Konten ini terakhir diperbarui pada Mei 2024, dan menampilkan kondisi saat ini pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah untuk ke depannya, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini memberikan ringkasan tentang proses aman yang terjadi saat Anda menghapus data pelanggan di Google Cloud. Seperti yang dijelaskan dalam Google Cloud Persyaratan Layanan, data pelanggan adalah data yang diberikan kepada Google oleh pelanggan atau pengguna akhir melalui layanan yang terkait dengan akun.
Dokumen ini menjelaskan cara data pelanggan disimpan di Google Cloud, pipeline penghapusan, dan cara kami mencegah rekonstruksi data yang disimpan di platform kami.
Untuk mengetahui informasi tentang komitmen penghapusan data kami, lihat Adendum Pemrosesan Data Cloud (Pelanggan).
Penyimpanan dan replikasi data
Google Cloud menawarkan layanan penyimpanan dan layanan database seperti Bigtable dan Spanner. Sebagian besar Google Cloud aplikasi dan layanan mengakses infrastruktur penyimpanan Google secara tidak langsung menggunakan layanan cloud ini.
Replikasi data sangat penting untuk mencapai solusi yang berlatensi rendah, sangat tersedia, skalabel, dan andal. Salinan data pelanggan yang berlebihan dapat disimpan secara lokal dan regional, bahkan secara global, bergantung pada konfigurasi Anda dan kebutuhan proyek Anda. Tindakan yang dilakukan pada data di Google Cloud dapat direplikasi secara bersamaan di beberapa pusat data, sehingga data pelanggan sangat tersedia. Jika terjadi perubahan yang memengaruhi performa di lingkungan hardware, software, atau jaringan, data pelanggan akan otomatis dipindahkan dari satu sistem atau fasilitas ke sistem atau fasilitas lainnya, sesuai dengan setelan konfigurasi pelanggan, sehingga project pelanggan dapat terus berjalan dalam skala besar dan tanpa gangguan.
Di tingkat penyimpanan fisik, data pelanggan disimpan dalam keadaan tidak aktif di dua jenis sistem: sistem penyimpanan aktif dan sistem penyimpanan cadangan. Kedua jenis sistem ini memproses data secara berbeda. Sistem penyimpanan aktif adalah server produksi Google Cloudyang menjalankan aplikasi dan lapisan penyimpanan Google. Sistem aktif adalah susunan massal disk dan drive yang digunakan untuk menulis data baru serta menyimpan dan mengambil data dalam beberapa salinan yang direplikasi. Sistem penyimpanan aktif dioptimalkan untuk melakukan operasi baca dan tulis langsung pada data pelanggan dengan cepat dan dalam skala besar.
Sistem penyimpanan cadangan Google menyimpan salinan lengkap dan inkremental dari sistem aktif Google selama jangka waktu tertentu untuk membantu Google memulihkan data dan sistem jika terjadi gangguan atau bencana yang parah. Tidak seperti sistem aktif, sistem cadangan dirancang untuk menerima snapshot berkala dari sistem Google dan salinan cadangan dihentikan setelah jangka waktu terbatas saat salinan cadangan baru dibuat.
Di seluruh sistem penyimpanan yang dijelaskan di atas, data pelanggan dienkripsi saat disimpan dalam penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam penyimpanan default.
Pipeline penghapusan data
Setelah data pelanggan disimpan di Google Cloud, sistem kami dirancang untuk menyimpan data secara aman hingga pipeline penghapusan data menyelesaikan tahapannya. Bagian ini menjelaskan tahap penghapusan.
Tahap 1: Permintaan penghapusan
Penghapusan data pelanggan dimulai saat Anda menginisiasi permintaan penghapusan. Umumnya, permintaan penghapusan ditujukan ke resource tertentu,Google Cloud project, atau Akun Google Anda. Permintaan penghapusan mungkin ditangani dengan berbagai cara, tergantung cakupan permintaan Anda:
- Penghapusan Resource: Resource individual yang berisi data pelanggan, seperti bucket Cloud Storage, dapat dihapus dengan beberapa cara dari konsol Google Cloud atau menggunakan API. Misalnya, Anda dapat mengeluarkan perintah
remove bucket atau
gcloud storage rmuntuk menghapus bucket penyimpanan melalui command line atau Anda dapat memilih bucket penyimpanan dan menghapusnya dari konsol Google Cloud . - Penghapusan Project: Sebagai Google Cloud pemilik project, Anda dapat menonaktifkan project. Menghapus project berfungsi sebagai permintaan penghapusan massal untuk semua resource yang terkait dengan nomor project yang sesuai.
- Penghapusan Akun Google: Jika Anda menghapus Akun Google Anda, semua project yang tidak terkait dengan organisasi dan yang dimiliki sepenuhnya oleh Anda akan dihapus. Jika ada beberapa pemilik untuk project non-organisasi, project tidak akan dihapus hingga semua pemilik dihapus dari project atau menghapus Akun Google mereka. Proses ini memastikan bahwa project akan terus berjalan selama project tersebut memiliki pemilik.
- Penghapusan akun Google Workspace atau Cloud Identity: Organisasi yang terikat ke akun Google Workspace atau Cloud Identity akan dihapus saat Anda menghapus akun Google Workspace atau Cloud Identity. Untuk mengetahui informasi selengkapnya, lihat Menghapus Akun Google organisasi Anda.
Anda menggunakan permintaan penghapusan terutama untuk mengelola data Anda. Namun, Google dapat mengeluarkan permintaan penghapusan secara otomatis; misalnya, saat Anda mengakhiri hubungan Anda dengan Google.
Tahap 2: Penghapusan sementara
Penghapusan sementara adalah titik dalam proses untuk menyediakan periode penyiapan dan pemulihan internal singkat untuk membantu memastikan ada waktu untuk memulihkan data yang telah ditandai untuk dihapus secara tidak sengaja atau karena error. Setiap produk Google Cloud dapat menerapkan dan mengonfigurasi periode pemulihan yang telah ditentukan tersebut sebelum data dihapus dari sistem penyimpanan yang mendasarinya selama periode tersebut sesuai dengan linimasa penghapusan keseluruhan Google.
Saat project dihapus,Google Cloud terlebih dahulu mengidentifikasi nomor project yang unik, lalu menyiarkan sinyal penangguhan ke produk Google Cloud (misalnya, Compute Engine dan Bigtable) yang berisi nomor project tersebut. Dalam hal ini, Compute Engine menangguhkan operasi yang dikunci ke nomor project tersebut dan tabel yang relevan di Bigtable memasuki periode pemulihan internal hingga 30 hari. Di akhir periode pemulihan, Google Cloud menyiarkan sinyal ke produk yang sama untuk memulai penghapusan logis resource yang terkait dengan nomor project unik. Kemudian, Google menunggu (dan, jika perlu, menyiarkan ulang sinyal) untuk mengumpulkan sinyal konfirmasi (ACK) dari produk yang berlaku untuk menyelesaikan penghapusan project.
Jika akun Google ditutup, Google Cloud dapat memberlakukan periode pemulihan internal hingga 30 hari, bergantung pada aktivitas akun sebelumnya. Setelah masa tenggang tersebut berakhir, sinyal yang berisi ID pengguna akun penagihan yang dihapus akan disiarkan ke produk dan resource Google yang terikat secara eksklusif ke ID pengguna tersebut dan ditandai untuk dihapus. Google Cloud
Tahap 3: Penghapusan logis dari sistem aktif
Setelah data ditandai untuk dihapus dan periode pemulihan berakhir, data akan dihapus secara bertahap dari sistem penyimpanan aktif dan cadangan Google. Pada sistem aktif, data dihapus dengan dua cara.
Di semua Google Cloud produk dalam kategori project Compute, Storage, dan Database, kecuali Cloud Storage, salinan data yang dihapus ditandai sebagai penyimpanan yang tersedia dan akan ditimpa seiring waktu. Dalam sistem penyimpanan aktif seperti Bigtable, data yang dihapus disimpan sebagai entri dalam tabel terstruktur yang sangat besar. Memadatkan tabel yang ada untuk mengganti data yang dihapus bisa mahal, karena memerlukan penulisan ulang tabel data yang ada (tidak dihapus), sehingga pengumpulan sampah mark-and-sweep dan peristiwa pemadatan utama dijadwalkan terjadi secara berkala untuk mengklaim kembali ruang penyimpanan dan mengganti data yang dihapus.
Di Cloud Storage, data pelanggan juga dihapus melalui penghapusan kriptografi. Teknik ini adalah teknik standar industri yang membuat data tidak dapat dibaca dengan menghapus kunci enkripsi yang diperlukan untuk mendekripsi data tersebut. Salah satu keuntungan menggunakan penghapusan kriptografi, baik yang melibatkan kunci enkripsi yang disediakan Google maupun yang disediakan pelanggan, adalah penghapusan logis dapat diselesaikan bahkan sebelum semua blok data yang dihapus tersebut ditimpa di sistem penyimpanan aktif dan cadanganGoogle Cloud.
Tahap 4: Kedaluwarsa dari sistem cadangan
Serupa dengan penghapusan dari sistem aktif Google, data yang dihapus akan dihilangkan dari sistem cadangan menggunakan teknik penimpaan dan kriptografi. Namun, dalam kasus sistem pencadangan, data pelanggan biasanya disimpan dalam snapshot gabungan besar dari sistem aktif yang dipertahankan selama jangka waktu statis untuk memastikan kelangsungan bisnis jika terjadi bencana (misalnya, pemadaman yang memengaruhi seluruh pusat data), ketika waktu dan biaya untuk memulihkan sistem sepenuhnya dari sistem pencadangan mungkin diperlukan. Sesuai dengan praktik kelangsungan bisnis yang wajar, snapshot penuh dan inkremental dari sistem aktif dibuat dalam siklus harian, mingguan, dan bulanan, lalu dihentikan setelah jangka waktu yang telah ditentukan untuk memberi ruang bagi snapshot terbaru.
Saat cadangan dihentikan, cadangan tersebut akan ditandai sebagai ruang yang tersedia dan ditimpa saat cadangan baru harian, mingguan, atau bulanan dilakukan.
Perhatikan bahwa setiap siklus pencadangan yang wajar akan menimbulkan penundaan yang telah ditentukan sebelumnya dalam menyebarkan permintaan penghapusan data melalui sistem pencadangan. Jika data pelanggan dihapus dari sistem aktif, data tersebut tidak lagi disalin ke sistem cadangan. Cadangan yang dilakukan sebelum penghapusan akan kedaluwarsa secara rutin berdasarkan siklus pencadangan yang telah ditentukan sebelumnya.
Terakhir, penghapusan data yang dihapus secara kriptografis dapat terjadi sebelum masa berlaku pencadangan yang berisi data pelanggan berakhir. Tanpa kunci enkripsi yang digunakan untuk mengenkripsi data pelanggan tertentu, data pelanggan tidak dapat dipulihkan meskipun selama masa pakainya yang tersisa di sistem cadangan Google.
Linimasa penghapusan
Google Cloud direkayasa untuk mencapai tingkat kecepatan, ketersediaan, ketahanan, dan konsistensi yang tinggi. Desain sistem yang dioptimalkan untuk atribut performa ini harus diimbangi dengan cermat dengan kebutuhan untuk mencapai penghapusan data tepat waktu. Google Cloud berkomitmen untuk menghapus data pelanggan dalam jangka waktu maksimum sekitar enam bulan (180 hari). Komitmen ini mencakup tahapan pipeline penghapusan Google yang dijelaskan di atas, termasuk berikut ini:
- Tahap 2: Setelah permintaan penghapusan dilakukan, data biasanya ditandai untuk segera dihapus dan tujuan kami adalah melakukan langkah ini dalam jangka waktu maksimal 24 jam. Setelah data ditandai untuk dihapus, periode pemulihan internal hingga 30 hari mungkin berlaku, bergantung pada layanan atau permintaan penghapusan.
- Tahap 3: Waktu yang diperlukan untuk menyelesaikan tugas pengumpulan sampah dan mencapai penghapusan logis dari sistem aktif. Proses ini dapat terjadi segera setelah permintaan penghapusan diterima, bergantung pada tingkat replikasi data dan waktu siklus pengumpulan sampah yang sedang berlangsung. Setelah permintaan penghapusan dibuat, biasanya diperlukan waktu sekitar dua bulan untuk menghapus data dari sistem aktif, yang biasanya cukup waktu untuk menyelesaikan dua siklus pembersihan sampah memori utama dan memastikan penghapusan logis selesai.
- Tahap 4: Siklus pencadangan Google dirancang untuk menghapus data yang dihapus dalam cadangan pusat data dalam waktu enam bulan setelah permintaan penghapusan. Penghapusan dapat terjadi lebih cepat, bergantung pada tingkat replikasi data dan waktu siklus pencadangan berkelanjutan Google.
Diagram berikut menunjukkan tahap-tahap pipeline penghapusan Google Clouddan waktu data dihapus dari sistem aktif dan cadangan.
Memastikan penghapusan data media yang aman
Program pembersihan media yang disiplin meningkatkan keamanan proses penghapusan dengan mencegah serangan forensik atau laboratorium pada media penyimpanan fisik setelah mencapai akhir siklus prosesnya.
Google melacak secara teliti lokasi dan status semua peralatan penyimpanan dalam pusat data kami, mulai dari akuisisi, pemasangan, penghentian, dan penghancuran, menggunakan kode batang dan tag aset yang dilacak dalam database aset Google. Berbagai teknik seperti identifikasi biometrik, deteksi logam, kamera, penghalang kendaraan, dan sistem deteksi penyusupan berbasis laser digunakan untuk mencegah peralatan keluar dari lantai pusat data tanpa otorisasi. Untuk mengetahui informasi selengkapnya, lihat Ringkasan desain keamanan infrastruktur Google.
Media penyimpanan fisik dapat dihentikan penggunaannya karena berbagai alasan. Jika komponen gagal lulus uji performa di titik mana pun selama siklus prosesnya, komponen akan dihapus dari inventaris dan dihentikan. Google juga mengupgrade hardware yang sudah usang untuk meningkatkan kecepatan pemrosesan dan efisiensi energi, atau meningkatkan kapasitas penyimpanan. Baik hardware dinonaktifkan karena kegagalan, upgrade, atau alasan lainnya, media penyimpanan dinonaktifkan menggunakan pengamanan yang sesuai. Hard drive Google menggunakan teknologi seperti enkripsi disk penuh (FDE) dan penguncian drive untuk membantu melindungi data dalam penyimpanan selama penonaktifan. Saat hard drive dihentikan, individu yang berwenang akan memverifikasi bahwa disk telah dihapus dengan menimpa drive dengan angka nol dan melakukan proses verifikasi multi-langkah untuk memastikan drive tidak berisi data.
Jika media penyimpanan tidak dapat dihapus karena alasan apa pun, media tersebut akan disimpan dengan aman hingga dapat dihancurkan secara fisik. Bergantung pada peralatan yang tersedia, kami akan menghancurkan dan merusak drive atau mencabik-cabik drive menjadi potongan-potongan kecil. Dalam kedua kasus tersebut, disk didaur ulang di fasilitas yang aman, sehingga memastikan tidak ada yang dapat membaca data di disk Google yang sudah tidak digunakan. Setiap pusat data mematuhi kebijakan pembuangan yang ketat dan menggunakan teknik yang dijelaskan untuk mencapai kepatuhan terhadap Panduan NIST SP 800-88 Revisi 1 untuk Pembersihan Media dan DoD 5220.22-M National Industrial Security Program Operating Manual.