Nota do tradutor. O Simple Analytics é um serviço de análise de sites voltado para a privacidade (de certa forma, o oposto do Google Analytics)
Como fundador do Simple Analytics, sempre me lembrei da importância da confiança e da transparência para nossos clientes. Somos responsáveis por eles para que possam dormir em paz. A escolha deve ser ótima em termos de confidencialidade para visitantes e clientes. Portanto, uma das questões mais importantes para nós foi a escolha do local do servidor.
Nos últimos meses, mudamos gradualmente nossos servidores para a Islândia. Quero explicar como tudo aconteceu e, o mais importante, por quê. Não foi um processo fácil e gostaria de compartilhar nossa experiência. O artigo tem alguns detalhes técnicos que tentei escrever em uma linguagem clara, mas peço desculpas se forem muito técnicos.
Por que migrar servidores?
Tudo começou com o fato de nosso site ter sido adicionado ao
EasyList . Esta é uma lista de nomes de domínio para bloqueadores de anúncios. Perguntei por que fomos adicionados, porque não rastreamos visitantes. Até
obedecemos a configuração Não rastrear no navegador.
Eu escrevi
este comentário sobre a
solicitação de pool no GitHub :
[...] Então, se continuarmos bloqueando boas empresas que respeitam a privacidade dos usuários, qual o sentido? Acho que isso está errado, você não deve colocar cada empresa na lista apenas porque ela envia uma solicitação. [...]
E recebi uma
resposta de
@ cassowary714 :
Todo mundo concorda com você, mas eu não quero que meus pedidos sejam enviados para uma empresa americana (no seu caso, o Digital Ocean [...]
No começo, não gostei da resposta, mas em uma discussão com a comunidade, eles apontaram que estava certo. O governo dos EUA pode realmente acessar nossos dados de usuário. Naquela época, nossos servidores realmente trabalhavam para a Digital Ocean, eles podiam simplesmente ejetar nosso disco e ler os dados.
Existe uma solução técnica para o problema. Você pode fazer com que uma unidade roubada (ou desconectada por algum motivo) seja inadequada para outras pessoas. A criptografia completa dificulta o acesso na ausência de uma chave (
nota: somente o Simple Analytics possui uma chave ). Você ainda pode obter pequenos dados lendo fisicamente a RAM do servidor. O servidor não pode funcionar sem RAM, portanto, nesse aspecto, você deve confiar no provedor de hospedagem.
Isso me fez pensar para onde mover nossos servidores.
Lugar novo
Comecei a pesquisar nessa direção e me deparei com uma página da Wikipedia com uma
lista de países marcados pela censura e vigilância dos usuários . Há uma lista de "inimigos da Internet" da organização não governamental internacional Repórteres Sem Fronteiras, localizada em Paris e que defende a liberdade de imprensa. Um país é classificado como inimigo da Internet quando "não apenas censura notícias e informações na Internet, mas também realiza repressões quase sistemáticas contra os usuários".
Além desta lista, existe uma aliança chamada
Five Eyes, também conhecida como FVEY. Esta é uma união da Austrália, Canadá, Nova Zelândia, Reino Unido e EUA. Nos últimos anos, documentos mostraram que espionam intencionalmente os cidadãos e trocam informações coletadas para contornar as restrições legislativas à espionagem no país (
fontes ). O ex-oficial da NSA Edward Snowden descreveu o FVEY como "uma organização supranacional de inteligência que não obedece às leis de seus países". Existem outros países que trabalham com o FVEY em outras cooperativas internacionais, incluindo Dinamarca, França, Holanda, Noruega, Bélgica, Alemanha, Itália, Espanha e Suécia (os chamados 14 Eyes). Não pude encontrar evidências de que a aliança 14 Eyes estivesse abusando da inteligência.
Depois disso, decidimos que não estaríamos hospedados em nenhum dos países da lista de "inimigos da Internet" e definitivamente pularíamos os países da aliança 14 Eyes. O fato da vigilância coletiva é suficiente para se recusar a armazenar os dados de nossos clientes lá.
Em relação à Islândia, a página da Wikipedia mencionada acima tem a seguinte redação:
A constituição da Islândia proíbe a censura e existe uma forte tradição de proteger a liberdade de expressão que se estende à Internet. [...]
Islândia
Durante a busca por um país melhor do ponto de vista da proteção da privacidade, a Islândia apareceu várias vezes. Então eu decidi estudá-lo com cuidado. Lembre-se de que não falo islandês, e é por isso que perdi informações importantes.
Deixe-me saber se você tem alguma informação sobre o assunto.
De acordo com o
relatório Freedom on the Net 2018 da Freedom House, a Islândia e a Estônia marcaram 6/100 pontos em termos de censura (quanto menor, melhor). Este é o melhor resultado. Lembre-se de que nem todos os países foram avaliados.
A Islândia não é membro da União Europeia, embora seja membro do Espaço Econômico Europeu e concordou em seguir as leis de consumo e negócios semelhantes às de outros estados membros. Isso inclui a Lei de Comunicações Eletrônicas (Lei de Comunicações Eletrônicas 81/2003), que introduziu requisitos de armazenamento de dados.
A lei se aplica aos provedores de serviços de telecomunicações e prevê o armazenamento de registros por seis meses. Ele também afirma que as empresas só podem fornecer informações sobre telecomunicações em questões criminais ou sobre segurança pública e que essas informações não podem ser fornecidas a ninguém que não seja a polícia ou o Ministério Público.
Embora a Islândia geralmente siga as leis do Espaço Econômico Europeu, ela tem uma abordagem própria para proteger a privacidade. Por exemplo, a
Lei de Proteção de Dados da Islândia incentiva o anonimato dos dados do usuário. Os provedores e hosters de serviços de Internet não são legalmente responsáveis pelo conteúdo que publicam ou transmitem. De acordo com a lei islandesa, o registrador de domínio (
ISNIC ) é responsável pela legalidade do uso do domínio .is. O governo não impõe restrições à comunicação anônima e não exige registro ao comprar cartões SIM.
Outra vantagem de se mudar para a Islândia é o clima e a localização. Os servidores geram muito calor e a temperatura média anual em Reykjavik (capital da Islândia, onde a maioria dos data centers está localizada) é de 4,67 ° C, portanto, este é um ótimo local para resfriar os servidores. Para cada watt na operação de servidores e equipamentos de rede, pouquíssimos watts são gastos proporcionalmente para refrigeração, iluminação e outras despesas gerais. Além disso, a Islândia é o maior produtor mundial de energia “limpa” per capita e geralmente o maior produtor de eletricidade per capita, com aproximadamente 55.000 kWh por pessoa por ano. Para comparação, a média da UE é inferior a 6.000 kWh. A maioria dos hosters na Islândia recebe 100% de sua eletricidade de fontes renováveis.
Se você desenhar uma linha direta de São Francisco a Amsterdã, atravessará a Islândia. O Simple Analytics tem a maioria dos clientes dos EUA e da Europa; portanto, faz sentido escolher esse local geográfico. Vantagens adicionais a favor da Islândia são leis que protegem a privacidade e uma abordagem ambiental.
Migração de servidor
Primeiro, você tinha que encontrar um provedor de hospedagem local. Existem muitos deles, e é realmente difícil determinar o melhor. Como não tínhamos recursos para testar todos, escrevemos vários scripts automáticos (
Ansible ) para configurar o servidor, para que pudéssemos alternar facilmente para outro hoster, se necessário. Estabelecemos a empresa em
1984 com o lema "Protegendo a privacidade e os direitos civis desde 2006". Gostamos desse lema e fizemos algumas perguntas sobre como eles processam nossos dados. Eles nos tranquilizaram e continuamos a instalar o servidor principal. E eles usam eletricidade apenas de fontes renováveis.
No entanto, durante esse processo, encontramos vários obstáculos. Esta parte do artigo é bastante técnica. Sinta-se livre para passar para o próximo. Quando você tem um servidor criptografado, ele é desbloqueado usando a chave privada. Essa chave não pode ser armazenada no próprio servidor, ou seja, é necessário inseri-la remotamente quando o servidor inicializar. Espere, o que acontece quando você desliga a energia? Acontece que todas as solicitações de páginas da web para o servidor não serão executadas após uma reinicialização?
É por isso que adicionamos um servidor secundário primitivo na frente do servidor principal. Ele simplesmente recebe solicitações para visualizar páginas e as envia diretamente para o servidor principal. Se o servidor principal travar, o servidor secundário salvará as solicitações em seu próprio banco de dados e as repetirá até receber uma resposta. Assim, após uma falha de energia, não há perda de dados.
Vamos voltar ao carregamento do servidor. Quando o servidor principal criptografado é carregado, precisamos inserir a senha. Mas não queremos ir à Islândia ou pedir a alguém para entrar na sala dos servidores, por razões óbvias. Para acesso remoto ao servidor, geralmente é usado o protocolo SSH seguro. Mas este programa está disponível apenas durante a operação do servidor ou do computador e precisamos nos conectar antes que o servidor seja totalmente carregado.
Então encontramos o
Dropbear , um cliente SSH muito pequeno que pode ser executado a partir do
disco na RAM para a inicialização (initramfs). E você pode permitir conexões externas via SSH. Agora você não precisa voar para a Islândia para carregar nosso servidor, parabéns!
A mudança para um novo servidor na Islândia levou algumas semanas, mas estamos felizes por finalmente termos conseguido.
Armazene apenas os dados necessários
Vivemos no Simple Analytics com o princípio de "Armazenar apenas os dados necessários", coletando o valor mínimo.
Os aplicativos da Web geralmente praticam a
exclusão de dados simples. Isso significa que os dados não são realmente excluídos, mas simplesmente se tornam inacessíveis ao usuário final. Nós não fazemos isso - se você excluir seus dados, eles desaparecerão do nosso banco de dados. Usamos remoção rígida.
Nota: eles permanecerão em backups criptografados por no máximo 90 dias. Em caso de erro, podemos restaurá-los.Não temos campos delete_at ;-)
É importante que os clientes saibam quais dados são armazenados e quais são excluídos. Quando alguém exclui seus dados,
conversamos diretamente sobre eles . O usuário e suas análises são excluídos do banco de dados. Também excluímos o cartão de crédito e o email do Stripe (provedor de pagamento). Mantemos o histórico de pagamentos necessário para pagar impostos e mantemos nossos arquivos de log e backups de banco de dados por 90 dias.
Pergunta: se você armazena apenas um mínimo de dados confidenciais, por que precisa de toda essa proteção e segurança adicional?
Bem, queremos ser a melhor empresa de análise orientada à privacidade do mundo. Faremos tudo o que estiver ao nosso alcance para fornecer as melhores ferramentas de análise sem interferir na privacidade de seus visitantes. Mesmo protegendo grandes volumes de informações anônimas sobre os visitantes, queremos mostrar que levamos a privacidade muito a sério.
O que vem a seguir?
Quando melhoramos a privacidade, a velocidade de carregamento de scripts incorporados nas páginas da Web aumentou um pouco. Isso faz sentido porque eles costumavam ser hospedados na CDN da CloudFlare, uma coleção de servidores em todo o mundo que acelera os downloads para todos. Agora, estamos pensando em criar uma CDN muito simples com servidores criptografados que enviarão apenas nosso JavaScript e armazenarão temporariamente solicitações de páginas da web antes de enviá-las ao servidor principal na Islândia.