Self-hosting như một thực hành chuyên nghiệp
Máy chủ không gì khác hơn là một chiếc máy tính. Câu hỏi không phải là liệu có nên có một cái hay không, mà là dữ liệu của khách hàng bạn sống ở đâu, ai duy trì nó và ai chịu trách nhiệm khi có sự cố xảy ra.
Câu hỏi giữa đám mây và tầng hầm
Nên bắt đầu bằng việc giải mã một từ gây sợ hãi vô cớ: máy chủ (server). Máy chủ không phải là một cỗ máy bí ẩn trong căn phòng lạnh lẽo. Nó chỉ đơn giản là máy tính của người khác —hoặc của chính bạn— làm nhiệm vụ lưu giữ thông tin và cung cấp cho người yêu cầu. Trong nhiều thập kỷ, chúng ta đã giữ thông tin của khách hàng trong một thư mục, trong một tủ hồ sơ, trên bàn làm việc và không ai mất ngủ vì điều đó. Thông tin không đáng sợ vì nó nằm trên giấy; nó cũng không cần phải đáng sợ vì nó nằm trên đĩa.
«Đám mây» cũng không phải là thứ gì đó siêu hình. Đó là máy tính của một công ty, hầu như luôn ở xa và hầu như luôn là của người khác. Tôi đã học được điều này một cách vô tình vào cái ngày mà, tin tưởng rằng các tệp của mình an toàn trên Google Drive, tôi phát hiện ra rằng thư mục trên máy tính của mình không chứa các tài liệu của tôi, mà là các lối tắt dẫn đến các tài liệu sống ở nơi khác. Nếu nơi khác đó quyết định đóng cửa, thay đổi giá hoặc hủy dịch vụ, sự yên tâm của tôi sẽ tan biến theo nó. Tôi không sở hữu đồ đạc của mình; tôi có quyền truy cập chúng.
Chính từ đây nảy sinh câu hỏi của cuốn Sổ tay này, dễ nêu ra hơn là dễ trả lời: dữ liệu của khách hàng bạn nên ở đâu? Còn dữ liệu của chính bạn thì sao? Cuộc tranh luận công khai đặt nó ra như thể chỉ có hai câu trả lời đối nghịch — đám mây của các nền tảng lớn hay tự mình dựng lấy —, gần như là chuyện chọn phe. Nhưng chúng không phải hai con đường: chúng là ba, và không con đường nào là một hành động đặt niềm tin mù quáng. Đọc chậm rãi, chúng có nhiều sắc thái hơn và đòi hỏi nhiều hơn vẻ bề ngoài.
Điều này liên quan đến bạn, dù bạn bán bất cứ thứ gì
Thật dễ dàng để nghĩ rằng bảo mật là chuyện của luật sư, bác sĩ hay nhà báo, và những người còn lại không có gì phải che giấu. Đó là một sai lầm, và là một sai lầm đắt giá. Hầu như bất kỳ doanh nghiệp nào cũng lưu giữ dữ liệu khách hàng thuộc phạm vi điều chỉnh của pháp luật, và nhiều người, mà không biết, đang lưu giữ thông tin nhạy cảm hơn nhiều so với vẻ ngoài.
Một cửa hàng ghế sofa ghi lại tên, địa chỉ và số điện thoại của người mua; nếu có trả góp, thì cả dữ liệu tài chính của họ nữa. Một công ty sửa chữa hay trang trí nội thất lưu giữ những bức ảnh bên trong nhà của khách hàng và toàn bộ bản vẽ nơi ở của họ. Một công ty vệ sinh xử lý bản vẽ của những văn phòng mà nó dọn dẹp, thường được đánh dấu bằng màu sắc và con số cho biết nhân viên nào vào chỗ nào, vào giờ nào và bằng chìa khóa nào. Chẳng có điều gì trong đó tỏ ra là chuyện lớn cho đến khi người ta tự hỏi nó còn có giá trị với ai nữa: những bản vẽ vệ sinh ấy, nhìn bằng con mắt khác, chính là tấm bản đồ hoàn hảo cho kẻ muốn đột nhập để trộm cắp.
Việc một doanh nghiệp nhỏ, hay việc bán sofa thay vì bào chữa trong các vụ kiện, không làm cho dữ liệu của nó mất đi giá trị cũng không làm cho luật pháp ngừng áp dụng với nó. Nó chỉ khiến chủ sở hữu có xu hướng ít nghĩ về điều đó hơn. Và việc ít suy nghĩ về những gì thuộc trách nhiệm của mình chính xác là nơi các vấn đề bắt đầu.
Dữ liệu của bạn sống ở đâu?
Với câu hỏi đó, về bản chất, có ba câu trả lời. Và nên nhớ rằng «dữ liệu» không chỉ là hồ sơ của một khách hàng hay tập hóa đơn và báo giá: nó còn là những cuộc trò chuyện của bạn với họ — qua WhatsApp, qua một dịch vụ trò chuyện chuyên nghiệp, qua Solo2 —. Ba câu trả lời tiếp theo không phải là các mức độ thuần khiết và cũng không phải một cái thang đi từ tốt đến xấu: chúng là ba cách phân chia cùng một thứ, đó là sự kiểm soát và trách nhiệm.
Giao phó mọi thứ cho một nhà cung cấp. Đây là cách phổ biến nhất, và với đa số người ta thì đây là cách duy nhất họ biết. Tôi đặt mọi thứ vào Google Workspace hoặc vào Microsoft 365 và trao trọn cho nhà cung cấp. Tôi trả phí và thôi không nghĩ về nó nữa. Hình thức cực đoan nhất của điều này là những dịch vụ mà bạn thậm chí không thực sự sở hữu dữ liệu của mình: chẳng hạn một số chương trình lập hóa đơn trên đám mây giữ giùm bạn các hóa đơn và báo giá — và chúng chạy rất tốt —, nhưng thông tin sống trong hệ thống của họ, chứ không phải của bạn. Khi nào còn trả tiền thì bạn còn truy cập được; ngày bạn rời đi, bạn phát hiện ra rằng mang theo chính lịch sử của mình là điều khó khăn hoặc bất khả. Việc giữ dữ liệu của bạn như một thứ con tin nửa vời, đối với không ít nhà cung cấp, chính là điều ngăn bạn chuyển sang đối thủ. Đổi lấy sự tiện lợi, tôi trao đi quyền kiểm soát và — mà không nói ra thành lời — cả cái cảm giác rằng trách nhiệm không còn là của mình nữa. Ở đây có một sắc thái mà người ta hầu như không bao giờ phân định: giao phó không đồng nghĩa với của Mỹ. Tôi có thể giao phó mọi thứ một cách thoải mái y như vậy cho một nhà cung cấp châu Âu — chẳng hạn Infomaniak — và giải quyết trong một nhát phần lớn những hồ nghi về việc chuyển dữ liệu quốc tế mà chúng ta đã thấy trong «Schrems II», mà chẳng tự lưu trữ thứ gì cả. Đây không phải là Hoa Kỳ chống lại phần còn lại của vũ trụ: ngay trong việc giao phó thuần túy đã có những quyết định quan trọng.
Thuê và quản lý máy chủ của riêng bạn. Tôi có cùng một thứ mà Microsoft hoặc Google sẽ cung cấp cho tôi, nhưng tôi tự thiết lập nó. Tôi thuê một máy chủ tại một nhà cung cấp châu Âu —Hetzner, OVH, Scaleway—, cài đặt phần mềm tự do (ví dụ: Nextcloud cho tệp) và tự mình quản trị kết quả. Tôi giành được quyền kiểm soát thực sự: tôi biết cái gì đang chạy, ở đâu và tại sao. Nhưng máy chủ vẫn nằm trong trung tâm dữ liệu của bên thứ ba và trên hết, người chịu hậu quả sẽ thay đổi. Bằng cách ủy thác, nếu có gì sai sót, bạn có ai đó để đổ lỗi. Bằng cách tự quản lý, rất có thể lỗi sẽ là của bạn.
Lưu trữ trên máy tính của chính bạn. Đây là tùy chọn mà hầu như không ai nói tới, và nó là trái tim của Cuốn sổ tay này. Bạn không cần một máy chủ khổng lồ bật 24/24 bên trong một trung tâm dữ liệu vĩ mô để lưu trữ đồ đạc của mình. Máy tính văn phòng của bạn đã là một máy chủ: nó phục vụ bạn. Bạn để nó bật ở văn phòng và bạn kết nối với nó từ máy tính xách tay tại nhà khách hàng, hoặc từ điện thoại di động khi bạn ở nhà. Chúng tôi gọi nó là «máy tính văn phòng», không phải «máy chủ», nhưng nó làm chính xác những gì hai tùy chọn trước đó làm. Quyền kiểm soát là tối đa và sự gần gũi cũng vậy: dữ liệu của bạn ở nơi bạn ở. Mặt trái của nó, nói một cách không tô vẽ, là trách nhiệm cũng là tối đa. Nếu mất điện, không có kỹ thuật viên trực ở Nuremberg: chính bạn là người phải bật lại cầu chì. Và để máy tính đó có thể truy cập được từ bên ngoài, cần có thứ gì đó bắc cầu giữa máy tính xách tay của bạn và nó. Đó không phải là phép thuật, và bạn nên biết điều đó trước khi chọn con đường này.
Và bạn thậm chí không cần tận dụng lại chiếc máy tính ở văn phòng: có một thiết bị được thiết kế đúng cho việc này, đó là NAS (do Synology, QNAP và những hãng khác sản xuất). Cũng như gần như mọi thứ chúng ta đã thấy trong những Cuadernos này, bên trong nó chẳng có phép màu nào cả: đó là một chiếc máy tính chuyên dụng, cùng loại máy mà bạn sẽ thuê ở một trung tâm dữ liệu, chỉ khác là nó được thiết kế để lưu trữ dữ liệu và phục vụ chúng qua mạng, không có màn hình lẫn bàn phím. Cắm vào nó một màn hình và một bàn phím, bạn sẽ có một chiếc máy tính bình thường; cài đặt phần mềm thích hợp lên PC của bạn, bạn sẽ có một chiếc NAS. Khác biệt là NAS đã sẵn sàng để dùng ngay. Bạn mua nó, cắm điện ở nhà hay ở văn phòng, và nó là của bạn. Bạn không phải trả phí hằng tháng; bạn trả tiền một lần và nó thuộc về bạn, như bất kỳ công cụ nào khác trong công việc kinh doanh của bạn. Bạn bật nó, tắt nó, mang nó đến nơi khác nếu muốn. Và vì nó là của bạn, không gì ngăn bạn có hai chiếc —một ở nhà, một ở văn phòng— hoặc ba chiếc, bằng cách thêm một chiếc đặt ở nơi an toàn, được đồng bộ với nhau: sự dự phòng của riêng bạn, mà không phụ thuộc vào việc một bên thứ ba duy trì nó. Rốt cuộc, tự lưu trữ không phải là một thứ duy nhất: nó là sự kết hợp của thiết bị, quyền sở hữu, vị trí và phần mềm.
Ở đây không thể tránh khỏi việc nêu tên điều chúng tôi làm, và chúng tôi làm điều đó không che giấu: trong Solo2 chính ứng dụng là thứ bắc nên cây cầu ấy. Máy tính ở văn phòng của bạn chỉ có thể truy cập được từ những thiết bị tin cậy của bạn, và luôn luôn được mã hóa, còn các thiết bị khác của bạn tự kết nối lại với nó. Khi một khách hàng nói chuyện với bạn, chính máy tính của bạn — chứ không phải của một bên thứ ba — là cái nói chuyện với khách hàng. Chúng tôi không giải quyết chuyện mất điện; chúng tôi giải quyết cây cầu. Và chúng tôi không phải là những kẻ duy nhất: ngày nay với hầu như mọi nhu cầu đều có những chương trình — tự do hoặc độc quyền — cho phép làm đúng điều này, là giữ dữ liệu trên thiết bị của bạn và truy cập tới chúng từ bên ngoài. Cái của chúng tôi chỉ là một ví dụ; điều quan trọng là ý tưởng, không phải thương hiệu.
Sự dư thừa không phải là siêu năng lực
Ở đây nảy sinh sự phản đối ngay lập tức, và nó là hợp lý: nếu tôi có mọi thứ trên máy tính văn phòng của mình, điều gì xảy ra nếu nó bị hỏng? Câu hỏi rất hay. Câu trả lời là mạng lưới an toàn mà chúng ta tưởng tượng ở các nhà cung cấp lớn khiêm tốn hơn —và dễ bắt chước hơn— so với vẻ ngoài của nó.
Khi tôi để dữ liệu của mình trong trung tâm dữ liệu của một công ty đa quốc gia, tôi tin tưởng rằng họ có các bản sao ở nhiều nơi. Và có lẽ họ có: ở một địa điểm thứ hai, có thể là địa điểm thứ ba. Nhưng sự dư thừa đó không phải là vô hạn và trên hết, nó không phải là của tôi: nó vẫn là một ổ đĩa cứng mà tôi không sở hữu, được quản lý bởi một người mà tôi đặt niềm tin mà hầu như không bao giờ tôi kiểm chứng.
Chính mạng lưới đó tôi có thể tự mình dệt nên, và với một lợi thế mang tính quyết định. Dịch vụ hàng ngày của tôi nằm trên máy tính văn phòng. Từ đó tôi giữ một bản sao được mã hóa trên máy tính của một công ty bạn —một đồng nghiệp, một văn phòng tin cậy khác— và một bản sao được mã hóa khác, nếu tôi muốn, tại chính nhà cung cấp châu Âu mà chúng ta đang nói đến. Sự khác biệt là tất cả: những gì tôi để bên ngoài không phải là dịch vụ của tôi cũng không phải là dữ liệu thô của tôi, mà là một bản sao được mã hóa mà chỉ tôi mới có thể mở. Nhà cung cấp bên ngoài giữ một chiếc rương đóng kín mà họ không có chìa khóa. Tôi không ủy thác thông tin của mình cho họ: tôi ủy thác cho họ một số byte mà không có tôi thì không có ý nghĩa gì.
Nó đã an toàn cho đến khi không còn nữa
Hãy để tôi kể cho bạn một câu chuyện cá nhân, vì nó minh họa điều này tốt hơn bất kỳ lập luận nào. Trong hơn mười năm, tôi là khách hàng trung thành của CrashPlan, một dịch vụ sao lưu đặc biệt về mặt kỹ thuật. Tôi đã sao lưu trên đám mây của họ tất cả máy tính của mình và của gia đình —của công ty và của nhà, tất cả mọi thứ—, với các phiên bản mà tôi có thể khôi phục với tần suất mong muốn, du hành ngược thời gian về một tệp cụ thể từ nhiều tháng trước. Sau lần sao lưu đầu tiên, nó chỉ truyền đi những thay đổi đã được mã hóa và nén, giúp tôi duy trì một bản sao lưu khổng lồ luôn cập nhật mà hầu như không tốn công sức. Nó đã cứu tôi nhiều lần, từ một tài liệu vặt vãnh cho đến cả một ổ đĩa. Giá cả tăng dần theo năm tháng và tôi không bận tâm: tôi đã trả tiền một cách vui vẻ.
Điều tôi không biết là CrashPlan đã mắc lỗi tính toán: họ đã hứa trong hợp đồng về dung lượng lưu trữ không giới hạn, cả về không gian và thời gian. Và không gian nhân với thời gian —nhiều năm lịch sử, các phiên bản sau mỗi vài phút— tăng lên cho đến khi không thể duy trì được nữa. Một ngày nọ, họ thông báo cho tất cả chúng tôi rằng dịch vụ sẽ chấm dứt. Họ đã làm điều đó một cách lịch sự và với thời hạn hào phóng, gần một năm, và cung cấp cho chúng tôi các phương tiện để tải xuống dữ liệu của mình. Nhưng một người sẽ đi đâu với hơn mười năm các bản sao có phiên bản của tất cả các ổ đĩa của mình? Ở đó, bạn phát hiện ra rằng bạn không có cách nào để tải xuống tất cả cũng như không có chỗ để chứa chúng, và ngay cả khi có thể, nhà kho lưu trữ mới sẽ tốn cả một gia tài.
Tôi đã cứu được bốn thứ thiết yếu. Phần còn lại ra đi khi họ tắt công tắc. Tôi đã yên tâm, thông tin của tôi an toàn... cho đến khi nó không còn an toàn nữa. Và không phải vì một sự phản bội: CrashPlan đã cư xử một cách không chê vào đâu được — trái với Evernote, mà nhiều năm sau đã cư xử một cách đáng hổ thẹn —; đơn giản là vị thiên thần hộ mệnh của tôi trên đám mây đã quyết định, với toàn quyền của mình, thôi không làm thiên thần nữa. Kết cục, với tôi, vẫn y như nhau: thứ tôi tưởng là an toàn đã biến mất.
Những gì câu chuyện này thực sự dạy có liên quan đến bản chất con người nhiều hơn là công nghệ. Khi ai đó cảm thấy điều gì đó là trách nhiệm của mình, họ hành động theo cách phòng ngừa: họ tạo các bản sao, bảo vệ bản thân, nghi ngờ với sự phán đoán tốt. Khi họ tin rằng —một cách sai lầm— rằng trách nhiệm thuộc về một bên thứ ba lớn và có khả năng tài chính, họ nới lỏng và để mọi thứ diễn ra. Sự yên tâm được ủy thác đó không phải là sự thận trọng: nó là một hình thức của sự vô trách nhiệm, nếu nói một cách thẳng thắn.
Trả tiền không đồng nghĩa với việc tuân thủ
Sự vô trách nhiệm thầm lặng đó rất giống với những bậc cha mẹ đăng ký cho con mình vào ngôi trường đắt tiền nhất, trả tiền cho con học thạc sĩ sau đó, và với điều đó họ tin rằng mình đã hoàn thành nghĩa vụ. Họ chưa hoàn thành. Làm cha mẹ là lo lắng về những gì con học được hôm nay, về những gì con không hiểu, về các giá trị của con, về sự tự tin của con. Nếu ở tuổi hai mươi lăm, người con đó không biết làm việc hay cư xử, lỗi không phải ở ngôi trường đã thu tiền: đó là lỗi của người đã ủy thác và trả tiền vì tin rằng bấy nhiêu là đủ. Trả tiền cho bên thứ ba không miễn trừ trách nhiệm. Nó chưa bao giờ làm thế.
Với dữ liệu cũng xảy ra y như vậy, và lịch sử gần đây xác nhận điều đó. Năm mươi hay một trăm năm trước, một người hành nghề giữ những thứ của khách hàng mình trong các tập hồ sơ, ở văn phòng hay ở nhà, và cảm thấy mình có trách nhiệm với chúng. Hiếm khi mất mát gì. Chúng ta đã bước sang thế giới số và, với một sự dễ dàng đến kinh ngạc, tải mọi thứ lên «đám mây» — vốn chẳng qua chỉ là cái máy tính của một tập đoàn đa quốc gia — rồi thôi không lo lắng nữa. Và thường thì có những tai nạn, và có những công ty mất sạch mọi thứ, rồi người ta nói: lỗi là tại Google, lỗi là tại Microsoft. Không. Thông tin là của bạn, hoặc của khách hàng bạn, nhưng người chịu trách nhiệm là bạn.
Tự lưu trữ dữ liệu của mình không phải là một ý thích kỹ thuật: đó là giành lại sự thanh thản của nhiều thập kỷ trước, sự thanh thản khi biết mỗi thứ ở đâu và tại sao. Trong khi đó, việc bảo vệ dữ liệu đã trải qua một sự thay đổi đột ngột —từ chỗ không có bất kỳ quy tắc nào, khi bất kỳ ai cũng trưng ra dữ liệu của khách hàng mà không suy nghĩ, đến một yêu cầu đổ xuống với sự khắc nghiệt không tương xứng đối với những người nhỏ nhất, những người làm tự do đưa điện thoại của khách hàng cho người giao hàng. Tôi không tranh luận về mục tiêu; tôi quan sát sự mất cân đối. Nhưng sự mất cân đối không miễn tội cho chúng ta: ngày mà chính quyền có phương tiện để theo dõi và trừng phạt trên quy mô lớn, quy mô sẽ không còn bảo vệ được ai nữa, và sẽ là khôn ngoan nếu không đợi đến ngày đó với một ngôi nhà bừa bộn. Có dữ liệu dưới sự kiểm soát của chính mình giúp tuân thủ và giúp chứng minh điều đó. Và trên hết, nó đưa mọi thứ trở lại vị trí của nó: khi thông tin là của bạn, trách nhiệm hoàn toàn là của bạn —không có bên thứ ba nào để đổ lỗi, cũng không có bên thứ ba nào mà sự thất bại của họ sẽ khiến bạn bị phơi nhiễm—.
Trách nhiệm cũng bảo vệ
Sẽ là không trung thực nếu vẽ nên bức tranh này mà không có bóng tối. Thế chỗ của người trung gian nghĩa là gánh lấy phần của họ: giữ các bản sao lưu luôn cập nhật, áp dụng các bản cập nhật và một trách nhiệm pháp lý — của RGPD — mà thật ra chưa bao giờ thôi hoàn toàn là của bạn (các tham chiếu ở cuối trang nêu chi tiết các điều khoản). Có việc phải làm, và có một ngày nào đó cái gì đó hỏng hóc vào lúc không đúng thời điểm. Chúng tôi không giấu giếm điều đó.
Nhưng nỗi sợ vây quanh cái từ ấy, trách nhiệm, đã bị hiệu chỉnh sai. Mất tập tin của bạn trong một dịch vụ đám mây đóng cửa, hay mất ảnh của bạn trong Google Photos, dễ hơn nhiều so với việc mất cái thư mục tài liệu quan trọng mà bạn có trong chính máy tính của mình: cái mà bạn biết nó nằm ở đâu và bạn sẽ nhận ra ngay sự vắng mặt của nó khi nó biến mất. Cái bạn cảm thấy là của mình, bạn chăm chút; cái bạn tin là an toàn trong tay người khác, bạn lơ là.
Hãy nghĩ đến những cuốn album ảnh ngày xưa, những cuốn in trên giấy rửa ảnh và cất trong một ngăn kéo. Bạn có bao giờ nghe ai đó nói rằng họ «làm mất» album gia đình của mình chưa? Người ta nghe chuyện ngôi nhà cháy với cuốn album bên trong; còn làm mất nó không vì lý do gì, thì không. Trái lại, những người có toàn bộ ảnh của mình trong Google Photos hoặc trong Apple Photos rồi chẳng còn lại gì: câu chuyện ấy cứ vài tháng lại quay về, bởi họ tưởng nó an toàn. Google Photos chăm sóc ảnh của bạn, dĩ nhiên là có; nhưng nó không chăm sóc chúng theo cách cha mẹ chăm sóc cuốn album có con cái và cháu chắt của họ trong đó. Sự khác biệt ấy chẳng có trung tâm dữ liệu nào sửa được: trách nhiệm, khi nó là của bạn, không chỉ là một gánh nặng; nó còn là sự bảo đảm tốt nhất.
Bốn câu hỏi trước khi quyết định
Nếu bạn đang cân nhắc thực hiện bước đi này, dưới bất kỳ hình thức nào, tốt nhất là trước tiên hãy trả lời bốn câu hỏi với sự thành thực không định kiến:
- Phần nào trong dữ liệu của bạn mà nếu mất đi, hoặc không thể mang theo, sẽ khiến bạn đau lòng? Và hãy coi chừng việc gạt bỏ những thứ «thường nhật»: lịch sử hóa đơn trông có vẻ là thứ tầm thường nhất trên đời cho đến khi bạn đổi chương trình và phát hiện ra rằng những hóa đơn ấy là của nhà cung cấp, chứ không phải của bạn — rằng, nhiều lắm, bạn chỉ có thể in chúng ra dưới dạng PDF, mà không còn tìm kiếm được bên trong chúng nữa —. Đây không chỉ là chuyện nhạy cảm: đó là chuyện cái mà bạn cần lưu giữ thực sự thuộc về ai.
- Lựa chọn nào tương xứng với năng lực kỹ thuật thực sự của bạn? Một chiếc máy tính của riêng mình được chăm sóc tốt thì nằm trong tầm với của bất kỳ ai; còn quản trị cả một máy chủ thì không hẳn vậy. Hãy thành thật về điều bạn biết và điều bạn không biết. Và hãy nhớ rằng giữa việc dựng cả một máy chủ và việc giao phó mọi thứ có một vùng trung gian rất hợp lý: những chương trình — tự do hoặc độc quyền — giữ dữ liệu của bạn trên chính thiết bị của bạn và cho phép bạn truy cập tới chúng từ bên ngoài. Với nhiều người thì đó là sự cân bằng tốt nhất.
- Bạn có kế hoạch gì cho ngày tồi tệ nhất? Một vụ vi phạm dữ liệu, một ổ đĩa bị hỏng, một nhà cung cấp đóng cửa, kỹ thuật viên nghỉ ốm. Nếu kế hoạch bắt đầu bằng «điều đó không nên xảy ra», thì đó không phải là một kế hoạch.
- Bạn có biết cách chứng minh rằng mình đang tuân thủ nếu ngày mai bạn bị kiểm tra không? Làm tốt và có thể chứng minh rằng mình đang làm tốt không phải là một thứ. Luật pháp yêu cầu điều thứ hai.
Không có câu trả lời chung cho tất cả. Có một câu trả lời tương xứng, được chấp nhận với sự thành thực về những gì đạt được và những gì phải gánh vác. Và trên cả kỹ thuật, có một sự chắc chắn đơn giản: dữ liệu của bạn sống trong máy tính của ai đó. Câu hỏi duy nhất thực sự quan trọng là bạn muốn máy tính đó là của ai.
Tự lưu trữ không phải là một đức tính cũng không phải là một thói xấu: nó là một công cụ với dấu ấn cụ thể về khả năng và trách nhiệm. Câu hỏi chưa bao giờ là liệu có nên lưu trữ dữ liệu của riêng bạn hay không, mà là lưu trữ dữ liệu gì, như thế nào và với mạng lưới hỗ trợ nào. Việc giành lại quyền kiểm soát dữ liệu không phải là quay lại tầng hầm hay không tin tưởng mọi thứ: đó là quay lại cảm thấy có trách nhiệm với những gì thuộc về chúng ta, giống như khi dữ liệu đó còn nằm trong một thư mục trên bàn làm việc. Trách nhiệm đó, nếu được hiểu đúng, là dịch vụ thực sự mà một chuyên gia cung cấp cho khách hàng của mình.
Nguồn tham khảo và đọc thêm
- Quy định (EU) 2016/679 — Điều 28 (bên xử lý dữ liệu), Điều 32 (an ninh xử lý dữ liệu), Điều 33 (thông báo vi phạm), Điều 37 (chỉ định Cán bộ Bảo vệ Dữ liệu).
- Cơ quan Bảo vệ Dữ liệu Tây Ban Nha — Hướng dẫn thực hành phân tích rủi ro trong xử lý dữ liệu cá nhân (phiên bản hiện hành). Khung dành cho các bên kiểm soát tự đảm nhận các chức năng kỹ thuật của riêng mình.
- Ủy ban Bảo vệ Dữ liệu Châu Âu — Guidelines 1/2024 on processing of personal data based on legitimate interests. Cũng có thể áp dụng cho việc kiểm tra tính tương xứng trong các quyết định về cơ sở hạ tầng riêng.
- Ủy ban Châu Âu — danh bạ công khai các nhà cung cấp dịch vụ thông tin được thiết lập trong quyền hạn của châu Âu. Điểm khởi đầu hành chính để xác định các tùy chọn lưu trữ được quản lý của châu Âu.
- Nextcloud GmbH (Đức) — Tài liệu về kiến trúc và tuân thủ của Nextcloud Enterprise. Một trường hợp được ghi chép lại về phần mềm tự do với các hình thức tự lưu trữ và được quản lý bởi nhà cung cấp châu Âu; hữu ích như một tham chiếu kỹ thuật của một dự án được duy trì trong quyền hạn của châu Âu từ năm 2016.