Konten ini terakhir diperbarui pada Mei 2024, dan menampilkan kondisi pada saat pembaruan tersebut dibuat. Kebijakan dan sistem keamanan Google dapat berubah untuk ke depannya, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini memberikan ringkasan tentang proses aman yang terjadi saat Anda menghapus data pelanggan di Google Cloud. Seperti yang dijelaskan dalam Persyaratan Layanan Google Cloud, data pelanggan adalah data yang diberikan kepada Google oleh pelanggan atau pengguna akhir melalui layanan dalam akun.
Dokumen ini menjelaskan cara data pelanggan disimpan di Google Cloud, pipeline penghapusan, dan cara kami mencegah rekonstruksi data apa pun yang disimpan di platform kami.
Untuk mengetahui informasi tentang komitmen penghapusan data kami, lihat Adendum Pemrosesan Data Cloud (Pelanggan).
Penyimpanan dan replikasi data
Google Cloud menawarkan layanan penyimpanan dan layanan database seperti Bigtable dan Spanner. Sebagian besar aplikasi dan layanan Google Cloud mengakses infrastruktur penyimpanan Google secara tidak langsung menggunakan layanan cloud ini.
Replikasi data sangat penting untuk mencapai solusi latensi rendah, sangat tersedia, skalabel, dan tahan lama. Salinan redundan data pelanggan dapat disimpan secara lokal, regional, dan bahkan global, bergantung pada konfigurasi Anda dan permintaan project Anda. Tindakan yang dilakukan pada data di Google Cloud dapat direplikasi secara bersamaan di beberapa pusat data, sehingga data pelanggan sangat tersedia. Ketika terjadi perubahan yang memengaruhi performa pada lingkungan hardware, software, atau jaringan, data pelanggan akan otomatis dialihkan dari satu sistem atau fasilitas ke sistem atau fasilitas lainnya, sesuai dengan setelan konfigurasi pelanggan, sehingga project pelanggan dapat terus berjalan dalam skala besar dan tanpa gangguan.
Di tingkat penyimpanan fisik, data pelanggan disimpan dalam keadaan nonaktif dalam dua jenis sistem: sistem penyimpanan aktif dan sistem penyimpanan cadangan. Kedua jenis sistem ini memproses data secara berbeda. Sistem penyimpanan aktif adalah server produksi Google Cloud yang menjalankan lapisan aplikasi dan penyimpanan Google. Sistem aktif adalah susunan disk dan drive massal yang digunakan untuk menulis data baru serta menyimpan dan mengambil data dalam beberapa salinan yang direplikasi. Sistem penyimpanan aktif dioptimalkan untuk menjalankan operasi baca dan tulis langsung pada data pelanggan dengan kecepatan dan skala besar.
Sistem penyimpanan cadangan Google menyimpan salinan lengkap dan inkremental dari sistem aktif Google selama jangka waktu tertentu untuk membantu Google memulihkan data dan sistem jika terjadi pemadaman layanan atau bencana besar. Tidak seperti sistem aktif, sistem pencadangan dirancang untuk menerima snapshot sistem Google secara berkala dan salinan cadangan akan dihentikan setelah jangka waktu terbatas saat salinan cadangan baru dibuat.
Di seluruh sistem penyimpanan yang dijelaskan di atas, data pelanggan dienkripsi saat disimpan dalam penyimpanan. Untuk informasi selengkapnya, lihat Enkripsi default dalam penyimpanan.
Pipeline penghapusan data
Setelah data pelanggan disimpan di Google Cloud, sistem kami dirancang untuk menyimpan data dengan aman hingga pipeline penghapusan data menyelesaikan tahapannya. Bagian ini menjelaskan tahap penghapusan.
Tahap 1: Permintaan penghapusan
Penghapusan data pelanggan dimulai saat Anda memulai permintaan penghapusan. Umumnya, permintaan penghapusan diarahkan ke resource tertentu, project Google Cloud, atau Akun Google Anda. Permintaan penghapusan dapat ditangani dengan berbagai cara, bergantung pada cakupan permintaan Anda:
- Penghapusan Resource: Setiap resource yang berisi data pelanggan, seperti bucket Cloud Storage, dapat dihapus dengan beberapa cara dari Konsol Google Cloud atau menggunakan API. Misalnya, Anda dapat mengeluarkan perintah hapus bucket atau
gcloud storage rmuntuk menghapus bucket penyimpanan melalui command line, atau Anda dapat memilih bucket penyimpanan dan menghapusnya dari Konsol Google Cloud. - Penghapusan Project: Sebagai pemilik project Google Cloud, Anda dapat menghentikan project. Penghapusan project akan dianggap sebagai permintaan penghapusan massal untuk semua resource yang terkait dengan nomor project terkait.
- Penghapusan Akun Google: Jika Anda menghapus Akun Google, tindakan ini akan menghapus semua project yang tidak terkait dengan organisasi dan yang sepenuhnya dimiliki oleh Anda. Jika ada beberapa pemilik untuk project non-organisasi, project tersebut tidak akan dihapus sampai semua pemilik dihapus dari project atau menghapus Akun Google mereka. Proses ini memastikan bahwa project akan berlanjut selama ada pemiliknya.
- Penghapusan akun Google Workspace atau Cloud Identity: Organisasi yang terikat dengan akun Google Workspace atau Cloud Identity akan dihapus saat Anda menghapus akun Google Workspace atau Cloud Identity. Untuk informasi selengkapnya, lihat Menghapus Akun Google organisasi Anda.
Anda menggunakan permintaan penghapusan terutama untuk mengelola data Anda. Namun, Google dapat mengeluarkan permintaan penghapusan secara otomatis, misalnya saat Anda mengakhiri hubungan dengan Google.
Tahap 2: Penghapusan sementara
Penghapusan sementara adalah titik dalam proses untuk menyediakan periode staging internal dan pemulihan singkat untuk membantu memastikan bahwa ada waktu untuk memulihkan data apa pun yang telah ditandai untuk dihapus secara tidak sengaja atau error. Setiap produk Google Cloud dapat mengadopsi dan mengonfigurasi periode pemulihan yang ditentukan tersebut sebelum data dihapus dari sistem penyimpanan pokok, selama periode tersebut sesuai dengan linimasa penghapusan Google secara keseluruhan.
Saat project dihapus, Google Cloud terlebih dahulu mengidentifikasi nomor project unik, lalu menyiarkan sinyal penangguhan ke produk Google Cloud (misalnya, misalnya Compute Engine dan Bigtable) yang berisi nomor project tersebut. Dalam hal ini, Compute Engine menangguhkan operasi yang terkait dengan nomor project tersebut dan tabel yang relevan di Bigtable akan memasuki periode pemulihan internal hingga 30 hari. Di akhir periode pemulihan, Google Cloud menyiarkan sinyal ke produk yang sama untuk memulai penghapusan logis resource yang terkait dengan nomor project unik. Kemudian, Google akan menunggu (dan, jika perlu, menyiarkan ulang sinyal) untuk mengumpulkan sinyal konfirmasi (ACK) dari produk yang berlaku guna menyelesaikan penghapusan project.
Saat Akun Google ditutup, Google Cloud mungkin memberlakukan periode pemulihan internal hingga 30 hari, bergantung pada aktivitas akun sebelumnya. Setelah masa tenggang tersebut berakhir, sinyal yang berisi ID pengguna akun penagihan yang dihapus akan disiarkan ke produk Google dan resource Google Cloud yang hanya terkait dengan ID pengguna tersebut akan ditandai untuk dihapus.
Tahap 3: Penghapusan logis dari sistem aktif
Setelah data ditandai untuk dihapus dan periode pemulihan telah berakhir, data akan dihapus berturut-turut dari sistem penyimpanan aktif dan cadangan Google. Pada sistem aktif, data dihapus dengan dua cara.
Di semua produk Google Cloud dalam kategori project Compute, Storage, dan Database, kecuali Cloud Storage, salinan data yang dihapus ditandai sebagai penyimpanan yang tersedia dan ditimpa dari waktu ke waktu. Dalam sistem penyimpanan aktif seperti Bigtable, data yang dihapus disimpan sebagai entri dalam tabel terstruktur yang besar. Memadatkan tabel yang ada untuk menimpa data yang telah dihapus bisa menjadi biaya yang mahal, karena memerlukan penulisan ulang tabel data yang ada (yang tidak dihapus). Oleh karena itu, tandai dan hapus peristiwa pembersihan sampah memori serta pemadatan besar dijadwalkan akan terjadi secara berkala untuk mendapatkan kembali ruang penyimpanan dan menimpa data yang telah dihapus.
Di Cloud Storage, data pelanggan juga akan dihapus melalui penghapusan kriptografi. Ini adalah teknik standar industri yang membuat data tidak dapat dibaca dengan menghapus kunci enkripsi yang diperlukan untuk mendekripsi data tersebut. Salah satu keuntungan menggunakan penghapusan kriptografi, baik menggunakan kunci enkripsi yang disediakan Google maupun yang disediakan pelanggan, adalah penghapusan logis dapat diselesaikan bahkan sebelum semua blok data yang dihapus tersebut ditimpa di sistem penyimpanan aktif dan cadangan Google Cloud.
Tahap 4: Akhir masa berlaku dari sistem cadangan
Mirip dengan penghapusan dari sistem aktif Google, data yang dihapus akan dihilangkan dari sistem pencadangan menggunakan teknik penimpaan dan kriptografi. Namun, dalam kasus sistem pencadangan, data pelanggan biasanya disimpan dalam snapshot gabungan besar sistem aktif yang dipertahankan selama periode waktu statis untuk memastikan kelangsungan bisnis jika terjadi bencana (misalnya pemadaman layanan yang memengaruhi seluruh pusat data), saat waktu dan biaya pemulihan sistem sepenuhnya dari sistem pencadangan mungkin diperlukan. Sesuai dengan praktik kelangsungan bisnis yang wajar, snapshot lengkap dan inkremental dari sistem aktif dibuat setiap hari, setiap minggu, dan setiap bulan, serta dihentikan setelah jangka waktu yang telah ditentukan untuk memberi ruang bagi snapshot terbaru.
Jika dihentikan, pencadangan akan ditandai sebagai ruang yang tersedia dan ditimpa saat pencadangan harian, mingguan, atau bulanan baru dilakukan.
Perhatikan bahwa setiap siklus pencadangan yang wajar akan menimbulkan penundaan yang telah ditentukan sebelumnya dalam menerapkan permintaan penghapusan data melalui sistem pencadangan. Saat data pelanggan dihapus dari sistem aktif, data tersebut tidak lagi disalin ke dalam sistem pencadangan. Pencadangan yang dilakukan sebelum penghapusan akan habis masa berlakunya secara berkala berdasarkan siklus pencadangan yang telah ditentukan.
Terakhir, penghapusan kriptografi atas data yang telah dihapus dapat terjadi sebelum cadangan yang berisi data pelanggan habis masa berlakunya. Tanpa kunci enkripsi yang digunakan untuk mengenkripsi data pelanggan tertentu, data pelanggan tidak dapat dipulihkan bahkan selama sisa masa pakainya di sistem pencadangan Google.
Linimasa penghapusan
Google Cloud dirancang untuk mencapai kecepatan, ketersediaan, ketahanan, dan konsistensi yang tinggi. Desain sistem yang dioptimalkan untuk atribut performa ini harus diseimbangkan secara cermat dengan kebutuhan untuk mencapai penghapusan data secara tepat waktu. Google Cloud berkomitmen untuk menghapus data pelanggan dalam jangka waktu maksimum sekitar 6 bulan (180 hari). Komitmen ini menggabungkan tahapan pipeline penghapusan Google yang dijelaskan di atas, termasuk langkah-langkah berikut:
- Tahap 2: Setelah permintaan penghapusan dibuat, data biasanya ditandai untuk segera dihapus dan tujuan kita adalah melakukan langkah ini dalam periode maksimum 24 jam. Setelah data ditandai untuk dihapus, periode pemulihan internal hingga 30 hari mungkin berlaku, bergantung pada permintaan penghapusan atau layanan.
- Tahap 3: Waktu yang diperlukan untuk menyelesaikan tugas pembersihan sampah memori dan mencapai penghapusan logis dari sistem aktif. Proses ini dapat terjadi segera setelah permintaan penghapusan diterima, bergantung pada tingkat replikasi data dan waktu siklus pembersihan sampah memori yang sedang berlangsung. Setelah permintaan penghapusan dibuat, biasanya perlu waktu sekitar dua bulan untuk menghapus data dari sistem aktif, yang biasanya cukup waktu untuk menyelesaikan dua siklus pembersihan sampah memori utama dan memastikan bahwa penghapusan logis selesai.
- Tahap 4: Siklus pencadangan Google dirancang untuk menghentikan masa berlaku data yang dihapus dalam cadangan pusat data dalam waktu enam bulan sejak permintaan penghapusan. Penghapusan dapat terjadi lebih cepat, bergantung pada tingkat replikasi data dan waktu siklus pencadangan Google yang sedang berlangsung.
Diagram berikut menunjukkan tahapan pipeline penghapusan Google Cloud serta saat data dihapus dari sistem aktif dan pencadangan.
Memastikan sanitasi media yang aman dan terlindungi
Program sanitasi media yang disiplin meningkatkan keamanan proses penghapusan dengan mencegah serangan forensik atau laboratorium pada media penyimpanan fisik setelah mencapai akhir siklus prosesnya.
Google secara cermat melacak lokasi dan status semua peralatan penyimpanan di dalam pusat data kami, melalui akuisisi, penginstalan, penghentian, serta pemusnahan, menggunakan kode batang dan tag aset yang dilacak di database aset Google. Berbagai teknik seperti identifikasi biometrik, deteksi logam, kamera, penghalang kendaraan, dan sistem deteksi penyusupan berbasis laser digunakan untuk mencegah peralatan meninggalkan lantai pusat data tanpa otorisasi. Untuk mengetahui informasi selengkapnya, lihat ringkasan desain keamanan infrastruktur Google.
Media penyimpanan fisik dapat dinonaktifkan karena berbagai alasan. Jika komponen gagal lulus pengujian performa kapan pun selama siklus prosesnya, komponen akan dihapus dari inventaris dan dihentikan. Google juga mengupgrade hardware yang sudah tidak digunakan untuk meningkatkan kecepatan pemrosesan dan efisiensi energi, atau meningkatkan kapasitas penyimpanan. Baik hardware dinonaktifkan karena kegagalan, upgrade, atau alasan lainnya, media penyimpanan akan dinonaktifkan menggunakan pengamanan yang sesuai. Hard drive Google menggunakan teknologi seperti enkripsi disk penuh (FDE) dan penguncian drive untuk membantu melindungi data dalam penyimpanan selama penonaktifan. Saat hard drive dihentikan, individu yang berwenang akan memverifikasi bahwa disk telah dihapus dengan menimpa drive dengan angka nol, serta melakukan proses verifikasi multi-langkah untuk memastikan drive tersebut tidak berisi data.
Jika tidak dapat dihapus karena alasan apa pun, media penyimpanan akan disimpan dengan aman hingga dapat dihancurkan secara fisik. Bergantung pada peralatan yang tersedia, kami menghancurkan dan mengubah bentuk drive atau menghancurkan drive menjadi potongan-potongan kecil. Dalam kasus apa pun, disk didaur ulang di fasilitas yang aman, sehingga memastikan tidak ada yang dapat membaca data pada disk Google yang sudah dihentikan. Setiap pusat data mematuhi kebijakan pembuangan yang ketat dan menggunakan teknik yang dijelaskan untuk mematuhi Panduan Sanitasi Media NIST SP 800-88 Revisi 1 dan DoD 5220.22-M National Industrial Security Program Operating Manual.