Nota del traductor. Simple Analytics es un servicio de análisis de sitios web orientado a la privacidad (de alguna manera lo opuesto a Google Analytics)
Como fundador de Simple Analytics, siempre recordé la importancia de la confianza y la transparencia para nuestros clientes. Somos responsables de ellos para que puedan dormir tranquilos. La elección debe ser óptima en términos de confidencialidad tanto para los visitantes como para los clientes. Entonces, uno de los problemas más importantes para nosotros fue la elección de la ubicación del servidor.
En los últimos meses, hemos trasladado gradualmente nuestros servidores a Islandia. Quiero explicar cómo sucedió todo y, lo más importante, por qué. No fue un proceso fácil y me gustaría compartir nuestra experiencia. El artículo tiene algunos detalles técnicos que intenté escribir en un lenguaje claro, pero me disculpo si son demasiado técnicos.
¿Por qué migrar servidores?
Todo comenzó con el hecho de que nuestro sitio se agregó a
EasyList . Esta es una lista de nombres de dominio para bloqueadores de anuncios. Pregunté por qué nos agregaron, porque no rastreamos a los visitantes. Incluso
obedecemos la configuración de No rastrear en el navegador.
Escribí
este comentario en la
solicitud de grupo en GitHub :
[...] Entonces, si continuamos bloqueando buenas compañías que respetan la privacidad de los usuarios, ¿cuál es el punto? Creo que esto está mal, no debe poner a cada compañía en la lista solo porque envía una solicitud. [...]
Y recibí una
respuesta de
@ cassowary714 :
Todos están de acuerdo con usted, pero no quiero que mis solicitudes se envíen a una empresa estadounidense (en su caso, Digital Ocean [...]
Al principio no me gustó la respuesta, pero en una discusión con la comunidad señalaron que era correcta. El gobierno de los Estados Unidos puede acceder a nuestros datos de usuario. En ese momento, nuestros servidores realmente funcionaban para Digital Ocean, simplemente podían expulsar nuestro disco y leer los datos.
Hay una solución técnica al problema. Puede hacer que una unidad robada (o desconectada por alguna razón) no sea adecuada para otros. El cifrado completo dificultará el acceso en ausencia de una clave (
nota: solo Simple Analytics tiene una clave ). Aún puede obtener pequeños datos al leer físicamente la RAM del servidor. El servidor no puede funcionar sin RAM, por lo que a este respecto debe confiar en el proveedor de alojamiento.
Esto me hizo preguntarme dónde mover nuestros servidores.
Nuevo lugar
Comencé a buscar en esta dirección y encontré una página de Wikipedia con una
lista de países marcados por la censura y la vigilancia de los usuarios . Hay una lista de "enemigos de Internet" de la organización internacional no gubernamental Reporteros sin Fronteras, que se encuentra en París y aboga por la libertad de prensa. Un país se clasifica como enemigo de Internet cuando "no solo censura las noticias e información en Internet, sino que también lleva a cabo represiones casi sistemáticas contra los usuarios".
Más allá de esta lista, hay una alianza llamada
Five Eyes, también conocida como FVEY. Esta es una unión de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos. En los últimos años, los documentos han demostrado que espían intencionalmente a los ciudadanos de los demás e intercambian información recopilada para eludir las restricciones legislativas al espionaje dentro del país (
fuentes ). El ex oficial de la NSA Edward Snowden describió a FVEY como "una organización de inteligencia supranacional que no obedece las leyes de sus países". Hay otros países que trabajan con FVEY en otras cooperativas internacionales, como Dinamarca, Francia, los Países Bajos, Noruega, Bélgica, Alemania, Italia, España y Suecia (los llamados 14 ojos). No pude encontrar evidencia de que la alianza 14 Eyes estaba abusando de la inteligencia.
Después de eso, decidimos que no estaríamos alojados en ninguno de los países de la lista de "enemigos de Internet" y que definitivamente saltaríamos a los países de la alianza 14 Eyes. El hecho de la vigilancia colectiva es suficiente para negarse a almacenar allí los datos de nuestros clientes.
Con respecto a Islandia, la página de Wikipedia antes mencionada dice lo siguiente:
La constitución de Islandia prohíbe la censura, y existe una fuerte tradición de proteger la libertad de expresión que se extiende a Internet. [...]
Islandia
Durante la búsqueda de un país mejor desde el punto de protección de la privacidad, Islandia apareció una y otra vez. Entonces decidí estudiarlo cuidadosamente. Tenga en cuenta que no hablo islandés, por lo que podría haberme perdido información importante.
Avíseme si tiene alguna información sobre el tema.
Según
el informe
Freedom on the Net 2018 de Freedom House, Islandia y Estonia obtuvieron 6/100 puntos en términos de niveles de censura (cuanto más bajo, mejor). Este es el mejor resultado. Tenga en cuenta que no todos los países han sido evaluados.
Islandia no es miembro de la Unión Europea, aunque es parte del Espacio Económico Europeo y ha acordado seguir una ley de consumo y comercial similar a la de otros estados miembros. Esto incluye la Ley de comunicaciones electrónicas (Ley de comunicaciones electrónicas 81/2003), que introdujo requisitos de almacenamiento de datos.
La ley se aplica a los proveedores de servicios de telecomunicaciones y prevé el almacenamiento de registros durante seis meses. También establece que las empresas solo pueden proporcionar información sobre telecomunicaciones en materia penal o sobre seguridad pública, y que dicha información no se puede proporcionar a nadie más que a la policía o los fiscales.
Aunque Islandia generalmente sigue las leyes del Espacio Económico Europeo, tiene su propio enfoque para proteger la privacidad. Por ejemplo, la
Ley de Protección de Datos de Islandia fomenta el anonimato de los datos de los usuarios. Los proveedores de servicios de Internet y los proveedores de alojamiento no son legalmente responsables por el contenido que publican o transmiten. Según la ley islandesa, el registrador de dominios (
ISNIC ) es responsable de la legalidad del uso del dominio .is. El gobierno no impone restricciones a la comunicación anónima y no requiere registro al comprar tarjetas SIM.
Otra ventaja de mudarse a Islandia es el clima y la ubicación. Los servidores generan mucho calor, y la temperatura media anual en Reikiavik (la capital de Islandia, donde se encuentran la mayoría de los centros de datos) es de 4,67 ° C, por lo que este es un gran lugar para enfriar los servidores. Por cada vatio para la operación de servidores y equipos de red, se gastan muy pocos vatios proporcionalmente para enfriamiento, iluminación y otros gastos generales. Además, Islandia es el mayor productor mundial de energía "limpia" per cápita y, en general, el mayor productor de electricidad per cápita, con aproximadamente 55,000 kWh por persona por año. A modo de comparación, el promedio de la UE es inferior a 6,000 kWh. La mayoría de los hosteleros en Islandia reciben el 100% de su electricidad de fuentes renovables.
Si trazas una línea directa desde San Francisco a Amsterdam, cruzarás Islandia. Simple Analytics tiene la mayoría de los clientes de EE. UU. Y Europa, por lo que tiene sentido elegir esta ubicación geográfica. Ventajas adicionales a favor de Islandia son leyes que protegen la privacidad y un enfoque ambiental.
Migración del servidor
Primero, tenía que encontrar un proveedor de alojamiento local. Hay muchos de ellos, y es realmente difícil determinar el mejor. No teníamos los recursos para probar a todos, por lo que escribimos varios scripts automáticos (
Ansible ) para configurar el servidor para que pudiéramos cambiar fácilmente a otro proveedor de alojamiento si fuera necesario. Nos decidimos por la compañía de
1984 con el lema "Protección de la privacidad y los derechos civiles desde 2006". Nos gustó este lema y les hicimos algunas preguntas sobre cómo procesarán nuestros datos. Nos tranquilizaron, así que continuamos instalando el servidor principal. Y usan electricidad solo de fuentes renovables.
Sin embargo, durante este proceso, encontramos varios obstáculos. Esta parte del artículo es bastante técnica. Siéntase libre de pasar al siguiente. Cuando tiene un servidor cifrado, se desbloquea con la clave privada. Esta clave no se puede almacenar en el servidor en sí, es decir, debe ingresarla de forma remota cuando se inicia el servidor. Espera, ¿qué pasa cuando apagas la corriente? ¿Resulta que todas las solicitudes de página web al servidor no se ejecutarán después de un reinicio?
Es por eso que agregamos un servidor secundario primitivo frente al servidor principal. Simplemente recibe solicitudes para ver páginas y las envía directamente al servidor principal. Si el servidor primario falla, el servidor secundario guardará las solicitudes en su propia base de datos y las repetirá hasta que reciba una respuesta. Por lo tanto, después de una falla de energía no hay pérdida de datos.
Volvamos a la carga del servidor. Cuando se carga el servidor principal encriptado, necesitamos ingresar la contraseña. Pero no queremos ir a Islandia o pedirle a alguien que ingrese a la sala de servidores, por razones obvias. Para el acceso remoto al servidor, generalmente se usa el protocolo SSH seguro. Pero este programa está disponible solo durante la operación del servidor o la computadora, y necesitamos conectarnos antes de que el servidor esté completamente cargado.
Entonces encontramos
Dropbear , un cliente SSH muy pequeño que se puede ejecutar desde el
disco en la RAM para la inicialización inicial (initramfs). Y puede permitir conexiones externas a través de SSH. Ahora no tiene que volar a Islandia para cargar nuestro servidor, ¡salud!
Pasarnos a un nuevo servidor en Islandia nos llevó un par de semanas, pero estamos contentos de que finalmente lo hayamos hecho.
Almacenar solo los datos necesarios
Vivimos en Simple Analytics según el principio de "Almacenar solo los datos necesarios", recolectando la cantidad mínima.
Las aplicaciones web a menudo practican la
eliminación de datos de
software . Esto significa que los datos no se eliminan realmente, sino que simplemente se vuelven inaccesibles para el usuario final. No hacemos esto: si elimina sus datos, desaparecerán de nuestra base de datos. Usamos remoción dura.
Nota: permanecerán en copias de seguridad cifradas durante un máximo de 90 días. En caso de error, podemos restaurarlos.No tenemos campos delete_at ;-)
Es importante que los clientes sepan qué datos se almacenan y cuáles se eliminan. Cuando alguien elimina sus datos,
hablamos directamente sobre ellos . El usuario y sus análisis se eliminan de la base de datos. También eliminamos la tarjeta de crédito y el correo electrónico de Stripe (proveedor de pagos). Mantenemos el historial de pagos necesario para pagar impuestos y conservamos nuestros archivos de registro y copias de seguridad de la base de datos durante 90 días.
Pregunta: si solo almacena un mínimo de datos confidenciales, ¿por qué necesita toda esta protección y seguridad adicional?
Bueno, queremos ser la mejor empresa de análisis orientada a la privacidad del mundo. Haremos todo lo que esté a nuestro alcance para proporcionar las mejores herramientas de análisis sin interferir en la privacidad de sus visitantes. Incluso mientras protegemos grandes volúmenes de información anónima sobre los visitantes, queremos mostrar que nos tomamos muy en serio la privacidad.
Que sigue
Cuando mejoramos la privacidad, la velocidad de carga de scripts incrustados en páginas web aumentó ligeramente. Esto tiene sentido porque solían estar alojados en el CDN de CloudFlare, una colección de servidores en todo el mundo que aceleran las descargas para todos. Ahora estamos pensando en crear un CDN muy simple con servidores encriptados que solo envíen nuestro JavaScript y almacenen temporalmente las solicitudes de la página web antes de enviarlas al servidor principal en Islandia.