Privacy Statnive Live · Parhum Khoshbakht

امتلكوا بيانات تحليلاتكم: الاستضافة الذاتية مقابل SaaS أوروبي خاص في 2026

متى تُساعد الاستضافة الذاتية للتحليلات فعلاً، متى يكون SaaS أوروبي خاص الإجابة الصحيحة، وكيف يشحن Statnive Live كليهما بنفس ثوابت الخصوصية.

التحليلات ذات الاستضافة الذاتية إعادة ضبط 2026، لا مكانة هامشية

طوال معظم العقد الماضي، «التحليلات ذات الاستضافة الذاتية» كانت موقفاً تتّخذونه لأسباب أيديولوجية — غرس راية Plausible-أو-Matomo مقابل افتراض GA4. في 2026 صارت شيئاً آخر: قانون البيانات للمفوضية الأوروبية (مُطبَّق منذ 12 سبتمبر 2025) يحظر صراحة قفل بيع SaaS عبر صيغ تخزين مملوكة، وثمة هجرة SaaS عامة قابلة للاستشهاد لشركات أوروبية تُعيد توطين أحمالها من منصات السحاب التي تُتحكَّم بها أمريكياً — «مصنّعو Mittelstand الألمان، وكالات حكومية فرنسية، مقدّمو رعاية صحية هولنديون»، في تأطير MassiveGRID. تتبّع الصناعة الآن يصف سيادة البيانات بأنها «استجابة عملية لضغط تنظيمي، واقع سياسي، والاعتراف المتنامي بأن سيادة البيانات ليست اختيارية.»

Statnive Live يشحن في شكلين: ثنائي Go بالاستضافة الذاتية تُديرونه بأنفسكم، وSaaS أوروبي خاص في نورنبرغ. هذه المقالة هي النسخة الصريحة من السؤال الذي على كل مُشغّل واعٍ بالخصوصية الإجابة عنه: أيٌّ منهما يُلائمني فعلاً؟ حيث تُقدّم هذه المقالة ادعاءً تنظيمياً أو منتجاً، ستجدون مصدراً في حاشية — وحيث تكون المقايضة حقيقية، المقايضة مُسمّاة.

هذه المقالة 3 في سلسلة قصيرة تُعرّف بـ Statnive Live. المقالة 1 سارت عبر قرار إضافة WordPress مقابل Statnive Live؛ المقالة 2 غطّت مشهد 2026 التنظيمي الأوروبي. هذه عن شكل النشر — متحكّم مقابل مُعالج، نصف قطر الانفجار، ونموذج التهديد على كل جانب.

ما تحميكم منه الاستضافة الذاتية فعلاً

الاستضافة الذاتية تطوي خمسة تهديدات شائعة لتحليلات SaaS إلى خادم واحد تملكون أصلاً:

  1. خروج البائع من الأعمال، أو تحوّله، أو تغيير سعره تعسفياً. SmartSaaS وSharp Hue يُؤطّران هذا بوصفه مخاطرة SaaS الكنسية؛ إن كانت كومة تحليلاتكم تعيش على خوادم شخص آخر، فبياناتكم التاريخية تعيش على خارطة طريقه.
  2. استحواذ البائع. المالكون الجدد يستطيعون تغيير وضعية الخصوصية، رفع السعر، أو فرض إعادة المنصة. J. Chang Law يتتبع الجانب التعاقدي لهذه النزاعات.
  3. تعرّض البائع لاختراق بيانات. حين تجلس بيانات الزائر في SaaS متعدّد المستأجرين، كل اختراق عند البائع هو اختراق لبياناتكم (تأطير Kiteworks). الاستضافة الذاتية تُغطّي نصف قطر الانفجار إلى خادمكم.
  4. خطر نقل عبر الحدود. الاستضافة خارج EEA تُفعّل الفصل V لـ GDPR (المواد 44-49). الإجابة الأنظف هي البقاء داخل EEA — انظروا المقالة 2 من هذه السلسلة للقضية التنظيمية.
  5. إفصاح مفروض من المُنظّم. قانون CLOUD الأمريكي + FISA 702 يصلان إلى أي بيانات يتحكم بها مزوّد أمريكي التأسيس، بغضّ النظر عن مكانها الفعلي. كما تضع Civo الأمر: «تخزين بياناتكم في فرانكفورت أو دبلن لا يضعها خارج وصول إنفاذ القانون الأمريكي. إن كان المزوّد شركة أمريكية، يمكن للسلطات الأمريكية إجبار الوصول إلى أي بيانات تتحكم بها تلك الشركة، أينما خُزِّنت.» FISA 702 كانت مُقرَّرة الانتهاء في أبريل 2026 مع ضغط تجديد جارٍ أصلاً وقت الكتابة — نطاق ما بعد التجديد سيُخبركم ما إذا كانت الصورة تتغيّر؛ الإجابة المعمارية لا تعتمد عليه.

ثنائي ذاتي الاستضافة على بنية يتحكم بها المُشغّل تُدار بواسطة كيان قانوني غير أمريكي يطوي التهديدات الخمسة إلى مشكلة واحدة يُديرها المُشغّل أصلاً — خادمه.

ما لا تحميكم منه الاستضافة الذاتية

قائمة الرفيق الصريحة. الاستضافة الذاتية تنقل المخاطر؛ لا تُزيلها. أربعة أمور تبقى مشكلتكم.

اختراق خادمكم. نظام التشغيل المضيف، ClickHouse، ثنائي Go، الشبكة — كل ذلك يجلس الآن داخل نصف قطر انفجاركم. إن كانت وضعية sysadmin لديكم ضعيفة، فالاستضافة الذاتية يمكن أن تجعل الأمور أسوأ، لا أفضل. تأطير Slimstat / TeamUpdraft لاستضافة-ذاتية-بوصفها-حمل-خادم هو نفس المقايضة مصبوبة بوصفها أداء.

فقدان مفاتيح التشفير. الأقراص المُشفَّرة بـ LUKS والنسخ الاحتياطية المُشفَّرة بـ age تعمل ما دامت المفاتيح موجودة. اخسروها وضاعت البيانات — مثل مفتاح SSH أو محفظة Bitcoin. نُوثّق قصة استرداد LUKS في docs/luks.md؛ كل شيء آخر مشكلة مدير كلمات المرور لديكم.

خطر داخلي على فريقكم. مدير خبيث أو مُهمل يستطيع قراءة الأحداث الخام قبل التجزئة، إسقاط جداول، أو تهريب سجلات تدقيق. RBAC (admin / viewer / API-only) يُساعد في التقسيم؛ المخاطر المتبقّية لكم.

خطأ المُشغّل. حذف بيانات، تهيئة سيئة للنسخ الاحتياطية، ترك لوحة التحكم مفتوحة. نفس تدريب الاسترداد-عند-الإصدار الذي يُدافع ضد اختراق يُدافع ضد خطأ المُشغّل — لكن فقط إن كنتم قد شغّلتموه فعلاً.

إن كانت تلك الأربعة لا تزال تجلس أفضل لديكم من قائمة بائع SaaS أعلاه، فاستضيفوا ذاتياً. إن لم يكن، فمسار SaaS الأوروبي الخاص يُغطّي معظمها مع الحفاظ على قصة إقامة بيانات EU-فقط سليمة.

معمارية الثنائي الواحد

كلا المسارين يُشغّلان ثنائي Go نفسه مقابل مخطّط ClickHouse نفسه. لا fork، لا قاعدة كود ثانية. كل الأصول — JS المتتبّع، SPA لوحة التحكم، ترحيلات ClickHouse، تبعيات Go المُتمَّنة — مُضمَّنة عبر go:embed. لا CDN خارجي، لا npm install عند التشغيل، لا go mod download عند التشغيل.

العزل عن الإنترنت هدف مشروع لا تفاوض عليه، لا تطلّع. الثنائي مطلوب أن يعمل معزولاً تماماً تحت iptables -P OUTPUT DROP مع صفر اتصالات خارجية مطلوبة. بوابة الإصدار تُشغّل اختبار العزل على كل إصدار: الأحداث تُدخَل، rollups تتجسّد، لوحة التحكم تُعرَض، كل ذلك تحت إسقاط iptables. الزيارات الخارجة على ميزات opt-in (مثلاً تحديث قاعدة بيانات GeoIP اختياري) تُوجَّه عبر internal/httpclient/guarded.go — قائمة سماح FQDN، رفض RFC-1918/loopback/CGNAT بعد حلّ DNS، فرض HTTPS. قائمة السماح الافتراضية فارغة.

في CI، قاعدة air-gap-validator ترفض إنشاءات *http.Client الخام، DNS/HTTP عند التشغيل، استيرادات CDN في لوحة التحكم أو المتتبّع، pings قياس عن بُعد، وURLs خط/سكريبت خارجية. العقد مُنفَّذ بمراجعة الكود و بـ Semgrep، لا بقائمة فحص.

الدفاع في العمق — الادعاءات الملموسة

البدائيات التشفيرية والتشغيلية، مع مسارات ملفات كي تتحقّقوا منها:

  • هوية الزائر: HMAC(master_secret, site_id || YYYY-MM-DD)، BLAKE3-keyed، مُشتقّة في العملية، لا تُحفَظ أبداً، تتدور يومياً. نفس الزائر ← تجزئة مختلفة كل يوم. مُخزَّنة بوصفها FixedString(16) (BLAKE3-128 مُقتطعة إلى 16 بايت) في ClickHouse. SHA-256 / BLAKE3 هما العائلتان الوحيدتان للتجزئة في أي مكان في الثنائي؛ بلا MD5، بلا SHA-1.
  • مصادقة لوحة التحكم: تجزئة كلمة مرور bcrypt بتكلفة 12، رموز جلسة 32-بايت من crypto/rand (256 بت، مُرمَّزة hex)، TTL 14 يوماً، Cookies SameSite=Lax HttpOnly Secure. تكلفة Bcrypt 12 تستغرق ~50 ms+ على كل آلة تُشغّلها — هذا هو القصد.
  • سجل التدقيق: JSONL عبر slog من Go، append-only، file sink فقط في v1، انضباط chattr +a، logrotate copytruncate=off. Syslog وأحواض بعيدة مُؤجَّلة إلى v1.1 — ذلك يحفظ افتراض العزل.
  • التشفير عند الراحة: LUKS2 مع aes-xts-plain64، حجم مفتاح 512، PBKDF argon2id، iter-time 2000. مطلوب على VPS سحاب متعدّد المستأجرين (بما فيه Netcup VPS 2000 G12 NUE D1)؛ اختياري على عتاد قفص مُخصَّص. ضربة I/O المُقاسة 40-50% على ext4-فوق-LUKS1؛ AES-NI + AVX2 يُنصّفها.
  • نسخ احتياطية مُشفَّرة: clickhouse-backup + age + zstd، cron-scheduled. اختبار-استرداد على كل إصدار. النسخ الاحتياطية تشحن إلى موقع ثانٍ EU-فقط لـ SaaS؛ للاستضافة الذاتية، الموقع اختيار المُشغّل.
  • تصليب systemd: NoNewPrivileges، ProtectSystem=strict، PrivateTmp، CapabilityBoundingSet=CAP_NET_BIND_SERVICE. وحدة الخدمة تشحن إلى جانب قواعد iptables العزل عبر make airgap-bundle.
  • اختصار Sec-GPC: حين تُضبَط Sec-GPC: 1 أو DNT: 1، يُسقَط الطلب قبل حساب مُعرّف الزائر. لا مُعرّف اسم مستعار يُولَّد لزائر يرفض — لا شيء لحذفه لأن لا شيء أُنشئ.

متى تستضيفون ذاتياً مقابل متى تأخذون SaaS أوروبي خاص

خمسة عوامل تُقرّر هذا فعلاً. معظم القرّاء سيرون أنفسهم في عمود واحد بسرعة.

1. عدد طاقم العمليات. الاستضافة الذاتية تُكلّف وقت عمليات. المُشغّل يملك تدوير TLS، إسقاطات قاعدة بيانات GeoIP، ترقيات ClickHouse، تصحيحات النواة، عبارة مرور LUKS. إن لم يكن لديكم شخص وظيفته تتضمّن أصلاً خادم Linux، فاختاروا SaaS.

2. حجم الزيارات. سقف تصميم Statnive Live هو 200 م حدث/يوم لكل عقدة على صندوق 8-cores / 32 GB. تحت ~10 م حدث/يوم أيٌّ من المسارين يعمل بالتساوي؛ فوق ~50 م حدث/يوم نضج التشغيل لاستضافة ذاتية يبدأ يبدو معقولاً على جدارته.

3. وضعية التدقيق والامتثال. الصناعات المُنظَّمة تحتاج غالباً كلا اتفاقية معالجة بيانات Art. 28(3) مُوقَّعة و بنية تحتية تُوجّهونها. مسار SaaS الخاص يُغطّي نصف اتفاقية معالجة البيانات؛ الاستضافة الذاتية تُغطّي النصفين لكنها تنقل عبء العمليات إلى فريقكم.

4. الجغرافيا. SaaS يُعالَج في نورنبرغ، ألمانيا (Netcup VPS 2000 G12 NUE) — EU/EEA-فقط، بلا نقل الفصل V. الاستضافة الذاتية تضع البيانات أينما كان خادمكم. قواعد إقامة البيانات الخاصة بالدولة (FADP السويسري، شراء قطاع عام ألماني) أحياناً تحتاج مدينة محدّدة — فقط الاستضافة الذاتية تُعطي هذا المستوى من التحكم.

5. التكلفة عند المقياس. SaaS مُسعَّر بالزيارات (Starter / Growth / Business تتراوح بين $9–$339/شهر عبر الطبقات المنشورة؛ Enterprise أعلى). الاستضافة الذاتية تُقايض فاتورة SaaS بـ Hetzner CX43 (~€14/شهر) أو Netcup VPS 2000 G12 (€25.48/شهر شهرياً) إضافة إلى وقت المُشغّل. عند زيارات منخفضة SaaS يفوز على TCO؛ عند زيارات عالية جداً الاستضافة الذاتية تفوز.

إن مالت ثلاثة أو أكثر من تلك بنفس الاتجاه، فهذه إجابتكم. إن كانت مُقسَّمة، اختاروا SaaS افتراضياً للأشهر الستة الأولى — يمكنكم الانتقال إلى الاستضافة الذاتية لاحقاً دون فقدان البيانات، لأن الثنائي والمخطّط متماثلان.

أرض وسطى «SaaS الخاص»

ملاحظة دقيقة على ما يعنيه «خاص» في هذا السياق. SaaS لـ Statnive Live معزول منطقياً للمستأجرين — كل صف حدث يحمل site_id، كل استعلام لوحة تحكم يُوجَّه عبر whereTimeAndTenant() مع WHERE site_id = ? بوصفه المُسند الأول، وقاعدة اختناق إيجار CI ترفض أي استعلام جديد يتجاوزها. ليس أحادي مستأجر فيزيائياً: عنقود ClickHouse واحد يخدم كل العملاء. العملاء الذين يريدون أحادية مستأجر فيزيائية يأخذون مسار الاستضافة الذاتية.

ما يشحنه SaaS من الصندوق:

  • اتفاقية معالجة بيانات Art. 28(3) على كل خطة (بما فيها المجانية)، مُوقَّعة بتاريخ 2026-04-24. اتفاقية معالجة البيانات تُغطّي الفقرات الفرعية الثماني لـ Art. 28(3) — تعليمات فقط، السرية، أمان Art. 32، تفويض المُعالِج الفرعي، مساعدة حقوق صاحب البيانات، مساعدة التزام المُتحكّم لـ Arts. 32-36، حذف أو إعادة عند الإنهاء، وحقوق التدقيق.
  • قائمة المُعالِج الفرعي مُحدَّثة خلال 7 أيام من أي تغيير في الأعلى، مع إشعار مُسبق 14 يوماً للعملاء عبر صفحة الخصوصية؛ يُمكن للعميل الاعتراض كتابياً خلال تلك النافذة.
  • نافذة تصدير عميل 30 يوماً عند الإنهاء — CSV/JSON كامل عبر نقطة التصدير القياسية. بعد 30 يوماً، الجداول الخام، جداول rollup، النسخ الاحتياطية (دورة النسخ الاحتياطي التالية ≤ 24 س)، وسجلات التدقيق تُحذَف، إلا حيث يتطلّب قانون الاتحاد أو الدولة العضو الاحتفاظ.
  • SLA إشعار خرق 48 ساعة من الوعي، يُعكس Art. 33 من GDPR.
  • معالجة EU/EEA-فقط. بلا نقل الفصل V لبيانات شخصية مُخزَّنة خارج EEA. المُعالِجَان الفرعيان المُقيمان في الولايات المتحدة الذين يظهران في السلسلة — Cloudflare DNS-فقط، Let’s Encrypt لشهادات DV — مُفصَح عنهما في § 6 من اتفاقية معالجة البيانات تحت ملاءمة DPF. يستقبلون البيانات الوصفية لـ DNS والبيانات الوصفية للشهادة فقط، لا حمولة تطبيق أبداً.

النقطة الأخيرة هي الإجابة الحاملة للسؤال CLOUD Act / FISA 702. «لا طرف أمريكي التأسيس في سلسلة المعالجة» هي النسخة الصارمة، وهي ما تجادل من أجله Civo و SoftwareSeni في المصادر أعلاه. «القول إن فرانكفورت أو دبلن لا يجعلان مزوّداً أمريكياً سيادياً» هو الشيء الذي على المعمارية فعلاً الإجابة عنه؛ «مُشغَّل من قِبل عميل مُقيم في ألمانيا لكيان قانوني ألماني على بنية تحتية في نورنبرغ» هو الإجابة.

مسار الترحيل بين الاثنين

هذا الجزء قصير لأنه عمداً غير حدثي.

نفس الثنائي، نفس المخطّط. الترحيلات تعيش في clickhouse/migrations/ وتستخدم Go-templates لـ {{if .Cluster}} من اليوم الأول — انتقال العقدة-الواحدة ← Distributed هو قلب تهيئة، لا إعادة منصة.

بلا قفل بيانات. ClickHouse يستخدم صيغ ثنائية قياسية (Parquet / Native / RowBinary) إضافة إلى صيغة أرشيف clickhouse-backup. ترحيل خارج Statnive Live إلى ClickHouse Cloud أو عنقود مُدار ذاتياً هو استرداد clickhouse-backup، لا إعادة استيراد.

تصدير ومحو بنطاق زائر. GET /api/privacy/access يُعيد الصفوف المرتبطة بـ Cookie على الموقع المُحلّ (Art. 15)؛ POST /api/privacy/erase هي نقطة المحو المُطابقة (Art. 17). مسار المحو يُعدّ system.columns ديناميكياً، لذا أي جدول جديد يحمل cookie_id تلقائياً في النطاق — وفقرة WHERE هي cookie_id = ? AND site_id = ? كي لا يصل طلب محو على موقع إلى صفوف مستأجر آخر. DSAR في اليوم الأول، لا مُضاف لاحقاً.

إن بدأتم على SaaS الخاص ولاحقاً أردتم الاستضافة الذاتية، اطلبوا الثنائي إضافة إلى أرشيف clickhouse-backup لبياناتكم. خط الإصدار يُنتج statnive-live-<VERSION>-linux-amd64-airgap.tar.gz قابل للإعادة إضافة إلى SHA256SUMS (وتوقيع Ed25519 اختياري) — تنسخون التارة، تُشغّلون clickhouse-backup restore لبياناتكم، وأنتم تُشغّلون نفس لوحة التحكم مقابل نفس المخطّط، فقط على عتادكم.

أسئلة شائعة

ماذا يحدث إن أُغلق Statnive Live؟

نفس الثنائي، تستمرون في تشغيله. عملاء الاستضافة الذاتية لديهم أصلاً. عملاء SaaS يمكنهم طلب الثنائي إضافة إلى أرشيف clickhouse-backup لبياناتهم عند الخروج. خط الإصدار يُنتج حزمة airgap قابلة للإعادة مع مجاميع SHA256؛ لا شيء عن ذلك يعتمد على بقاء Statnive عاملاً.

هل يمكنني نقل بياناتي إلى ClickHouse Cloud؟

نعم. البيانات في صيغة ClickHouse القياسية؛ clickhouse-backup restore مقابل هدف ClickHouse Cloud هو المسار المدعوم. إن أردتم استخدام البيانات مع أداة أخرى كلياً، نقطة التصدير تُنتج CSV/JSON.

هل يمكن لـ CI لديّ أن يعمل مقابل نسخة Statnive؟

نعم. make ci-local يُحضر ClickHouse، يُحضر ثنائي Go، يُشغّل اختبارات التكامل، ويُسقطها كلها. مُشغّل CI لكل PR يفعل هذا أصلاً — إنه نفس التدريب الذي ستستخدمونه محلياً.

أين أحتفظ بالنسخ الاحتياطية المُشفَّرة؟

اختيار المُشغّل على الاستضافة الذاتية: أي مخزن متوافق مع S3، أي قرص بعيد، أي شريط. لـ SaaS، موقع ثانٍ EU-فقط هو الإجابة التعاقدية. الاسترداد مُختبَر على كل إصدار بغضّ النظر عن أين تهبط النسخ الاحتياطية.

CLOUD Act / FISA 702 — هل تُساعد نورنبرغ؟

نعم، حين يكون المزوّد أيضاً غير مُتحكَّم به أمريكياً. SaaS لـ Statnive Live مُشغَّل من قِبل عميل مُقيم في ألمانيا لـ Netcup (كيان قانوني ألماني) على بنية Netcup التحتية في نورنبرغ. لا طرف أمريكي التأسيس في سلسلة المعالجة ← لا وصول CLOUD Act / FISA 702 على حمولة التطبيق. اثنان مُعالِجان فرعيان مُقيمان في الولايات المتحدة يظهران تحت ملاءمة DPF — Cloudflare DNS-فقط و Let’s Encrypt — يستقبلان بيانات DNS الوصفية وبيانات الشهادة الوصفية فقط. هذا سطح مختلف عن «قاعدة البيانات تعيش على AWS-فرانكفورت».

ماذا عن استرداد الكوارث؟

نفس اختبار الاسترداد يعمل على كل إصدار، مقابل نفس صيغة النسخة الاحتياطية المُشفَّرة — أرشيف clickhouse-backup، مُشفَّر بـ age، مضغوط بـ zstd. وثّقنا أيضاً مسار استرداد LUKS في docs/luks.md لطبقة التشفير عند الراحة. لا سحر؛ ثمة تدريب شُغِّل فعلاً.

الخلاصة

الاستضافة الذاتية ليست غرس راية في 2026 — إنها الإجابة الأنظف لاتجاه قابل للقياس في ضغط شراء وتنظيم أوروبي. Statnive Live يشحن نفس ثنائي Go إضافة إلى نفس مخطّط ClickHouse في شكلين: استضافة ذاتية، حيث تأخذون كل مسؤولية العمليات وتخسرون مخاطر بائع SaaS؛ وSaaS أوروبي خاص في نورنبرغ، حيث تأخذون اتفاقية معالجة بيانات Art. 28(3)، إقامة بيانات EU-فقط، و SLA مُعالِج فرعي 7 أيام — لكن أيضاً نصف قطر انفجار متعدّد المستأجرين الذي صُمّمت المعمارية لتقييده.

اختاروا المسار الذي يُطابق عدد طاقم عملياتكم، زياراتكم، ووضعية تدقيقكم. إن كنتم مُتردّدين، ابدؤوا على SaaS — الترحيل إلى الاستضافة الذاتية استرداد clickhouse-backup بعيداً.

Statnive Live قريباً على statnive.com/live. حتى ذلك الحين، إضافة WordPress على WordPress.org، قطعة المقارنة تسير عبر شجرة قرار WP-مقابل-Live، دليل GDPR يُغطّي الجانب التنظيمي، وصفحة الأسعار تضع كلا المنتجين معاً. إن كنتم تحديداً تُقارنون بدائل GA، التجميع المُرتَّب يُغطّي سبعة بدائل قائمة على الخصوصية أولاً مع ملاحظات تكامل WordPress. إن تبيّن أن حقيقة في هذه المقالة خاطئة، اكتبوا لي — كل ادعاء له حاشية، ونُفضّل تصحيح واحدة على شحن نصف حقيقة مصقولة.

Get Statnive Free