Risiko GDPR Diam-Diam di Stack Log Anda
Diperbarui untuk 2026
Sebagian besar tim memeriksa database mereka untuk informasi pribadi. Lebih sedikit yang melakukan hal yang sama untuk sistem log mereka.
GDPR Pasal 5(1)(e) membatasi berapa lama Anda bisa menyimpan informasi pribadi. Untuk database, tim menetapkan kebijakan dan menjalankan pekerjaan penghapusan. Untuk file log, aturannya lebih sederhana: simpan semuanya selama 90 hari untuk debugging.
Masalahnya? Catatan-catatan itu menyimpan informasi pribadi. Entri permintaan menyimpan email pengguna. Tangkapan error menyimpan nilai input mentah. Entri akses menyimpan alamat IP. Masing-masing dihitung sebagai informasi pribadi di bawah GDPR. Tim Anda membutuhkan dasar hukum dan rencana retensi untuk masing-masing.
Apa yang Berakhir di File Log Anda
Logging aplikasi web standar menarik berbagai PII.
Catatan akses (nginx/Apache):
- Alamat IP — informasi pribadi menurut panduan EDPB
- String user-agent — dapat memungkinkan sidik jari perangkat
- Token sesi — jika ditulis ke output
Catatan aplikasi (JSON terstruktur):
- ID pengguna dan alamat email
- Error input — sering menyertakan nilai tidak valid mentah, yang mungkin adalah informasi pengguna nyata
- Event bisnis — ID pesanan yang terhubung ke akun pelanggan
- Query pencarian — mungkin mengandung nama atau alamat
Catatan gateway API:
- Header auth — sebagian ditangkap dalam beberapa pengaturan
- Parameter query — mungkin membawa ID pengguna, nama, atau email
- Body permintaan dan respons — ada dalam pengaturan debug-level
Entri audit database:
- Query SQL dengan klausa WHERE seperti
email = 'user@example.com' - Nilai personal literal dalam parameter query
Ini tidak dilakukan dengan sengaja. Ini adalah efek samping dari logging yang dibuat untuk debugging, bukan GDPR.
Panduan EDPB tentang Alamat IP
Dewan Perlindungan Data Eropa menyatakan bahwa alamat IP adalah informasi pribadi. ISP bisa menghubungkannya ke pelanggan. Dalam suatu organisasi, mereka bisa mengidentifikasi pengguna tertentu.
Dampaknya langsung. Catatan akses dengan alamat IP adalah catatan pribadi. Menyimpan output nginx selama 12 bulan berarti menyimpan informasi pribadi selama 12 bulan. Ini membutuhkan dasar hukum di bawah Pasal 6. Ini juga membutuhkan periode retensi yang sesuai dengan tujuan yang dinyatakan.
Sebagian besar tim melewatkan langkah ini. "Kami menyimpan entri selama 90 hari karena keamanan bilang begitu" adalah aturan praktis. Ini bukan tinjauan GDPR Pasal 5(1)(e). Lihat ikhtisar Kepatuhan Hukum kami untuk cara ini cocok dengan program yang lebih luas.
Cara Mencapai Kepatuhan
Jalur praktis bagi sebagian besar tim bukan memangkas jendela retensi. Alasan operasional dan keamanan untuk jendela yang lebih panjang adalah nyata. Jalur yang lebih baik adalah menyamarkan catatan sebelum penyimpanan jangka panjang.
Model bertingkat bekerja dengan baik.
0–7 hari: Catatan mentah penuh untuk debugging aktif. Tujuh hari cukup singkat untuk sebagian besar tim.
7–90 hari: Catatan yang sudah disamarkan untuk analisis tren dan tinjauan keamanan. Alamat IP ditukar. Email pengguna menjadi token stabil. Nomor akun disamarkan. Field utama — timestamp, kode error, latensi, endpoint — tetap dipertahankan.
90+ hari (jika diperlukan): Hanya output teragregasi. Jumlah event, tingkat error, rentang latensi. Tidak ada catatan tingkat pengguna yang tersisa.
Informasi pribadi berhenti di tujuh hari. Output teragregasi bisa diteruskan tanpa mengekspos siapa pun. Lihat Keamanan & Kepatuhan untuk detail lebih lanjut.
Pertahankan Struktur Tetap Utuh untuk Pemantauan
Penyamaran yang baik mempertahankan struktur JSON tetap utuh. Ia hanya menukar konten. Ini menjaga output tetap berguna untuk debugging dan peringatan.
Dipertahankan apa adanya:
- Kunci dan bersarang JSON
- Timestamp dan urutan waktu
- Jenis error dan kode status HTTP
- Metode HTTP, jalur, dan nilai latensi
- Jenis event bisnis
Ditukar:
- Alamat email → token stabil per aslinya (mis.
user1@example.com) - Alamat IP → rentang RFC 5737 (
192.0.2.x) - Nomor akun →
ACCT_XXXXX - Nomor telepon →
+XX XXX XXX XXXX - Nama dalam teks error →
[PERSON]
Token stabil menjaga trace tetap berguna. Trace untuk user1@example.com di 40 entri bekerja sama seperti aslinya. Metrik teragregasi — tingkat error, latensi, throughput — tidak membutuhkan informasi pribadi sama sekali. Lihat Glosarium untuk istilah pseudonimisasi dan anonimisasi.
Tiga Cara Mengintegrasikan Ini
Tiga pola mencakup sebagian besar tim rekayasa.
Opsi 1 — Penyamaran pipeline: Fluentd atau Logstash mencegat setiap baris sebelum meneruskannya. Langkah penyamaran berjalan secara inline. Elastic atau Datadog hanya menerima catatan yang sudah dibersihkan. Tidak ada perubahan kode aplikasi yang diperlukan.
Opsi 2 — Batch malam: Catatan mentah mendarat di penyimpanan lokal. Pekerjaan malam menyamarkan output hari sebelumnya dan menghapus versi mentahnya. Catatan yang sudah disamarkan masuk ke penyimpanan jangka panjang. Output mentah hanya disimpan selama tujuh hari.
Opsi 3 — Penyamaran pra-berbagi: Catatan mentah tetap internal dengan kontrol akses ketat. Sebelum berbagi dengan pen tester atau kontraktor luar, jalankan proses penyamaran. Pihak eksternal selalu mendapatkan versi yang bersih.
Untuk dokumentasi GDPR, penyamaran adalah "tindakan teknis" di bawah Pasal 32. Catat alat, pengaturannya, dan kebijakan retensi Anda dalam Catatan Aktivitas Pemrosesan (RoPA) di bawah Pasal 30. Lihat FAQ kami untuk pertanyaan umum tentang RoPA.
Ingin contoh nyata? Periksa studi kasus untuk detail implementasi konkret. Anda juga bisa meninjau harga kami untuk melihat paket mana yang mencakup pipeline penyamaran bawaan.
Sumber
- GDPR Pasal 5: Prinsip-Prinsip Pemrosesan Data — VERIFIED-EXTERNAL
- Opini EDPB 5/2019 tentang Direktif ePrivacy dan GDPR — VERIFIED-EXTERNAL
- Sonra.io: Penyamaran PII dalam Data JSON dan XML — VERIFIED-EXTERNAL