Esta entrada del blog está obsoleta. Mientras tanto, hemos trasladado nuestros servidores de Islandia a los Países Bajos. He aquí la razón.
Como fundador de Simple Analytics, siempre he sido consciente de la necesidad de confianza y transparencia para nuestros clientes. Nos gustaría ser responsables de las necesidades de nuestros clientes, para que puedan dormir en paz. Las decisiones que tomamos tienen que ser óptimas, en términos de privacidad, para los visitantes y nuestros clientes. Una de las decisiones cruciales que tuvimos que tomar fue la de elegir la ubicación de nuestros servidores.
En los últimos meses, hemos trasladado gradualmente nuestros servidores a Islandia. En esta entrada del blog, me gustaría explicar cómo lo hemos conseguido y, lo que es más importante, por qué. No fue un proceso fácil y me gustaría compartir nuestros aprendizajes. Hay algunas partes técnicas en este artículo que he intentado escribir de forma comprensible, pero perdonadme si es demasiado técnico.
- ¿Por qué trasladar nuestros servidores?
- Nuestra próxima ubicación
- Islandia
- Traslado de nuestros servidores
- Sólo almacena los datos que necesita
- ¿Y ahora qué?
¿Por qué trasladar nuestros servidores?
Todo empezó con la inclusión de nuestro sitio web en EasyList. Se trata de una lista de nombres de dominio utilizados por los bloqueadores de anuncios más populares. Pregunté por qué se había añadido Simple Analytics, porque no rastreamos a los visitantes de los sitios web de nuestros clientes. Incluso respetamos la configuración "Do Not Track" del navegador.
Así que respondí lo siguiente al Pull Request en GitHub:
[...] Entonces, si seguimos bloqueando a las empresas que hacen el bien y respetan la privacidad de los usuarios, ¿qué clase de señal es bloquear simplemente a esas empresas? Creo que es un error y que no deberíamos poner a todas las empresas en la lista sólo porque envíen una solicitud. [...]
Recibí una respuesta a mi comentario de @cassowary714:
Todo el mundo dice lo mismo que tú, pero yo no quiero que mis solicitudes se envíen a una empresa estadounidense (en tu caso, Digital Ocean [...]
Al principio no me gustó esta respuesta, pero después de compartirla con mi comunidad la gente me indicó que efectivamente tenía razón sobre el hecho de que el gobierno de EE.UU. puede acceder a los datos de nuestros usuarios. En aquel momento, nuestros servidores funcionaban en Digital Ocean y podían extraer nuestro disco duro y leer nuestros datos.
La solución es algo técnica, así que tened paciencia conmigo. Puedes hacer que un disco robado (o desprendido por cualquier razón) sea inutilizable para otros. Esto se puede solucionar encriptando los datos de la unidad, lo que hace muy difícil leer los datos para las personas sin la clave de encriptación (Nota: sólo Simple Analytics tiene esta clave). Aún sería posible obtener pequeñas partes de los datos leyendo físicamente la memoria del servidor. La memoria es fácil de explicar como un tipo de unidad de disco, que es pequeño pero muy rápido que permite que el procesador del servidor funcione de manera eficiente. Un servidor no funciona sin memoria, así que tenemos que confiar en el proveedor de alojamiento.
Esto me desafió a pensar dónde trasladar nuestros servidores.
Nuestra próxima ubicación
Empecé con algunas búsquedas básicas y encontré una página de Wikipedia sobre censura y vigilancia en Internet por países. Contiene una lista de "Enemigos de Internet" elaborada por Reporteros sin Fronteras, una organización no gubernamental internacional con sede en París que aboga por la libertad de prensa, que clasifica a un país como enemigo de Internet cuando "todos estos países se distinguen no sólo por su capacidad para censurar noticias e información en línea, sino también por su represión casi sistemática de los usuarios de Internet".
Aparte de esta lista, existe una alianza llamada Five Eyes (Cinco Ojos ), también conocida como FVEY. Es una alianza de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos. En los últimos años, los documentos han demostrado que están espiando intencionadamente a los ciudadanos de los demás países y compartiendo la información recopilada entre ellos para eludir las restrictivas normativas nacionales sobre espionaje(fuentes). El ex contratista de la NSA Edward Snowden, describió a la FVEY como una "organización de inteligencia supranacional que no responde ante las leyes de sus propios países". Hay otros países que trabajan junto con la FVEY en otras cooperativas internacionales, como Dinamarca, Francia, Países Bajos, Noruega, Bélgica, Alemania, Italia, España y Suecia (los llamados 14 Ojos). No pude encontrar pruebas de que la alianza de los 14 Ojos abusara de su inteligencia combinada.
Llegados a este punto, estábamos bastante seguros de no utilizar ninguno de los países de la lista de "Enemigos de Internet" y de saltarnos los países de la lista de la alianza de los 14 Ojos. Para Simple Analytics, esto era motivo suficiente para evitar esos países a la hora de almacenar los datos de nuestros clientes.
En la página de Wikipedia mencionada anteriormente se lee lo siguiente para Islandia:
La censura está prohibida por la Constitución islandesa y existe una fuerte tradición de protección de la libertad de expresión que se extiende al uso de Internet. [...]
Islandia
Mientras investigaba cuál era el mejor país desde el punto de vista de la privacidad, Islandia aparecía una y otra vez. Así que investigué a fondo sobre Islandia. Ten en cuenta que no hablo islandés, por lo que es posible que me haya perdido información importante. Háganos saber si tiene algún comentario.
Según el informe Freedom on the Net 2018 (de Freedom House), Islandia, junto con Estonia, obtuvo un 6/100 (cuanto más bajo, mejor) en la puntuación de libertad en Internet. Esto los convierte en uno de los países más respetuosos con la privacidad. Ten en cuenta que no todos los países han sido puntuados.
El informe Libertad en la Red 2018 de ha sido eliminado. Consulta la lista de la mayoría de los países en su sitio web.
Islandia no es miembro de la Unión Europea, aunque el país forma parte del Espacio Económico Europeo y ha acordado seguir una legislación en materia de protección de los consumidores y derecho mercantil similar a la de otros Estados miembros. Esto incluye la Ley de Comunicaciones Electrónicas 81/2003, que establece requisitos de conservación de datos.
La ley se aplica a los proveedores de telecomunicaciones y obliga a conservar los registros durante seis meses. También establece que las empresas sólo pueden entregar información sobre telecomunicaciones en casos penales o sobre asuntos de seguridad pública y que dicha información no puede entregarse a nadie que no sea la policía o la fiscalía.
Aunque Islandia sigue en cierto modo la legislación del Espacio Económico Europeo, tiene su propio enfoque de la privacidad. Por ejemplo, la Ley de Protección de Datos islandesa fomenta el anonimato de los datos de los usuarios. Los ISP y los proveedores de contenidos no son legalmente responsables de los contenidos que alojan o transmiten. Según la legislación islandesa, no es el proveedor del nombre de dominio, sino el solicitante del registro de un nombre de dominio .is el responsable de garantizar que el uso del dominio está dentro de los límites de la ley(ISNIC). El gobierno no impone restricciones a la comunicación anónima y no es necesario registrarse para comprar una tarjeta SIM.
Otra ventaja de trasladarse a Islandia es el clima y la ubicación del país. Los servidores producen mucho calor y Reikiavik (la capital de Islandia, donde se ubican la mayoría de los centros de datos) tiene una temperatura media de 4,67 °C (40,41 °F), lo que significa que es un lugar ideal para refrigerar los servidores. Por cada vatio utilizado para hacer funcionar los servidores, el almacenamiento y los equipos de red, proporcionalmente se utiliza muy poco para refrigeración, iluminación y otros gastos generales. Además, Islandia es el mayor productor de energía verde per cápita del mundo y el mayor productor de electricidad per cápita, con aproximadamente 55.000 kWh por persona y año. En comparación, la media de la UE es inferior a 6.000 kWh. La mayoría de los proveedores de alojamiento en Islandia obtienen el 100% de su electricidad de fuentes de energía renovables.
Si trazamos una línea recta de San Francisco a Ámsterdam, pasaremos por Islandia. La mayoría de los clientes de Simple Analytics proceden de EE.UU. y Europa, por lo que tiene sentido elegir esta ubicación geográfica. Las leyes favorables a la privacidad y el enfoque respetuoso con el medio ambiente de Islandia nos facilitaron aún más la elección como nueva ubicación de nuestros servidores.
Traslado de nuestros servidores
En primer lugar, teníamos que encontrar un proveedor de alojamiento en Islandia. Hay bastantes y es muy difícil saber si es el mejor. No teníamos los recursos para probarlos todos, así que en su lugar, configuramos algunos scripts automáticos(Ansible) mientras configurábamos el servidor para poder cambiarnos fácilmente a otro proveedor si lo necesitábamos. Elegimos 1984, una empresa con el lema "Salvaguardando la privacidad y los derechos civiles desde 2006". Nos gustó el eslogan y les hicimos algunas preguntas sobre cómo gestionarían nuestros datos. Nos tranquilizaron y procedimos a instalar nuestro servidor principal, que sólo utiliza electricidad procedente de fuentes de energía renovables.
Sin embargo, nos encontramos con algunos obstáculos durante el proceso. Esta sección del artículo es bastante técnica. Siéntete libre de saltar a la siguiente. Cuando tengas un servidor encriptado necesitarás desbloquearlo con una clave privada. Esta clave no puede ser almacenada en el servidor ya que anula el propósito de la encriptación. Así que si la clave no está en el servidor necesitas introducirla remotamente. Así es, necesitamos introducir la clave cuando el servidor arranca. Espera, pero ¿qué pasa con un corte de energía? ¿Todas las peticiones con páginas vistas a su servidor fallan después de un reinicio?
Por eso añadimos un servidor extra delante del servidor principal. Este servidor es un poco estúpido. Sólo recibe las peticiones con páginas vistas y las envía directamente a nuestro servidor principal. Cuando el servidor principal falla, almacena las peticiones en su propia base de datos y las reenvía al servidor principal hasta que tiene éxito. Así que después de un corte de energía, ya no hay pérdida de datos.
Volvamos al arranque del servidor. Cuando el servidor principal encriptado arranca necesitamos introducir una contraseña. Pero no queremos viajar a Islandia o pedirle a alguien de allí que la introduzca, por razones obvias. Para acceder a un servidor de forma remota se suele utilizar SSH. SSH - es un protocolo de comunicación seguro, que la mayoría de la gente utiliza para comunicarse con sus servidores. SSH es un programa que es accesible cuando un servidor u ordenador está funcionando. Pero necesitábamos que se conectara antes de que el servidor estuviera completamente iniciado.
Entonces encontramos Dropbear, un programa SSH muy pequeño, que se puede ejecutar a través del ramdisk inicial (initramfs). Esto significa que podemos permitir conexiones externas vía SSH. No tenemos que volar a Islandia para arrancar nuestro servidor, ¡sí!
Después de mover nuestros datos de nuestro antiguo servidor a nuestro nuevo servidor en Islandia por fin habíamos terminado. Nos llevó un par de semanas de principio a fin, pero nos alegramos de haberlo hecho.
Sólo almacena los datos que necesita
En Simple Analytics nos regimos por el dicho: "Sólo almacena los datos que necesitas". Sólo recopilamos lo mínimo.
Es una práctica común borrar datos de forma suave en las aplicaciones. Esto significa que los datos no se eliminan realmente, sino que se hacen inaccesibles para el usuario final. Nosotros no lo hacemos: si borras tus datos, desaparecen de nuestra base de datos. Nosotros utilizamos el borrado duro. Nota: estarán en nuestras copias de seguridad encriptadas durante un máximo de 90 días. En caso de error podemos recuperar estos datos.
No tenemos campos delete_at ;-)
Para los clientes es importante saber qué datos se conservan y cuáles se borran. Cuando alguien borra sus datos le mostramos una página con exactamente eso. Borramos al usuario y su analítica de nuestra base de datos. También borramos la tarjeta de crédito y el correo electrónico de Stripe (nuestro proveedor de pagos). Mantenemos el historial de pagos, que es necesario para los impuestos, y conservamos nuestros archivos de registro y copias de seguridad de la base de datos durante 90 días.
Pregunta: Si sólo almacenáis pocos datos sensibles, ¿qué necesidad hay de toda esta protección y seguridad extra?
Bueno, queremos ser la mejor empresa de análisis del mundo centrada en la privacidad. Haremos todo lo que esté en nuestra mano para ofrecer las mejores herramientas de análisis sin invadir la privacidad de sus visitantes. Incluso protegiendo nuestras cantidades masivas de información no identificable sobre los visitantes queremos demostrar que nos tomamos la privacidad muy en serio.
¿Y ahora qué?
Lee el debate en Hacker News
Mientras mejorábamos la privacidad de nuestra plataforma, notamos un ligero aumento en el tiempo de carga de nuestros scripts incrustados. Esto tiene mucho sentido, porque estaban alojados a través de la CDN de CloudFlare. Una CDN es un conjunto de servidores alrededor del mundo para disminuir los tiempos de carga para todos. Estamos pensando en configurar una CDN muy simple con servidores encriptados, que sólo sirvan nuestro JavaScript y almacenen las páginas vistas temporalmente antes de enviarlas a nuestro servidor principal en Islandia.
¿Está dispuesto a trasladar la analítica de su negocio a una empresa respetuosa con la privacidad? Descubra lo que podemos hacer por usted.