Apa itu data residency?
Data residency merujuk pada lokasi fisik atau geografis tempat data atau informasi milik sebuah organisasi disimpan. Mirip dengan data sovereignty, konsep ini juga berhubungan dengan hukum data atau regulasi yang berlaku di negara atau wilayah tempat data tersebut berada.
Organisasi yang menggunakan cloud computing bisa menyimpan data di negara asal atau di luar negeri. Namun, ketika perusahaan menyediakan hosted service lewat internet, isu data residency bisa muncul. Seringkali, pengguna layanan cloud tidak tahu persis lokasi fisik data mereka. Karena penyedia cloud menyimpan data secara global di berbagai data center, pengguna wajib memahami hukum dan regulasi data residency di tiap lokasi tersebut.
Untuk tahu regulasi mana yang berlaku, pengguna perlu tahu lokasi data center milik penyedia cloud mereka dan mempelajari kebijakan data residency di lokasi tersebut. Selain itu, pengguna cloud juga harus memastikan bahwa service-level agreement (SLA) dengan penyedia cloud menjelaskan secara jelas di mana data boleh dan tidak boleh disimpan.
Apa itu data residency requirements?
Di sebagian besar wilayah, perusahaan wajib mengikuti regulasi lokal terkait bagaimana data warga negara dikumpulkan, diproses, dan disimpan di dalam batas negara. Alasan utama perusahaan memilih lokasi penyimpanan data biasanya terkait dengan regulasi, kebijakan data, dan pajak.
Namun, perusahaan tetap bisa melakukan transfer data asalkan sesuai dengan aturan perlindungan data dan privasi yang berlaku. Dalam kondisi ini, perusahaan wajib memberi tahu pengguna dan mendapatkan persetujuan sebelum mengumpulkan atau memakai data mereka.
Apa perbedaan data residency, data sovereignty, dan data localization?
Data residency, sovereignty, dan localization sering bikin bingung karena ada bagian yang mirip. Tapi, perusahaan harus memahami perbedaannya agar tidak terkena denda akibat pelanggaran regulasi.
Data residency → fokus pada lokasi fisik/geografis tempat data disimpan.
Data sovereignty → bukan hanya lokasi penyimpanan, tapi juga hukum/regulasi yang berlaku di lokasi data center tersebut. Jadi, regulasi privasi dan keamanan bisa berbeda tergantung lokasi penyimpanan.
Data localization → mewajibkan semua data yang dibuat di dalam negeri tetap disimpan di dalam batas negara itu. Biasanya aturan ini ketat untuk data pribadi (PII).
Banyak regulasi pemerintah yang mengatur soal privasi dan data residency. Contoh:
Di AS ada HIPAA (Health Insurance Portability and Accountability Act) untuk melindungi data medis, dan PCI DSS (Payment Card Industry Data Security Standard) untuk mengamankan data kartu kredit/debit.
Di luar AS ada Federal Data Protection Act (Jerman), Data Protection Act (UK), dan GDPR (General Data Protection Regulation) milik Uni Eropa. GDPR fokus pada pengolahan data pribadi warga EU sebagai bagian dari hukum privasi dan HAM.
Walaupun hukum EU tidak mewajibkan localization secara ketat, banyak perusahaan tetap menerapkan localization untuk data sensitif sebelum mentransfernya ke luar negeri.
Untuk menjaga compliance, organisasi bisa memakai enkripsi data di cloud. Layanan cloud encryption akan mengubah data jadi ciphertext sebelum disimpan.
Pada April 2015, Object Management Group membentuk Data Residency Working Group untuk meneliti isu ini, termasuk pengendalian data di cloud, proteksi otomatis source code, dan model komponen terdistribusi untuk sistem real-time dan embedded system.
Apa itu data residency di Azure?
Microsoft Azure adalah salah satu cloud provider besar yang menyediakan layanan di banyak region dengan opsi data residency yang fleksibel, supaya aplikasi bisa lebih dekat dengan pengguna. Menurut kebijakan data Microsoft, user tetap memiliki hak penuh atas data mereka (termasuk konten pribadi dan data lain yang di-host di Azure). User juga bisa memilih kapan dan di mana ingin deploy solusi, termasuk opsi untuk replicating data.
Apa itu redacted data residency model?
Dalam redacted data residency model, perusahaan hanya boleh menyimpan subset data tertentu (yang dilindungi) di dalam negeri. Flow control tidak diizinkan, dan data tidak boleh disalin, diproses, diakses, atau disimpan di luar batas negara.