# Retentions

### Visão Geral

A seção Retentions define o ciclo de vida dos dados operacionais gerados pelo PAM F-Safer. Para cada categoria de log ou registro, o administrador configura o número de dias após os quais os dados são automaticamente excluídos pelas tarefas de limpeza noturna (seção Operações). Essa configuração equilibra dois requisitos conflitantes: a necessidade de rastreabilidade para auditorias e conformidade (que exige retenção longa) e a eficiência de armazenamento e performance do banco de dados (que exige limpeza periódica).

A política de retenção é fundamental para conformidade regulatória. A ISO 27001 (A.12.4.1) exige registro e retenção de logs de auditoria; o PCI-DSS (Req. 10.7) exige mínimo de 12 meses para logs de segurança com 3 meses disponíveis imediatamente; a LGPD exige rastreabilidade do tratamento de dados; e o SOC 2 (CC7.2) exige monitoramento e evidências de auditoria. A configuração de retenção deve ser definida conforme a política de segurança da informação da organização e alinhada com esses requisitos.

### Seção Log Record

Define o período de retenção (em dias) para cada tipo de log gerado pelo PAM. Todos os campos são obrigatórios e aceitam valores inteiros positivos representando o número de dias de retenção.

**Login log retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos registros de autenticação de usuários na plataforma PAM. Inclui logins bem-sucedidos, falhas de autenticação, bloqueios de conta e eventos de logout. Para conformidade com PCI-DSS (12 meses) e ISO 27001, recomenda-se no mínimo 365 dias em ambientes de alta regulamentação.

**Task log retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos logs de execução de tarefas automatizadas (jobs da seção Operações). Permite rastrear o histórico de execuções bem-sucedidas e falhas das rotinas de manutenção do sistema.

**Operate log retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos logs de operações administrativas realizadas pelos usuários no PAM (criação, edição e exclusão de usuários, ativos, permissões e configurações). Esses logs são essenciais para auditorias de conformidade e investigações de incidentes.

**Password change log keep days** — Inteiro. Padrão: 999 dias. Período de retenção dos registros de troca de senha automática (rotação de credenciais) nos ativos gerenciados. O valor elevado (999 dias ≈ \~2,7 anos) reflete a importância crítica desses registros para rastreabilidade de quem tinha acesso a qual credencial em qual momento — informação essencial para investigações forenses e conformidade com o princípio de não repúdio.

**FTP log retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos logs de transferências de arquivos via protocolo FTP mediadas pelo PAM. Relevante para ambientes que utilizam o F-Safer para controlar e auditar transferências de arquivos para ativos gerenciados.

**Session log retention days** — Inteiro. Padrão: 200 dias. Período de retenção dos logs de sessões de acesso remoto (SSH, RDP, VNC, banco de dados). Inclui metadados de sessão como usuário, ativo, horário de início/fim, duração e protocolo utilizado. O valor ligeiramente superior ao padrão dos demais logs (200 vs 180 dias) reflete a importância elevada dos registros de sessão para conformidade PAM. Para gravações de sessão (replay), o armazenamento é gerenciado pela seção Storage.

**Activity log retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos logs de atividades gerais dos usuários na plataforma PAM, complementar ao Operate log. Registra ações de uso do sistema como consultas, visualizações de sessões e acesso a recursos.

### Seção Database

Define o período de retenção para registros de operações internas do banco de dados do F-Safer, relacionados à execução de jobs e sincronização de credenciais.

**Job execution retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos registros de execução de jobs de automação Ansible (rotação de senhas, verificações de conectividade, coleta de contas etc.). Essencial para auditoria das operações automatizadas sobre os ativos gerenciados.

**Cloud sync task history retention days** — Inteiro. Padrão: 180 dias. Período de retenção do histórico de tarefas de sincronização com fontes de dados externas (LDAP, diretórios cloud, etc.). Permite rastrear quando e como as sincronizações de usuários e grupos foram realizadas.

**Change secret and push record retention days** — Inteiro. Padrão: 180 dias. Período de retenção dos registros de troca de credencial (secret) e envio (push) para os ativos. Registra cada operação de rotação automatizada de senha, incluindo o ativo afetado, a conta rotacionada, o horário e o resultado. Complementa o Password change log keep days da seção Log Record, focando nos registros de banco de dados internos da operação de push.

### Boas Práticas

**Alinhe com requisitos regulatórios:** Para ambientes PCI-DSS, configure Login log, Session log e Operate log com mínimo de 365 dias (requisito de 12 meses do PCI-DSS 10.7). Para SOC 2, mantenha os logs disponíveis pelo período do ciclo de auditoria anual mais 90 dias adicionais. Documente a justificativa de negócio para cada valor configurado.

**Monitore o crescimento do banco de dados:** Períodos de retenção longos aumentam o volume de dados armazenados. Monitore o tamanho do banco de dados do F-Safer periodicamente e avalie se a capacidade de armazenamento é compatível com os valores configurados. Combine com a seção Storage para garantir que gravações de sessão também tenham capacidade adequada.

**Mantenha Password change log com retenção estendida:** O registro de rotação de senhas (Password change log keep days, padrão: 999 dias) é crítico para o não repúdio e deve ser o campo com maior período de retenção. Em investigações de incidentes de segurança envolvendo credenciais comprometidas, esse log permite reconstruir a linha do tempo de quem tinha acesso a qual conta e quando. Não reduza esse valor abaixo de 365 dias sem aprovação do CISO (ISO 27001 A.9.4.2).