#Preámbulo Este documento contiene varios temas sociales y técnicos que deberían dar lugar a una forma más segura de tratar los datos de las usuarias. A la luz del desmesurado crecimiento de las medidas de vigilancia y represión establecidas por muchos gobiernos durante las primeras décadas de este milenio, se hace cada vez más necesario profundizar la comprensión de las usuarias y su sensibilidad en torno a los asuntos vinculados a la privacidad, así como los niveles de privacidad ofrecidos por colectivos y grupos tecnológicos. Con este borrador estamos intentando generar más transparencia para nuestras usuarias. Este documento establece lo que las usuarias pueden esperar de parte de los grupos y colectivos que lo firman, en términos del uso de la encriptación, registro de IP's y datos almacenados. Otra razón para escribir este documento es fomentar cierta sensibilidad en torno a la privacidad/seguridad entre nosotras. Este borrador puede ser utilizado para presionar a administradores de sistemas, colectivos y grupos a hacer las cosas de la forma que consideramos correcta. Con el objetivo de reducir el trabajo implicado, los colectivos y grupos tecnológicos firmantes compartirán su conocimiento y escribirán estándares que puedan ser implementados por otros colectivos y grupos tecnológicos. Dicho esto, tened presente que: 1. El hecho de que un grupo o colectivo tecnológico firme este documento no es una garantía en sí misma; como usuaria deberías tener una relación de confianza con los colectivos o grupos tecnológicos basada en relaciones personales, no en firmas. Tus datos sólo estarán seguros si lo están los sujetos que mantienen el servidor donde se alojan tus datos. 2. No existe un servidor perfectamente seguro! Los errores humanos y los fallos informáticos pueden divulgar tus datos, revelar tu identidad, enviarte a la cárcel y matar a tu gatita. 3. Nada de lo que tu grupo o colectivo tecnológico preferido haga será suficiente para protegerte de un examen intenso y directo de una organización poderosa. Si sospechas que estás siendo blanco de vigilancia tendrás que tomar tu privacidad con tus propias manos. # Descripción de los niveles de seguridad _La computadora es a la industria de la información (casi) lo mismo que la central energética a la industria eléctrica. --Peter Drucker_ No hay ninguna clase de servicio que sea pefectamente seguro y que pueda proteger completamente los datos de lxs usuarixs. La politica definida aqui abajo esta diseñada par enumerar los niveles de seguridad y privacidad. Cada colectivo tecnologico deberia intentar alcanzar el nivel más alto posible. Incluso estando al nivel más alto de los defindos aqui, el setup ideal podria estar incluso más allá de lo propuesto en estos documentos. En algunos casos podría ser imposible completar algunos de los puntos debido a varios problemas: técnicos, sociales, recursos, etc. Los niveles definidos aquí intentan hacer todo esto lo más fácil y entendible para los usuarixs de los servicios, con la intención de generar mejores decisiones acerca de la seguridad y privacidad de los datos. También podrían servir como guias para sysadmins(administradores de sistemas) que necesiten una mirada rápida a los varios aspectos envueltos en estas importantes cuestiones y algunos de los objetivos a los que deberían atenerse. La política define tres niveles de seguridad y privacidad. El primer nivel (level 1) contiene los requerimientos básicos de los servicios, definidos como menos seguros y de menos seguridad y privacidad que los del nivel 2 (level 2). Alcanzar los requerimientos del nivel 3 (level 3) sera el mayor desafió a implementar por los colectivos técnicos y será, en la mayoría de los casos la mejor forma de proteger nuestros datos. La siguiente descripción de niveles signigica también dar una mirada a las diferencias claves entre los distintos niveles. Para más detalles mira en la lista de requerimientos específicos. Hay que tener en cuenta que a mayor nivel, más duro es de lograr o verificar para el usuario. ## Resumen Nivel_1_ * Todas las conexiones de servicios estan encriptadas por defecto. Si se ofrece una alternativa no-encriptada, entonces debe avisarse de forma visible a lxs user. * Los mails enviados a traves del servicio puede incluir identificación e información del usuario ( por ej. la dirección IP del ""host que envia"" ). * Solo los datos que no estan accesibles de forma pública tienen que almacenarse de forma encriptada. * Es posible que los registros de los usuarios se guarden sin encriptación. //* Los registros de los usuarios se pueden guardar sin encriptación. * Se revisa por lxs administradorxs, el cumplimiento de la politica del servidor por lo menos una vez al año.