Portuguese translation

1 files changed, 183 insertions, 0 deletions

diff --git a/policy_pt.mdwn b/policy_pt.mdwn
new file mode 100644
index 0000000..3fddb5b
--- /dev/null
+++ b/policy_pt.mdwn
@@ -0,0 +1,183 @@
+__Compromisso dos Provedores com a Privacidade: _Versão 1.0___
+
+Traduções: [[Castelhano|policy_es]], [[Inglês|policy]]
+
+[[!toc levels=2]]
+
+# Preâmbulo
+
+Este documento contém vários aspectos sociais e técnicos que devem levar a um tratamento mais seguro dos dados privados dos usuários.
+
+À luz da vigilâcia crescente e medidas repressivas estabelecidas por muitos governos na primeira década deste milênio, é cada vez mais necessário melhorar o entendimento e a consciência dos usuários/as sobre as questões relacionadas à privacidade, assim como os níveis de privacidade  oferecidos por coletivos técnicos e grupos.
+
+Com esse rascunho, estamos tentando criar mais transparência para nossos usuários/as. Esse documento determina o que os usuários/as podem esperar dos coletivos técnicos e grupos que o assinam, em termos de uso de criptografia, registro de IPs e armazenamento de dados.
+Outra razão para escrever esse documento é encorajar a conscientização sobre a privacidade/segurança entre nós. Esse rascunho deve ser usado para pressionar administradores/as de sistema, coletivos e grupos para fazerem a coisa certa. De forma a reduzir o trabalho envolvido, os coletivos técnicos assinantes e grupos devem compartilhar o conhecimento e escrever padrões que possam ser implementados por outros coletivos técnicos e grupos.
+
+Dito isso, tenha em mente que:
+
+1. O fato de um coletivo técnico ou grupo assinar esse documento não é uma garantia por si só; como usuário/a, você deverá ter uma relação de confiança com o coletivo técnico ou grupo, baseado em relações pessoais, não em assinaturas. Seus dados só podem estar tão seguros como as pessoas que mantém o servidor que os hospeda.
+
+2. Não existe um servidor perfeitamente seguro! Erros humanos e bugs de software podem expor seus dados, revelar sua identidade, enviar você para a cadeia e matar o seu gato.
+
+3. Nada que seu coletivo técnico ou grupo preferido faça será suficiente para protegê-lo/a do escrutínio intenso e direto de uma poderosa organização. Se você suspeita que está sendo alvo de vigilância especial, você precisa agarrar a sua privacidade com as suas próprias mãos.
+ 
+# Descrição dos níveis de segurança
+
+_O computador é para a indústria de informação aproximadamente o que uma usina de energia é para a indústria elétrica. -- Peter Drucker_
+
+Não existe nenhum serviço que seja ao mesmo tempo perfeitamente seguro e que também proteja totalmente a privacidade dos usuários/as finais. A política definida abaixo portanto foi feita para enumerar os diferentes níveis de segurança e privacidade. Cada coletivo técnico deve tentar alcançar o nível mais alto possível. Mesmo o nível mais alto definido, a configuração ideal pode estar além do que está proposto nesse documento. Em muitos casos será impossível preencher alguns pontos devido a vários problemas: técnicos, sociais, recursos etc. Os níveis definidos tem a intenção de tornar mais fácil para os usuários/as dos serviços entenderem, e como resultado, tomarem decisões melhores sobre a segurançá e a privacidade de seus dados. Devem também servir como guias para administradores/as de sistema que precisem de uma visão geral dos vários aspectos envolvidos nessas importantes questões e de alguns objetivos que eles possam esforçar-se para atingir.
+
+A política define três níveis de segurança e privacidade. O primeiro nível (nível 1) contém requisitos básicos para os serviços, é definido como menos seguro e provendo menos garantia de privacidade que o "nível 2". Preenchendo os requisitos do nível mais alto (nível 3) será o maior desafio para coletivos técnicos e irá, na maior parte dos casos, proteger os dados dos usuários melhor. As seguintes descrições dos níveis tem a intenção de dar uma visão geral breve das diferenças principais entre cada um dos níveis. Por favor consulte a lista específica de requisitos para maiores detalhes. E atenção, quanto mais alto o nível, mais difícil é de alcançar ou para os usuários verificarem.
+
+## Resumo do _nível 1_
+
+* As conexões com todos os serviços são criptografadas por padrão. Se uma conexão não criptografada alternativa for oferecida, ela deve ser marcada visivelmente para avisar os usuários/as.
+* Os e-mails enviados através do serviço podem incluir informações que identifiquem o usuário/a (por exemplo, o endereço IP do host de origem)
+* Somente os dados que ainda não são publicamente acessíveis devem ser armazenados criptografados (por exemplo, dados privados do usuário/a)
+* É possível que registros (logs) com dados que identifiquem os usuários/as sejam armazenados sem criptografia.
+* A adequação com essa política é revisada pelos administradores/as pelo menos uma vez por ano.
+
+## Resumo do _nível 2_
+
+* As conexões entre usuários/as e o serviço é sempre criptografada.
+* Os e-mails não contém informações que identifiquem o usuário/a.
+* Nenhuma informação que identifique os usuários/as é armazenada em registros (logs).
+* O sistema operacional do serviço e suas configurações só são armazenados criptografadas.
+* A adequação com essa política é revisada pelos administradores/as pelo menos uma vez a cada seis meses.
+
+## Resumo do _nível 3_
+
+* Todos os serviços também estão disponíveis como serviços ocultos (hidden services) do Tor
+* Não são armazenados registros (logs).
+* A adequação a esta política é revisada pelos administradores/as pelo menos uma vez a cada três meses.
+
+
+# Módulos
+
+Obviamente, cada nível de segurança/privacidade requer que você mantenha o seu software atualizado dos problemas de segurança conhecidos.
+
+## O que fazer em caso de incêndio?
+
+### Nível 1
+
+* Tenha certeza que você tenha meios de se comunicar com os usuários/as quando o servidor ficar offline. Isso pode ser um canal alternativo de comunicação (p.e. e-mail alternativo, telefone, ...) ou uma página web de status  off-site.
+
+## E-mail
+
+### Nível 1
+
+* Se o servidor adiciona o endereço IP de um usuário que está enviando um e-mail através do seu serviço em qualquer lugar do e-mail, o usuário/a é informado sobre isso.
+* As conexões entre o usuário/a e o servidor são sempre criptografadas.
+* Usar (Start)TLS para trocar e-mails com outros servidores, sempre que disponível
+* O servidor deve ter seu próprio certificado SSL assinado por uma das autoridades certificadoras. Veja os documentos de boas práticas para mais detalhes.
+
+### Nível 2
+
+* O servidor não adiciona o endereço IP de um usuário/a que está enviando um e-mail através do seu serviço, em nenhum lugar do e-mail.
+* O TLS é requerido com o nível 2 dos servidores parceiros. Os certificados são verificados com a impressão digital.
+
+### Nível 3
+
+* O e-mail é também disponível como um serviço oculto (hidden service) do Tor.
+
+## Webmail 
+
+### Nível 1
+
+* As conexões entre o servidor e o usuário/a são sempre criptografadas.
+* Se o endereço de IP do usuário aparece nos cabeçalhos do e-mail, esse fato é visivelmente marcado como inseguro.
+
+### Nível 2
+
+* Todas as sessões deve ser armazenadas como cookies. Os IDs das sessões não podem ser localizadas na URL.
+* O endereço de IP do usuário/a não aparece em nenhum cabeçalho de e-mail.
+
+
+### Nível 3
+
+* Devido ao fato que scripts do lado do cliente, como um Javascript, podem revelar o endereço de IP do usuário/a (essa é a razão porque usuários do Tor geralmente desativam-o), o Webmail é funcional sem isso.
+* O algoritmo de ID da sessão e os cookies não usam ou armazenam o endereço de IP dos usuários/as, nem em texto puro ou embaralhado. As sessões não são restritas para um endereço de IP (uma vez que isso impediria o acesso com ferramentas de anonimato como o Tor).
+* O webmail está também disponível como um serviço oculto (hidden service) do Tor
+
+## Os certificados e as chaves são criptografados para os serviços baseados em stream
+
+### Nível 1
+
+* A comunicação baseada em stream usa apenas uma configuração bem estabelecida de parâmetros criptográficos (cifras, message digests, algoritmos de criptografia assimética, etc). Veja os documentos de boas práticas para detalhes.
+
+### Nível 2
+
+* As chaves privadas são apenas armazenadas criptografadas.
+
+### Nível 3
+
+* As chaves privadas são somente armazenadas criptografadas e off-site.
+
+## Sistema de arquivos e Armazenamento
+
+### Nível 1
+
+Os dados do usuário/a não são acessíveis publicamente, eles são armazenados criptografados, usando uma senha forte. Veja os documentos de boas práticas para detalhes. Isso inclui e-mails, banco de dados, arquivos de listas, sites restritos e outros.
+
+### Nível 2
+
+* A swap é armazenada criptografada.
+* O sistema operacional e sua configuração é armazenada criptografada com uma senha forte. Veja os documentos de boas práticas para detalhes.
+
+### Nível 3
+
+* A swap é criptografada com uma chave aleatória na inicialização.
+
+## Logs
+
+### Nível 1
+
+* Os logs são armazenados criptografados ou apenas na memória.
+
+### Nível 2
+
+* Os logs são anonimizados e não contém nenhuma informação que pode identificar as atividades dos usuários.
+
+### Nível 3
+
+* Nenhum log de nenhum tipo é armazenado.
+
+## Usuários
+
+### Nível 1
+
+* Os usuários/as são aconselhados sobre boas práticas e senhas. Veja os documentos de boas práticas para detalhes.
+
+### Nível 2
+
+* Os usuários/as são forçados a usarem senhas fortes, elas são medidas por um algoritmo bem conhecido de força de senha. Veja os documentos de boas práticas para detalhes.
+* As contas de terminal para usuários/as são apenas em vservers, compartimentos separados ou ambientes similares. Nenhum usuário final possui um login no servidor que provê serviços sensíveis. Veja os documentos de boas práticas para detalhes.
+
+### Nível 3
+
+* As contas de terminal são isoladas dos outros usuários: cada conta shell do usuário existe num ambiente chroot, o qual não é visível para o ambiente de outro usuários (arquivos, processos, etc.).
+
+## Avaliação do cumprimento da política
+
+### Nível 1
+
+* Auto-avaliação anual: verificar no mínimo a cada doze meses se os requisitos que deveriam ter sido alcançados realmente foram.
+
+### Nível 2
+
+* Auto-avaliação semestral: verificar no mínimo a cada seis meses se os requisitos que deveriam ter sido alcançados realmente foram. 
+
+### Nível 3
+
+* Auto-avaliação trimestral: verificar no mínimo a cada três meses se os requisitos que deveriam ter sido alcançados realmente foram. 
+
+## Verificação
+
+A atual versão dessa política é assinada com uma chave OpenPGP ([keyserver](https://keys.mayfirst.org/pks/lookup?op=get&search=0xCE8BA23183EC5CB69760E02F8BC0E739D0645843)). Os detalhes da chaves são esses:
+
+
+    pub   4096R/D0645843 2011-12-28 [expires: 2013-01-31]
+          Key fingerprint = CE8B A231 83EC 5CB6 9760  E02F 8BC0 E739 D064 5843
+    uid                  Providers Commitment for Privacy
+
+O arquivo assinado está [[aqui|policy-signed.txt]].