Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?
A minősített szoftveres adattörlés egy dokumentált, szabványalapú folyamat, amelynek során az adathordozón tárolt információt visszaállíthatatlanná teszik – a hozzáférhető területek felülírásával, illetve kriptográfiai törléssel, sérült eszköznél pedig fizikai megsemmisítéssel –, a műveletet a törlést végző által kiállított, eszközszintű tanúsítvány dokumentálja. A biztonságos adattörlés az adatvédelmi jogszabályok (GDPR 17. és 5. cikk) és a vonatkozó iparági szabványok (NIST SP 800-88 Rev. 2, ADISA) követelményeire épül, és audit-bizonyítékként szolgál megfelelőségi vizsgálatok során. A tanúsított adattörlés a gyári visszaállítástól és a formázástól abban különbözik, hogy az eszközönkénti workflow (leltár → törlés → verifikáció → tanúsítvány) teljes audit trail-lel zárul; a fogalmi különbségekről részletesen a kapcsolódó cikkben olvashat.
Legfontosabb megállapítások:
A minősített törlés lényege a szabványnak megfelelő felülírás plusz az eszközönkénti audit-nyomvonal – sem a formázás, sem az operációs rendszer törlése nem éri el ezt a szintet.
A NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavont változata) meghatározza, hogy melyik adathordozó-típusnál (HDD, SSD, NVMe, telefon) milyen módszerrel érhető el biztonságos adattörlés.
A folyamat végén kiállított tanúsítvány eszközazonosítót (sorozatszám), alkalmazott szabványt, dátumot és felelős szervezetet tartalmaz – ez a megfelelőség igazolását támogató bizonyíték GDPR- vagy NIS2-megfelelőségi vizsgálaton.
Mi a minősített adattörlés, és miben különbözik a sima törléstől?
Működőképes adathordozóknál a minősített szoftveres adattörlés a leggazdaságosabb megoldás, mert az eszköz utána újrahasználható marad; sérült vagy nem írható adathordozóknál a fizikai megsemmisítés a szükséges eljárás. Mindkét útnak közös eleme a dokumentált, auditbiztos lezárás.
A köznapi értelemben vett törlés – legyen az Lomtárból való végleges törlés, partíció-formázás vagy gyári visszaállítás – nem távolítja el az adatokat fizikailag az adathordozóról. Az operációs rendszer csupán felszabadítja a területet és eltávolítja a fájlrendszer hivatkozásait; maga az adat visszaállítható marad mindaddig, amíg az érintett szektorokat felül nem írja új adat. A fogalmi különbségekről (Clear / Purge / Destroy szintek, SSD vs. HDD viselkedés, gyári visszaállítás korlátai) részletesen a gyári visszaállítás és formázás összehasonlításáról szóló cikkben olvashat.
A minősített vagy tanúsított adattörlés ezzel szemben három kötelező elemből áll:
Szabványos, az adathordozó típusához illesztett módszertan – HDD-nél a hozzáférhető logikai területek teljes felülírása, SSD/NVMe-nél viszont a wear-leveling és az over-provisioning miatt a host-oldali felülírás önmagában nem ér el minden fizikai cellát, ezért ott a kriptográfiai törlés vagy a gyártói sanitize/Secure Erase, illetve végső esetben a fizikai megsemmisítés az arányos megoldás.
Ellenőrzés (verification) – a felülírást követően a szoftver ellenőrzi a törlés eredményét, jellemzően a felülírt területek (teljes vagy mintavételes) visszaolvasásával, illetve az eszköz állapotának és anomáliáinak kiértékelésével; az eltérések rögzítésre kerülnek.
Dokumentálás (audit trail) – az egész folyamat naplózódik: az eszköz sorozatszáma, típusa, a törlés módszere, az operátor azonosítója, a dátum és az ellenőrzés eredménye mind rögzítve van.
Ez a hármas követelmény különbözteti meg a minősített adattörlést az egyszerű, dokumentálatlan eljárásoktól. Adattörlés cégeknek összefüggésében az utóbbi szempont – a dokumentálás – különösen kritikus: ez az egyik legerősebb bizonyíték arra, hogy a szervezet valóban gondoskodott az adat visszaállíthatatlan megsemmisítéséről.
Szabványháttér: NIST 800-88 Rev. 2, ADISA
A minősített adattörlés mögött álló legelterjedtebb referenciadokumentum a NIST SP 800-88 Rev. 2 (hatályos 2025. szeptember 26-a óta, a Rev. 1 ugyanekkor visszavonásra került; elérhető: csrc.nist.gov/pubs/sp/800/88/r2/final). A Rev. 2 három szintet határoz meg:
Clear – logikai felülírás, amely megvéd a szoftveres helyreállítástól (pl. szabványos egy-menetes felülírás HDD-n).
Purge – olyan módszer, amely a fejlettebb laborfelszereléssel végzett helyreállítás ellen is véd; SSD esetén jellemzően a kriptográfiai törlés (cryptographic erase), illetve a gyártó által támogatott, eszközszinten verifikált parancsok (pl. ATA Secure Erase, NVMe Sanitize) tartoznak ide – ezek Purge-szintű megbízhatósága azonban eszköz- és firmware-függő, ezért az eredmény verifikálása elengedhetetlen (a Rev. 2 a részletes technikai követelményeknél részben külön médiasanitizációs szabványokra – például az IEEE 2883-ra – támaszkodik).
Destroy – fizikai megsemmisítés (aprítás, olvasztás), amelyre akkor kerül sor, ha a szoftveres módszerek nem alkalmazhatók.
Az ADISA (Asset Disposal and Information Security Alliance) például olyan iparági termékminősítési sémát működtet, amely a szoftver- és szolgáltatói piacot hivatott függetlenül értékelni: az ilyen termékvizsgálatok célja annak igazolása, hogy egy adattörlő megoldás eléri a deklarált biztonsági szintet az adott adathordozó-típuson.
Az iparágban referenciának tekintett törlőszoftverek – például a Blancco – jellemzően független tesztelésen és/vagy értékelésen esnek át, amelyek célja a törlési logika megbízhatóságának igazolása. A „blancco törlés” fogalma az iparágban a dokumentált, verifikált és tanúsítványos szoftveres megközelítés egyik közismert szinonimájává vált.
SSD-k és NVMe-eszközök esetén különös figyelmet igényel a wear-leveling mechanizmus: az SSD firmware automatikusan egyenlíti az írások terhelését a cellák között, ami azt jelenti, hogy egy egyszerű szekvenciális felülírás nem feltétlenül ér el minden fizikai cellát. Ezért SSD-kre a Purge szintű módszerek ajánlottak – a Clear szint önmagában nem garantál teljes adatmegsemmisítést.
Telefon minősített törlése esetén az eszköz típusa döntő: a modern mobileszközöknél a gyári visszaállítás jellemzően kriptográfiai törlést (crypto-erase) hajt végre a titkosítási kulcs eltávolításával, ami megfelelő módszer lehet – de ez eszköztámogatástól függ, ezért üzleti környezetben az eredményt minden esetben verifikálni és dokumentálni kell.
A minősített törlési workflow lépései: leltártól a tanúsítványig
A törlés utáni ellenőrző olvasás (verifikáció): az adathordozó fizikai kapcsolaton keresztül, auditálható módon kerül igazolásra.
A biztonságos adattörlés folyamata az eszköz fizikai átvételével kezdődik. A chain of custody (ellenőrzési lánc) azt dokumentálja, hogy az adathordozó az eredeti helyétől a törlési helyszínig, majd az eszköz visszaadásáig vagy megsemmisítéséig minden átadási ponton azonosítva volt, és felelős személy kezelte. Ez a logisztikai lánc fontos kontrollelem az ISO 27001 és a NIS2 szerinti eszközkezelés szempontjából is.
Az eszközök sorozatszám, gyártó, modell, kapacitás és fizikai állapot alapján azonosítva kerülnek rögzítésre. A szerver-rack pozíció, eszközcímke és a szervezet belső leltárszáma is feljegyzésre kerül. Ez az előzetes leltár válik az összesített projekt-tanúsítvány alapjává, és az egyeztetés alapján visszaigazolja, hogy minden eszköz feldolgozásra került.
Az eszközleltár kialakításakor érdemes figyelembe venni a különböző adathordozó-típusokat:
HDD (magnetic hard drive): host-oldali szekvenciális felülírás + verifikáció a standard módszer.
SSD / NVMe: kriptográfiai törlés, ATA Sanitize vagy NVMe Sanitize parancs – wear-leveling miatt a host-oldali overwrite önmagában nem elegendő.
Mobileszközök / táblagépek: crypto-erase a gyártói visszaállítási mechanizmuson keresztül, verifikált eszköztámogatással.
Hibás vagy felismerhetetlenné vált eszközök: ezeket a leltárban külön jelölik; törlés helyett fizikai megsemmisítés következik.
2. lépés – Szállítás vagy helyszíni törlés
Az eszközök vagy biztonságos szállítással kerülnek a törlési helyszínre, vagy a szolgáltató a megrendelő telephelyén végzi a munkát (on-site törlés). Mindkét esetben az átvételi dokumentum aláírásra kerül, és rögzítésre kerül az átadás pontos időpontja, helyszíne és a felelős képviselők neve. Az on-site törlés különösen ajánlott, ha az adathordozók különleges személyes adatokat, üzleti titkokat vagy törvényi titoktartási kötelezettség alá eső információkat tároltak.
3. lépés – Törlés végrehajtása (eszközönként)
A minősített szoftver eszközönként futtatja a kiválasztott módszert (kriptográfiai törlés, overwrite-algoritmus, ATA Secure Erase vagy NVMe Sanitize). Minden eszköz eredménye önállóan rögzítve van; a párhuzamosan futó törlési folyamatok nem mosódnak össze – az audit trail mindig visszavezethető egy konkrét sorozatszámhoz.
4. lépés – Ellenőrző olvasás (verification pass)
A szoftver a szabványtól és a szervezeti előírástól függően ellenőrzi a törlés eredményét – a felülírt területek (teljes vagy mintavételes) visszaolvasásával és a várt mintával való összevetésével, illetve az eszköz státuszának és hibáinak kiértékelésével. Az eltérések – beleértve a sikertelen szektorokat is – rögzítve maradnak a naplóban. Ez a verification pass kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték áll rendelkezésre.
5. lépés – Tanúsítvány kiállítása
A törlési szoftver eszközönkénti tanúsítványt (certificate of erasure) állít ki automatikusan. Ez a lépés nem opcionális: dokumentáció nélkül a „minősített” jelző nehezen állja meg a helyét, mert a tanúsítvány teszi a törlést utólag igazolhatóvá.
A törlési tanúsítvány mezői és audit trail struktúrája
A törlési tanúsítvány az adattörlés cégeknek folyamat legfontosabb kimenetele. A tanúsítvány minimálisan tartalmazza:
az eszköz gyártóját, modelljét és sorozatszámát,
a törlési módszert és alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge),
a törlés dátumát és idejét,
a törlést elvégző operátor/szervezet azonosítóját,
az ellenőrző olvasás eredményét (sikeres/sikertelen szektorok),
az esetleges hibás szektorok listáját és a kezelési döntést (fizikai megsemmisítés / exception approval).
Egy jól dokumentált törlési projekt esetén a megrendelő megkapja:
Összesített projekt-tanúsítványt – projekt szintű összefoglaló, összes eszközszám, dátum, módszer, felelős szervezet neve és aláírása.
Eszközszintű egyedi tanúsítványokat – minden egyes sorozatszámhoz külön dokumentum, visszakereshető azonosítóval.
Törlési naplót (audit log) – részletes szoftveres log, exportálható auditcélokra; tartalmazza az összes sikeresen és sikertelenül törölt szektor adatát, az alkalmazott módszer pontos paramétereit és az időbélyegeket.
Ez a háromszintű dokumentáció támogatja, hogy a szervezet igazolni tudja megfelelőségét belső auditon, hatósági ellenőrzésen vagy ügyfél által megkövetelt due diligence folyamatban.
Mit kér egy auditor? ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során jellemzően a következőket kérik: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (melyik eszköz, mikor, ki által), eszközszintű törlési tanúsítványok, chain-of-custody dokumentumok, failed wipe log és a sikertelen esetekre vonatkozó kezelési döntések feljegyzései. Ha ezek bármelyike hiányzik, a kontroll bizonyítatlanná válik – akkor is, ha az eszközök technikailag rendben lettek törölve.
Megőrzési idő: az adatvédelmi és informatikai biztonsági dokumentumok megőrzési kötelezettségét a szervezet belső iratkezelési szabályzata, valamint az alkalmazandó jogszabályok határozzák meg. A digitálisan aláírt, időbélyegzett formában megőrzött tanúsítvány adja a legerősebb bizonyítékot.
Mikor szoftveres, mikor fizikai megsemmisítés?
A szoftveres és a fizikai megközelítés nem egymás helyettesítője – a választás az eszköz állapotától, a biztonsági követelménytől és a jövőbeli felhasználástól függ.
Szoftveres minősített törlés ajánlott, ha:
Az eszköz fizikailag működőképes és a törlőszoftver el tudja érni az adathordozó összes területét.
A szervezet az eszközt értékesíteni, újrahasznosítani vagy visszaadni kívánja (pl. lízingvisszaadás, viszonteladás, adományozás).
A biztonsági besorolás nem igényel fizikai megsemmisítést.
Fizikai megsemmisítés szükséges vagy indokolt, ha:
Az eszköz meghibásodott és a szoftver nem fér hozzá az adatterületekhez.
Az adatok besorolása (pl. különleges személyes adat, üzleti titok, kormányzati minősített adat) fizikai megsemmisítést ír elő.
Az SSD wear-leveling-ből eredő bizonytalanság nem fogadható el a szervezet belső kockázatvállalási szintje alapján.
A fizikai megsemmisítés részleteiről – aprítási kategóriák, tanúsítványkövetelmények – külön cikk szól; itt a folyamat mindkét ágát egyformán az adattörlési tanúsítvány köti össze.
A tanúsított adattörlés mint GDPR- és NIS2-megfelelőségi bizonyíték
A GDPR a személyes adatok kezelésének megszűnésekor az adatkezelőtől azt várja el, hogy a törlési kötelezettség teljesítéséről bizonyítékot tudjon felmutatni. A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelőnek képesnek kell lennie igazolni, hogy az adatkezelési elveknek (köztük a tárolás korlátozásának, 5. cikk (1) e) pont) megfelelt. A GDPR 17. cikke alapján fennálló törlési kötelezettség teljesítésének bizonyítéka szintén ez az elvárás mentén vizsgálódik. Az adatvédelmi hatóság vizsgálata során a törlési tanúsítvány az, ami alátámasztja, hogy a szervezet gondoskodott az adat visszaállíthatatlan megsemmisítéséről – nem egyszerűen „törölte” azt.
A NIS2 irányelv (2022/2555, 21. cikk) az alapvető és fontos szervezetektől általános kiberbiztonsági kockázatkezelési intézkedéseket vár el – köztük az eszköz- és hozzáférés-kezelést –, amelyek kontrollkörnyezetében az adathordozók biztonságos kivonása is releváns. A megfelelőséget az adatkivonásnál is célszerű bizonyíthatóan dokumentálni.
Az ISO 27001:2022 kockázatalapú kontrollválasztásában – az alkalmazhatósági nyilatkozat (SoA) keretében – jellemzően szerepelnek az információ biztonságos törlésére és az eszközök biztonságos selejtezésére, illetve újrahasználatára vonatkozó kontrollok; ezek mentén a szervezet dokumentált eljárást és visszakereshető bizonyítékot tart fenn a kivont eszközökre.
Pénzügyi szektorban a DORA (2022/2554) az ICT harmadik felekhez kapcsolódó kockázatok kezelését is elvárja – fontos azonban, hogy egy külső adattörlési szolgáltató nem automatikusan minősül DORA-hatályú ICT harmadik félnek; ez eseti minősítés kérdése. Ahol releváns, ott a tanúsított, auditálható adattörlési folyamat a megfelelést támogató kontroll lehet.
Összefoglalva: a minősített törlés nem csupán technológiai megoldás, hanem megfelelőségi bizonyíték – a törlési tanúsítvány az a dokumentum, amely egy hatósági vizsgálaton vagy auditi eljárásban eszközszintű, mérésen alapuló, archivált bizonyítékot nyújt.
Összefoglaló: mire figyeljen a szervezet adattörlés cégeknek összefüggésében?
A vállalati adatkezelési életciklus utolsó lépése – az eszközök kivonása – pontosan olyan üzleti folyamat, mint bármely más biztonsági kontroll. Öt minimum-ellenőrzési pont:
Eszközszintű nyilvántartás – rögzítve van-e minden kivont eszköz sorozatszáma, a törlés időpontja és módszere?
Verifikáció – van-e mérésen alapuló bizonyíték (a szabvány vagy a belső szabályzat szerinti verifikáció, tanúsítvány) a törlés sikerességéről?
Hibás eszközök protokollja – definiált-e az út, ha egy eszköz nem írható (fizikai megsemmisítés következik)?
Audit trail visszakereshetősége – a belső iratkezelési szabályzat szerinti megőrzési időre visszamenőleg (például néhány évre) előállíthatók-e a tanúsítványok?
Ha az öt pontból akár egyre is „nem” a válasz, a folyamat felülvizsgálata indokolt – még mielőtt egy hatóság vagy egy ügyfél teszi meg.
Az adattörlési tanúsítvány megkéréséhez és a minősített törlési folyamat elindításához forduljon a Data Destroy Kft. szakértőihez: az ajánlatkérés az adott adathordozó-típus, eszközmennyiség és biztonsági besorolás alapján személyre szabható.
Gyakori kérdések
Mit jelent a minősített törlés, és miben különbözik a sima törléstől?
A minősített törlés (tanúsított adattörlés) szabványos felülírási módszert (NIST SP 800-88 Rev. 2 Clear vagy Purge szint), verifikációs lépést és eszközszintű törlési tanúsítványt jelent. A sima törlés (formázás, Lomtár kiürítése, gyári visszaállítás) csak a fájlrendszer hivatkozásait távolítja el; a tényleges adatterületek visszaállíthatók maradnak. A fogalmi és technikai különbségekről részletesen az összehasonlító cikkben olvashat.
Melyik szabvány alapján kell elvégezni a minősített törlést?
A legelterjedtebb hivatkozás a NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavonásra került). HDD, SSD és flash-alapú adathordozókra eltérő módszereket (Clear, Purge) ír elő. Az ADISA termékminősítési séma a törlőszoftver megbízhatóságát hitelesíti. A konkrét szervezeti követelményt az adatbiztonsági szabályzat és az iparág-specifikus előírások is befolyásolhatják.
SSD-n és telefonon is elvégezhető minősített törlés?
Igen, de más módszertannal, mint HDD-n. SSD-n a wear-leveling miatt az egyszerű szekvenciális felülírás nem elegendő – a Purge szintű módszerek (ATA Secure Erase, NVMe Sanitize parancs, kriptográfiai törlés) alkalmazása szükséges. Telefon minősített törlése esetén a modern, alapból titkosított mobileszközöknél a gyártói visszaállítás jellemzően kriptográfiai törlést (crypto-erase) végezhet a titkosítási kulcs eltávolításával – ez azonban eszköz-, implementáció- és kulcskezelés-függő, ezért az eredményt verifikálni és dokumentálni kell. Ha a szoftveres módszer meghibásodott eszközön nem hajtható végre, a fizikai megsemmisítés az egyedüli megbízható megoldás.
Mit tartalmaz a törlési tanúsítvány?
Az eszközszintű tanúsítvány minimálisan tartalmazza az eszköz sorozatszámát, gyártóját és modelljét, a törlési módszert és az alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge), a törlés dátumát és időpontját, az elvégző szervezet azonosítóját, valamint az ellenőrző olvasás eredményét. A tanúsítvány auditcélra felhasználható, és GDPR-, NIS2- vagy ISO 27001-megfelelőségi vizsgálatokon bizonyítékként bemutatható.
Hogyan kapcsolódik a biztonságos adattörlés a GDPR-hoz?
A GDPR 5. cikk (2) bekezdése alapján az adatkezelőnek igazolnia kell, hogy az adatkezelési elveknek – köztük a tárolás korlátozásának – megfelelt. A GDPR 17. cikke szerinti törlési kötelezettség teljesítését a törlési tanúsítvány támasztja alá, amelyet az adatvédelmi hatóság vizsgálata során be lehet mutatni. A „töröltük” önbevallásos állítás – formázással vagy gyári visszaállítással alátámasztva – erre a célra nem elégséges.
Mikor nem elegendő a szoftveres minősített törlés?
Ha az eszköz fizikailag meghibásodott és a szoftver nem fér hozzá minden adatterülethez, vagy ha a szervezet belső szabályzata, illetve az adatok minősítése fizikai megsemmisítést ír elő, a szoftveres módszer nem alkalmazható. Ilyen esetekben az aprítással (shredding) végrehajtott fizikai megsemmisítés az egyedüli elfogadható megoldás – szintén tanúsítvánnyal kísérve.
Hogyan működik a tanúsított fizikai adatmegsemmisítés
A tanúsított fizikai adatmegsemmisítés egy adathordozó visszafordíthatatlan, dokumentált megsemmisítését jelenti mechanikai eljárással — szeleteléssel, darabolással vagy aprítással —, a vonatkozó szabványoknak megfelelő végeredménnyel (NIST SP 800-88 „Destroy” kategória, DIN 66399, ISO/IEC 27001:2022 A.7.10 kontroll). A folyamat végén tételszintű, sorszám szerint visszakereshető tanúsítvány kerül az auditdokumentációba. A Data Destroy Kft. szolgáltatásportfóliója a tanúsított fizikai megsemmisítésre épít — ezt különösen az audit-érzékeny szektorokban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.
Legfontosabb megállapítások:
A fizikai megsemmisítés és a tanúsított szoftveres törlés között az dönti el a választást, hogy az adathordozó visszakerül-e a használatba — a két módszer nem versenyez, hanem az életciklus különböző végállapotaira ad szakszerű választ.
A „tanúsított” minősítés akkor érvényes, ha a szolgáltató dokumentált eljárása lefedi az őrzési láncot (chain of custody), a sorszám szerinti tételazonosítást, a vonatkozó szabványnak megfelelő mechanikai megsemmisítési geometriát, és a folyamat végén kiállított, audit-célra megőrzött, tételszintű certificate of sanitization rendelkezésre áll.
A Data Destroy Kft. szolgáltatásportfóliója kifejezetten a tanúsított fizikai megsemmisítésre épít — ezt különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.
Egy ISO 27001 audit gyakori kérdése: bizonyíthatóan tudja-e a szervezet, mely meghajtói kerültek selejtezésre, mikor, milyen módszerrel, és kinek a felelősségében? Ha a vagyonleltár-csökkenéshez nincs sorszám-szintű certificate of sanitization vagy az őrzési lánc dokumentációja megszakadt, a kontroll nem tekinthető működőnek. Egy szervezet életében minden aktív adathordozó eljut arra a pontra, amikor kilép a működő vagyonleltárból, és ettől kezdve a leggyakoribb két útvonal: vagy az adathordozó — a rajta lévő adat tanúsított törlése után — visszakerül a használatba (belső másodlagos felhasználás, értékesítés, felújítás), vagy az adathordozó visszafordíthatatlanul megsemmisül. Léteznek átmeneti helyzetek is — jogi zárolás (legal hold), bizonyítékként megőrzés, gyártói RMA-visszaküldés —, de a kompletten lezárt életciklusra a két végállapot a tipikus. A választást nem egyszerűen üzleti, hanem kockázatalapú döntés vezérli: az adatminősítés, a médiatípus, a szoftveres törölhetőség, a jogi megőrzési kötelezettségek és az ágazati kontrollok együttesen szabják meg a megfelelő útvonalat. Ez a cikk azt mutatja be, hogyan zajlik szakszerűen a tanúsított fizikai adatmegsemmisítés — az őrzési lánc (chain of custody) felvételétől a certificate of sanitization kiállításáig —, és miért építi a Data Destroy Kft. szolgáltatásportfólióját erre az útvonalra.
Mikor szakmailag indokolt a fizikai megsemmisítés
A fizikai megsemmisítés négy elkülöníthető helyzetben válik a szakszerű választássá.
Az életciklus visszafordíthatatlan lezárása. Ha az adathordozó nem kerül vissza a vagyonleltárba — sem belső másodlagos felhasználásra, sem értékesítésre, sem felújításra —, a fizikai megsemmisítés önmagában is szakszerű befejezése a folyamatnak. Ilyenkor nem szükséges a megsemmisítés előtt szoftveresen törölni, mert az adat hozzáférhetetlenné tétele a fizikai megsemmisítéssel biztosítva van.
Hibás vagy szoftveresen nem kezelhető meghajtó. A tanúsított szoftveres törlés feltétele, hogy az adathordozó kommunikál a hosztrendszerrel, és a törlési parancs a teljes felhasználói és szolgáltatási területet eléri. Ha a meghajtó vezérlője meghibásodott, a SMART-attribútumok kritikus értéket mutatnak, vagy a meghajtó nem jelentkezik be a buszra, a szoftveres törlés sikere nem garantálható. Ilyenkor — feltéve, hogy az ügyfélnél nincs aktív legal hold vagy retenciós kötelezettség az adott meghajtóra — a fizikai megsemmisítés a megbízhatóan validálható útvonal.
Magas biztonsági besorolású tartalom. Pénzügyi szektor, kormányzati intézmények, kritikus infrastruktúra üzemeltetők — és minősített tartalommal dolgozó szervezetek — belső szabályzata vagy ágazati előírása előírhatja a fizikai megsemmisítés alkalmazását akkor is, ha a szoftveres törlés technikailag elvégezhető. Az auditkövetelmény ezekben a szektorokban gyakran a tárgyi, dokumentált végtermékre is kiterjed.
Kétszintű, kombinált védelem. Egyes szervezetek a tanúsított szoftveres törlést és a fizikai megsemmisítést egymás után alkalmazzák ugyanazon a meghajtón — különösen érzékeny tartalmaknál vagy olyan SSD-knél, ahol a wear-leveling miatt a szoftveres törlés ellenőrizhetősége korlátozott (a NIST 800-88 Rev. 2 kifejezetten figyelmeztet rá, hogy a Cryptographic Erase nem minden SSD firmware-en megbízható). Ez a többrétegű védelem (defense in depth) gyakorlata.
A négy helyzetből egyértelmű, hogy a fizikai megsemmisítés és a szoftveres törlés között nincs versenyhelyzet: a meghajtó tervezett életútja, állapota és a tartalom érzékenysége határozza meg, hogy melyik a megfelelő — vagy mikor szükséges mindkettő.
A nemzetközi szabványkeret: NIST SP 800-88 Rev. 2
A médiamegsemmisítés területén a NIST Special Publication 800-88 Revision 2 az általánosan elfogadott nemzetközi referenciadokumentum (a Rev. 1 2025 szeptemberében superseded státuszba került). A szabvány három kategóriát különböztet meg: Clear, Purge és Destroy.
A Clear azokat az eljárásokat fedi le, amelyek megakadályozzák, hogy az adat a szabványos rendszerinterfészeken keresztül visszanyerhető legyen — tipikusan szoftveres felülírás. A Purge mélyebb szinten dolgozik: a laboratóriumi szintű helyreállítást is kizáró eljárásokat alkalmaz, ezek közé tartoznak — eszköz, firmware és parancstámogatás validált megléte esetén — a cryptographic erase, az ATA Secure Erase parancsok, az SSD-k beépített sanitize funkciója és — kizárólag mágneses adathordozóknál — a lemágnesezés. A Destroy kategória a fizikai megsemmisítés: mechanikai szeletelés, darabolás, aprítás és égetés (incineration); a Destroy elismerésének feltétele, hogy a végeredmény validáltan megfeleljen a vonatkozó geometriai és rekonstrukciós követelménynek. Fontos pontosítás: a NIST 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses média esetén), nem általános Destroy technikaként — ez egy iparágszerte gyakori félreértés.
Az ISO/IEC 27001:2022 szabványban két kontroll köthető közvetlenül az adathordozó-megsemmisítéshez. Az A.7.10 (Storage media) az adathordozók kezelésére vonatkozó dokumentált eljárást írja elő, az A.8.10 (Information deletion) pedig kifejezetten az információ-törlési és megsemmisítési eljárás rögzítését várja el. Mindkét kontroll implementációja sok szervezetnél a NIST 800-88 Rev. 2-re vagy az európai DIN 66399 / ISO 21964 szabványra épül.
A DIN 66399 európai megsemmisítési szabvány médiatípus szerint különít el biztonsági szinteket. H osztály (H-1 … H-7) a mágneses adathordozókra (HDD) érvényes; E osztály (E-1 … E-7) az elektronikus adathordozókra (SSD, USB-stick, M.2 NVMe, chipkártya, mobiltelefon). A szigorúbb biztonsági szint kisebb megengedett darab- vagy szeletméretet jelent — fragmentumos aprításnál a részecskeméret, késes szeletelőnél a szeletszélesség és szeletvastagság a paraméter. A NIST 800-88 a Destroy kategórián belül a végeredmény-szintű elvárást rögzíti, a konkrét geometriai paramétereket DIN 66399, ISO 21964, NSA/CSS és IEEE 2883 hivatkozásokkal lehet alátámasztani.
Audit-érzékeny szektorokban (pénzügyi intézmények, kormányzati szervezetek, kritikus infrastruktúra üzemeltetők) az auditkövetelmény jellemzően a tárgyi, dokumentálható végterméket is bizonyítékként kéri.
A tanúsított folyamat hat lépcsője
A „tanúsított” jelző ebben a kontextusban azt jelenti, hogy a szolgáltató minden lépést dokumentált eljárás szerint végez, az alkalmazott berendezésnek gyári vagy független laboratóriumi minősítése van, és a folyamat végén tételszintű certificate of sanitization kerül kiállításra. (A „tanúsított” megnevezés ágazati gyakorlat — egyes ügyfelek kérhetik, hogy emellett akkreditált harmadik fél által tanúsított ISO 27001 vagy TISAX folyamat is legyen a háttérben.)
Selejtezésre előkészített adathordozók — vegyes HDD, SSD, M.2, USB és okostelefon.
1. Átvétel és őrzési lánc felvétele. Az adathordozók átvétele zárt szállítóeszközben, dokumentált felelős aláírásával történik. Az őrzési lánc (chain of custody) minimális adattartalma: időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy tartály azonosító, átadó és átvevő neve, valamint az eltéréskezelés módja. Az átvétel előtt javasolt az ügyfél belső eljárásában ellenőrizni, hogy a megsemmisítendő adathordozóhoz nem tartozik aktív legal hold vagy retenciós kötelezettség (pl. számviteli megőrzési idő, GDPR retention, jogi vagy felügyeleti zárolás).
2. Tételszintű azonosítás. Az adathordozók sorszámát (S/N), gyártói azonosítóját és — ha van — vagyontárgy-címkéjét tételenként rögzítjük. Ez a leltár lesz a kiállított tanúsítvány alapja, és ezzel veti össze az ügyfél a saját vagyonleltár-csökkenését. A jóváhagyási oldalon ügyféloldali asset owner, data owner vagy records manager hagyja jóvá tételenként a megsemmisítendő listát; az eltérés (hiányzó S/N, leltár-mismatch) eltérésjegyzőkönyvet eredményez.
3. Mechanikai megsemmisítési művelet. A meghajtó típusától függő mechanikai eljárást alkalmazzuk — HDD-knél és SSD-knél egyaránt késes szeletelés, darabolás vagy aprítás —, a vonatkozó DIN 66399 osztálynak (HDD: H-szint, SSD és elektronikus média: E-szint) megfelelő geometriával.
4. Folyamat- és végtermékellenőrzés. A megsemmisítés végeredménye — a szelet, darab vagy fragmentum geometriája — a vonatkozó szabvány szerinti paraméterek alapján ellenőrzött. Magasabb védelmi szinteken — az ISO/IEC 27001:2022 A.5.3 (Segregation of duties) elvét követve — a folyamatot operátoron kívül második személy is felügyeli (four-eyes principle), illetve videón rögzítjük. A keletkezett tárgyi végtermék az auditdokumentációhoz csatolt fotódokumentációval is alátámasztható.
5. WEEE-konform hulladékkezelés. A megsemmisült adathordozó-darabok elektronikai hulladéknak minősülnek (megfelelő EWC-kóddal); a további feldolgozás engedélyezett hulladékátvevőnél, dokumentált hulladékátadási bizonylattal történik.
6. Tanúsítvány kibocsátása. A folyamat végén kiállított certificate of sanitization tartalmazza az ügyfél nevét, a megsemmisítés dátumát és helyszínét, a tételenkénti sorszám-listát, az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. Ez a dokumentum kerül az ügyfél auditdokumentációjába; a megőrzési idejét az ügyfél belső szabályzata vagy ágazati előírása határozza meg (jellemzően 5–7 év).
Mechanikai megsemmisítési technológiák
A fizikai megsemmisítésen belül a mechanikai eljárásoknak több útja létezik, és a megfelelő választás a meghajtó típusától, a vonatkozó védelmi szinttől és az alkalmazott berendezés kategóriájától függ.
Késes szeletelés (cutter, guillotine). A berendezés erős mechanikus pengével vagy guillotine-szerkezettel hosszanti szeletekre bontja az adathordozót. A végeredmény nem azonos méretű fragmensek halmaza, hanem egyenletes szelet-csíkok — a megsemmisítés mélysége a szeletszélességgel és a szeletvastagsággal jellemezhető. Ez a technológia jellemzi a Data Destroy által használt berendezésosztályt; a folyamat HDD-re és SSD-re egyaránt alkalmas.
Fragmentumos aprítás (shredder). Más típusú mechanikai aprítók forgó kalapács- vagy késhenger-rendszerrel apró, szabálytalan fragmentumokra darabolják az adathordozót. Ennél a technológiánál a részecskeméret a szabályozott paraméter — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő SSD-aprításnál legfeljebb 2 mm körüli. A két technológia (szeletelés vs. aprítás) ugyanazt a célt — az adathordozó visszafordíthatatlan fizikai megsemmisítését — éri el, csak a végeredmény geometriája különbözik.
Lemágnesezés. A NIST SP 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses adathordozóra, HDD): erős, gyorsan változó mágneses térrel a HDD adattároló rétege visszafordíthatatlanul lemágneseződik. A módszer iparági elfogadottsága szektorfüggő — vannak területek, ahol a folyamatdokumentáció és a berendezés gyári minősítése elegendő bizonyítéknak. A Data Destroy szolgáltatásportfóliójában a lemágnesezés nem szerepel önálló eljárásként; ügyfeleink visszajelzései alapján a tárgyi végterméket eredményező mechanikai megsemmisítésre építünk. SSD-re a lemágnesezés definíció szerint sem alkalmas: a flash-cellákban tárolt adatot a mágneses tér nem érinti.
Kombinált technológia. Egyes európai gyártók — köztük a holland Maxxeguard — olyan berendezéseket állítanak elő, amelyek lemágnesezést és mechanikai szeletelést egyetlen folyamatban végeznek el. Ez a kombináció HDD-nél kétszintű védelmet ad: a mágneses adatréteg lemágneseződik, és a meghajtó fizikailag is darabolódik.
Tanúsított berendezések a gyakorlatban
A tanúsított fizikai megsemmisítés minőségét a használt berendezés képességei és minősítései határozzák meg. Az európai piacon több gyártó kínál olyan kombinált berendezéseket, amelyeket szigorú biztonsági követelményű környezetben (kormányzati, katonai, kritikus infrastruktúra) is használnak — ide tartozik például a holland Maxxeguard, amelynek késes szeletelő berendezései a piacon ebben a kategóriában elismertek. A konkrét akkreditációs vagy ügyfélkörülmények berendezésenként és felhasználónként eltérhetnek.
Aprított adathordozó-fragmentumok ipari gyűjtőkonténerben — a tanúsított fizikai megsemmisítés eredménye.
Az ilyen kategóriájú berendezések három tulajdonsággal jellemezhetők. Először: a szeletvastagság és szeletszélesség dokumentált és független laboratóriumi méréssel vagy gyári minősítéssel igazolt — ez a paraméter felel meg a vonatkozó DIN 66399 osztálynak (HDD: H-szint, elektronikus média: E-szint). Másodszor: a folyamat tételszinten naplózott — a berendezés rögzíti minden megsemmisített adathordozó paramétereit, így a tanúsítvány utólag is visszakereshető a gépi logból. Harmadszor: a működés auditálható — egy külső auditor (ISO 27001 belső auditor, TISAX assessor, ágazati felügyelet) szemrevételezéssel és dokumentumellenőrzéssel verifikálni tudja.
A szolgáltató választásakor érdemes megvizsgálni, hogy a használt berendezés milyen DIN 66399 osztálynak és NIST 800-88 Destroy elvárásnak felel meg, milyen meghajtó-osztályokra van validálva, és hogyan integrálódik az őrzési lánc dokumentációjába.
Mit néz egy auditor
A fizikai megsemmisítés audit-szempontú értékelésekor az ellenőr nem a megsemmisítés tényét vizsgálja — azt a tanúsítvány önmagában rögzíti —, hanem a folyamat rendszer-szintű megbízhatóságát.
ISO/IEC 27001 belső auditor szempontból az A.7.10 (Storage media) és az A.8.10 (Information deletion) kontroll együttes implementációja akkor megfelelő, ha a szervezet eljárásrendje előírja a selejtezett adathordozók kezelésének lépéseit, a felelősök kijelölését, az őrzési lánc dokumentációját, és a tanúsítványok megőrzési idejét. Az auditor mintavételesen kéri be a kiállított certificate of sanitization dokumentumokat, és összeveti a vagyonleltár-csökkenéssel.
TISAX assessor — autóipari beszállítói lánc — különösen érzékeny a teljes szállítási láncra. Az adathordozók útját az átadástól a megsemmisítésig hézagmentesen kell dokumentálni, és a megsemmisítést végző alvállalkozó IT biztonsági szintje is felmérés tárgya. A TISAX-keret a megsemmisítési eljárás dokumentált, ismételhető és ellenőrizhető voltát várja el.
Pénzügyi szektor és kritikus infrastruktúra esetén a vonatkozó ágazati előírások — a pénzügyi szegmensben elsősorban a 2025 januárja óta hatályos DORA (EU 2022/2554) ICT-kockázatkezelési kerete, kritikus infrastruktúránál a NIS2 21. cikk kockázatkezelési kötelezettségei — a teljes ICT-eszközéletciklusra kiterjednek. A fizikai megsemmisítés egy elem ebben a láncban: a felügyeleti szempont nem önmagában a megsemmisítést, hanem a teljes ICT-vagyonkezelési folyamatot vizsgálja, beleértve azt, hogy az alkalmazott eljárás operatív szinten is auditálható-e.
A közös pont mindegyik szempont mögött ugyanaz: az auditor azt szeretné látni, hogy a szervezet bizonyíthatóan tudja, mely adathordozói kerültek selejtezésre, mikor, milyen módszerrel, és ki vállalt érte felelősséget. A tanúsított fizikai adatmegsemmisítés erre ad zárt bizonyítékláncot, és magasabb védelmi szinteken a fotódokumentációval kiegészített tárgyi végtermék is hozzátehető a lánchoz.
Mit jelent ez a gyakorlatban
A tanúsított fizikai adatmegsemmisítés akkor szakmailag indokolt választás, ha az adathordozó kilép a vagyonleltárból — másodlagos felhasználás, felújítás vagy értékesítés nélkül —, vagy ha a meghajtó már nem kezelhető szoftveresen. Az újrahasznosításra szánt, működőképes meghajtóknál a tanúsított szoftveres törlés ad azonos szintű bizonyítékláncot, és megőrzi az eszköz piaci értékét.
A két módszer együtt fed le minden szervezeti igényt: a kérdés nem az, hogy melyik a „jobb”, hanem hogy az adott meghajtó-tételhez melyik a megfelelő. A felelős döntéshez a szervezet IT-vagyonkezelési és adatkezelési szabályzatának kell egyértelművé tennie a kategorizálási logikát, és minden selejtezésnél a megfelelő útvonalra kell terelnie az eszközt.
A Data Destroy Kft. szolgáltatásportfólióját a tanúsított fizikai megsemmisítésre építjük — ezt ügyfeleink visszajelzései alapján alakítottuk ki. Ha a szervezet adathordozó-selejtezési listáját át szeretnéd nézetni, vagy konkrét megsemmisítési ajánlatot kérnél tételszintű certificate of sanitization kiadásával, az audit-előkészítő checklistünk és ajánlatkérési űrlapunk az ajánlatkérés oldalon érhető el.
Gyakori kérdések
Ki dönti el, hogy fizikai megsemmisítés vagy szoftveres törlés szükséges?
A választást az dönti el, hogy a meghajtó visszakerül-e a használatba. Ha a szervezet nem kívánja másodlagosan használni, eladni vagy felújításra küldeni — vagy ha a meghajtó hibás —, a fizikai megsemmisítés a megfelelő útvonal. Az újrahasznosításra szánt, működőképes meghajtónál a tanúsított szoftveres törlés a választás, mert ott megőrizhető az eszköz piaci értéke.
Elég-e önmagában a fizikai megsemmisítés, vagy előtte szoftveresen is törölni kell?
Önmagában elég, ha (1) a folyamat tanúsított és dokumentált, (2) a berendezés a meghajtó-osztálynak megfelelő paraméterekkel rendelkezik (HDD: DIN 66399 H-szint; SSD/elektronikus média: E-szint, a NIST 800-88 Destroy elvárásával összhangban), és (3) a végeredmény tételszinten visszakereshető. Magas érzékenységű tartalmaknál egyes szervezetek belső szabályzata előírja a kombinált — szoftveres + fizikai — megsemmisítést.
Mit kell ellenőrizni a megsemmisítés ELŐTT?
Az átvétel előtt javasolt az ügyféloldali pre-destruction check: aktív legal hold vagy retenciós kötelezettség (számviteli megőrzés, GDPR retention, jogi vagy felügyeleti zárolás) ellenőrzése; a megsemmisítendő tételek vagyonleltárral történő egyeztetése; az asset owner vagy data owner jóváhagyása. Az auditorok ezt rendszeresen ellenőrzik.
Miért épít a Data Destroy szolgáltatása a fizikai megsemmisítésre?
Ügyfeleink — különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban dolgozó szervezetek — gyakran kérnek olyan megsemmisítést, amelynek a tanúsítvány mellé tárgyi, dokumentálható végterméke is van. Ez a visszajelzés alakította a szolgáltatásportfóliónkat. A lemágnesezés szabvány által elismert eljárás, és vannak iparágak, ahol a folyamatdokumentáció és a berendezés tanúsítványa elegendő bizonyíték; mi azonban kifejezetten a mechanikai megsemmisítésre fókuszálunk.
Milyen geometriai paraméter kell SSD mechanikai megsemmisítésénél?
Fragmentumos aprításnál a részecskeméret szabályozott — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő szigorúbb környezetben legfeljebb 2 mm körüli. Késes szeletelő technológiánál a szeletszélesség és a szeletvastagság a vonatkozó paraméter, amelyet a berendezés gyári tanúsítása vagy független laboratóriumi mérés rögzít.
Mit tartalmaz a megsemmisítési tanúsítvány?
Az ügyfél azonosító adatait, a megsemmisítés dátumát és helyszínét, a megsemmisített meghajtók tételszintű listáját (gyártó, modell, S/N, vagyontárgy-címke), az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. A tanúsítvány a vagyonleltár-csökkenéssel történő összevetésre alkalmas formában készül; megőrzési ideje az ügyfél belső szabályzata szerint jellemzően 5–7 év.
Blancco tanúsított adattörlés: az iparági standard, amelyre a vállalati auditok épülnek
A Blancco a tanúsított szoftveres adattörlési megoldások globálisan elismert iparági standardja, amelyet szoftver-alapú adatmegsemmisítési folyamatok auditálható dokumentálására alkalmaznak vállalatok, kormányzati szervezetek és IT-eszközkezelő szolgáltatók. A szoftver NIST SP 800-88 Rev. 1 és más nemzetközi adatmegsemmisítési szabványok szerint végzi a törlést, és minden befejezett folyamathoz digitálisan aláírt, hamisítás ellen védett tanúsítványt állít ki. A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként közép- és nagyvállalati ügyfelek számára nyújtja ezt a tanúsított szolgáltatást.
Legfontosabb megállapítások:
A Blancco által kiállított digitálisan aláírt, kriptográfiailag hitelesített tanúsítvány széles körben elfogadott szoftveres törlési dokumentum, amelyet ISO 27001, GDPR és NIS2 auditokon egyaránt alkalmaznak.
A Blancco egyetlen egységes audit trail-lel kezeli a HDD, SSD (SATA, NVMe), mobil eszköz és szerver típusú adathordozókat is.
A Data Destroy Kft. mint magyarországi hivatalos Blancco-partner helyszíni törlési szolgáltatást kínál, ahol az eszközök nem hagyják el az ügyfél telephelyét a törlés és a tanúsítvány kiállítása előtt.
Egy vállalati IT-selejtezési folyamat a legtöbb szervezetnél informálisan zárul le: az eszközt kiadják a raktárból, valaki “formázza”, majd átkerül a hulladékkezelőhöz, az eszközkezelő partnerhez vagy a másodlagos piacra. A felelős vezető fejében kész a kép — az adat törlve lett. Az auditor fejében azonban egészen más kérdés merül fel: hogyan igazolható ez visszamenőleg, tételesen, eszközazonosítóra lebontva?
A tanúsítottan elvégzett adattörlés nem csupán technikai lépés. Compliance-szempontból azt jelenti, hogy egy szervezet képes utólag, dokumentáltan igazolni, hogy az adott eszközökön tárolt adatok mikor, milyen módszerrel, milyen ellenőrzött folyamatban lettek véglegesen és visszaállíthatatlanul megsemmisítve. Ezt a bizonyíthatósági funkciót számos nagyvállalati adatbiztonsági auditban a Blancco szoftver kimenete tölti be.
Miért nem elegendő a formázás — és mit kérdez az auditor?
A legelterjedtebb félreértés az adattörléssel kapcsolatban az, hogy egy operációs rendszer szintű törlés, egy gyári visszaállítás vagy egy egyszerű formázás elegendő védelmet nyújt. HDD esetén ez évtizedekkel ezelőtt még elfogadható közelítés lehetett, SSD-knél azonban alapvetően hibás feltételezés. A NAND flash memória wear-levelling mechanizmusa miatt a hagyományos felülírási módszerek a tároló teljes fizikailag létező területére nem hatnak ki garantáltan — a maradék adat a megfelelő szoftvereszközökkel visszaállítható maradhat.
Az auditor által feltett kérdés nem az, hogy “ki mondja, hogy törölted” — hanem az, hogy van-e rá dokumentált, harmadik féltől is ellenőrizhető bizonyíték. A kizárólag belső dokumentációra támaszkodó törlési folyamat — naplózás, négyszemközti felülvizsgálat és jóváhagyási lánc nélkül — erős auditkövetelményeket nehezen elégít ki, mivel nem biztosít harmadik fél által is ellenőrizhető igazolást. Egy tanúsított szoftver által automatikusan generált, digitálisan aláírt, integritásvédett riport igen.
Ez az a pont, ahol a Blancco az elmúlt két évtizedben de facto iparági standarddá vált.
A Blancco mint iparági standard: mi teszi elfogadottá az auditokban?
A Blancco nem csupán egy adattörlő szoftver — egy igazolható törlési folyamat dokumentálási rendszere. A szoftver minden befejezett törlési művelethez automatikusan generál egy digitálisan aláírt, audit trail-lel ellátott tanúsítványt, amelyen szerepel az eszköz sorozatszáma és azonosítója, az alkalmazott törlési módszer neve és verziója, a lefutott folyamat pontos időbélyege, a követett szabvány (pl. NIST SP 800-88 Rev. 1, HMG IS5) és a törlés sikerességének visszaigazolása.
Ez az adattörlési tanúsítvány az, amit egy GDPR-audit, egy ISO 27001-megfelelési vizsgálat, egy belső compliance-review vagy egy ügyfél által kért igazolás során be lehet mutatni. Nem támaszkodik emberi memóriára, nem módosítható utólag, és nem igényli a törlést végző személy jelenlétét az elszámoltathatóság biztosításához.
Az ADISA (Asset Disposal and Information Security Alliance) az adatmegsemmisítési folyamatokra kialakított, európai és globális auditokban elismert tanúsítási szervezet. Az ADISA tanúsítási kerete olyan átfogó adatmegsemmisítési folyamatokat minősít, amelyek auditálhatók, szoftveresen dokumentáltak és harmadik fél által ellenőrizhetők. Egy Blancco-ra épülő eljárás kulcsfontosságú eleme lehet egy ilyen folyamat felépítésének.
Mire képes a Blancco: eszköztípusok és törlési módszerek
Az egyik legjelentősebb előny, amelyet a Blancco nyújt, hogy egyetlen szoftverkörnyezetből kezeli a különböző adathordozó-típusokat — egységes audit trail-lel, ami nagyobb selejtezési projekteknél kritikus szervező tényező.
IT eszközök selejtezési folyamata: Blancco szoftverrel elvégzett, auditálható és tételesen dokumentált törlési folyamat.
Merevlemezek (HDD)
Hagyományos felülírásos módszerek, a NIST SP 800-88 Rev. 1 által definiált “Clear” és “Purge” szinteken. HDD-kre tervezett multi-pass felülírási módszerek (pl. régebbi szabályozói keretek által hivatkozott eljárások) szintén elérhetők — az iparági ajánlás azonban HDD-nél is az NIST SP 800-88 Rev. 1 szerinti módszerek alkalmazása.
SSD-k (SATA és NVMe)
A Blancco SSD-specifikus törlési módszert alkalmaz — nem hagyományos felülírással, hanem az egyes meghajtók natív sanitize parancsaival. Az ATA Secure Erase és az NVMe Sanitize parancsok a meghajtó teljes fizikailag elérhető területére kiterjedő törlést hajtanak végre, a NIST SP 800-88 Rev. 1 “Purge” kategóriájának megfelelően. A Crypto Erase módszer szintén Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől fogva Full Disk Encryption volt aktív (self-encrypting drive esetén). Az SSD-törlési módszer megválasztása tehát az adott meghajtó típusától és korábbi titkosítási konfigurációjától függ.
Mobil eszközök
Okostelefonok és táblagépek esetén a Blancco a gyártói szintű törlési parancsok és szoftver által vezérelt folyamatok kombinációját alkalmazza iOS és Android platformokon egyaránt. A BYOD-programok, eszközflotta-rotációk és szervezeti átszervezések során a telefonok törlése az egyik leggyakrabban figyelmen kívül hagyott kockázatforrás.
Szerverek és tárolórendszerek
Blade szervereknél, NAS- és SAN-eszközöknél a Blancco képes tömegesen kezelni a meghajtókat, akár hálózaton keresztül futtatva boot image-ből, ami nagyobb infrastruktúrák selejtezésekor jelentősen csökkenti az üzemeltetési terhet és az átadási időt.
Mindegyik kategória esetén az eredmény ugyanolyan formátumú és hitelességű Blancco-tanúsítvány, ami lehetővé teszi, hogy vegyes eszközállomány selejtezésekor egyetlen egységes dokumentációs csomag keletkezzen.
Blancco és a megfelelési keretrendszerek
A tanúsított adattörlés nem önálló biztonsági intézkedés — hanem azonosítható kapocs a szabályozói elvárások és a tényleges folyamatok dokumentálható bizonyítéka között.
GDPR (5. cikk (1)(e) és 5. cikk (2) — tároláskorlátozás és elszámoltathatóság): A GDPR 5. cikk (1)(e) alapján a személyes adatokat csak a szükséges ideig szabad megőrizni. A 5. cikk (2) elszámoltathatósági elve ezt azzal egészíti ki, hogy az adatkezelőnek képesnek kell lennie igazolni a megfelelés tényét. A selejtezési folyamat dokumentált lezárása — amit a Blancco-tanúsítvány biztosít — az adatvédelmi felelős számára az adatkezelési nyilvántartás fontos bizonyítékeleme. Ha a Data Destroy Kft. végzi a törlést, a konkrét szerződéses és tényleges szerepkörtől függően jellemzően adatfeldolgozói minőségben jár el (GDPR 28. cikk), és a kiállított Blancco-tanúsítvány az adatkezelő felé az elvégzett törlési folyamat igazolásának egyik dokumentált elemeként szolgál.
NIS2 (21. cikk — kockázatkezelési intézkedések): A NIS2 irányelv 21. cikke kiberbiztonsági kockázatkezelési intézkedéseket ír elő, köztük az eszközkezelés és az infrastruktúra biztonságának területén. A selejtezési folyamat igazolható dokumentálása a 21. cikk szerinti eszközkezelési és kockázatkezelési kötelezettségek teljesítésének dokumentálható bizonyítéka — az adattörlési naplózás nem szerepel explicit módon az irányelvben, de a kockázatkezelési elvárások keretében elvárható kontrollnak minősül.
ISO 27001:2022 (A.7.10 és A.8.10 — adathordozók kezelése és adatok törlése): Az ISO 27001:2022 két kontrollban is érinti az adathordozók selejtezését. Az A.7.10 (“Storage media”) az adathordozók fizikai kezeléséről és biztonságos selejtezéséről rendelkezik. Az A.8.10 (“Information deletion”) önálló kontrollként rögzíti a szoftveres adattörlési módszerek alkalmazását és az igazolhatóság követelményét — ez a Blancco-alapú folyamat legdirektebb ISO 27001 kapcsolódási pontja. A Blancco-tanúsítvány mindkét kontroll teljesítésének egyik dokumentált bizonyítékeleme — a teljes megfelelés az eszköznyilvántartással, a selejtezési folyamat dokumentációjával és a jóváhagyási lánccal együttesen igazolható.
Ezek a megfelelési pontok nem új elvárások — az auditok azonban egyre inkább nem a szándékot, hanem a bizonyíthatóságot ellenőrzik. Egy belső auditor vagy egy akkreditált tanúsítási szervezet nem veszi át a szóbeli nyilatkozatot, hogy “mi töröltük”. Kéri a dokumentumot.
Mit jelent a Data Destroy Blancco-partnerség a gyakorlatban?
A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként végez tanúsított szoftveres adattörlést közép- és nagyvállalati ügyfelek számára. Ez a partnerség konkrét tartalmat jelent, amelyet érdemes pontosan érteni.
A szoftvert a Data Destroy nem saját fejlesztésű megoldással, hanem az eredeti Blancco-szoftverrel futtatja, amely automatikusan a Blancco globális tanúsítási rendszerében regisztrált tanúsítványt állít ki minden törlésnél. Ezek a tanúsítványok ugyanolyan formátumban és hitelességi szinten érkeznek, mint bármely más Blancco-partner által kiállítottak — érthetők és elfogadottak minden olyan auditor vagy ügyfél számára, aki korábban már találkozott Blancco-dokumentációval.
A Data Destroy helyszíni törlési szolgáltatást kínál: a szoftver az ügyfél telephelyén fut, az eszközök nem hagyják el a szervezet területét mindaddig, amíg a törlés és a tanúsítvány kiállítása meg nem történt. Ez a modell különösen fontos azokban az esetekben, ahol az eszközöket szabályozói, adatvédelmi vagy biztosítói megfontolásból nem lehet elszállítani a törlés elvégzéséhez.
Az elvégzett törlésekről kiállított tanúsítványok tételesen, eszközazonosítóra (sorozatszámra) lebontva tartalmazzák a dokumentációt. Ez alkalmassá teszi az ügyfél compliance-csapatát, belső auditorait vagy külső vizsgálóit arra, hogy egyértelműen visszakövessék, melyik eszközön mikor, milyen módszerrel végezték el a törlést.
Ha szervezete közelgő IT-selejtezési projektet, auditot vagy eszközflotta-cserét tervez, a Data Destroy Kft. eszközlistára épülő megfelelési javaslattal és előzetes törlési dokumentációs tervvel tud segíteni — kérjen árajánlatot. Az igény az eszközök típusának és mennyiségének megadásával indul — az eredmény tételesen átadható Blancco-tanúsítványcsomag, amely a compliance-folyamat lezárásához szükséges dokumentáció egyik kulcsfontosságú, bizonyító erejű elemét képezi.
Gyakori kérdések
Mi a különbség a Blancco és egy egyszerű adattörlő szoftver között?
A Blancco elsődleges előnye nem a törlési sebesség, hanem a törlési folyamat digitálisan aláírt, automatizált dokumentálása: minden befejezett törléshez tanúsítvány generálódik, amelynek tartalma visszakövethetően azonosítja az eszközt, az alkalmazott módszert, a követett szabványt és az időpontot — auditorok és compliance-szervezetek által elfogadott formátumban.
Milyen eszköztípusokra alkalmazható a Blancco?
A Blancco kezeli a hagyományos merevlemezeket (HDD), SSD-ket (SATA, NVMe), mobil eszközöket (iOS, Android), szervereket és tárolórendszereket (NAS/SAN) — egyetlen egységes audit trail-lel, ami nagyobb, vegyes eszközállomány selejtezésekor különösen előnyös.
Elfogadják-e a Blancco-tanúsítványt a GDPR- és ISO 27001-auditokon?
A Blancco-tanúsítványokat az európai adatvédelmi és információbiztonsági auditok széles körben elfogadják mint a törlési folyamat igazolását, mivel a tanúsítvány tartalmazza az alkalmazott szabványt (pl. NIST SP 800-88 Rev. 1), a törlés időpontját, az eszköz sorozatszámát és az eredmény kriptográfiai visszaigazolását.
SSD törlésénél miért nem elég a hagyományos formázás?
Az SSD-k NAND flash memóriája wear-levelling mechanizmust alkalmaz, amelynek következtében a hagyományos felülírási módszerek nem érik el a tároló teljes fizikailag létező területét. A Blancco SSD-specifikus natív sanitize parancsokat alkalmaz (ATA Secure Erase, NVMe Sanitize), amelyek a NIST SP 800-88 Rev. 1 Purge szintjének felelnek meg. A Crypto Erase módszer Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől Full Disk Encryption volt aktív.
Hogyan történik a helyszíni törlés a Data Destroy Blancco-partnerségén keresztül?
A Data Destroy helyszíni Blancco-törlési szolgáltatása során a szoftver az ügyfél telephelyén fut, az eszközök szállítás nélkül kerülnek törlésre. A folyamat végén tételesen, eszközsorozatszámra lebontva kerülnek kiállításra a Blancco-tanúsítványok, amelyek közvetlenül átadhatók az ügyfél compliance- vagy audit-csapatának.
Mikor indokolt a Blancco-törlés helyett a fizikai megsemmisítés?
A Blancco-alapú szoftveres törlés akkor elegendő, ha az eszköz még működőképes és a tárolófelület épségéről meggyőződtek. Fizikailag sérült vagy meghibásodott meghajtó esetén, ahol a szoftver nem tud kapcsolódni a tároló összes területéhez, a fizikai megsemmisítés marad az egyetlen megbízható módszer — ezt a Data Destroy szintén kínálja.
