Cloudflare y la conformidad con la Ley de TI

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluida una oficina en la India, y ofrece una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que funciona por medio de más de 200 servidores perimetrales en todo el mundo, como se describe aquí, es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare se quedan en sus servidores perimetrales, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en Estados Unidos y Europa.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras ventajas, estas herramientas permiten a nuestros clientes encriptar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad que supera los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II y PCI DSS nivel 1. Más información sobre nuestras certificaciones e informes aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde la India a los Estados Unidos, consulta el anexo 2 de nuestro Anexo de procesamiento de datos ("DPA") estándar.

Incorporamos el DPA estándar de Cloudflare por referencia en nuestro Acuerdo de servicio Enterprise y en nuestro Acuerdo de suscripción de autoservicio. Nuestros compromisos de protección de datos definidos en nuestro DPA ofrecen el mismo nivel de protección que establece la Ley de Tecnologías de la Información, declaran con claridad los datos personales procesados y la finalidad del procesamiento, e incluyen también las medidas de seguridad adecuadas. La definición de Cloudflare de "datos personales" incluye "datos confidenciales" tal como se define en las Reglas SPDI.

Cuando publicamos nuestro primer informe de transparencia en 2014 para los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de facilitar información sobre nuestros clientes a cualquier entidad gubernamental, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado contenido que pase por nuestra red o implementado equipamiento de las fuerzas del orden en la misma. También nos comprometimos a que si se nos pedía que realizáramos cualquier de estas acciones, "agotaríamos todos los recursos legales a nuestro alcance para proteger a nuestros clientes de lo que, a nuestro parecer, son requerimientos ilegales o inconstitucionales". Desde nuestros inicios, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el Gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico "Políticas de privacidad y gestión de los requerimientos gubernamentales de información"). En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen los requerimientos de datos personales por parte de las autoridades, de acuerdo con ese conflicto de legislaciones.

Nuestro DPA estándar para clientes incorpora además las medidas descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.

Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas no estadounidenses ubicadas fuera de EE. UU., con fines relacionados con la inteligencia extranjera. El Gobierno de EE. UU. utiliza la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización generalmente se utiliza para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se indica en nuestro informe de transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, nuestro compromiso público desde hace muchos años es no facilitar a ningún gobierno el contenido de nuestros clientes que pasa por nuestra red y agotar todos los recursos legales si se nos solicitara, para proteger a nuestros clientes de lo que, a nuestro parecer, son solicitudes ilegales o inconstitucionales.

Orden ejecutiva 12333. La Orden ejecutiva 12333 rige la recopilación de información de inteligencia extranjera por parte de los organismos de inteligencia de los Estados Unidos, con personas no estadounidenses ubicadas fuera de Estados Unidos como objetivo. La Orden Ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses presten asistencia.

Cloudflare mantiene el compromiso de requerir un procedimiento judicial antes de facilitar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos en virtud de la orden ejecutiva 12333. Además, Cloudflare es una de las empresas líderes en soluciones que ofrecen mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de proteger la privacidad de los datos personales. En 2014, por ejemplo, lanzamos Universal SSL, que ofrece encriptación gratuita a todos los clientes de Cloudflare, algo que hasta ahora era caro y complicado. La semana del lanzamiento, duplicamos el tamaño de la web encriptada. Debido al creciente número de leyes en materia de encriptación, nos hemos comprometido a no debilitar, poner en riesgo o socavar nuestra encriptación a petición de un gobierno o terceros.

Ley CLOUD. La Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD, Clarifying Lawful Overseas Use of Data) no amplía la autoridad encargada de las investigaciones de Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube.

La Ley CLOUD proporciona mecanismos para que un proveedor solicite a un tribunal que anule o modifique un requerimiento judicial que plantee tal conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia del requerimiento a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden judicial que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden judicial que hayamos identificado como un conflicto de este tipo.

Por último, ten en cuenta que nuestro DPA se compromete a que, a menos que esté prohibido por ley, notificaremos a los clientes nuestra capacidad para identificar si el procedimiento judicial de un tercero que requiere información personal que procesamos en nombre de ese cliente plantea un conflicto de legislaciones. Los clientes a los que se les notifica un requerimiento judicial pendiente de sus datos personales pueden intervenir para evitar la divulgación de los mismos.

Las directrices del Banco de la Reserva de la India ("RBI") requieren que los proveedores de sistemas de pago y sus proveedores de servicios, intermediarios, proveedores externos y otras entidades del ecosistema de pago garanticen el almacenamiento en la India de todos los datos relacionados con los sistemas de pago que operan. Los datos de los sistemas de pago incluyen detalles de transacciones de un extremo a otro e información relativa a la transacción de pago o liquidación que se recopila, transmite o procesa como parte de una instrucción o mensaje de pago. Pueden ser datos de clientes (nombre, número de teléfono móvil, correo electrónico, número de Aadhaar, número de PAN, etc. según corresponda), datos confidenciales de pago (detalles de la cuenta beneficiaria y del cliente), credenciales de pago (contraseñas, contraseñas de un solo uso, PIN, etc.) y datos de las transacciones (información de los sistemas de origen y de destino, referencia de la transacción, indicación de fecha y hora, importe, etc.).

Para los clientes que utilizan los servicios de capa de aplicación más populares de Cloudflare, incluida la red de entrega de contenido (CDN), Cloudflare no almacena el contenido de los clientes. Cloudflare solo almacena datos de registro, que incluyen metadatos sobre la interacción entre el usuario final, Cloudflare y el origen. Normalmente, estos datos incluirían información sobre la hora de la solicitud, el tipo de navegador, el tiempo de respuesta y las direcciones IP de cliente y servidor. Como resultado, creemos que los clientes pueden utilizar los servicios de Cloudflare en cumplimiento con las directrices del RBI. Sin embargo, reconocemos que algunos clientes creen que las directrices del RBI requieren la localización de los datos. Nuestra solución Data Localization Suite, que describimos a continuación, puede ayudarte a entenderlo.

Somos conscientes de que algunos de nuestros clientes de la India preferirían que determinados tipos de datos regulados permanecieran en la India y no fueran transferidos a los EE. UU. para su tratamiento. A tal fin, hemos presentado la solución Data Localization Suite, que permite a las empresas aprovechar las ventajas de rendimiento y seguridad de la red global de Cloudflare, facilitando al mismo tiempo la creación de reglas y controles en el perímetro sobre el lugar donde se almacenan y protegen sus datos.

Además, combina algunas ofertas existentes con algunas funciones nuevas:

• Regional Services. Cloudflare cuenta con centros de datos en más de 270 ciudades y 100 países. Regional Services, junto con nuestra solución Geo Key Manager, permite que los clientes elijan las ubicaciones de los centros de datos donde se almacenan las claves TLS y donde se produce la terminación de TLS. El tráfico se recibe a nivel global, para lo que se aplican mitigaciones de DDoS de capas 3 y 4, mientras que las funciones de seguridad, rendimiento y fiabilidad (como WAF, CDN, mitigación de DDoS, etc.) se sirven únicamente en centros de datos de Cloudflare específicos.

• SSL sin clave. Permite a un cliente almacenar y administrar sus propias claves privadas SSL para su uso con Cloudflare. Los clientes pueden utilizar una variedad de sistemas para su depósito de claves, incluidos módulos de seguridad de hardware ("HSM"), servidores virtuales y hardware compatible con Unix/Linux y Windows y que esté alojado en entornos controlados por los clientes.

• Geo Key Manager. Cloudflare tiene una base de clientes internacional y hemos aprendido que los clientes de todo el mundo tienen diferentes requisitos normativos y legales, además de diferentes perfiles de riesgo, con respecto a la colocación de sus claves privadas. Con esa filosofía en mente, nos propusimos diseñar un sistema muy flexible para decidir dónde se pueden guardar las claves. Geo Key Manager permite que los clientes limiten la exposición de sus claves privadas a ciertos lugares. Es similar a SSL sin clave, pero en lugar de tener que ejecutar un servidor de claves dentro de tu infraestructura, Cloudflare aloja servidores de claves en las ubicaciones de tu elección.