Athugasemd þýðanda. - vefgreiningarþjónusta sem miðar að persónuvernd (að sumu leyti andstæða Google Analytics)
Sem stofnandi Simple Analytics hef ég alltaf verið meðvitaður um mikilvægi trausts og gagnsæis fyrir viðskiptavini okkar. Við berum ábyrgð á þeim svo þau geti sofið róleg. Valið ætti að vera ákjósanlegt út frá sjónarhóli einkalífs bæði gesta og viðskiptavina. Svo, eitt mikilvægasta atriðið fyrir okkur var val á staðsetningu netþjóns.
Undanfarna mánuði höfum við smám saman flutt netþjóna okkar til Íslands. Ég vil útskýra hvernig allt gerðist, og síðast en ekki síst, hvers vegna. Þetta var ekki auðvelt ferli og mig langar að deila reynslu okkar. Það eru nokkur tæknileg atriði í greininni, sem ég reyndi að skrifa á skiljanlegan hátt, en ég biðst afsökunar ef þau eru of tæknileg.
Af hverju að flytja netþjóna?
Þetta byrjaði allt þegar síðunni okkar var bætt við . Þetta er listi yfir lén fyrir auglýsingablokkara. Ég spurði hvers vegna okkur var bætt við þar sem við fylgjumst ekki með gestum. Við meira að segja „Ekki rekja“ stillingu í vafranum þínum.
ég skrifaði к :
[…] Svo ef við höldum áfram að loka á góð fyrirtæki sem virða friðhelgi notenda, hvað er þá tilgangurinn? Mér finnst þetta rangt, það á ekki að setja hvert fyrirtæki á lista bara af því að það sendir inn beiðni. […]
Og fékk frá :
Allir eru sammála þér, en ég vil ekki að beiðnir mínar séu sendar til bandarísks fyrirtækis (í þínu tilviki Digital Ocean […]
Í fyrstu leist mér ekki á svarið en í umræðum við samfélagið var mér bent á að hann hefði rétt fyrir sér. Bandarísk stjórnvöld gætu örugglega haft aðgang að gögnum notenda okkar. Á þeim tíma var Digital Ocean með netþjóna okkar í gangi, þeir gátu bara dregið út drifið okkar og lesið gögnin.
Það er tæknileg lausn á vandanum. Þú getur gert stolið (eða aftengt af einhverjum ástæðum) drif ónothæft fyrir aðra. Full dulkóðun mun gera það erfitt að fá aðgang án lykils (athugið: lykillinn er aðeins fyrir Simple Analytics). Það er samt hægt að fá smá gögn með því að lesa líkamlega vinnsluminni þjónsins. Miðlarinn getur ekki virkað án vinnsluminni, svo í þessu sambandi verður þú að treysta hýsingaraðilanum.
Þetta fékk mig til að hugsa um hvert ég ætti að flytja netþjóna okkar.
Nýr staður
Ég byrjaði að leita í þessa átt og rakst á Wikipedia síðu með . Það er listi yfir „óvini internetsins“ frá alþjóðlegu frjálsu félagasamtökunum Reporters Without Borders, sem hafa aðsetur í París og berjast fyrir fjölmiðlafrelsi. Land er flokkað sem óvinur internetsins þegar það „ritskoðar ekki aðeins fréttir og upplýsingar á internetinu heldur framkvæmir líka nánast kerfisbundna kúgun á notendum“.
Fyrir utan þennan lista er bandalag sem heitir aka FVEY. Þetta er bandalag Ástralíu, Kanada, Nýja Sjálands, Bretlands og Bandaríkjanna. Undanfarin ár hafa skjöl sýnt að þeir njósna viljandi um borgara hvers annars og deila söfnuðum upplýsingum til að sniðganga lagalegar takmarkanir á njósnum innanlands (). Fyrrum NSA verktaki Edward Snowden lýsti FVEY sem „yfirþjóðlegri leyniþjónustustofnun sem lýtur ekki lögum landa sinna. Það eru önnur lönd sem vinna með FVEY í öðrum alþjóðlegum samvinnufélögum, þar á meðal Danmörk, Frakkland, Holland, Noregur, Belgía, Þýskaland, Ítalía, Spánn og Svíþjóð (svokölluð 14 Eyes). Ég gat ekki fundið neinar vísbendingar um að 14 Eyes bandalagið væri að misnota upplýsingaöflun sem það safnar.
Eftir það ákváðum við að við myndum ekki hýsa í neinu landanna á listanum yfir „óvini internetsins“ og myndum örugglega sleppa löndum úr 14 Eyes bandalaginu. Staðreyndin um sameiginlegt eftirlit er nóg til að neita að geyma gögn viðskiptavina okkar þar.
Varðandi Ísland segir á Wikipedia-síðunni hér að ofan eftirfarandi:
Stjórnarskrá Íslands bannar ritskoðun og hefur sterka hefð fyrir því að standa vörð um tjáningarfrelsið sem nær til netsins. […]
Ísland
Í leitinni að besta landinu fyrir persónuvernd kom Ísland upp aftur og aftur. Svo ég ákvað að kynna mér það vandlega. Vinsamlegast hafðu í huga að ég tala ekki íslensku, þannig að ég gæti hafa misst af mikilvægum upplýsingum. , ef þú hefur einhverjar upplýsingar um efnið.
Samkvæmt skýrslunni frá Freedom House, samkvæmt ritskoðunarstigi, fengu Ísland og Eistland 6/100 stig (því lægra því betra). Þetta er besti árangurinn. Vinsamlegast athugaðu að ekki voru öll lönd metin.
Ísland er ekki aðili að Evrópusambandinu, þó að það sé hluti af Evrópska efnahagssvæðinu og hefur samþykkt að fylgja neytendaverndar- og viðskiptalögum svipað og í öðrum aðildarríkjum. Þar á meðal eru fjarskiptalög 81/2003, sem settu inn kröfur um gagnageymslu.
Lögin taka til fjarskiptaþjónustuaðila og krefjast þess að skrár séu varðveittar í sex mánuði. Þá segir að fyrirtæki megi einungis veita fjarskiptaupplýsingar í sakamálum eða almannaöryggismálum og að slíkum upplýsingum megi ekki deila með öðrum en lögreglu eða saksóknara.
Þó Ísland fylgi almennt lögum Evrópska efnahagssvæðisins hefur það sína eigin nálgun á persónuvernd. Til dæmis íslensk lög hvetur til nafnleyndar notendagagna. Netveitur og gestgjafar eru ekki lagalega ábyrgir fyrir því efni sem þeir birta eða senda. Samkvæmt íslenskum lögum er lénsritari (). Stjórnvöld setja engar takmarkanir á nafnlaus samskipti og krefjast ekki skráningar við kaup á SIM-kortum.
Annar kostur við að flytja til Íslands er veðurfar og staðsetning. Netþjónar framleiða mikinn hita og meðalhiti á ári í Reykjavík (höfuðborg Íslands, þar sem flest gagnaver eru staðsett) er 4,67°C, svo það er frábær staður til að kæla netþjóna. Fyrir hvert watta sem keyrir netþjóna og netbúnað er hlutfallslega mjög fáum wöttum varið í kælingu, lýsingu og annan kostnað. Þar að auki er Ísland stærsti framleiðandi hreinnar orku í heiminum á mann og stærsti raforkuframleiðandi á mann þegar á heildina er litið, með um 55 kWst á mann á ári. Til samanburðar er meðaltal ESB innan við 000 kWst. Flestir gestgjafar á Íslandi fá 6000% af raforku sinni frá endurnýjanlegum orkugjöfum.
Ef þú dregur beina línu frá San Francisco til Amsterdam ferðu yfir Ísland. Simple Analytics hefur flesta viðskiptavini sína frá Bandaríkjunum og Evrópu, svo það er skynsamlegt að velja þessa landfræðilegu staðsetningu. Aðrir kostir Íslandi í hag eru lög sem vernda friðhelgi einkalífs og umhverfisleg nálgun.
Miðlaraflutningur
Í fyrsta lagi þurftum við að finna staðbundinn hýsingaraðila. Þeir eru þónokkrir og það er mjög erfitt að ákvarða þann besta. Við höfðum ekki úrræði til að prófa alla, svo við skrifuðum nokkur sjálfvirk forskrift () til að stilla netþjóninn þannig að þú getir auðveldlega skipt yfir í annan hýsingaraðila ef þörf krefur. Við sættum okkur við fyrirtækið með kjörorðinu „Vernd friðhelgi einkalífs og borgaralegra réttinda síðan 2006“. Okkur leist vel á þetta mottó og spurðum þá nokkurra spurninga um hvernig þeir myndu meðhöndla gögnin okkar. Þeir hughreystu okkur, svo við héldum áfram með uppsetningu á aðalþjóninum. Og þeir nota bara rafmagn frá endurnýjanlegum orkugjöfum.
Hins vegar lentum við í nokkrum hindrunum í þessu ferli. Þessi hluti greinarinnar er nokkuð tæknilegur. Ekki hika við að halda áfram í næsta. Þegar þú ert með dulkóðaðan netþjón er hann opnaður með einkalyklinum. Ekki er hægt að geyma þennan lykil á þjóninum sjálfum, það er að segja að hann verður að vera fjarlægður þegar þjónninn ræsir. Bíddu, hvað gerist þegar slökkt er á rafmagninu? Það kemur í ljós að allar vefsíðubeiðnir til netþjónsins verða ekki uppfylltar eftir endurræsingu?
Þess vegna bættum við frumstæðum aukaþjóni fyrir framan aðalþjóninn. Það tekur einfaldlega á móti síðuskoðunarbeiðnum og sendir þær beint á aðalþjóninn. Ef aðalþjónninn hrynur mun aukaþjónninn vista beiðnir í eigin gagnagrunni og endurtaka þær þar til hann fær svar. Þannig er ekkert gagnatap eftir rafmagnsleysi.
Snúum okkur aftur að því að hlaða þjóninum. Þegar dulkóðaði aðalþjónninn ræsir sig þurfum við að slá inn lykilorð. En við viljum ekki fara til Íslands eða biðja neinn þar um að skrá sig inn á netþjónaherbergið, af augljósum ástæðum. Fyrir fjaraðgang að þjóninum er örugga SSH samskiptareglan venjulega notuð. En þetta forrit er aðeins í boði á meðan þjónninn eða tölvan er í gangi og við þurfum að tengjast áður en þjónninn er fullhlaðinn.
Svo fundum við , mjög lítill SSH viðskiptavinur sem hægt er að keyra frá (initramfs). Og þú getur leyft ytri tengingar í gegnum SSH. Nú þarftu ekki að fljúga til Íslands til að hlaða netþjóninum okkar, húrra!
Það tók okkur nokkrar vikur að færa okkur yfir á nýja netþjóninn á Íslandi, en við erum ánægð með að loksins tókst það.
Geymdu aðeins nauðsynleg gögn
Við hjá Simple Analytics lifum eftir meginreglunni um „Geymdu aðeins nauðsynleg gögn“ og söfnum lágmarksmagni þeirra.
Oft notað í vefforritum gögn. Þetta þýðir að gögnunum er í raun ekki eytt, heldur verða þau einfaldlega ófáanleg fyrir endanotandann. Við gerum þetta ekki - ef þú eyðir gögnunum þínum hverfa þau úr gagnagrunninum okkar. Við notum harða eyðingu. Athugið: Þeir verða áfram í dulkóðuðu afriti í að hámarki 90 daga. Ef upp koma villur getum við endurheimt þær.
Við erum ekki með delete_at reiti 😉
Mikilvægt er fyrir viðskiptavini að vita hvaða gögn eru geymd og hverju er eytt. Þegar einhver eyðir gögnum sínum, . Notandinn og greiningar hans eru fjarlægðar úr gagnagrunninum. Við fjarlægjum einnig kreditkortið og tölvupóstinn frá Stripe (greiðsluveitanda). Við höldum greiðslusögu, sem er krafist vegna skatta, og geymum annálaskrár okkar og afrit af gagnagrunni í 90 daga.
Spurning: Ef þú geymir aðeins lágmarks viðkvæm gögn, hvers vegna þarftu þá alla þessa vernd og viðbótaröryggi?
Jæja, við viljum vera besta greiningarfyrirtæki heims með áherslu á persónuvernd. Við munum gera okkar besta til að bjóða upp á bestu greiningartækin án þess að ráðast inn á friðhelgi gesta þinna. Jafnvel þar sem við verndum mikið magn nafnlausra gestaupplýsinga, viljum við sýna að við tökum persónuvernd mjög alvarlega.
Hvað er næst?
Þegar við bættum friðhelgi einkalífsins jókst hleðsluhraði forskrifta sem voru felld inn á vefsíður lítillega. Þetta er skynsamlegt vegna þess að þeir voru áður hýstir á CloudFlare CDN, sem er safn netþjóna um allan heim sem flýtir fyrir hleðslutíma fyrir alla. Við erum núna að hugsa um að setja upp mjög einfalt CDN með dulkóðuðum netþjónum sem mun aðeins þjóna JavaScript okkar og geyma vefsíðubeiðnir tímabundið áður en þær eru sendar á aðalþjóninn á Íslandi.
Heimild: www.habr.com