Arrancamos la Semana de la privacidad y la conformidad de Cloudflare. A lo largo de estos días os informaremos de qué forma nuestros clientes pueden utilizar nuestros servicios para garantizar que actúan de conformidad con un conjunto de normas y leyes cada vez más complejas en todo el mundo.
Cuando Cloudflare inició su andadura, Michelle, Lee y yo hablábamos del negocio que queríamos emprender y repetíamos una palabra todo el tiempo: confianza. Nos dimos cuenta desde el principio que si no éramos dignos de confianza entonces nadie elegiría nunca enrutar su tráfico de Internet a través de Cloudflare. Por encima de todo, nuestro negocio se basa en la confianza.
Cada empleado de Cloudflare asiste a un programa de introducción y una de las sesiones que imparto se titula: "¿Qué es Cloudflare?". Lleno pizarras de anotaciones y esquemas explicando nuestra posición en el mercado, pero siempre dejo una vacía para poder escribir al final la palabra CONFIANZA, en mayúsculas, y subrayarla tres veces. La confianza es la base de nuestro negocio.
Baluartes de nuestros clientes desde el primer día
Por eso hemos tomado decisiones que tal vez sea lo que les ha faltado a otras empresas. En enero de 2013, el FBI llamó a nuestra puerta con una carta de seguridad nacional solicitando información sobre un cliente. Fue espeluznante.
En ese momento teníamos una plantilla de menos de 30 empleados. Los agentes, aunque profesionales, eran intimidantes. La carta nos ordenaba entregar información y nos prohibía comentarla con nadie, excepto con nuestros abogados.
Las fuerzas del orden desempeñan su función, pero las cartas de seguridad nacional, que en ese momento no tenían prácticamente ningún control, podían ser redactadas y aplicadas por cualquier dependencia del Gobierno de Estados Unidos, silenciaban a los destinatarios para que nunca hicieran mención sobre ellas y contravenían los principios fundamentales del procedimiento reglamentario. Así las cosas, decidimos demandar al Gobierno de Estados Unidos.
Agradezco a la junta de Cloudflare que nos animara a luchar siempre por nuestros principios y también a la organización Fundación Frontera Electrónica, que nos defendió en el caso. La investigación se prolongó varios años y nos prohibieron hablar de ello hasta el 2017, pero finalmente el FBI retiró la carta y el Congreso adoptó medidas para reformar la ley y asegurar un mecanismo de supervisión más eficaz. Las fuerzas del orden desempeñan su función, pero cuando se cruza una línea y se infringen los principios básicos del procedimiento reglamentario, entonces creemos que es importante hacerles frente.
Todo es cuestión de confianza.
Sabemos que no son nuestros datos
Lo mismo sucede con la parte comercial de nuestro negocio. Tan pronto como Cloudflare empezó a despuntar, las compañías de tecnología publicitarias llamaron a nuestra puerta: "¿Os hacéis una idea de cuánto podríais ganar si nos dejáis insertar cookies y rastrear a las personas que pasan por vuestra red?". Asistí a muchas de esas reuniones en nuestros comienzos, pero siempre salía con una sensación de malestar. En una ocasión cuando hablaba de esto con Michelle, resumió de forma bastante concisa por qué nunca estaríamos en el negocio de la publicidad: “No son nuestros datos”.
Y así es. Los márgenes de nuestros clientes que publican anuncios en sus sitios web se verían mermados en la práctica si vendiéramos los datos. Y, lo que es más importante, si fuéramos un servicio "fantasma" que te rastreara en línea sin tu conocimiento, entonces fracasaríamos. Aunque pensamos que puede haber buenas compañías financiadas por publicidad integrada, Cloudflare nunca será una de ellas.
Como resultado, siempre hemos considerado cualquier información de identificación personal que pasa a través de nuestra red como un activo tóxico y la hemos depurado lo más rápido posible. Este enfoque pude generar tensiones porque somos una empresa de seguridad y parte de la seguridad requiere que seamos capaces de saber, por ejemplo, si una dirección IP en particular está enviando tráfico DDoS. Hemos invertido en el desarrollo y puesta en marcha de tecnologías, como Universal SSL, Privacy Pass, Encrypted DNS y ESNI, que mantienen los datos confidenciales en privado, incluso de nosotros mismos.
De nuevo, todo es cuestión de confianza.
La privacidad en nuestro ADN
Si bien Cloudflare comenzó su andadura en California, nuestra perspectiva ha sido global desde nuestros inicios. Hoy en día, casi la mitad de nuestros ejecutivos de alto nivel son europeos, incluidos nuestros directores de tecnología, información y finanzas. Michelle, cofundadora y directora ejecutiva de operaciones de Cloudflare, es de Canadá, un país que comparte muchos de los valores europeos en materia de privacidad. Contamos con oficinas en todo el mundo y tenemos más ingenieros trabajando fuera de Silicon Valley que dentro.
Redacté la primera versión de nuestra Política de Privacidad a principios de 2010, antes de que trabajáramos con nuestro primer cliente. El primer borrador ya definía claramente este principio: "Cloudflare no venderá, alquilará o cederá ninguna información personal sin tu consentimiento. Es nuestro principio fundamental en materia de privacidad: cualquier información personal que nos facilites es privada". Y sigue siendo válido a día de hoy. Si bien otras compañías de tecnología han flexibilizado sus políticas con el paso del tiempo, nosotros las hemos endurecido, incluido nuestro compromiso con una serie de acciones que nunca hemos realizado ni realizaremos, cueste lo que cueste:
- Cloudflare nunca ha transferido a terceros nuestras claves de encriptación o autenticación ni tampoco las de nuestros clientes.
- Nunca hemos instalado ningún software o equipo de gestión policial en ninguna parte de nuestra red.
- Cloudflare nunca ha facilitado el contenido de nuestros clientes que circula por nuestra red a ningún organismo encargado de velar por el cumplimiento de la ley.
- Nunca hemos modificado el contenido de los clientes a petición de las fuerzas de seguridad o de terceros.
- Cloudflare nunca ha cambiado el destino previsto de las respuestas del DNS a petición de las fuerzas de seguridad o de terceros.
- Nunca hemos debilitado, comprometido o socavado nuestra capacidad de cifrado a petición de las fuerzas de seguridad o de terceros.
Mientras muchas empresas de tecnología se esforzaban por cumplir con las regulaciones de privacidad como el RGPD, en Cloudflare fue relativamente fácil porque los principios que aplicamos fueron nuestros pilares desde el comienzo. Sin la confianza de nuestros clientes no hay negocio, y la transparencia, la posición de principios y el respeto de la inviolabilidad de los datos personales son fundamentales para que nos ganemos continuamente esa confianza.
Mejoramos la privacidad de nuestro servicio
Pero esto no es todo; podemos hacer más. Hay algunas peculiaridades de nuestro servicio que me molestan desde hace tiempo. Por ejemplo, desde nuestros inicios hemos usado la cookie _cfduid para mejorar algunas de nuestras funciones de seguridad. La lectura de esto es que si usas Cloudflare no puedes prescindir completamente de las cookies. John Graham-Cumming y yo retamos al equipo a principios de este año para ver si podíamos eliminarla. Aceptaron el desafío y esta semana anunciamos su eliminación. En mi opinión, solo este anuncio merece una semana entera de celebraciones.
Tenemos varios centros de datos en todo el mundo que agregan y procesan datos para mostrar registros y ofrecer funciones. Si bien la redundancia geográfica ayuda a la disponibilidad, algunos clientes quieren asegurarse de que sus datos nunca salgan de una región concreta. Esta semana cederemos a los usuarios mucho más control sobre qué datos se procesan y dónde.
Y, al igual que en anteriores ediciones de Semanas de la privacidad y encriptación, seguiremos invirtiendo en tecnologías que permitan mejorar el cifrado y un uso más privado de los servicios básicos de Internet, como el DNS. ¿No sería genial si, por ejemplo, pudiéramos asegurarnos de que ningún proveedor de DNS pudiera ver quién está usando su servicio y dónde van esos usuarios en Internet? ¡Atentos!
Ayudamos a los clientes a abordar desafíos de conformidad cada vez más complejos
Mientras seguimos invirtiendo en asegurar que Cloudflare lidere el camino de la privacidad, cada vez más clientes buscan soluciones para mejorar su privacidad. Este mes esperamos que se proponga la nueva Ley de Servicios Digitales de la Unión Europea. Confiamos en que siga elevando los estándares sobre la forma en la que las empresas que operan en Europa tienen que procesar los datos de los clientes. Los gigantes de Internet tendrán los recursos para cumplir con estos requisitos más estrictos, pero plantearán desafíos al resto.
Para ello, esta semana presentamos nuestra solución Data Localization Suite, que ofrece a nuestros clientes un conjunto de herramientas con mayor capacidad para asegurar que tienen el control sobre cómo y dónde se procesan sus datos y ayudarles a cumplir con los requisitos de procesamiento de datos locales cada vez más complejos. Esto incluye mejoras en Workers, nuestra plataforma de computación y almacenamiento de última generación, para ayudar a que las aplicaciones modernas se diseñen de tal manera que los datos de los usuarios nunca salgan de su propio país o región.
Tenemos claro que el modelo de enviar todos los datos de tus clientes de vuelta a un centro de datos en Ashburn, Virginia, sin importar en qué parte del mundo se encuentren esos clientes, parecerá un planteamiento tan anticuado en un mundo cada vez más consciente de la privacidad como lo sería hoy en día llevar un montón de tarjetas perforadas a un ordenador central. En un futuro no muy lejano, las regulaciones obligarán inevitablemente a que el almacenamiento y el procesamiento de datos sea local. Con una red que hoy en día ya se extiende por más de 100 países, Cloudflare está listo para ayudar a nuestros clientes a lograr ese futuro más privado.
Seguid atentos
No os perdáis esta semana los anuncios que iremos publicando en nuestro blog. Como estos temas están de actualidad en Europa, publicaremos simultáneamente la mayoría de los contenidos en francés, italiano, español, portugués y alemán, así como en inglés. Echa un vistazo también a Cloudflare TV donde entrevistaremos a una serie de personas cuyos puntos de vista valoramos y de los que tanto hemos aprendido sobre privacidad y conformidad.
La misión de Cloudflare es mejorar Internet. Y no hay duda de que mejorar Internet supone ofrecer una privacidad más eficaz. Con esto presente, os damos la bienvenida a la Semana de la privacidad y la conformidad.