Compromisso dos Provedores com a Privacidade: Versão 1.0

Traduções: Castelhano, Inglês

Preâmbulo

Este documento contém vários aspectos sociais e técnicos que devem levar a um tratamento mais seguro dos dados privados dos usuários.

À luz da vigilâcia crescente e medidas repressivas estabelecidas por muitos governos na primeira década deste milênio, é cada vez mais necessário melhorar o entendimento e a consciência dos usuários/as sobre as questões relacionadas à privacidade, assim como os níveis de privacidade oferecidos por coletivos técnicos e grupos.

Com esse rascunho, estamos tentando criar mais transparência para nossos usuários/as. Esse documento determina o que os usuários/as podem esperar dos coletivos técnicos e grupos que o assinam, em termos de uso de criptografia, registro de IPs e armazenamento de dados. Outra razão para escrever esse documento é encorajar a conscientização sobre a privacidade/segurança entre nós. Esse rascunho deve ser usado para pressionar administradores/as de sistema, coletivos e grupos para fazerem a coisa certa. De forma a reduzir o trabalho envolvido, os coletivos técnicos assinantes e grupos devem compartilhar o conhecimento e escrever padrões que possam ser implementados por outros coletivos técnicos e grupos.

Dito isso, tenha em mente que:

  1. O fato de um coletivo técnico ou grupo assinar esse documento não é uma garantia por si só; como usuário/a, você deverá ter uma relação de confiança com o coletivo técnico ou grupo, baseado em relações pessoais, não em assinaturas. Seus dados só podem estar tão seguros como as pessoas que mantém o servidor que os hospeda.

  2. Não existe um servidor perfeitamente seguro! Erros humanos e bugs de software podem expor seus dados, revelar sua identidade, enviar você para a cadeia e matar o seu gato.

  3. Nada que seu coletivo técnico ou grupo preferido faça será suficiente para protegê-lo/a do escrutínio intenso e direto de uma poderosa organização. Se você suspeita que está sendo alvo de vigilância especial, você precisa agarrar a sua privacidade com as suas próprias mãos.

Descrição dos níveis de segurança

O computador é para a indústria de informação aproximadamente o que uma usina de energia é para a indústria elétrica. -- Peter Drucker

Não existe nenhum serviço que seja ao mesmo tempo perfeitamente seguro e que também proteja totalmente a privacidade dos usuários/as finais. A política definida abaixo portanto foi feita para enumerar os diferentes níveis de segurança e privacidade. Cada coletivo técnico deve tentar alcançar o nível mais alto possível. Mesmo o nível mais alto definido, a configuração ideal pode estar além do que está proposto nesse documento. Em muitos casos será impossível preencher alguns pontos devido a vários problemas: técnicos, sociais, recursos etc. Os níveis definidos tem a intenção de tornar mais fácil para os usuários/as dos serviços entenderem, e como resultado, tomarem decisões melhores sobre a segurançá e a privacidade de seus dados. Devem também servir como guias para administradores/as de sistema que precisem de uma visão geral dos vários aspectos envolvidos nessas importantes questões e de alguns objetivos que eles possam esforçar-se para atingir.

A política define três níveis de segurança e privacidade. O primeiro nível (nível 1) contém requisitos básicos para os serviços, é definido como menos seguro e provendo menos garantia de privacidade que o "nível 2". Preenchendo os requisitos do nível mais alto (nível 3) será o maior desafio para coletivos técnicos e irá, na maior parte dos casos, proteger os dados dos usuários melhor. As seguintes descrições dos níveis tem a intenção de dar uma visão geral breve das diferenças principais entre cada um dos níveis. Por favor consulte a lista específica de requisitos para maiores detalhes. E atenção, quanto mais alto o nível, mais difícil é de alcançar ou para os usuários verificarem.

Resumo do nível 1

  • As conexões com todos os serviços são criptografadas por padrão. Se uma conexão não criptografada alternativa for oferecida, ela deve ser marcada visivelmente para avisar os usuários/as.
  • Os e-mails enviados através do serviço podem incluir informações que identifiquem o usuário/a (por exemplo, o endereço IP do host de origem)
  • Somente os dados que ainda não são publicamente acessíveis devem ser armazenados criptografados (por exemplo, dados privados do usuário/a)
  • É possível que registros (logs) com dados que identifiquem os usuários/as sejam armazenados sem criptografia.
  • A adequação com essa política é revisada pelos administradores/as pelo menos uma vez por ano.

Resumo do nível 2

  • As conexões entre usuários/as e o serviço é sempre criptografada.
  • Os e-mails não contém informações que identifiquem o usuário/a.
  • Nenhuma informação que identifique os usuários/as é armazenada em registros (logs).
  • O sistema operacional do serviço e suas configurações só são armazenados criptografadas.
  • A adequação com essa política é revisada pelos administradores/as pelo menos uma vez a cada seis meses.

Resumo do nível 3

  • Todos os serviços também estão disponíveis como serviços ocultos (hidden services) do Tor
  • Não são armazenados registros (logs).
  • A adequação a esta política é revisada pelos administradores/as pelo menos uma vez a cada três meses.

Módulos

Obviamente, cada nível de segurança/privacidade requer que você mantenha o seu software atualizado dos problemas de segurança conhecidos.

O que fazer em caso de incêndio?

Nível 1

  • Tenha certeza que você tenha meios de se comunicar com os usuários/as quando o servidor ficar offline. Isso pode ser um canal alternativo de comunicação (p.e. e-mail alternativo, telefone, ...) ou uma página web de status off-site.

E-mail

Nível 1

  • Se o servidor adiciona o endereço IP de um usuário que está enviando um e-mail através do seu serviço em qualquer lugar do e-mail, o usuário/a é informado sobre isso.
  • As conexões entre o usuário/a e o servidor são sempre criptografadas.
  • Usar (Start)TLS para trocar e-mails com outros servidores, sempre que disponível
  • O servidor deve ter seu próprio certificado SSL assinado por uma das autoridades certificadoras. Veja os documentos de boas práticas para mais detalhes.

Nível 2

  • O servidor não adiciona o endereço IP de um usuário/a que está enviando um e-mail através do seu serviço, em nenhum lugar do e-mail.
  • O TLS é requerido com o nível 2 dos servidores parceiros. Os certificados são verificados com a impressão digital.

Nível 3

  • O e-mail é também disponível como um serviço oculto (hidden service) do Tor.

Webmail

Nível 1

  • As conexões entre o servidor e o usuário/a são sempre criptografadas.
  • Se o endereço de IP do usuário aparece nos cabeçalhos do e-mail, esse fato é visivelmente marcado como inseguro.

Nível 2

  • Todas as sessões deve ser armazenadas como cookies. Os IDs das sessões não podem ser localizadas na URL.
  • O endereço de IP do usuário/a não aparece em nenhum cabeçalho de e-mail.

Nível 3

  • Devido ao fato que scripts do lado do cliente, como um Javascript, podem revelar o endereço de IP do usuário/a (essa é a razão porque usuários do Tor geralmente desativam-o), o Webmail é funcional sem isso.
  • O algoritmo de ID da sessão e os cookies não usam ou armazenam o endereço de IP dos usuários/as, nem em texto puro ou embaralhado. As sessões não são restritas para um endereço de IP (uma vez que isso impediria o acesso com ferramentas de anonimato como o Tor).
  • O webmail está também disponível como um serviço oculto (hidden service) do Tor

Os certificados e as chaves são criptografados para os serviços baseados em stream

Nível 1

  • A comunicação baseada em stream usa apenas uma configuração bem estabelecida de parâmetros criptográficos (cifras, message digests, algoritmos de criptografia assimética, etc). Veja os documentos de boas práticas para detalhes.

Nível 2

  • As chaves privadas são apenas armazenadas criptografadas.

Nível 3

  • As chaves privadas são somente armazenadas criptografadas e off-site.

Sistema de arquivos e Armazenamento

Nível 1

Os dados do usuário/a não são acessíveis publicamente, eles são armazenados criptografados, usando uma senha forte. Veja os documentos de boas práticas para detalhes. Isso inclui e-mails, banco de dados, arquivos de listas, sites restritos e outros.

Nível 2

  • A swap é armazenada criptografada.
  • O sistema operacional e sua configuração é armazenada criptografada com uma senha forte. Veja os documentos de boas práticas para detalhes.

Nível 3

  • A swap é criptografada com uma chave aleatória na inicialização.

Logs

Nível 1

  • Os logs são armazenados criptografados ou apenas na memória.

Nível 2

  • Os logs são anonimizados e não contém nenhuma informação que pode identificar as atividades dos usuários.

Nível 3

  • Nenhum log de nenhum tipo é armazenado.

Usuários

Nível 1

  • Os usuários/as são aconselhados sobre boas práticas e senhas. Veja os documentos de boas práticas para detalhes.

Nível 2

  • Os usuários/as são forçados a usarem senhas fortes, elas são medidas por um algoritmo bem conhecido de força de senha. Veja os documentos de boas práticas para detalhes.
  • As contas de terminal para usuários/as são apenas em vservers, compartimentos separados ou ambientes similares. Nenhum usuário final possui um login no servidor que provê serviços sensíveis. Veja os documentos de boas práticas para detalhes.

Nível 3

  • As contas de terminal são isoladas dos outros usuários: cada conta shell do usuário existe num ambiente chroot, o qual não é visível para o ambiente de outro usuários (arquivos, processos, etc.).

Avaliação do cumprimento da política

Nível 1

  • Auto-avaliação anual: verificar no mínimo a cada doze meses se os requisitos que deveriam ter sido alcançados realmente foram.

Nível 2

  • Auto-avaliação semestral: verificar no mínimo a cada seis meses se os requisitos que deveriam ter sido alcançados realmente foram.

Nível 3

  • Auto-avaliação trimestral: verificar no mínimo a cada três meses se os requisitos que deveriam ter sido alcançados realmente foram.

Verificação

A atual versão dessa política é assinada com uma chave OpenPGP (keyserver). Os detalhes da chaves são esses:

pub   4096R/D0645843 2011-12-28 [expires: 2013-01-31]
      Key fingerprint = CE8B A231 83EC 5CB6 9760  E02F 8BC0 E739 D064 5843
uid                  Providers Commitment for Privacy

O arquivo assinado está aqui.