Preguntas frecuentes
Hemos reunido las siguientes preguntas frecuentes para responder a las cuestiones más comunes que recibimos de los clientes y socios en relación con nuestra plataforma.
(1) ¿Qué datos personales almacena y/o procesa Zscaler?
Zscaler almacena una cantidad limitada de datos personales (por ejemplo, direcciones IP, URL, ID de usuario, grupos de usuarios y departamentos del directorio corporativo) y no procesa ni almacena ninguna categoría especial o confidencial de datos personales (por ejemplo, tarjeta de crédito o información sanitaria protegida). Además, los clientes tienen la opción de ocultar sus ID de usuario para que sus propios administradores no los vean nunca.
El personal de soporte de Zscaler no accederá a ningún dato personal del cliente a menos que dicho cliente lo haya autorizado explícitamente a hacerlo.
Para la mayoría de los servicios y productos de Zscaler, Zscaler nunca almacena ni escribe en un disco el contenido de las transacciones HTTP, HTTPS y no HTTP; toda la inspección se realiza en la memoria.
Para los clientes que piden el producto de sandbox en la nube de Zscaler, Zscaler registra el contenido malicioso en un disco de almacenamiento; sin embargo, los clientes pueden decidir qué archivos enviar al sandbox de Zscaler (dependiendo del tipo de archivo, categoría de URL, usuario/grupo, etc.).
Para Zscaler Client Connector, los clientes pueden habilitar o deshabilitar globalmente la captura de paquetes a través de políticas con Zscaler y eliminar los registros de captura de paquetes del ordenador portátil, ordenador de sobremesa o dispositivo móvil personal correspondiente.
Los registros de transacciones de clientes (registros de clientes) nunca se almacenan en texto claro y se indexan, se comprimen y se convierten en tokens en el punto de generación, lo que garantiza que un único registro de clientes no tenga sentido sin una cadena completa de registros de clientes históricos y sin el acceso a los índices almacenados en la Autoridad Central (CA) de Zscaler. Por lo tanto, incluso teniendo acceso a los datos almacenados, no se pueden extraer los datos personales sin que la interfaz de usuario de Zscaler reúna la información de los registros de los clientes y la información de la CA.
(2) ¿Cómo garantiza Zscaler contractualmente su cumplimiento del RGPD?
Cuando actúe como procesador de datos, Zscaler exclusivamente tratará los datos personales en nombre del responsable del tratamiento de datos y previa autorización por escrito de este (es decir, a través de un contrato o de un pedido, e incluyendo en el DPA detalles de dichas instrucciones).
Para obtener más información sobre el DPA de Zscaler, visite www.zscaler.com/privacy/dpa
Además, hemos firmado acuerdos por escrito de conformidad con los requisitos del Artículo 28(4) del RGPD con todos los subprocesadores y seguimos siendo responsables de los actos y omisiones de estos. Nuestros esfuerzos de diligencia debida también implican garantizar que todos nuestros subprocesadores mantengan su cumplimiento de las leyes de protección de datos.
(3) ¿Cómo protege Zscaler los datos personales que procesa y/o almacena?
Zscaler implementa las medidas de seguridad físicas, técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo de acuerdo con los estándares del Artículo 32 del RGPD. Zscaler está certificado conforme a las normas ISO 27001 y System and Organization Controls (SOC) 2, Tipo II, y es auditado anualmente por un tercero para garantizar su cumplimiento continuo con estas certificaciones. Zscaler comprueba, valora y evalúa regularmente la eficacia de las medidas de seguridad. Si se solicita por escrito y está sujeto a las medidas de protección de confidencialidad adecuadas, Zscaler puede proporcionar al Cliente una copia de su certificado ISO 27001 más reciente y/o informe SOC 2, Tipo II. Para más información, visite [enlace a la página de cumplimiento].
(4) ¿Puede Zscaler prestar sus servicios exclusivamente desde la Unión Europea (UE)?
No. Dado que Zscaler es una empresa con sede en EE. UU. que proporciona una plataforma global en la nube, Zscaler procesa datos personales en todo el mundo a través de su red de más de 150 centros de datos con el fin de proporcionar sus servicios.
Zscaler procesará los datos personales en el centro de datos más cercano de donde se encuentran los usuarios de nuestro cliente (es decir, en centros de datos de la UE para usuarios de la UE y en centros de datos de EE. UU. para usuarios de EE. UU.). En el caso de que un usuario de la UE viaje a los EE. UU., Zscaler procesaría sus datos personales desde el centro de datos más cercano, que estaría en los EE. UU.
Incluso si nuestro cliente solo tiene usuarios en la UE, Zscaler proporciona servicios de apoyo global no solo desde la UE, sino también desde los EE. UU., India y Costa Rica (exclusivamente para algunas empresas con sede en EE. UU.) con el fin de garantizar la cobertura 24x7x365. Esta es una práctica común entre la mayoría de los proveedores de nube.
Sin perjuicio de lo anterior, y a diferencia de la mayoría de los demás proveedores de servicios en la nube, Zscaler ofrece a nuestros clientes la opción de almacenar sus registros de clientes en la UE y Suiza únicamente, independientemente de dónde ocurra el procesamiento de datos global. Nuestros clientes pueden configurar esto con Zscaler durante el proceso de implementación.
(5) ¿Zscaler accede o transfiere datos personales fuera de la UE?
Sí. Zscaler procesa datos personales en todo el mundo a través de su red de más de 150 centros de datos con el fin de proporcionar sus servicios.
El RGPD exige que las transferencias de datos personales fuera de la UE estén cubiertas por un marco jurídico aprobado, como las cláusulas contractuales tipo de la UE. Zscaler se adhiere a las cláusulas contractuales tipo de la UE para las transferencias de datos personales fuera del EEE, Suiza o el Reino Unido.
Esta cuestión se trata con más detalle en nuestro Acuerdo de Procesamiento de Datos (DPA) que está disponible en www.zscaler.com/privacy/dpa para que los clientes lo descarguen y lo firmen.
(6) ¿Cómo afecta a Zscaler la sentencia CJEU C-311/18 ("Schrems II") que invalida el marco del Escudo de privacidad UE-EE. UU.?
Ante la sentencia Schrems II, Zscaler confirma que sigue proporcionando sus productos y servicios en pleno cumplimiento de la legislación aplicable en materia de protección de datos.
Nada ha cambiado en relación con la forma en que Zscaler transfiere los datos personales fuera de la UE para proporcionar nuestros productos y servicios. La decisión del juez europeo no afecta a la forma en que Zscaler proporciona sus productos y servicios, a nuestros flujos de datos ni al modo en que almacenamos los registros de clientes. Históricamente, Zscaler ha estado proporcionando a sus clientes medidas de protección tanto en virtud de las cláusulas contractuales tipo de la UE como de los marcos del Escudo de privacidad para las transferencias internacionales de datos. Las cláusulas contractuales tipo de la UE siguen siendo válidas y el juez ha confirmado expresamente que este mecanismo puede seguir siendo utilizado por la empresa.
Además, Zscaler mantiene su certificación de los marcos del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. Si bien Zscaler no se basa en el marco del Escudo de privacidad UE-EE. UU. como base legal para las transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el Caso C-311/18, sí estamos comprometidos a mantener los principios de protección de datos del marco del Escudo de Privacidad UE-EE. UU.
(7) ¿Qué garantías adicionales ofrece Zscaler para respaldar su uso de las cláusulas contractuales tipo de la UE al transferir datos personales a los Estados Unidos?
Entendemos que el mensaje que ha enviado el juez europeo en el caso Schrems II es que, dependiendo de una evaluación caso por caso, teniendo en cuenta las circunstancias que rodean la transferencia de datos específica, puede ser necesario aplicar algunas medidas complementarias para garantizar que la legislación del país al que se transfieren los datos no afecte al nivel adecuado de protección garantizado por las cláusulas contractuales tipo de la UE.
Dado que Zscaler venía proporcionando a sus clientes medidas de protección garantizadas por las cláusulas contractuales tipo de la UE antes de la resolución de Schrems II, ya hemos realizado dicho análisis y estamos seguros de que nuestros procesos y medidas de seguridad siguen garantizando un cumplimiento adecuado. Por supuesto, seguimos supervisando las directrices futuras y los cambios normativos aplicables a los datos personales y estamos esperando más decisiones de la Comisión Europea, la Junta Europea de Protección de Datos y de las Autoridades Supervisoras individuales.
Estas son algunas de las formas en las que garantizamos la protección de los datos, tal y como exigen las cláusulas contractuales tipo de la UE:
- los datos personales se procesan únicamente en representación de nuestros clientes y de acuerdo con sus instrucciones;
- implementamos las medidas de seguridad técnicas y organizativas especificadas en el DPA antes de procesar los datos personales. Por ejemplo, aplicamos la tokenización (conversión en tokens) como uno de los métodos para proteger los registros del cliente (consulte la Pregunta 1 para obtener más información);
- notificaríamos a nuestros clientes de cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario;
- proporcionamos almacenamiento de registros solo en la UE (Alemania, Países Bajos) y Suiza a nuestros clientes cuando implementamos nuestros productos por primera vez;
- nos aseguramos de que nuestros clientes den su consentimiento para que utilicemos subprocesadores de datos y de que dichos subprocesadores proporcionen una protección equivalente a los datos que tratan en nuestro nombre;
- con aviso previo por escrito, y sujeto a ciertos requisitos y controles de Zscaler, permitimos a nuestros clientes y socios realizar auditorías anuales e inspecciones automatizadas de nuestra nube;
- nos comprometemos a garantizar nuestro cumplimiento continuo de las cláusulas contractuales tipo de la UE e implementaremos cualquier medida adicional exigida legalmente en un plazo razonable.
(8) ¿Cómo se enmarca la habilitación de la inspección SSL en los requisitos de seguridad y el cumplimiento de las leyes de privacidad?
Habilitar la inspección SSL no cambia la cantidad limitada de datos que Zscaler procesa o almacena. En lugar de ello, ayuda a nuestros clientes a cumplir con sus obligaciones en virtud del Artículo 32 del RGPD proporcionando el nivel adecuado de seguridad para el procesamiento de datos personales. Aunque existen implicaciones comerciales, de privacidad y seguridad en el uso de la inspección SSL que nuestros clientes deben tener en cuenta, es necesario encontrar el equilibrio entre ellas y la obligación de garantizar que los derechos de cada empleado del cliente estén protegidos frente a amenazas y ataques. En este sentido, más que una amenaza para la privacidad, la inspección SSL se debe contemplar como una herramienta que apoya al cumplimiento de la privacidad de una organización.
Zscaler ofrece amplias capacidades de inspección SSL/TLS para proteger el tráfico de datos de los clientes de las amenazas que se ocultan en el tráfico cifrado. Una vez completada la inspección de datos, el flujo de datos continúa sin obstáculos, sin que se conserve ningún registro de los datos de origen más allá del registro de la propia transacción.
(9) ¿Utiliza Zscaler subprocesadores para prestar sus servicios?
Sí. Al igual que todos los proveedores de la nube, Zscaler utiliza un número limitado de subprocesadores para proporcionar sus servicios. Tal y como exige el RGPD, Zscaler obtendrá el consentimiento del cliente antes de comprometer a cualquier subprocesador, que puede incluir el consentimiento contractual o general. Además, Zscaler proporcionará a los clientes notificación previa por escrito de cualquier cambio en su lista de subprocesadores. Zscaler será responsable de la actuación de sus subprocesadores. Zscaler mantiene una lista actualizada de sus subprocesadores en www.zscaler.com/privacy/sub-processors
(10) ¿Puede Zscaler ayudar con una solicitud de derecho al olvido?
Sí. Zscaler dispone de un proceso interno para responder a las solicitudes de derecho al olvido. Sin embargo, es importante recordar que, como responsable del tratamiento de datos, nuestro cliente es responsable de revisar y validar la solicitud, y enviar un ticket de soporte a Zscaler. Una solicitud de derecho al olvido solo debe realizarse si un interesado (generalmente un empleado o usuario del cliente) hace tal solicitud a nuestro cliente. Si Zscaler recibe una solicitud de derecho al olvido directamente de un empleado o usuario del cliente, redirigiremos a dicha persona a nuestro cliente para su validación y respuesta.
(11) ¿Cumple Zscaler con las normas de privacidad no relacionadas con el RGPD?
Zscaler se compromete a mantener el cumplimiento de la normativa y sigue atentamente el desarrollo de la legislación y la normativa sobre privacidad en varios países. Para obtener más información sobre cómo Zscaler cumple con varias leyes de privacidad, visite www.zscaler.com/privacy/international-data-transfer-policy