▸ Política de Dados e Privacidade

A incorporação do Quad9 na Suíça está concluída. A parte responsável pela privacidade dos dados e do site da Quad9 é a Quad9, c/o SWITCH Werdstrasse 28004 Zürich. Você pode visualizar documentos relevantes para Quad9 no Registro Comercial.
Este documento está escrito intencionalmente de forma concisa. Para além do âmbito da própria política, é fornecida uma discussão expositiva nestas barras laterais.

0. Aplicabilidade desta Política

Esta Política de Privacidade, Processamento de Dados e Termos de Utilização ("Política") descreve as políticas do Serviço DNS Quad9 (o "Serviço"), um resolvedor DNS recursivo operado pela Fundação Quad9 ("Quad9"). Esta política aplica-se a transações de Sistema de Nomes de Domínio (DNS) entre os utilizadores da Quad9 e a Quad9 sob condições normais.

Esta é a versão 1.0 da Política, publicada na quarta-feira, dia 17 de Fevereiro de 2021.

O objetivo desta política é o de corresponder ou superar a letra e o espírito da Internet Engineering Task Force Pedido de Comentário 8931 Recomendaçōes para Operadores de Serviços de Privacidade, que é o padrão aplicável, e pode ser comparado ao Anexo 4.1, Exemplo Política da RPS (Segurança Pública Relativa) para referência.

Publicamos um documento similar, Lei Aplicável e Cumprimento, e aconselhamos vivamente que o leia também, pois este documenta os mecanismos através dos quais somos responsabilizados, ao abrigo do direito penal, pelo cumprimento desta Política de privacidade, documenta os recursos e proteções legais disponíveis para si enquanto utilizador dos serviços da Quad9, independentemente do seu país, nacionalidade ou local de residência, e documenta as limitações do poder governamental para interferir nas proteçōes que oferecemos.

A Quad9 pode alterar esta política ao publicar uma nova versão, com um número de versão superior, em https://quad9.net/privacy/policy/.

Temos uma política de privacidade própria que é aplicada sob condiçōes anómalas, para utilizadores com fortes suspeitas de estarem envolvidos em ataques cibernéticos contra ou através de nós, e uma política própria que se aplica a comunicações connosco através do nosso website, e-mail, ou outros canais.

1.0 Tratamento de endereços IP

A Quad9 considera os endereços de Protocolo de Internet ("IP") associados aos seus utilizadores como Informação Pessoalmente Identificável (PII) ("PII"). A Quad9 utiliza a união das definições da PII inserida na lei suíça ([Article 3 (a) FADP]
(https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/en)), na lei estado-unidense (2 CFR § 200.79 (Código de Regulamentos Federais)) e nos Regulamentos da União Europeia (Artigo 4(1) RGPD), com a determinação de que oferece a melhor proteção para controlo do utilizador no caso de ocorrer algum conflito entre as três, e estendemos essa proteção mais rigorosa a todos os utilizadores da Quad9 independentemente da sua nacionalidade ou domicílio.

Em alguns casos, o endereço de Protocolo de Internet (IP), que o seu computador utiliza para comunicar com a Quad9, pode constituir uma forma de Informação Pessoalmente Identificável (PII) podendo ser do conhecimento da Quad9. Muitas nações classificam e regulam os endereços IP como sendo PII, mas esta questão não está harmonizada a nível internacional.

Quando um utilizador do Serviço envia uma consulta à Quad9, a consulta é transmitida através da Internet a partir de um endereço IP sob o controlo de, ou em comunicação com, o utilizador (o "Endereço de Resposta"), para um endereço de IP que pertence à Quad9.

Os endereços IP da própria Quad9 (os endereços como 9.9.9.9, para os quais as consultas são dirigidas) são públicos e estão associados ao Serviço e não a particulares, e apesar de serem endereços IP eles não representam Informação Pessoalmente Identificável protegida.

Quando a Quad9 recebe uma consulta DNS, em praticamente todos os casos, o endereço IP de onde recebe a consulta é o de um resolvedor DNS de caching/encaminhamento ou do exterior de um servidor intermediário ou Tradução de Endereço de Rede ("NAT"); em todos estes casos, o endereço IP representa um conjunto de utilizadores, frequentemente um grande conjunto, por vezes contabilizados aos milhões, e esses utilizadores vão e vêm, invisíveis para nós, escondidos por trás desse endereço intermediário. Nestes casos, que, de acordo com a nossa melhor informação, constituem quase a totalidade da utilização dos nossos sistemas, o endereço de IP não é PII. Mas em casos excecionais, o endereço IP de onde recebemos uma consulta pode ser único e globalmente direcionado e diretamente associado a um indivíduo, em cujo caso é PII.

A Quad9 não faz esforços para distinguir entre endereços IP associados a resolvedores ou NATs (Tradução de Endereço de Rede) e aqueles associados a utilizadores particulares, porque ao fazê-lo não iríamos melhorar o nosso serviço mas iríamos simultaneamente consumir recursos e desnecessariamente identificar utilizadores individuais dentro do grupo protetor do nosso tráfego. Resumindo, apesar desta prática ser de uma importância central para quem recolhe e rentabiliza a informação sobre indivíduos ("limpar a lista de endereços" em termos de publicidade), é algo que vemos com repulsa.

Consequentemente, seguimos o caminho mais simples de tratamento de todos os endereços IP dos quais recebemos consultas, como se eles fossem PII. Neste documento, referimo-nos a todos eles coletivamente como "Endereço de Resposta" tendo em conta que essa é a sua relação funcional com o nosso serviço e as nossas políticas de privacidade, não obstante o modo como (invisível para nós) eles possam funcionar na perspetiva do utilizador. Este conceito é útil no contexto de uma política de privacidade porque engloba todos os endereços IP dos quais recebemos consultas (e que tratamos como sendo todos PII), mas não engloba os nossos próprios (que não o são).

Quando a Quad9 recebe a consulta, é obrigatoriamente incluída dentro de um; "envelope" (mais precisamente, um cabeçalho de protocolo IP) que contém ambos os tipos de endereços. A Quad9 mantém obrigatoriamente o Endereço de Resposta em memória de acesso aleatória volátil durante os poucos microssegundos a milésimos de segundo necessários para fornecer as consultas dos utilizadores. Durante este tempo, a Quad9 utiliza o Endereço de Resposta para aumentar um contador do número de consultas recebidas do prefixo publicitado através do BGP do Endereço de Resposta, e um contador do número de consultas recebidas de uma região geográfica, que é a parte mais pequena de um país ou do que uma população não inferior a 10.000 pessoas.

O Endereço de Resposta é usado exclusivamente para este objetivo, e é removido da RAM assim que (no caso de uma consulta que o utilizador faça via o Protocolo de Datagrama de Utilizador [UDP]) transmitimos a resposta do Endereço de Resposta do utilizador, ou (no caso de uma consulta que o utilizador faça via Protocolo de Controlo de Transmissão [TCP]) assim que o utilizador ou a Quad9 fechem a ligação de TCP. O Endereço de Resposta (ou todas as representaçōes de, ou servidor intermediário para), não é copiado para uma armazenagem permanente e não é transmitido através da rede para nenhum destino além do utilizador. Este deixa a máquina através da qual o recebemos, exclusivamente em forma de resposta ao utilizador e não para qualquer outro destino, nem de outra forma e sem qualquer outro objetivo.

Usamos virtualização de servidor e temos a noção de que, em algumas configurações que não empregamos, seria possível que o software de virtualização dependesse de uma memória virtual. Especialmente, se a memória física se tornasse insuficiente, o processo de "memória virtual" iria trocar páginas de RAM que não estivessem a ser usadas para o disco. Se a máquina fosse interrompida exatamente naquele momento, é hipoteticamente possível que os Endereços de Resposta pudessem ser extraídos das páginas de memória que tinham sido trocadas para o disco através de decifração forçada.

Não acreditamos que este processo ocorra nos nossos servidores por duas razōes. Primeiro, porque impedimos que isto ocorra ao atribuirmos uma quantidade de RAM física a cada imagem de cliente que exceda a quantidade de RAM à qual pensa ter acesso. Segundo, porque as páginas de RAM que contêm desfechos de transação de consultas de DNS ao vivo são as mais ativas e não o contrário, e se uma fosse trocada para o disco a função da máquina basicamente iria ser interrompida. Isto iria soar como um alarme nos nossos sistemas de controlo de desempenho, portanto se ocorresse seria obvio para nós, e não é o caso.

2.0 Recolha de dados e partilha

Enquanto fundação de benefício público e sem fins lucrativos dedicada ao fornecimento de DNS recursivo seguro, privado e de bom desempenho, a Quad9 limita a sua recolha de dados, somente, aos que a capacitem para melhor desempenhar a sua missão ao serviço dos seus utilizadores. Se os dados não tornarem o serviço mais seguro e mais privado para os seus utilizadores, ou mais rápido e mais resiliente, não perdemos tempo a recolhe-los. A Quad9 não tem nenhum mecanismo para os utilizadores se "registarem" ou criarem uma conta, ou então divulgarem a sua identidade, porque não temos necessidade técnica ou empresarial de poder identificar utilizadores ou distinguir um utilizador do outro. Por isso, não temos qualquer registo ou estrutura de dados associados a/ou introduzidos pelo utilizador, e consequentemente não temos onde colocar, nem como recuperar dados sobre utilizadores.

2.1 Endereços IP

A Quad9 não recolhe nem regista endereços IP, nem recolhe nem mantém nenhum servidor intermediário, ou representação, de endereços IP, nem recolhe nem mantém nenhum outro identificador único de indivíduos no lugar dos endereços IP.

Uma vez que a Quad9 não recolhe nem mantém endereços IP, eles não podem ser combinados ou relacionados com outras informaçōes, tais como rótulos de consulta ou registo de data/hora, para violarem a privacidade dos utilizadores da Quad9.

Conforme supramencionado, a Quad9 trata os Endereços de Resposta como informação pessoalmente identificável. O principal risco associado à PII é que esta informação pode ser usada em conjunto com outras informaçōes de maneira a criar um perfil de um indivíduo e das suas ações. Um endereço de IP sozinho representa pouco risco, e a outra informação que possuímos, como rótulos de consulta, apresenta também pouco ou nenhum risco para a privacidade do utilizador. Mas se o endereço IP de um utilizador estivesse associado a um rótulo de consulta, ou um rótulo de consulta a um registo de data/hora, a privacidade do utilizador seria comprometida. Por isso, o foco da Quad9 é garantir que os endereços IP nunca sejam relacionados com outra informação sob o nosso controlo. Conseguimos isto ao minimizarmos o tratamento de endereços IP e assim garantirmos que nunca exista um momento durante o processo em que um endereço IP e um rótulo de consulta sejam associados, exceto na resposta dada ao utilizador. Informação que não temos, é informação que não pode ser vendida, divulgada ou roubada.

2.2 Dados recolhidos

A recolha de dados da Quad9 é principalmente em forma de contadores de números inteiros. Esta é a lista completa dos elementos que contabilizamos em cada servidor Quad9:

  • O número de consultas por cada Consulta Tipo, ex. A, AAAA, NS, MX, TXT
  • O número de cada Resposta Tipo, ex. SUCCESS, SERVFAIL, NXDOMAIN
  • O número de consultas que chegam através de cada protocolo de transporte e tipo de encriptação, ex. IPv4, IPv6, TCP, UDP, DoT, DoH, DNScrypt
  • O número de consultas originado em cada região geográfica
    • O número de consultas para cada domínio malicioso originado em cada região geocodificada
  • O número de consultas originadas em cada prefixo publicitado através do BGP
    • O número de consultas de cada domínio malicioso originado em cada prefixo publicitado de BGP

Além do mais, registamos:

  • Os tempos dos primeiros e mais recentes casos de consultas para cada rótulo de consulta
De modo a prever um plano de capacidades e necessidades, mantemos as contagens dos números das consultas que servimos, que porção das consultas chegam a cada um dos nossos servidores, que porção das consultas chegam de cada área geográfica, que porção chega de cada rede de transporte, e que porção das consultas chega através de cada um dos protocolos que suportamos. Também poderemos anotar a primeira e a mais recente consulta que verificamos para cada rótulo de consulta único. Além disso, no caso dos rótulos de consultas, para os quais os analistas de inteligência contra ameaças nos alertam para bloquearmos de forma a proteger os nossos utilizadores contra software malicioso e fraude, também contabilizamos as vezes que um domínio malicioso foi consultado em cada região geográfica.

Nenhum destes contadores contém informação pessoalmente identificável, nem estão correlacionados com, ou fazem referência específica a, qualquer consulta individual.

Onde realizamos contagens por região geográfica, usamos dados demográficos para garantir que nenhuma região é mais pequena que a parte mais pequena de um país ou do que uma população não inferior a 10.000 pessoas.

Por exemplo, Nunavut é um território do Canadá com uma população de 39.000, mas nenhuma cidade em Nunavut tem uma população superior a 8.000. Portanto, todas as consultas originadas no território são agregadas a um só contador representando mais do que 2.000.000 de quilómetros quadrados. Como exemplo oposto, a Cidade do Vaticano é um país com uma população de 825, numa área de 0,4 quilómetros quadrados que, por ser país reconhecido pela norma ISO 3166 (Organização Internacional de Normalização), também é representado por um só contador. Fazemos distinção entre aproximadamente 8.000 regiōes geográficas, que têm uma média de 1.000,000 de habitantes cada.

O nosso propósito de manter contadores geográficos é duplo: para garantir que existe suficiente capacidade do servidor Quad9 numa região, a fim de servir bem a sua população localmente, e, quando ocorrem ameaças cibernéticas, compreender a que nível elas atingem ou afetam desmesuradamente uma determinada população. Reconhecemos que se uma região geográfica for demasiado pequena, ou com uma população muito escassa, poderia potencialmente ter apenas um indivíduo e podia assim ser relacionado com a PII de outras fontes e colocar em risco a privacidade desse indivíduo.

Toda a informação supracitada pode ser total ou parcialmente conservada em arquivos permanentes.

2.3 Partilha de dados

A Quad9 não partilha, vende ou aluga informaçōes que possam identificar um indivíduo.

Não partilhamos esta informação porque não a possuímos. Não temos esta informação porque não precisamos dela. E porque não precisamos desta informação, não criámos um mecanismo de recolha, retenção, análise, ou distribuição da mesma.

A Quad9 partilha contadores de estatísticas muito limitados com os analistas de inteligência contra ameaças, os quais nos fornecem os conteúdos de inteligência contra ameaças, permitindo-nos proteger os nossos utilizadores de ataques maliciosos. Este conteúdo permite que os analistas de inteligência contra ameaças aperfeiçoem as suas análises e nos forneçam informaçōes mais exatas, permitindo-nos em troca proporcionar aos nossos utilizadores uma segurança mais eficaz. Esta informação não inclui qualquer informação pessoalmente identificável, nem algo que possa estar relacionado com outros dados que identifiquem um indivíduo ou o seu uso da Internet. Partilhamos especificamente, com os analistas de inteligência contra ameaças, os três seguintes segmentos de informação:

  • Registos data/hora de cada consulta de cada domínio malicioso que eles nos assinalaram
  • O número de consultas de cada domínio malicioso que eles nos assinalaram, originadas em cada região geocodificada
  • O número de consultas de cada domínio malicioso que eles nos assinalaram, originadas em cada prefixo IP publicitado através do BGP.

Para conveniência dos analistas de inteligência contra ameaças, também fornecemos o Número de Sistema Autónomo (ASN) originado associado ao prefixo IP publicitado através do BGP. Estes dados não são provenientes de consultas dos utilizadores, mas são dados provenientes de modo independente das tabelas de roteamento do BGP.

Não contêm PII, nem podem ser combinados com PII para identificar um utilizador.

Não partilhamos contadores associados a domínios maliciosos com analistas de inteligência contra ameaças que não nos tenham assinalado um determinado domínio como malicioso.

A Quad9 fornece dados a um grupo, restrito e verificado em detalhe, de investigadores em segurança, para os ajudar a melhor compreender e proteger o público das ameaças cibernéticas. Estes dados podem consistir de uma escassa amostra estatística de respostas DNS de registo data/hora da nossa cache ou de servidores autoritativos a montante, mas não consistem de endereços, prefixos, ASN, ou outros dados relacionados com o utilizador ou a consulta. Estes dados não contém nenhuma PII, ou qualquer informação que acreditamos poder estar relacionada com a PII, para se identificar um utilizador ou o seu comportamento. Quando proporcionamos esta assistência, fazemo-lo sob um acordo escrito onde o investigador utiliza a informação que fornecemos, apenas com o objetivo de melhorar a segurança do utilizador e não para outros fins. Exigimos que os investigadores realizem as suas análises em servidores e infraestruturas detidas e operadas pela Quad9, e não permitam que dados sejam exportados dos seus sistemas, de qualquer outra forma, exceto em forma de resumo.

A Quad9 divulga informação geral ao público, tais como o número de ameaças bloqueadas e tempo produtivo da infraestrutura.

3.0 Exceções

Como qualquer operador de uma infraestrutura essencial, devemos manter a segurança dos nossos sistemas, de maneira a garantir a privacidade dos nossos utilizadores. Temos uma política de privacidade específica para condiçōes anómalas, tais como um caso em que os utilizadores estejam a preparar ataques cibernéticos contra nós.

4.0 Entidades associadas

A Quad9 fornece dados aos analistas de inteligência contra ameaças, os quais nos fornecem os meios para protegermos os nossos utilizadores contra domínios maliciosos, conforme detalhado na secção 2.3. A Quad9 fornece informação aos investigadores para os ajudar a melhor compreender e proteger o público de ataques cibernéticos, mas esta assistência que oferecemos não contém nenhuma PII ou dados que pensamos estarem combinados ou relacionados com PII para identificar um utilizador ou o seu comportamento. Quando fornecemos tal assistência, fazêmo-lo somente através de acordo escrito no qual o investigador só pode usar a informação que lhe fornecemos com o objetivo de melhorar a segurança do utilizador, e não com outros fins. Nenhuma outra entidade recebe dados da Quad9, exceto aqueles que são tornados públicos.

5.0 Relação de dados

Não ligamos ou combinamos dados que estejam em nossa posse com dados de outras fontes.

6.0 Filtragem de resultados

A Quad9 fornece respostas filtradas e não filtradas às consultas DNS, segundo a escolha do utilizador.

6.1 Filtragem

A Quad9 utiliza informação de inteligência contra ameaças, oriunda de analistas qualificados em inteligência contra ameaças, para fornecer proteção de segurança opcional para os utilizadores da Quad9. A Quad9 faz uma verificação cuidadosa dos analistas de inteligência contra ameaças e tem acesso constante à qualidade da informação fornecida. A inteligência contra ameaças é agregada a partir destas inúmeras fontes e colocada numa única "lista de bloqueio" de domínios, os quais acreditamos, com elevado grau de confiança, existirem com o intuito principal ou exclusivo de prejudicar um utilizador. Sabendo que muitos destes fluxos de dados consistem em milhões de entidades maliciosas não estando, por conseguinte, sujeitos a revisão ou escrutínio individual humano, a Quad9 dedica-se ao máximo a uma revisão constante destes fluxos, para garantir a qualidade e adequação à finalidade dos mesmos. A Quad9 trabalha de forma bidirecional com os analistas de inteligência contra ameaças, de maneira a ajudá-los a aprimorar a qualidade das suas análises e, consequentemente, o grau de proteção que oferecem aos utilizadores da Quad9. Este compromisso inclui a partilha de dados, conforme definido na secção 2.3. A Quad9 também permite aos utilizadores consultarem o estatuto atualizado de bloqueio de um domínio através de um formulário no nosso website.

Para cada bloqueio de domínio, a Quad9 revela a identidade do analista da ameaça que sugeriu o bloqueio e fornece um texto explicativo, que o mesmo tenha fornecido, através deste mecanismo.

6.1.1 Censura

A Quad9 apenas censura respostas que fornece com o único objetivo de bloquear domínios maliciosos associados a phishing, software malicioso, abuso de vulnerabilidade, ou fraude, como detalhado na secção 6.1. A Quad9 não aceita pedidos de censura de governos ou outras entidades. A Quad9 indica aos seus analistas de inteligência contra ameaças que não aceita sugestões para bloquear um domínio por motivos de censura e que irá reverter quaisquer tentativas de que tenha conhecimento.

6.1.2 Bloqueio acidental

A Quad9 aceita relatórios "de falsos positivos&quot do público em relação a domínios equivocadamente bloqueados, que os utilizadores acreditem ser confiáveis. Estes relatórios podem ser submetidos através de um formulário no nosso website ou através do e-mail 'support@qua9.net'. A Quad9 esforça-se ao máximo por investigar cada domínio denunciado manualmente. Os utilizadores devem ter consciência que os agentes maliciosos, basicamente, comunicam-nos sempre que os seus domínios maliciosos foram bloqueados equivocadamente, o que torna a validação de falsos positivos uma tarefa árdua. Depois de determinar que um domínio foi bloqueado por engano, a Quad9 adiciona-o a uma "lista autorizada&quot que anula a inteligência sobre uma ameaça maliciosa recebida dos analistas de inteligência contra ameaças, e o domínio é removido definitivamente da nossa lista agregada de bloqueios.

7.0 Os seus direitos

Tem o direito de receber informação sobre os seus dados pessoais processados por nós, por escrito e livre de encargos, a qualquer momento. Também tem o direito de corrigir, apagar ou limitar o processamento de dados, bem como a publicação de determinados dados pessoais para transmissão a outro controlador. De certo modo, o processamento é de acordo com o seu consentimento, tem o direito de retirar este consentimento com efeitos futuros. Encontrará pormenores de contactos relevantes na introdução desta declaração de privacidade.

Além disso, todos os envolvidos têm o direito de fazer cumprir os seus direitos em tribunal ou apresentar uma queixa junto da autoridade competente de proteção de dados. A autoridade competente de proteção de dados da Suíça é o Comissário Federal da Proteção de Dados e Informação (http://www.edoeb.admin.ch).

8.0 Contactos

Se tiver alguma questão ou comentário relacionado com privacidade associada a esta declaração, por favor envie-nos um e-mail para support@quad9.net. Também pode escrever-nos para a seguinte morada:

Quad9, c/o SWITCH, Werdstrasse 2, P.O. Box, CH-2021 Zurich

[Brevemente: Quad9, c/o SWITCH, Werdstrasse 2, P.O. Box, CH-2021 Zurich]

-fim-

Esta Política está publicada sob uma licença Creative Commons Attribution-NonCommercial-ShareAlike

A seguinte tradução é meramente para sua informação. No caso de algum conflito ou incoerência entre esta versão traduzida e a versão em inglês (incluindo os resultantes de atrasos na tradução), a versão em inglês prevalece.



Ligações externas
Pedido para Comentário 8932 - Recomendaçōes para Operadores de Serviços de Privacidade
Exemplo Política da RPS
Artigo 3 (a) FADP - Lei Federal da Suíça sobre Proteção de Dados
2 CFR § 200.79 - lei dos Estados Unidos
Artigo 4(1) RGPD - Regulamentos da União Europeia
Resolvedor DNS de caching/encaminhamento- Quora
Servidor intermediário - Wikipedia
Tradução de Endereço de Rede - Wikipedia