Konten ini terakhir diperbarui pada Mei 2024, dan menampilkan status quo pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah untuk ke depannya, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini memberikan ringkasan tentang proses aman yang terjadi saat Anda menghapus data pelanggan di Google Cloud. Seperti yang dijelaskan dalam Persyaratan Layanan Google Cloud, data pelanggan adalah data yang diberikan kepada Google oleh pelanggan atau pengguna akhir melalui layanan yang terkait dengan akun.
Dokumen ini menjelaskan cara data pelanggan disimpan di Google Cloud, pipeline penghapusan, dan cara kami mencegah rekonstruksi data yang disimpan di platform kami.
Untuk informasi tentang komitmen penghapusan data kami, lihat Adendum Pemrosesan Data Cloud (Pelanggan).
Penyimpanan dan replikasi data
Google Cloud menawarkan layanan penyimpanan dan layanan database seperti Bigtable dan Spanner. Sebagian besar aplikasi dan layanan Google Cloud mengakses infrastruktur penyimpanan Google secara tidak langsung menggunakan layanan cloud ini.
Replikasi data sangat penting untuk mencapai solusi yang skalabel, andal, dan berlatensi rendah. Salinan data pelanggan yang redundan dapat disimpan secara lokal dan regional, bahkan secara global, bergantung pada konfigurasi dan permintaan project Anda. Tindakan yang dilakukan pada data di Google Cloud dapat direplikasi secara bersamaan di beberapa pusat data, sehingga data pelanggan sangat tersedia. Saat perubahan yang memengaruhi performa terjadi di lingkungan hardware, software, atau jaringan, data pelanggan akan otomatis dialihkan dari satu sistem atau fasilitas ke sistem atau fasilitas lainnya, bergantung pada setelan konfigurasi pelanggan, sehingga project pelanggan terus berperforma dalam skala besar dan tanpa gangguan.
Pada tingkat penyimpanan fisik, data pelanggan disimpan dalam penyimpanan dalam dua jenis sistem: sistem penyimpanan aktif dan sistem penyimpanan cadangan. Kedua jenis sistem ini memproses data secara berbeda. Sistem penyimpanan aktif adalah server produksi Google Cloud yang menjalankan lapisan aplikasi dan penyimpanan Google. Sistem aktif adalah array massal disk dan drive yang digunakan untuk menulis data baru serta menyimpan dan mengambil data dalam beberapa salinan yang direplikasi. Sistem penyimpanan aktif dioptimalkan untuk melakukan operasi baca dan tulis langsung pada data pelanggan dengan kecepatan dan skala yang tinggi.
Sistem penyimpanan cadangan Google menyimpan salinan lengkap dan inkremental dari sistem aktif Google selama jangka waktu tertentu untuk membantu Google memulihkan data dan sistem jika terjadi pemadaman layanan atau bencana besar. Tidak seperti sistem aktif, sistem cadangan dirancang untuk menerima snapshot berkala sistem Google dan salinan cadangan dihentikan setelah jangka waktu terbatas saat salinan cadangan baru dibuat.
Di seluruh sistem penyimpanan yang dijelaskan di atas, data pelanggan dienkripsi saat disimpan dalam penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam penyimpanan default.
Pipeline penghapusan data
Setelah data pelanggan disimpan di Google Cloud, sistem kami dirancang untuk menyimpan data dengan aman hingga pipeline penghapusan data menyelesaikan tahap-tahapnya. Bagian ini menjelaskan tahap penghapusan.
Tahap 1: Permintaan penghapusan
Penghapusan data pelanggan dimulai saat Anda memulai permintaan penghapusan. Umumnya, permintaan penghapusan diarahkan ke resource tertentu, project Google Cloud, atau Akun Google Anda. Permintaan penghapusan mungkin ditangani dengan cara yang berbeda-beda, bergantung pada cakupan permintaan Anda:
- Penghapusan Resource: Setiap resource yang berisi data pelanggan,
seperti bucket Cloud Storage, dapat dihapus dengan sejumlah cara dari
konsol Google Cloud atau menggunakan API. Misalnya, Anda dapat mengeluarkan perintah
remove bucket atau
gcloud storage rmuntuk menghapus bucket penyimpanan melalui command line atau Anda dapat memilih bucket penyimpanan dan menghapusnya dari Konsol Google Cloud. - Penghapusan Project: Sebagai pemilik project Google Cloud, Anda dapat menghentikan project. Menghapus project berfungsi sebagai permintaan penghapusan massal untuk semua resource yang terikat dengan nomor project yang sesuai.
- Penghapusan Akun Google: Jika Anda menghapus Akun Google, tindakan ini akan menghapus semua project yang tidak terkait dengan organisasi dan hanya dimiliki oleh Anda. Jika ada beberapa pemilik untuk project non-organisasi, project tidak akan dihapus hingga semua pemilik dihapus dari project atau menghapus Akun Google mereka. Proses ini memastikan bahwa project akan berlanjut selama memiliki pemilik.
- Penghapusan akun Google Workspace atau Cloud Identity: Organisasi yang terikat dengan akun Google Workspace atau Cloud Identity akan dihapus saat Anda menghapus akun Google Workspace atau Cloud Identity. Untuk informasi selengkapnya, lihat Menghapus Akun Google organisasi.
Anda menggunakan permintaan penghapusan terutama untuk mengelola data Anda. Namun, Google dapat mengeluarkan permintaan penghapusan secara otomatis; misalnya saat Anda mengakhiri hubungan dengan Google.
Tahap 2: Penghapusan sementara
Penghapusan sementara adalah titik dalam proses untuk menyediakan periode pemulihan dan staging internal singkat untuk membantu memastikan bahwa ada waktu untuk memulihkan data apa pun yang telah ditandai untuk dihapus secara tidak sengaja atau karena error. Setiap produk Google Cloud dapat mengadopsi dan mengonfigurasi periode pemulihan yang ditentukan tersebut sebelum data dihapus dari sistem penyimpanan yang mendasarinya selama periode tersebut sesuai dengan linimasa penghapusan Google secara keseluruhan.
Saat project dihapus, Google Cloud akan mengidentifikasi nomor project unik terlebih dahulu, lalu menyiarkan sinyal penangguhan ke produk Google Cloud (misalnya, Compute Engine dan Bigtable) yang berisi nomor project tersebut. Dalam hal ini, Compute Engine menangguhkan operasi yang dihubungkan dengan nomor project tersebut dan tabel yang relevan di Bigtable akan memasuki periode pemulihan internal hingga 30 hari. Pada akhir periode pemulihan, Google Cloud akan menyiarkan sinyal ke produk yang sama untuk memulai penghapusan logis resource yang terkait dengan nomor project unik. Kemudian, Google menunggu (dan, jika perlu, menyiarkan ulang sinyal) untuk mengumpulkan sinyal konfirmasi (ACK) dari produk yang berlaku untuk menyelesaikan penghapusan project.
Jika Akun Google ditutup, Google Cloud dapat menerapkan periode pemulihan internal hingga 30 hari, bergantung pada aktivitas akun sebelumnya. Setelah masa tenggang tersebut berakhir, sinyal yang berisi ID pengguna akun penagihan yang dihapus akan disiarkan ke produk Google dan resource Google Cloud yang hanya terikat dengan ID pengguna tersebut akan ditandai untuk dihapus.
Tahap 3: Penghapusan logis dari sistem aktif
Setelah data ditandai untuk dihapus dan periode pemulihan berakhir, data akan dihapus secara berurutan dari sistem penyimpanan aktif dan cadangan Google. Pada sistem aktif, data dihapus dengan dua cara.
Di semua produk Google Cloud dalam kategori project Compute, Storage, dan Database, kecuali Cloud Storage, salinan data yang dihapus akan ditandai sebagai penyimpanan yang tersedia dan ditimpa dari waktu ke waktu. Dalam sistem penyimpanan aktif seperti Bigtable, data yang dihapus disimpan sebagai entri dalam tabel terstruktur yang besar. Kompresi tabel yang ada untuk menimpa data yang dihapus dapat menjadi mahal, karena memerlukan penulisan ulang tabel data yang ada (tidak dihapus), sehingga pengumpulan sampah tanda dan sapu serta peristiwa pemadatan utama dijadwalkan untuk terjadi secara berkala untuk mengklaim kembali ruang penyimpanan dan menimpa data yang dihapus.
Di Cloud Storage, data pelanggan juga dihapus melalui penghapusan kriptografis. Ini adalah teknik standar industri yang membuat data tidak dapat dibaca dengan menghapus kunci enkripsi yang diperlukan untuk mendekripsi data tersebut. Salah satu keuntungan menggunakan penghapusan kriptografis, baik yang melibatkan kunci enkripsi yang disediakan Google maupun yang disediakan pelanggan, adalah penghapusan logis dapat diselesaikan bahkan sebelum semua blok data yang dihapus ditimpa di sistem penyimpanan aktif dan cadangan Google Cloud.
Tahap 4: Masa berlaku habis dari sistem pencadangan
Serupa dengan penghapusan dari sistem aktif Google, data yang dihapus akan dihapus dari sistem pencadangan menggunakan teknik penggantian dan kriptografi. Namun, dalam kasus sistem pencadangan, data pelanggan biasanya disimpan dalam ringkasan agregat besar dari sistem aktif yang disimpan selama periode waktu statis untuk memastikan kelangsungan bisnis jika terjadi bencana (misalnya, penghentian layanan yang memengaruhi seluruh pusat data), saat waktu dan biaya untuk memulihkan sistem sepenuhnya dari sistem pencadangan mungkin diperlukan. Sesuai dengan praktik kelangsungan bisnis yang wajar, snapshot lengkap dan inkremental sistem aktif dibuat pada siklus harian, mingguan, dan bulanan, serta dihentikan setelah jangka waktu yang telah ditentukan untuk memberi ruang bagi snapshot terbaru.
Saat dihentikan, cadangan akan ditandai sebagai ruang yang tersedia dan ditimpa saat cadangan harian, mingguan, atau bulanan baru dilakukan.
Perhatikan bahwa siklus pencadangan yang wajar akan menerapkan penundaan yang telah ditentukan sebelumnya dalam menyebarkan permintaan penghapusan data melalui sistem pencadangan. Jika dihapus dari sistem aktif, data pelanggan tidak lagi disalin ke sistem cadangan. Masa berlaku cadangan yang dilakukan sebelum penghapusan akan berakhir secara berkala berdasarkan siklus cadangan yang telah ditentukan sebelumnya.
Terakhir, penghapusan data yang dihapus secara kriptografis mungkin terjadi sebelum masa berlaku cadangan yang berisi data pelanggan berakhir. Tanpa kunci enkripsi yang digunakan untuk mengenkripsi data pelanggan tertentu, data pelanggan tidak dapat dipulihkan bahkan selama masa aktifnya yang tersisa di sistem pencadangan Google.
Linimasa penghapusan
Google Cloud dirancang untuk mencapai tingkat kecepatan, ketersediaan, ketahanan, dan konsistensi yang tinggi. Desain sistem yang dioptimalkan untuk atribut performa ini harus diseimbangkan dengan cermat dengan kebutuhan untuk mencapai penghapusan data yang tepat waktu. Google Cloud berkomitmen untuk menghapus data pelanggan dalam jangka waktu maksimum sekitar enam bulan (180 hari). Komitmen ini menggabungkan tahap pipeline penghapusan Google yang dijelaskan di atas, termasuk hal berikut:
- Tahap 2: Setelah permintaan penghapusan dibuat, data biasanya segera ditandai untuk dihapus dan sasaran kami adalah melakukan langkah ini dalam jangka waktu maksimum 24 jam. Setelah data ditandai untuk dihapus, periode pemulihan internal hingga 30 hari mungkin berlaku, bergantung pada layanan atau permintaan penghapusan.
- Tahap 3: Waktu yang diperlukan untuk menyelesaikan tugas pembersihan sampah dan mencapai penghapusan logis dari sistem aktif. Proses ini mungkin terjadi segera setelah permintaan penghapusan diterima, bergantung pada tingkat replikasi data dan waktu siklus pembersihan sampah yang sedang berlangsung. Setelah permintaan penghapusan dibuat, biasanya diperlukan waktu sekitar dua bulan untuk menghapus data dari sistem aktif, yang biasanya cukup waktu untuk menyelesaikan dua siklus pembersihan sampah memori utama dan memastikan penghapusan logis selesai.
- Tahap 4: Siklus pencadangan Google dirancang untuk menghapus data yang dihapus dalam cadangan pusat data dalam waktu enam bulan setelah permintaan penghapusan. Penghapusan dapat terjadi lebih cepat bergantung pada tingkat replikasi data dan waktu siklus pencadangan Google yang sedang berlangsung.
Diagram berikut menunjukkan tahap pipeline penghapusan Google Cloud dan waktu data dihapus dari sistem aktif dan cadangan.
Memastikan pembersihan media yang aman dan terlindungi
Program pembersihan media yang disiplin meningkatkan keamanan proses penghapusan dengan mencegah serangan forensik atau laboratorium pada media penyimpanan fisik setelah mencapai akhir siklus prosesnya.
Google melacak secara teliti lokasi dan status semua peralatan penyimpanan dalam pusat data kami, melalui akuisisi, pemasangan, penghentian, dan penghancuran, menggunakan kode batang dan tag aset yang dilacak dalam database aset Google. Berbagai teknik seperti identifikasi biometrik, deteksi logam, kamera, penghalang kendaraan, dan sistem deteksi penyusupan berbasis laser digunakan untuk mencegah peralatan keluar dari lantai pusat data tanpa izin. Untuk informasi selengkapnya, lihat Ringkasan desain keamanan infrastruktur Google.
Media penyimpanan fisik dapat dihentikan karena berbagai alasan. Jika gagal lulus uji performa di titik mana pun selama siklus prosesnya, komponen akan dihapus dari inventaris dan dihentikan. Google juga mengupgrade hardware yang sudah tidak digunakan lagi untuk meningkatkan kecepatan pemrosesan dan efisiensi energi, atau meningkatkan kapasitas penyimpanan. Baik hardware dinonaktifkan karena kegagalan, upgrade, atau alasan lainnya, media penyimpanan dinonaktifkan menggunakan pengamanan yang sesuai. Hard drive Google menggunakan teknologi seperti enkripsi disk penuh (FDE) dan penguncian drive untuk membantu melindungi data dalam penyimpanan selama penghentian. Saat hard drive dihentikan, individu yang berwenang akan memverifikasi bahwa disk telah dihapus dengan menimpa drive dengan angka nol dan melakukan proses verifikasi multi-langkah untuk memastikan drive tidak berisi data.
Jika media penyimpanan tidak dapat dihapus karena alasan apa pun, media tersebut akan disimpan dengan aman hingga dapat dihancurkan secara fisik. Bergantung pada peralatan yang tersedia, kami akan menghancurkan dan mendistorsi drive atau mencacah drive menjadi potongan-potongan kecil. Dalam keduanya, disk akan didaur ulang di fasilitas yang aman, sehingga memastikan tidak ada yang dapat membaca data di disk Google yang tidak digunakan lagi. Setiap pusat data mematuhi kebijakan pembuangan yang ketat dan menggunakan teknik yang dijelaskan untuk mencapai kepatuhan dengan NIST SP 800-88 Revisi 1 Panduan untuk Sanitasi Media dan DoD 5220.22-M National Industrial Security Program Operating Manual.