Cloudflare’s Data Localisation Suite now helps customers localise metadata about their HTTP traffic.

En los últimos años se ha prestado mucha atención a la localización de datos porque varios países consideran que es una forma de controlar o proteger los datos de sus ciudadanos. Países como Australia, China, India, Brasil y Corea del Sur tienen o están estudiando normas que defienden de alguna manera la soberanía legal sobre los datos personales de sus ciudadanos. Por ejemplo, los datos sanitarios se deben almacenar localmente, las instituciones públicas solo pueden contratar proveedores de servicios locales, etc.

En la UE, la reciente decisión en el caso "Schrems II" dio lugar a requisitos adicionales para las empresas que transfieren datos personales fuera de la UE. Además, una serie de sectores, cuya regulación es más estricta, requieren que determinados tipos de datos personales permanezcan dentro de las fronteras de la UE.

Cloudflare se compromete a ayudar a nuestros clientes a mantener los datos personales en la UE. El año pasado, incorporamos nuestra solución Data Localisation Suite, que ofrece a los clientes el control sobre dónde se inspeccionan y almacenan sus datos.

Hoy nos complace anunciar el límite de metadatos del cliente, que amplía las capacidades de Data Localisation Suite para garantizar que los metadatos del tráfico del usuario final de un cliente permanezcan en la UE.

Manual de los metadatos

"Metadatos" puede ser un término que asusta, pero es un concepto sencillo. Simplemente significa "datos sobre los datos". En otras palabras, es una descripción de la actividad que ocurrió en nuestra red. Todos los servicios de Internet recopilan metadatos de alguna forma, y son esenciales para la seguridad de los usuarios y la disponibilidad de la red.

En Cloudflare, recopilamos metadatos sobre el uso de nuestros productos con varios fines:

  • Ofrecer análisis a través de nuestros paneles de control y las API.
  • Compartir los registros con los clientes.
  • Detener amenazas contra la seguridad como bots o ataques DDoS.
  • Mejorar el rendimiento de nuestra red.
  • Mantener la fiabilidad y la resistencia de nuestra red.

¿Como es esa recopilación de datos en la práctica en Cloudflare? Nuestra red se compone de decenas de servicios, tales como nuestro firewall, almacenamiento en caché, solucionador de DNS, sistemas de protección contra DDoS, tiempo de ejecución Workers y mucho más. Cada servicio emite mensajes de registro estructurados, que contienen campos como marcas de tiempo, URL, uso de las funciones de Cloudflare, identificador de la cuenta y zona del cliente.

Estos mensajes no incluyen el contenido del tráfico de los clientes, por lo que no contienen nombres de usuario, contraseñas, información personal y otros detalles privados de los usuarios finales de los clientes. Sin embargo, pueden contener las direcciones IP de los usuarios finales, que se consideran datos personales en la UE.

Localización de datos en la UE

El Reglamento general de protección de datos (RGPD) de la UE es una de las leyes de privacidad de datos más completas (y conocidas) del mundo. Sin embargo, el RGPD no insiste en que los datos personales deban permanecer en Europa. En cambio, proporciona una serie de mecanismos legales para garantizar que los datos personales de la UE dispongan de protecciones del nivel del RGPD si se transfieren fuera de la UE a un tercer país como Estados Unidos. Hasta hace poco, las transferencias de datos de la UE a EE. UU. estaban permitidas en virtud de un acuerdo denominado Marco del escudo de la privacidad entre la UE y EE. UU..

Poco después de la entrada en vigor del RGPD, un activista de la privacidad llamado Max Schrems presentó una demanda contra Facebook por sus prácticas de recopilación de datos. En julio de 2020, el Tribunal de Justicia de la UE emitió la sentencia en el caso "Schrems II", que, entre otras cosas, invalidó el marco del escudo de privacidad. Sin embargo, el tribunal confirmó otros mecanismos de transferencia válidos que garantizan que las autoridades gubernamentales estadounidenses no accedan a los datos personales de la UE de ningún modo que infrinja el RGPD.

Desde la decisión Schrems II, muchos clientes nos han preguntado cómo protegemos los datos de los ciudadanos de la UE. Afortunadamente, Cloudflare ha contado con salvaguardias de protección de datos desde mucho antes del caso Schrems II, como nuestros compromisos líderes en la industria sobre solicitudes de datos gubernamentales. En respuesta a Schrems II, en particular, actualizamos nuestro anexo de procesamiento de datos del cliente (DPA). Incorporamos las últimas cláusulas contractuales estándar, que son acuerdos legales aprobados por la Comisión de la UE que permiten la transferencia de datos. También añadimos salvaguardas adicionales, tal y como se indica en las Recomendaciones sobre medidas complementarias del Comité europeo de protección de datos (CEPD) de junio de 2021. Por último, los servicios de Cloudflare están certificados según la norma ISO 27701, que se corresponde con los requisitos del RGPD.

A la luz de estas medidas, creemos que nuestros clientes de la UE pueden utilizar los servicios de Cloudflare de manera coherente con el RGPD y la decisión Schrems II. Aun así, reconocemos que muchos de nuestros clientes quieren que sus datos personales de la UE permanezcan en la UE. Por ejemplo, algunos de nuestros clientes de los sectores sanitario, jurídico o financiero pueden tener requisitos adicionales.  Por ello, hemos desarrollado un conjunto de servicios opcionales para responder a esas necesidades, que llamamos Data Localisation Suite.

Cómo ayuda Data Localisation Suite hoy en día

La localización de datos es un reto para los clientes debido al volumen y la variedad de datos que manejan. Cuando se trata de su tráfico de Cloudflare, hemos descubierto que los clientes se preocupan principalmente por tres áreas:

  1. ¿Cómo me aseguro de que mis claves de encriptación permanezcan en la UE?
  2. ¿Cómo puedo asegurarme de que servicios como la caché y el WAF solo se ejecuten en la UE?
  3. ¿Cómo se puede garantizar que los metadatos no se transfieran nunca fuera de la UE?

Para responder a la primera de ellas, Cloudflare ofrece desde hace tiempo SSL sin clave y Geo Key Manager, que garantizan que el material de las claves privadas SSL/TLS nunca salga de la UE. SSL sin clave garantiza que Cloudflare nunca tenga en su poder el material de la clave privada. Por su parte, Geo Key Manager utiliza SSL sin clave para garantizar que las claves nunca salgan de la región especificada.

El año pasado abordamos la segunda preocupación con Regional Services, que garantiza que Cloudflare solo podrá descifrar e inspeccionar el contenido del tráfico HTTP dentro de la UE. En otras palabras, las conexiones SSL solo se terminarán en la UE, y todos nuestros servicios de seguridad y rendimiento de capa 7 solo se ejecutarán en nuestros centros de datos de la UE.

Hoy en día, estamos permitiendo a los clientes abordar la tercera y última preocupación, y conservar también los metadatos localmente.

Cómo funciona el límite de los metadatos

El límite de los metadatos de los clientes garantiza, sencillamente, que los metadatos del tráfico de los usuarios finales que pueden identificar a un cliente permanezcan en la UE. Esto incluye todos los registros y análisis que ve un cliente.

¿Cómo podemos hacerlo? Todos los metadatos que pueden identificar a un cliente fluyen a través de un único servicio en nuestro perímetro, antes del envío a uno de nuestros centros de datos centrales.

Cuando se activa el límite de metadatos para un cliente, nuestro perímetro garantiza que cualquier mensaje de registro que identifique a ese cliente (es decir, que contenga el Id. de cuenta de ese cliente) no se transfiera fuera de la UE. Solo se enviará a nuestro centro de datos principal en Luxemburgo, y no a nuestro centro de datos principal en los Estados Unidos.

The Metadata Boundary ensures that a customer’s end user traffic metadata stays in the EU

¿Y ahora qué?

En la actualidad, Data Localisation Suite se centra en ayudar a nuestros clientes de la UE a localizar los datos de su tráfico HTTP entrante. Esto incluye nuestra caché, firewall, protección DDoS y gestión de bots.

Los clientes nos han hecho saber que quieren ampliar la localización de datos a más productos y más regiones. Esto significa hacer que todos nuestros productos de localización de datos, incluidos Geo Key Manager y Regional Services, funcionen a nivel mundial. También estamos trabajando en la ampliación del límite de metadatos para incluir nuestros productos Zero Trust, como Cloudflare for Teams. ¡No pierdas detalle!