crypto-erase) végezhet a titkosítási kulcs eltávolításával – ez azonban eszköz-, implementáció- és kulcskezelés-függő, ezért az eredményt verifikálni és dokumentálni kell. Ha a szoftveres módszer meghibásodott eszközön nem hajtható végre, a fizikai megsemmisítés az egyedüli megbízható megoldás.

Mit tartalmaz a törlési tanúsítvány?

Az eszközszintű tanúsítvány minimálisan tartalmazza az eszköz sorozatszámát, gyártóját és modelljét, a törlési módszert és az alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge), a törlés dátumát és időpontját, az elvégző szervezet azonosítóját, valamint az ellenőrző olvasás eredményét. A tanúsítvány auditcélra felhasználható, és GDPR-, NIS2- vagy ISO 27001-megfelelőségi vizsgálatokon bizonyítékként bemutatható.

Hogyan kapcsolódik a biztonságos adattörlés a GDPR-hoz?

A GDPR 5. cikk (2) bekezdése alapján az adatkezelőnek igazolnia kell, hogy az adatkezelési elveknek – köztük a tárolás korlátozásának – megfelelt. A GDPR 17. cikke szerinti törlési kötelezettség teljesítését a törlési tanúsítvány támasztja alá, amelyet az adatvédelmi hatóság vizsgálata során be lehet mutatni. A „töröltük” önbevallásos állítás – formázással vagy gyári visszaállítással alátámasztva – erre a célra nem elégséges.

Mikor nem elegendő a szoftveres minősített törlés?

Ha az eszköz fizikailag meghibásodott és a szoftver nem fér hozzá minden adatterülethez, vagy ha a szervezet belső szabályzata, illetve az adatok minősítése fizikai megsemmisítést ír elő, a szoftveres módszer nem alkalmazható. Ilyen esetekben az aprítással (shredding) végrehajtott fizikai megsemmisítés az egyedüli elfogadható megoldás – szintén tanúsítvánnyal kísérve.