Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today
Read more

Preguntas frecuentes

Introducción

En esta página, encontrará respuestas a las preguntas habituales de nuestros clientes sobre las prácticas de privacidad de datos de Zscaler.

Para obtener más información sobre nuestras prácticas de privacidad de datos, consulte nuestro sitio de información general sobre privacidad y protección de datos.

1. ¿Dónde puedo encontrar el Acuerdo de procesamiento de datos (DPA) de Zscaler?

Puede encontrar el DPA de Zscaler en zscaler.com/privacy/dpa. Si tiene alguna pregunta sobre el DPA, pida ayuda a su contacto de Zscaler o escriba a [email protected].

2. ¿Por qué Zscaler recopila y utiliza mi información personal?

Nuestros productos permiten a nuestros clientes otorgar a sus usuarios autorizados acceso directo y seguro a Internet o a aplicaciones específicas desde cualquier lugar y dispositivo. Por lo tanto, nuestros productos utilizan la información personal como la identidad basada en el contexto para garantizar que nuestros clientes puedan protegerse contra intrusos y autenticar las solicitudes de acceso de sus usuarios autorizados.

3. ¿Qué datos personales recopila Zscaler sobre mí?

Zscaler almacena una cantidad limitada de datos personales (p. ej., direcciones IP, URL, ID de usuario, grupos de usuarios y departamentos del directorio corporativo) y no procesa ni almacena ninguna categoría especial o confidencial de datos personales (p. ej., tarjeta de crédito o información médica protegida).

Para obtener más información, consulte el Anexo A de nuestro DPA, que puede encontrar aquí.

4. ¿Zscaler utiliza cookies?

Sí, las cookies nos permiten recordarle, mejorar su experiencia en nuestro sitio web y ofrecerle productos y servicios relevantes. Usamos cookies para facilitar la navegación del sitio, supervisar las respuestas a nuestros anuncios, y mejorar continuamente el diseño y la funcionalidad de nuestro sitio web para los titulares de cuentas y visitantes.

Para Zscaler Internet Access (ZIA), se utilizan cookies de nivel de usuario para el aislamiento remoto del navegador.

Para obtener más información, consulte la Política de Cookies de Zscaler.

5. ¿Cómo cumple Zscaler contractualmente nuestras responsabilidades como procesador de datos bajo el RGPD?

Cuando actúe como procesador de datos, Zscaler exclusivamente tratará los datos personales en nombre del responsable del tratamiento de datos y previa autorización por escrito de este (es decir, a través de un contrato o de un pedido, e incluyendo en el DPA detalles de dichas instrucciones).

Además, celebramos acuerdos por escrito con nuestros subprocesadores y seguimos siendo responsables de los actos y omisiones de ellos. Nuestros esfuerzos de diligencia debida también implican garantizar que todos nuestros subprocesadores mantengan su cumplimiento de las leyes de protección de datos.

6. ¿Utiliza Zscaler subprocesadores para prestar sus servicios?

Sí. Como todos los proveedores de la nube, Zscaler contrata subprocesadores para brindar sus servicios. Sin embargo, ninguno de los datos compartidos con los subprocesadores se utiliza para fines secundarios, como la publicidad de terceros. Zscaler realiza la diligencia debida sobre las prácticas de seguridad y privacidad de sus subprocesadores para garantizar que dichos subprocesadores brinden un nivel de seguridad y privacidad apropiado para su acceso a los datos del cliente (que pueden incluir datos personales) y el alcance de los servicios que brindan. Zscaler requiere que los subprocesadores se comprometan contractualmente por escrito a proporcionar una protección y confidencialidad de datos adecuadas de acuerdo con las políticas de privacidad de Zscaler.

Puede ver la lista actual de nuestros subprocesadores aquí.

7. ¿Zscaler almacena datos personales de los clientes?

Para la mayoría de los servicios y productos de Zscaler, Zscaler nunca almacena el contenido de transacciones HTTP, HTTPS y no HTTP (que incluye cualquier parte sustancial de la solicitud, como mensajes, archivos, etc.) ni dicha información queda registrada en disco. Toda inspección tiene lugar en la memoria. 

Para los clientes que solicitan Zscaler Cloud Sandbox, Zscaler registra contenido malicioso en un disco de almacenamiento. Sin embargo, los clientes pueden decidir qué archivos enviar a la zona de pruebas de Zscaler (según el tipo de archivo, la categoría de URL, el usuario/grupo, etc.).

Para Zscaler Client Connector, los clientes pueden habilitar o deshabilitar globalmente la captura de paquetes a través de políticas con Zscaler, y eliminar los registros de captura de paquetes del ordenador portátil, ordenador de sobremesa o dispositivo móvil personal correspondiente.

Los registros de transacciones de clientes (registros de clientes) nunca se almacenan en texto no cifrado y se indexan, comprimen y tokenizan en el punto de generación, lo que significa que se usa un token como identificador en el registro, no el nombre de usuario, y los únicos identificadores restantes en el registro son entradas más inocuas como el grupo AD, la dirección IP o la ubicación de la oficina. Esto garantiza que un solo registro de cliente carezca de sentido si no va en una cadena completa de registros de clientes históricos y acceso a los índices almacenados en la autoridad central (CA) de Zscaler. Cuando un usuario con privilegios (como el administrador de un cliente) desea descifrar los registros, nuestro sistema vuelve a transponer el nombre de usuario para el token antes de mostrar o proporcionar los registros para su descarga. Por lo tanto, incluso teniendo acceso a los datos almacenados, no se pueden extraer los datos personales sin que la interfaz de usuario de Zscaler reúna la información de los registros de los clientes y la información de la CA.

8. ¿Dónde se procesan mis datos?

Zscaler procesará datos de usuario tokenizados y cifrados en uno de nuestros más de 150 centros de datos globales que se encuentre más cerca de los usuarios del cliente, lo que significa que el cliente tiene control sobre qué centros de datos usar o no, según dónde tenga usuarios el cliente (p. ej., centros de datos de la UE para usuarios de la UE, centros de datos de EE. UU. para usuarios de EE. UU.). Si un usuario de la UE viaja a los EE. UU., Zscaler procesará los datos personales del usuario desde el centro de datos más cercano, que estaría en los EE. UU. Tenga en cuenta que los centros de datos no son subprocesadores; son instalaciones compartidas (es decir, espacio alquilado) donde Zscaler controla el procesamiento en todo momento.

Incluso si nuestro cliente sólo tiene usuarios en la UE, Zscaler proporciona servicios de apoyo global no únicamente desde la UE, sino también desde los EE. UU., India y Costa Rica (exclusivamente para algunas empresas con sede en EE. UU.) con el fin de garantizar la cobertura 24x7x365. Esta es una práctica común entre la mayoría de los proveedores de nube.

9. ¿Qué son los registros de clientes?

Los registros de clientes son los registros de metadatos de tráfico de red recopilados y almacenados para cada transacción. Los administradores pueden acceder y revisar los registros de los clientes a través del Portal de administración para autenticar las solicitudes web de los usuarios de los clientes. Los registros de clientes tienen varios campos que pueden contener datos personales, como propietario del dispositivo, usuario, nombre de host, etc.

Zscaler ofrece a los clientes la opción de almacenar sus registros de clientes sólo en la UE y Suiza, sin importar dónde pueda producirse el procesamiento global de datos. Los clientes pueden configurar esto con Zscaler durante el proceso de implementación.

10. ¿Zscaler se compromete a notificar a los usuarios en caso de cambios de política?

Los clientes recibirán la notificación de los cambios importantes en nuestra Política de Privacidad por correo electrónico y/o mediante un aviso publicado en el sitio web de Zscaler antes de que dichos cambios entren en vigor. Tenga en cuenta que su uso del sitio web, el contenido o los productos después de la publicación de dichos cambios constituye su consentimiento a dichos cambios.

11. ¿Zscaler notifica a los usuarios sobre violaciones de datos?

Si Zscaler tiene conocimiento de una infracción de datos, notificará a los clientes afectados sin demora indebida después de confirmar el incidente. Zscaler tomará las medidas razonables para (a) identificar la causa del incidente de seguridad y (b) tomar las medidas necesarias y razonables para corregir la causa de dicho incidente de seguridad en la medida en que dicha corrección esté dentro del control razonable de Zscaler.

12. ¿En qué marco legal aprobado se basa Zscaler para transferir datos personales fuera de la UE?

Zscaler procesa datos personales en todo el mundo a través de su red de más de 150 centros de datos para brindar sus servicios. El RGPD exige que las transferencias de datos personales fuera de la UE estén cubiertas por un marco jurídico aprobado, como las cláusulas contractuales tipo de la UE. Por lo tanto, Zscaler se adhiere a las Cláusulas contractuales estándar de la UE y los apéndices apropiados para las transferencias de datos personales fuera de la UE, Suiza o el Reino Unido.

Estas son algunas de las formas en las que garantizamos la protección de los datos, tal y como exigen las cláusulas contractuales tipo de la UE:

• Los datos personales se procesan únicamente en representación de nuestros clientes y de acuerdo con sus instrucciones.

• Implementamos las medidas de seguridad técnicas y organizativas especificadas en el DPA antes de procesar los datos personales. Por ejemplo, aplicamos la tokenización como uno de los métodos para proteger los registros de clientes.

• Notificamos a nuestros clientes de cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario.

• Proporcionamos almacenamiento de registros sólo en la UE (Alemania, Países Bajos) y Suiza a nuestros clientes cuando implementamos nuestros productos por primera vez.

• Nos aseguramos de que nuestros clientes den su consentimiento para que utilicemos subprocesadores de datos y de que dichos subprocesadores proporcionen una protección equivalente a los datos que procesan en nuestro nombre.

• Con aviso previo por escrito y sujeto a ciertos requisitos y controles de Zscaler, permitimos a nuestros clientes y socios realizar auditorías anuales e inspecciones automatizadas de nuestra nube.

• Nos comprometemos a garantizar nuestro cumplimiento continuo de las cláusulas contractuales tipo de la UE e implementaremos cualquier medida adicional exigida legalmente en un plazo razonable.

• Nos comprometemos e implementamos medidas de confidencialidad para garantizar la protección de los datos personales.

Para obtener más detalles, consulte nuestro Acuerdo de Procesamiento de Datos (DPA).

Aunque nos basamos en las cláusulas contractuales estándar de nuestro DPA estándar, Zscaler ha optado por autocertificarse según los marcos del Escudo de Privacidad UE-EE. UU. y Suiza-EE. UU. administrados por el Departamento de Comercio de EE. UU. (“Escudo de Privacidad”). Zscaler cumple con los principios del Escudo de Privacidad de aviso, elección, responsabilidad por transferencia posterior, seguridad, integridad de los datos y limitación de fines, acceso, recurso, garantía y responsabilidad.

13. ¿Cómo protege Zscaler mis datos personales?

Zscaler se adhiere a rigurosos estándares de seguridad, disponibilidad, confidencialidad y privacidad para que los clientes puedan adoptar nuestros servicios con confianza.

Nuestro equipo de cumplimiento trabaja para asegurar que todos los productos de Zscaler estén alineados y certificados con respecto a los marcos de normas gubernamentales y comerciales reconocidos internacionalmente para generar confianza en sus clientes proporcionando soluciones idóneas.

Zscaler está certificado conforme a las normas ISO 27001 y System and Organization Controls (SOC) 2, Tipo II, y es auditado anualmente por un tercero para garantizar su cumplimiento continuo con estas certificaciones. Zscaler comprueba, valora y evalúa regularmente la eficacia de las medidas de seguridad. Si se solicita por escrito y está sujeto a las medidas de protección de confidencialidad adecuadas, Zscaler puede proporcionar a los clientes una copia de su certificado ISO 27001 más reciente y/o informe SOC 2, Tipo II.

Haga clic aquí para obtener más información sobre nuestras numerosas certificaciones de privacidad y seguridad.

14. ¿Cómo se enmarca la habilitación de la inspección SSL en los requisitos de seguridad y el cumplimiento de las leyes de privacidad?

Habilitar la inspección SSL no cambia la cantidad limitada de datos que Zscaler procesa o almacena. En lugar de ello, ayuda a nuestros clientes a cumplir con sus obligaciones en virtud del Artículo 32 del RGPD proporcionando el nivel adecuado de seguridad para el procesamiento de datos personales. Aunque existen implicaciones comerciales, de privacidad y seguridad en el uso de la inspección SSL que nuestros clientes deben tener en cuenta, es necesario encontrar el equilibrio entre ellas y la obligación de garantizar que los derechos de cada empleado del cliente estén protegidos frente a amenazas y ataques. En este sentido, más que una amenaza para la privacidad, la inspección SSL se debe contemplar como una herramienta que apoya al cumplimiento de la privacidad de una organización.

Zscaler ofrece capacidades integrales de inspección TLS/SSL para proteger los datos de los clientes de las amenazas ocultas en el tráfico cifrado. Una vez completada la inspección de datos, el flujo de datos continúa sin obstáculos, sin que se conserve ningún registro de los datos de origen más allá del registro de la propia transacción. 

15. ¿Cómo ejerzo mi derecho de acceso, rectificación y supresión de mis datos personales?

Zscaler cuenta con un proceso interno para responder a las solicitudes de los interesados. No obstante, es importante recordar que como controlador de datos, nuestro cliente es responsable de revisar y validar la solicitud y remitir un ticket de soporte a Zscaler. Sólo debe realizar una solicitud de derechos de datos si un interesado (generalmente un empleado o usuario del cliente) realiza dicha solicitud a nuestro cliente. Si Zscaler recibe una solicitud de derechos de datos directamente, redirigiremos a la persona a nuestro cliente para validarla y responder.

Los clientes que necesiten asistencia adicional pueden comunicarse con [email protected]

16. ¿Cuánto tiempo conservará Zscaler mis datos?

Procesamos y almacenamos datos personales exclusivamente durante el período necesario para lograr el propósito del almacenamiento o según lo permita la ley. El criterio utilizado para determinar el período de almacenamiento de la información es el respectivo período de retención legal. Tras la expiración de ese período, la información correspondiente se elimina de forma rutinaria siempre que ya no sea necesaria para el cumplimiento de un contrato.

17. ¿Zscaler tiene un órgano ejecutivo responsable de los riesgos de privacidad y seguridad de datos?

Sí, la Junta Directiva de Zscaler tiene responsabilidades de supervisión de todos los riesgos empresariales, incluida la privacidad. La Junta delega parte de esa responsabilidad a los comités permanentes que informan a la Junta en pleno. El Comité de Auditoría y el Comité de Gobierno Corporativo y de Nominaciones tienen la tarea de supervisar los riesgos de privacidad y las amenazas a la ciberseguridad.

18. ¿Tiene Zscaler un oficial de cumplimiento y protección de datos/privacidad?

Sí, nuestro Equipo de Privacidad tiene la tarea de garantizar que Zscaler cumpla con las leyes de protección de datos y evite los riesgos a los que se enfrentan las organizaciones al procesar datos personales. Los miembros del Equipo de Privacidad son expertos en la organización y forman el vínculo entre el público y Zscaler en lo relativo al procesamiento de información personal. El Equipo de Privacidad es el órgano al que se dirigen las consultas en materia de protección de datos. Los miembros del Equipo de Privacidad son profesionales certificados en privacidad de la información (CIPP). A nivel de dirección, el vicepresidente de Operaciones en la Nube es responsable de supervisar el cumplimiento de la política.

19. ¿Los empleados y contratistas tienen formación en seguridad de datos y/o riesgos y procedimientos relacionados con la privacidad?

La privacidad es primordial en todo Zscaler. Requerimos que nuestros empleados y contratistas reciban una completa formación en privacidad y seguridad durante la incorporación y actualicen sus conocimientos anualmente.

20. ¿Cómo cumple Zscaler con la legislación de privacidad en todo el mundo?

Zscaler se compromete a mantener el cumplimiento de la normativa y sigue atentamente el desarrollo de la legislación y la normativa sobre privacidad en varios países. Para obtener más información sobre cómo Zscaler cumple con varias leyes de privacidad, visite zscaler.es/privacy/global-privacy-laws.

Para obtener más información sobre las transferencias internacionales de datos, visite zscaler.es/privacy/international-data-transfer-policy.

21. ¿Zscaler almacena mi número de teléfono?

Zscaler puede usar una plataforma de autenticación unificada, lo que significa almacenar su número de teléfono para fines de autenticación de segundo factor.

¿Cómo usaría Zscaler su número de teléfono?

1. Zscaler no utiliza los números de teléfono para enviar mensajes promocionales
2. Zscaler no utiliza los números de teléfono para realizar llamadas de marketing
3. Zscaler solo usa los números de teléfono para enviar OTP seguro cuando el usuario final se está autenticando en nuestros sistemas.

22. ¿Con quién me tengo que poner en contacto si tengo más preguntas?

Puede enviarnos un correo electrónico a [email protected].

Vea nuestro resumen de privacidad