Letsdial
Semua postingan·Keamanan

Mengapa kami mengirimkan pin wilayah, bukan hanya cookie wilayah

Perbedaan antara 'wilayah UE' dan 'residensi data UE' membuat pembeli layanan kesehatan harus melakukan audit berikutnya. Inilah cara kami menarik garisnya.

AP
Aisha Patel
Insinyur Keamanan
11 April 20267 menit membaca
Keamanan

Esai · panggil · 11 April 2026

Perkenalan

Hampir setiap vendor ponsel cloud kini menawarkan opsi "wilayah UE". Sebagian besar memiliki arti yang sama: lalu lintas Anda dirutekan melalui pusat data Eropa secara default, namun tidak ada penegakan hukum yang mencegah data melintasi perbatasan jika terjadi failover, tugas cadangan, atau eskalasi dukungan yang mengarahkannya ke tempat lain. Bagi pembeli di Jerman atau Perancis yang mencentang kotak pada formulir pengadaan, perbedaan tersebut tidak terlihat sampai audit DPA.

Preferensi wilayah versus residensi data

Preferensi wilayah adalah default. Ketika semuanya berfungsi normal, data Anda tetap berada di tempat yang Anda pilih. Masalahnya adalah jalur pengecualian: pencadangan otomatis, pemulihan bencana lintas wilayah, peralatan dukungan global, dan jalur agregasi log semuanya dapat mentransfer data ke yurisdiksi di luar preferensi tanpa memicu peringatan atau entri log yang pernah dilihat oleh auditor.

Residensi data adalah kendalanya. Artinya, sistem dirancang sedemikian rupa sehingga kelas data tertentu tidak dapat meninggalkan wilayah yang dinominasikan, apa pun status operasionalnya. Batasan ini diterapkan pada lapisan infrastruktur — bukan melalui konfigurasi, bukan melalui kebijakan, bukan melalui pelatihan — sehingga batasan ini berlaku selama pemadaman listrik dan juga selama pengoperasian normal.

Arti penyematan wilayah dalam praktiknya

Penyematan wilayah berarti data penyewa — rekaman panggilan, audio pesan suara, transkrip, catatan detail panggilan, data kontak — disimpan dan diproses hanya dalam wilayah yang ditunjuk. Pin diterapkan pada lapisan data, bukan lapisan aplikasi. Saat rekaman ditulis, rekaman tersebut masuk ke keranjang di wilayah tertentu dan hanya wilayah itu. Saat tugas transkrip berjalan, komputasi yang memprosesnya disediakan di wilayah. Replikasi lintas wilayah dari kelas data tersebut dinonaktifkan, bukan hanya tidak disarankan.

Implikasi operasionalnya adalah beberapa skenario failover yang transparan dalam arsitektur global menjadi terlihat dalam skenario yang disematkan. Jika wilayah yang disematkan turun, pilihannya adalah gagal ditutup (layanan tidak tersedia hingga wilayah tersebut pulih) atau gagal dibuka (data melintasi batas dan jaminan tempat tinggal rusak). Kami gagal menutup. Kami mendokumentasikan hal ini dengan jelas sehingga pembeli dapat membuat keputusan dan membuat rencana yang tepat — sebagian besar pembeli berpendapat bahwa gangguan layanan yang transparan adalah hasil yang lebih baik daripada pelanggaran tempat tinggal secara diam-diam.

Apa yang kita sematkan dan apa yang tidak

Tidak setiap kelas data memiliki risiko tempat tinggal yang sama. Kami membedakan antara tiga kelas:

  • Data yang disematkan — rekaman panggilan, audio pesan suara, transkrip, CDR, catatan kontak. Ini disematkan pada wilayah nominasi penyewa dan tidak pernah direplikasi di luar wilayah tersebut.
  • Data bidang kontrol — token autentikasi, tanda fitur, catatan penagihan. Mereka hidup dalam bidang kendali global. Mereka tidak berisi konten komunikasi dan berada di luar cakupan sebagian besar persyaratan residensi data.
  • Telemetri dan log — metrik kinerja yang dianonimkan. Diagregasi sebelum meninggalkan wilayah tersebut, sehingga tidak ada catatan individu yang melintasi batas negara.

Batas antara data yang dipasangi pin dan tidak dipasangi pin didokumentasikan dalam Adendum Pemrosesan Data dan tersedia bagi setiap pelanggan berdasarkan permintaan sebelum mereka menandatangani.

Mengapa hal ini penting bagi pembeli layanan kesehatan

Pengadaan layanan kesehatan di UE semakin memerlukan komitmen residensi data yang eksplisit, bukan hanya pemilihan wilayah di portal. Pembatasan Bab V GDPR mengenai transfer internasional berlaku untuk semua data pribadi yang mencakup konten komunikasi — yang hampir selalu dilakukan oleh rekaman panggilan dan pesan suara. Vendor yang menawarkan preferensi wilayah tetapi tidak dapat mendokumentasikan ke mana data disalurkan selama eskalasi dukungan atau proses pencadangan tidak dapat menandatangani Perjanjian Pemrosesan Data yang secara akurat menjelaskan arsitektur mereka.

Kita bisa menandatanganinya. DPA memetakan kendala infrastruktur aktual, bukan konfigurasi aspirasional. Saat pembeli layanan kesehatan Uni Eropa menanyakan kelas data mana yang dipasangi pin, kami dapat menjawab secara spesifik daripada meminta mereka meninjau SLA.

Pertanyaan audit untuk ditanyakan kepada setiap vendor

Satu-satunya pertanyaan yang paling berguna untuk ditanyakan kepada tim penjualan vendor: 'Jika wilayah UE Anda mengalami pemadaman listrik, ke mana data rekaman panggilan saya pergi?' Vendor dengan data residensi asli akan mengatakan 'layanan gagal hingga wilayah tersebut pulih.' Vendor dengan preferensi wilayah akan mengatakan sesuatu tentang failover yang mulus dan redundansi global. Jawaban kedua adalah lebih ramah operasional dan lebih berisiko secara hukum. Ketahui mana yang Anda perlukan sebelum menandatanganinya.

Akhir

Ditulis oleh Aisha Patel · 11 April 2026

Balas ke penulis
Keamanan & Kepatuhan

Data residensi dapat Anda dokumentasikan, bukan sekadar dipilih.

Wilayah UE terikat dengan DPA yang memetakan kendala infrastruktur sebenarnya — bukan bendera preferensi. Tersedia di semua paket.

AP

Tentang penulis

Aisha Patel · Insinyur Keamanan

Aisha menjalankan program keamanan di letsdial, SOC 2, HIPAA, dan separuh panggilan audit yang membosankan.

Baca selanjutnya

Semua postingan

Buletin

Dapatkan postingan berikutnya di kotak masuk Anda.

Satu postingan penuh pemikiran setiap dua minggu sekali. Tidak ada spam, berhenti berlangganan dengan mudah.