Self-hosting sebagai praktik profesional Cuadernos Lacre https://solo2.net/id/buku-catatan/articulos/pertanyaan-antara-cloud-dan-basement-self-hosting.html Ada baiknya kita mulai dengan menonaktifkan kata yang menakutkan tanpa alasan: server. Server bukanlah mesin misterius di ruangan berpendingin. Server hanyalah komputer orang lain —atau komputer Anda— yang menyimpan informasi and memberikannya kepada siapa pun yang memintanya. Selama berpuluh-puluh tahun kita menyimpan data klien dalam map, lemari arsip, di atas meja kantor, and tidak ada yang merasa cemas. Informasi tidak menakutkan hanya karena ada di atas kertas; informasi juga tidak perlu menakutkan karena ada di dalam disk. «Cloud» juga tidak abstrak. Itu adalah komputer milik sebuah perusahaan, hampir selalu berada jauh and hampir selalu milik orang lain. Saya mempelajarinya secara tidak sengaja pada hari ketika saya yakin file saya aman di Google Drive, saya menemukan bahwa folder di komputer saya tidak berisi dokumen saya, melainkan pintasan ke dokumen yang berada di tempat lain. Jika tempat lain itu memutuskan untuk tutup, mengubah harga, atau berhenti berlangganan, ketenangan saya akan hilang bersamanya. Saya tidak memiliki barang-barang saya; saya memiliki izin untuk mengaksesnya. Dari sinilah lahir pertanyaan Buku Catatan ini, yang lebih mudah diutarakan daripada dijawab: di mana seharusnya data pelangganmu berdiam? Dan data milikmu sendiri? Percakapan publik mengajukannya seolah hanya ada dua jawaban yang berhadapan — awan platform-platform besar atau membangunnya sendiri —, hampir seperti urusan memilih pihak. Tetapi keduanya bukan dua jalan: ada tiga, dan tak satu pun merupakan tindakan iman yang buta. Dibaca perlahan, semuanya menyimpan lebih banyak nuansa dan menuntut lebih dari yang tampak. Mudah untuk berpikir bahwa kerahasiaan adalah urusan pengacara, dokter, atau jurnalis, and sisanya tidak memiliki apa pun untuk disembunyikan. Itu adalah kesalahan besar and merugikan. Hampir setiap bisnis menyimpan data klien yang tunduk pada hukum, and banyak yang menyimpan, tanpa disadari, informasi yang jauh lebih sensitif daripada yang terlihat. Sebuah toko sofa mencatat nama, alamat, dan nomor telepon pembeli; jika ada cicilan, juga data ekonominya. Sebuah perusahaan renovasi atau dekorasi menyimpan foto-foto bagian dalam rumah pelanggannya dan denah lengkap tempat tinggal mereka. Sebuah perusahaan kebersihan menangani denah kantor-kantor yang dibersihkannya, sering kali ditandai dengan warna dan angka yang menunjukkan karyawan mana masuk ke mana, pada jam berapa, dan dengan kunci yang mana. Tak satu pun dari itu tampak besar artinya sampai seseorang bertanya pada dirinya sendiri bagi siapa lagi hal itu bernilai: denah kebersihan itu, dilihat dengan mata lain, adalah peta sempurna bagi siapa pun yang ingin masuk untuk mencuri. Fakta bahwa sebuah bisnis itu kecil, atau menjual sofa daripada membela perkara hukum, tidak membuat datanya menjadi tidak berharga atau membuat hukum berhenti berlaku padanya. Hal itu hanya membuat pemiliknya cenderung kurang memikirkannya. And kurang memikirkan sesuatu yang merupakan tanggung jawab Anda adalah titik awal dimulainya masalah. Di sini muncul keberatan langsung, and itu masuk akal: jika saya memiliki semuanya di komputer kantor saya, apa yang terjadi jika komputer itu rusak? Pertanyaannya bagus. Jawabannya adalah bahwa jaring pengaman yang kita bayangkan pada penyedia besar lebih sederhana —and lebih mudah ditiru— daripada yang terlihat. Ketika saya meninggalkan data saya di pusat data perusahaan multinasional, saya percaya bahwa mereka memiliki salinan di beberapa tempat. And mungkin mereka memilikinya: di lokasi kedua, mungkin di lokasi ketiga. Tetapi redundansi itu tidak tak terbatas and, yang terpenting, itu bukan milik saya: itu tetaplah hard disk yang bukan milik saya, dikelola oleh seseorang yang saya beri kepercayaan yang hampir tidak pernah saya verifikasi. Jaringan yang sama dapat saya anyam sendiri, and dengan keuntungan yang menentukan. Layanan harian saya berada di komputer kantor. Dari sana saya menyimpan salinan terenkripsi di komputer perusahaan teman —rekan seprofesi, kantor tepercaya lainnya— and salinan terenkripsi lainnya, jika saya mau, di penyedia Eropa yang sama yang kita bicarakan tadi. Perbedaannya adalah segalanya: apa yang saya tinggalkan di luar bukanlah layanan saya maupun data saya dalam bentuk teks biasa, melainkan salinan terenkripsi yang hanya dapat saya buka. Penyedia eksternal menyimpan peti tertutup yang kuncinya tidak dia miliki. Saya tidak memercayakan informasi saya kepadanya: saya memercayakan kepadanya beberapa byte yang, tanpa saya, tidak berarti apa-apa. Izinkan saya menceritakan sebuah kisah pribadi, karena ini mengilustrasikan hal ini lebih baik daripada argumen apa pun. Selama lebih dari sepuluh tahun saya adalah klien setia CrashPlan, layanan pencadangan yang secara teknis luar biasa. Saya mencadangkan di cloud mereka semua komputer saya dan komputer keluarga saya —komputer perusahaan dan komputer rumah, semuanya—, dengan versi yang dapat saya pulihkan pada frekuensi yang saya inginkan, melakukan perjalanan mundur ke masa lalu hingga ke file tertentu dari beberapa bulan yang lalu. Setelah salinan pertama, layanan ini hanya mengirimkan perbedaan, terenkripsi dan terkompresi, sehingga saya menjaga cadangan yang sangat besar tetap mutakhir dengan hampir tanpa usaha. Ini menyelamatkan saya berkali-kali, dari dokumen yang sepele hingga seluruh disk. Harganya terus naik selama bertahun-tahun dan saya tidak peduli: saya membayar dengan senang hati. Apa yang tidak saya ketahui adalah bahwa CrashPlan telah melakukan kesalahan perhitungan: mereka telah menjanjikan melalui kontrak penyimpanan tak terbatas, baik dalam ruang maupun waktu. Dan ruang dikalikan dengan waktu —riwayat bertahun-tahun, versi setiap beberapa menit— tumbuh hingga menjadi tidak berkelanjutan. Suatu hari mereka memberi tahu kita semua bahwa layanan tersebut berakhir. Mereka melakukannya dengan elegan dan dengan jangka waktu yang murah hati, hampir satu tahun, dan memberi kami sarana untuk mengunduh milik kami. Tetapi ke mana seseorang pergi dengan lebih dari sepuluh tahun salinan versi dari semua disknya? Di sanalah Anda menemukan bahwa Anda tidak memiliki cara untuk mengunduh semuanya maupun tempat untuk menaruhnya, dan bahwa, meskipun mampu, gudang penyimpanan baru akan memakan biaya yang sangat besar. Saya menyelamatkan empat hal yang tak tergantikan. Sisanya lenyap ketika mereka mematikan sakelarnya. Saya tenang, informasi saya aman... sampai tidak lagi. Dan bukan karena pengkhianatan: CrashPlan berperilaku tanpa cela — berbeda dengan Evernote, yang bertahun-tahun kemudian berperilaku memalukan —; sederhananya, malaikat penjagaku di awan memutuskan, dengan segala haknya, untuk berhenti menjadi penjaga. Hasilnya, bagi saya, sama saja: apa yang kukira aman, lenyap. Apa yang sebenarnya diajarkan oleh kisah ini lebih berkaitan dengan sifat manusia daripada teknologi. Ketika seseorang merasa bahwa sesuatu adalah tanggung jawabnya, ia bertindak secara preventif: ia membuat salinan, melindungi dirinya sendiri, tidak percaya dengan pertimbangan yang baik. Ketika ia percaya —secara salah— bahwa tanggung jawab dipegang oleh pihak ketiga yang besar dan mampu secara finansial, ia menjadi rileks dan membiarkannya saja. Ketenangan yang didelegasikan itu bukanlah kebijaksanaan: itu adalah, tanpa hiasan, sebuah bentuk ketidaktanggungjawaban. Ketidaktanggungjawaban yang tenang itu sangat mirip dengan orang tua yang mendaftarkan putra mereka ke sekolah termahal, membayar biaya gelar magister setelahnya, and dengan itu mereka percaya telah memenuhi kewajiban. Mereka belum memenuhinya. Menjadi orang tua adalah mengkhawatirkan apa yang dia pelajari hari ini, tentang apa yang tidak dia pahami, tentang nilai-nilainya, tentang kepercayaan dirinya. Jika pada usia dua puluh lima tahun putra tersebut tidak tahu cara bekerja atau berperilaku, kesalahannya bukan pada sekolah yang memungut biaya: itu adalah kesalahan orang yang mendelegasikan and membayar dengan keyakinan bahwa itu sudah cukup. Membayar pihak ketiga tidak membebaskan dari tanggung jawab. Tidak pernah. Dengan data terjadi hal yang sama, dan sejarah belakangan ini menegaskannya. Lima puluh atau seratus tahun lalu seorang profesional menyimpan urusan pelanggannya dalam map, di kantor atau di rumahnya, dan merasa bertanggung jawab atasnya. Jarang sekali ada yang hilang. Kita telah berpindah ke dunia digital dan, dengan kemudahan yang mengherankan, kita mengunggah segalanya ke «awan» — yang tak lebih dari komputer sebuah perusahaan multinasional — dan berhenti khawatir. Dan kerap kali ada kecelakaan, dan ada perusahaan yang kehilangan segalanya, lalu dikatakan: salahnya Google, salahnya Microsoft. Tidak. Informasi itu milikmu, atau milik pelangganmu, tetapi yang bertanggung jawab adalah kamu. Menghosting data sendiri bukanlah keinginan teknis belaka: ini adalah memulihkan ketenangan beberapa dekade yang lalu, yaitu ketenangan karena mengetahui di mana setiap hal berada and mengapa. Perlindungan data, sementara itu, telah mengalami ayunan bandul yang tiba-tiba —dari tidak adanya aturan sama sekali, ketika siapa pun memamerkan data klien tanpa berpikir, hingga persyaratan yang jatuh dengan kekerasan yang tidak proporsional pada yang terkecil, pekerja lepas yang memberikan telepon klien kepada kurrier. Saya tidak mendebat tujuannya; saya mengamati ketidakcocokan tersebut. Tetapi ketidakcocokan tersebut tidak membebaskan kita: hari ketika pemerintah memiliki sarana untuk melacak and menjatuhkan sanksi dalam skala besar, ukuran tidak akan lagi melindungi siapa pun, and bijaksana untuk tidak menunggu hari itu dengan rumah yang tidak tertata. Memiliki data di bawah kendali sendiri membantu untuk mematuhi and membantu membuktikannya. And, yang terpenting, ini mengembalikan segalanya pada tempatnya: ketika informasi itu milik Anda, tanggung jawab sepenuhnya ada pada Anda —tidak ada pihak ketiga yang bisa disalahkan, maupun pihak ketiga yang kegagalannya mengekspos Anda—. Tidak jujur rasanya melukiskan ini tanpa bayang-bayang. Menempati posisi perantara berarti memikul beban yang menyertainya: menjaga cadangan tetap mutakhir, menerapkan pembaruan, dan tanggung jawab hukum — yaitu RGPD — yang, sebenarnya, tak pernah benar-benar berhenti menjadi sepenuhnya milikmu (rujukan di catatan kaki merinci pasal-pasalnya). Ada pekerjaan, dan ada satu hari ketika sesuatu rusak di saat yang tak tepat. Kami tidak menyembunyikannya. Tetapi ketakutan yang melingkupi kata itu, tanggung jawab, telah dikalibrasi secara keliru. Jauh lebih mudah kehilangan berkasmu di layanan awan yang tutup, atau foto-fotomu di Google Photos, daripada kehilangan map dokumen penting yang kamu miliki di komputermu sendiri: yang kamu tahu di mana letaknya dan yang akan kamu sadari hilangnya begitu ia lenyap. Apa yang kamu rasakan milikmu, kamu rawat; apa yang kamu kira aman di tangan orang lain, kamu telantarkan. Pikirkanlah album foto zaman dahulu, yang dicetak di kertas dan disimpan di sebuah laci. Pernahkah kamu mendengar seseorang berkata bahwa ia «kehilangan» album keluarganya? Yang terdengar adalah kisah rumah yang terbakar dengan album di dalamnya; tetapi kehilangannya begitu saja, tidak. Sebaliknya, orang-orang yang menyimpan semua fotonya di Google Photos atau di Apple Photos lalu tak bersisa apa pun: kisah itu kembali setiap beberapa bulan, karena mereka mengira itu aman. Google Photos merawat foto-fotomu, tentu saja; tetapi ia tidak merawatnya sebagaimana sepasang orang tua merawat album tempat anak dan cucu mereka berada. Perbedaan itu tak bisa diperbaiki oleh pusat data mana pun: tanggung jawab, ketika ia milikmu, bukan sekadar beban; ia juga jaminan terbaik. Sumber dan bacaan lebih lanjut - Peraturan (EU) 2016/679 — Pasal 28 (pemroses data), Pasal 32 (keamanan pemrosesan), Pasal 33 (pemberitahuan pelanggaran), Pasal 37 (penunjukan petugas perlindungan data). - Lembaga Perlindungan Data Spanyol — Panduan praktis untuk analisis risiko dalam pemrosesan data pribadi (revisi saat ini). Kerangka kerja bagi pengendali yang mengambil alih fungsi teknis mereka sendiri. - Dewan Perlindungan Data Eropa — Pedoman 1/2024 tentang pemrosesan data pribadi berdasarkan kepentingan sah. Berlaku juga untuk uji proporsionalitas dalam keputusan infrastruktur sendiri. - Komisi Eropa — direktori publik penyedia layanan informasi yang didirikan di yurisdiksi Eropa. Titik awal administratif untuk mengidentifikasi opsi hosting terkelola Eropa. - Nextcloud GmbH (Jerman) — Arsitektur Nextcloud Enterprise and dokumentasi kepatuhan. Kasus terdokumentasi dari perangkat lunak bebas dengan modalitas yang di-host sendiri and dikelola oleh penyedia Eropa; berguna sebagai referensi teknis dari proyek yang dipertahankan di yurisdiksi Eropa sejak 2016. --- Cuadernos Lacre · Publikasi dari Menzuri Gestión S.L. · ditulis oleh R.Eugenio · disunting oleh tim Solo2. https://solo2.net/id/buku-catatan/