Konten ini terakhir diperbarui pada Mei 2024, dan menampilkan kondisi saat ini pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah untuk ke depannya, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini memberikan ringkasan tentang proses aman yang terjadi saat Anda menghapus data pelanggan di Google Cloud. Seperti yang dijelaskan dalam Google Cloud Persyaratan Layanan, data pelanggan adalah data yang diberikan kepada Google oleh pelanggan atau pengguna akhir melalui layanan yang terkait dengan akun pelanggan.
Dokumen ini menjelaskan cara data pelanggan disimpan di Google Cloud, pipeline penghapusan, dan cara kami mencegah rekonstruksi data yang disimpan di platform kami.
Untuk mengetahui informasi tentang komitmen penghapusan data kami, lihat Adendum Pemrosesan Data Cloud (Pelanggan).
Penyimpanan dan replikasi data
Google Cloud menawarkan layanan penyimpanan dan layanan database seperti Bigtable dan Spanner. Sebagian besar Google Cloud aplikasi dan layanan mengakses infrastruktur penyimpanan Google secara tidak langsung menggunakan layanan cloud ini.
Replikasi data sangat penting untuk mencapai solusi yang berlatensi rendah, sangat tersedia, skalabel, dan tahan lama. Salinan data pelanggan yang redundan dapat disimpan secara lokal dan regional, bahkan global, bergantung pada konfigurasi Anda dan permintaan project Anda. Tindakan yang dilakukan pada data di Google Cloud dapat direplikasi secara bersamaan di beberapa pusat data, sehingga data pelanggan sangat tersedia. Jika terjadi perubahan yang memengaruhi performa di lingkungan hardware, software, atau jaringan, data pelanggan akan otomatis dipindahkan dari satu sistem atau fasilitas ke sistem atau fasilitas lain, yang tunduk pada setelan konfigurasi pelanggan, sehingga project pelanggan terus berjalan dalam skala besar dan tanpa gangguan.
Di tingkat penyimpanan fisik, data pelanggan disimpan dalam penyimpanan di dua jenis sistem: sistem penyimpanan aktif dan sistem penyimpanan cadangan. Kedua jenis sistem ini memproses data secara berbeda. Sistem penyimpanan aktif adalah Google Cloudserver produksi yang menjalankan lapisan aplikasi dan penyimpanan Google. Sistem aktif adalah array disk dan drive massal yang digunakan untuk menulis data baru serta menyimpan dan mengambil data dalam beberapa salinan yang direplikasi. Sistem penyimpanan aktif dioptimalkan untuk melakukan operasi baca dan tulis langsung pada data pelanggan dengan cepat dan dalam skala besar.
Sistem penyimpanan cadangan Google menyimpan salinan lengkap dan inkremental dari sistem aktif Google selama jangka waktu tertentu untuk membantu Google memulihkan data dan sistem jika terjadi pemadaman layanan atau bencana yang parah. Tidak seperti sistem aktif, sistem cadangan dirancang untuk menerima snapshot berkala dari sistem Google dan salinan cadangan dihentikan setelah jangka waktu terbatas saat salinan cadangan baru dibuat.
Di seluruh sistem penyimpanan yang dijelaskan di atas, data pelanggan dienkripsi saat disimpan dalam penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam penyimpanan default.
Pipeline penghapusan data
Setelah data pelanggan disimpan di Google Cloud, sistem kami dirancang untuk menyimpan data dengan aman hingga pipeline penghapusan data menyelesaikan tahapannya. Bagian ini menjelaskan tahapan penghapusan.
Tahap 1: Permintaan penghapusan
Penghapusan data pelanggan dimulai saat Anda menginisiasi permintaan penghapusan. Umumnya, permintaan penghapusan ditujukan ke resource tertentu, a Google Cloud project, atau Akun Google Anda. Permintaan penghapusan mungkin ditangani dengan berbagai cara, tergantung cakupan permintaan Anda:
- Penghapusan Resource: Resource individual yang berisi data pelanggan,
seperti bucket Cloud Storage, dapat dihapus dengan beberapa cara dari
konsol atau menggunakan API. Google Cloud Misalnya, Anda dapat mengeluarkan perintah
hapus bucket atau
gcloud storage rmuntuk menghapus bucket penyimpanan melalui command line atau Anda dapat memilih bucket penyimpanan dan menghapusnya dari Google Cloud konsol. - Penghapusan Project: Sebagaipemilik project, Anda dapat menghentikan project. Google Cloud Menghapus project akan bertindak sebagai permintaan penghapusan massal untuk semua resource yang terkait dengan nomor project yang sesuai.
- Penghapusan Akun Google: Jika Anda menghapus Akun Google, semua project yang tidak terkait dengan organisasi dan yang dimiliki sepenuhnya oleh Anda akan dihapus. Jika ada beberapa pemilik untuk project non-organisasi, project tidak akan dihapus hingga semua pemilik dihapus dari project atau menghapus Akun Google mereka. Proses ini memastikan project terus berjalan selama memiliki pemilik.
- Penghapusan akun Google Workspace atau Cloud Identity: Organisasi yang terikat ke akun Google Workspace atau Cloud Identity akan dihapus saat Anda menghapus akun Google Workspace atau Cloud Identity. Untuk mengetahui informasi selengkapnya, lihat Menghapus Akun Google organisasi.
Anda menggunakan permintaan penghapusan terutama untuk mengelola data Anda. Namun, Google dapat mengeluarkan permintaan penghapusan secara otomatis; misalnya, saat Anda mengakhiri hubungan Anda dengan Google.
Tahap 2: Penghapusan sementara
Penghapusan sementara adalah titik dalam proses untuk memberikan periode penahapan dan pemulihan internal singkat untuk membantu memastikan ada waktu untuk memulihkan data yang telah ditandai untuk dihapus karena kecelakaan atau error. Setiap Google Cloud produk dapat mengadopsi dan mengonfigurasi periode pemulihan yang ditentukan tersebut sebelum data dihapus dari sistem penyimpanan yang mendasarinya selama periode tersebut sesuai dengan linimasa penghapusan keseluruhan Google.
Saat project dihapus, Google Cloud pertama-tama akan mengidentifikasi nomor project yang unik, lalu menyiarkan sinyal penangguhan ke Google Cloud produk (misalnya, Compute Engine dan Bigtable) yang berisi nomor project tersebut. Dalam hal ini, Compute Engine menangguhkan operasi yang dikunci ke nomor project tersebut dan tabel yang relevan di Bigtable memasuki periode pemulihan internal hingga 30 hari. Di akhir periode pemulihan, Google Cloud menyiarkan sinyal ke produk yang sama untuk memulai penghapusan logis resource yang terkait dengan nomor project yang unik. Kemudian, Google menunggu (dan, jika perlu, menyiarkan ulang sinyal) untuk mengumpulkan sinyal konfirmasi (ACK) dari produk yang berlaku untuk menyelesaikan penghapusan project.
Saat Akun Google ditutup, Google Cloud mungkin akan menerapkan periode pemulihan internal hingga 30 hari, bergantung pada aktivitas akun sebelumnya. Setelah masa tenggang tersebut berakhir, sinyal yang berisi ID pengguna akun penagihan yang dihapus akan disiarkan ke produk Google danresource yang hanya terkait dengan ID pengguna tersebut akan ditandai untuk dihapus. Google Cloud
Tahap 3: Penghapusan logis dari sistem aktif
Setelah data ditandai untuk dihapus dan periode pemulihan apa pun telah berakhir, data akan dihapus secara bertahap dari sistem penyimpanan aktif dan cadangan Google. Di sistem aktif, data dihapus dengan dua cara.
Di semua Google Cloud produk dalam kategori project Compute, Storage, dan Database, kecuali Cloud Storage, salinan data yang dihapus ditandai sebagai penyimpanan yang tersedia dan ditimpa dari waktu ke waktu. Dalam sistem penyimpanan aktif seperti Bigtable, data yang dihapus disimpan sebagai entri dalam tabel terstruktur yang besar. Memadatkan tabel yang ada untuk menimpa data yang dihapus dapat mahal, karena memerlukan penulisan ulang tabel data yang ada (tidak dihapus), sehingga pengumpulan sampah mark-and-sweep dan peristiwa pemadatan utama dijadwalkan terjadi secara berkala untuk mengklaim kembali ruang penyimpanan dan menimpa data yang dihapus.
Di Cloud Storage, data pelanggan juga dihapus melalui penghapusan kriptografi. Ini adalah teknik standar industri yang membuat data tidak dapat dibaca dengan menghapus kunci enkripsi yang diperlukan untuk mendekripsi data tersebut. Salah satu keuntungan menggunakan penghapusan kriptografi, baik yang melibatkan kunci enkripsi yang disediakan Google maupun yang disediakan pelanggan, adalah penghapusan logis dapat diselesaikan bahkan sebelum semua blok data yang dihapus ditimpa di Google Cloud's sistem penyimpanan aktif dan cadangan.
Tahap 4: Masa berlaku habis dari sistem cadangan
Mirip dengan penghapusan dari sistem aktif Google, data yang dihapus akan dihilangkan dari sistem cadangan menggunakan teknik penimpaan dan kriptografi. Namun, dalam kasus sistem cadangan, data pelanggan biasanya disimpan dalam snapshot agregat besar dari sistem aktif yang dipertahankan selama periode waktu statis untuk memastikan kelangsungan bisnis jika terjadi bencana (misalnya, pemadaman layanan yang memengaruhi seluruh pusat data), saat waktu dan biaya untuk memulihkan sistem sepenuhnya dari sistem cadangan mungkin diperlukan. Sesuai dengan praktik kelangsungan bisnis yang wajar, snapshot lengkap dan inkremental dari sistem aktif dibuat dalam siklus harian, mingguan, dan bulanan serta dihentikan setelah jangka waktu yang telah ditentukan untuk memberi ruang bagi snapshot terbaru.
Saat cadangan dihentikan, cadangan tersebut akan ditandai sebagai ruang yang tersedia dan ditimpa saat cadangan harian, mingguan, atau bulanan baru dilakukan.
Perhatikan bahwa siklus pencadangan yang wajar akan menerapkan penundaan yang telah ditentukan sebelumnya dalam menyebarkan permintaan penghapusan data melalui sistem cadangan. Saat data pelanggan dihapus dari sistem aktif, data tersebut tidak lagi disalin ke sistem cadangan. Cadangan yang dilakukan sebelum penghapusan akan habis masa berlakunya secara berkala berdasarkan siklus pencadangan yang telah ditentukan sebelumnya.
Terakhir, penghapusan kriptografi data yang dihapus mungkin terjadi sebelum cadangan yang berisi data pelanggan habis masa berlakunya. Tanpa kunci enkripsi yang digunakan untuk mengenkripsi data pelanggan tertentu, data pelanggan tidak dapat dipulihkan meskipun selama masa pakainya yang tersisa di sistem cadangan Google.
Linimasa penghapusan
Google Cloud direkayasa untuk mencapai tingkat kecepatan, ketersediaan, durabilitas, dan konsistensi yang tinggi. Desain sistem yang dioptimalkan untuk atribut performa ini harus diseimbangkan dengan cermat dengan kebutuhan untuk mencapai penghapusan data yang tepat waktu. Google Cloud berkomitmen untuk menghapus data pelanggan dalam jangka waktu maksimum sekitar enam bulan (180 hari). Komitmen ini mencakup tahapan pipeline penghapusan Google yang dijelaskan di atas, termasuk hal berikut:
- Tahap 2: Setelah permintaan penghapusan dibuat, data biasanya langsung ditandai untuk dihapus dan tujuan kami adalah melakukan langkah ini dalam jangka waktu maksimum 24 jam. Setelah data ditandai untuk dihapus, periode pemulihan internal hingga 30 hari mungkin berlaku bergantung pada layanan atau permintaan penghapusan.
- Tahap 3: Waktu yang diperlukan untuk menyelesaikan tugas pengumpulan sampah dan mencapai penghapusan logis dari sistem aktif. Proses ini mungkin terjadi segera setelah permintaan penghapusan diterima, bergantung pada tingkat replikasi data dan waktu siklus pengumpulan sampah yang sedang berlangsung. Setelah permintaan penghapusan dibuat, biasanya diperlukan waktu sekitar dua bulan untuk menghapus data dari sistem aktif, yang biasanya cukup waktu untuk menyelesaikan dua siklus pengumpulan sampah utama dan memastikan penghapusan logis selesai.
- Tahap 4: Siklus pencadangan Google dirancang untuk menghabiskan masa berlaku data yang dihapus dalam cadangan pusat data dalam waktu enam bulan setelah permintaan penghapusan. Penghapusan dapat terjadi lebih cepat bergantung pada tingkat replikasi data dan waktu siklus pencadangan Google yang sedang berlangsung.
Diagram berikut menunjukkan tahapan Google Cloud's penghapusan pipeline dan kapan data dihapus dari sistem aktif dan cadangan.
Memastikan sanitasi media yang aman dan terlindungi
Program sanitasi media yang disiplin meningkatkan keamanan proses penghapusan dengan mencegah serangan forensik atau laboratorium pada media penyimpanan fisik setelah mencapai akhir siklus prosesnya.
Google melacak secara teliti lokasi dan status semua peralatan penyimpanan dalam pusat data kami, melalui akuisisi, pemasangan, penghentian, dan penghancuran, menggunakan kode batang dan tag aset yang dilacak dalam database aset Google. Berbagai teknik seperti identifikasi biometrik, deteksi logam, kamera, penghalang kendaraan, dan sistem deteksi penyusupan berbasis laser digunakan untuk mencegah peralatan meninggalkan lantai pusat data tanpa izin. Untuk mengetahui informasi selengkapnya, lihat Ringkasan desain keamanan infrastruktur Google.
Media penyimpanan fisik dapat dihentikan karena berbagai alasan. Jika gagal lulus uji performa di titik mana pun selama siklus prosesnya, komponen akan dihapus dari inventaris dan dihentikan. Google juga mengupgrade hardware yang sudah usang untuk meningkatkan kecepatan pemrosesan dan efisiensi energi, atau meningkatkan kapasitas penyimpanan. Baik hardware dihentikan karena kegagalan, upgrade, atau alasan lainnya, media penyimpanan akan dihentikan menggunakan perlindungan yang sesuai. Hard drive Google menggunakan teknologi seperti enkripsi disk penuh (FDE) dan penguncian drive untuk membantu melindungi data dalam penyimpanan selama penghentian. Saat hard drive dihentikan, individu yang berwenang akan memverifikasi bahwa disk telah dihapus dengan menimpa drive dengan angka nol dan melakukan proses verifikasi multi-langkah untuk memastikan drive tidak berisi data.
Jika media penyimpanan tidak dapat dihapus karena alasan apa pun, media tersebut akan disimpan dengan aman hingga dapat dihancurkan secara fisik. Bergantung pada peralatan yang tersedia, kami akan menghancurkan dan merusak drive atau menghancurkan drive menjadi potongan-potongan kecil. Dalam kedua kasus tersebut, disk akan didaur ulang di fasilitas yang aman, sehingga memastikan tidak ada yang dapat membaca data di disk Google yang dihentikan. Setiap pusat data mematuhi kebijakan pembuangan yang ketat dan menggunakan teknik yang dijelaskan untuk mencapai kepatuhan terhadap NIST SP 800-88 Revision 1 Guidelines for Media Sanitization dan DoD 5220.22-M National Industrial Security Program Operating Manual.