Keeper es una plataforma de conocimiento cero comprometida con el cumplimiento del RGPD

Puntos clave respecto al cumplimiento del RGPD por parte de Keeper

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es la normativa europea más importante en materia de protección de datos introducida en la Unión Europea (UE) en 20 años y deroga la directiva de protección de datos de 1995. El RGPD mejora los derechos de privacidad de los ciudadanos europeos e impone obligaciones significativamente mayores a las organizaciones que manejan datos. En Keeper Security, nos comprometemos con que el RGPD sea todo un éxito.

El RGPD regula el tratamiento de datos personales de los ciudadanos de la Unión Europea, donde se incluye su recopilación, almacenamiento, transferencia o uso. El concepto de "datos personales" tiene una definición amplia y cubre cualquier información relacionada con un ciudadano identificado o identificable, definido por el RGPD como un "sujeto de datos". Para la mayoría de las empresas, esto incluye a sus empleados y clientes.

El RGPD distingue entre dos identidades que pueden poseer datos personales. Por un lado, el responsable del tratamiento de datos que ejerce control sobre el tratamiento de datos personales y decide qué datos se recopilan. Por el otro, el encargado del tratamiento de datos que actúa bajo la dirección de un responsable del tratamiento de datos para recopilar, almacenar, recuperar o eliminar datos personales. En Keeper Security, somos el responsable del tratamiento de datos cuando vendemos nuestro gestor de contraseñas directamente a los clientes y somos el encargado del tratamiento de los datos cuando vendemos a empresas, que a su vez se considerarían responsables del tratamiento.

Nuestro compromiso

Keeper cumple los requisitos del RGPD y nos comprometemos a garantizar que nuestros procesos empresariales y productos sigan cumpliendo los requisitos para nuestros clientes en la Unión Europea.

El cliente web de Keeper, las aplicaciones para Android, iPhone/iPad y Windows Phone, y las extensiones para navegador cuentan con la certificación del Marco de Privacidad de Datos UE-EE. UU. (en adelante, "EU-U.S. DPF" por sus siglas en inglés), su ampliación para el Reino Unido y el Marco de privacidad de los datos ("Swiss-U.S. DPF”) según lo establecido por el Departamento de Comercio de EE. UU. Keeper cuenta con la certificación SOC 2 Tipo 2 de acuerdo con el marco de control de las organizaciones de servicios del AICPA. Keeper también dispone de la certificación ISO27001.

Mayores derechos para particulares

El RGPD amplía los derechos de los ciudadanos de la Unión Europea concediéndoles, entre otras cosas, el derecho a ser olvidados y el derecho a solicitar una copia de cualquier información personal almacenada sobre ellos. La información debe estar en un formato común legible por máquina y el responsable del tratamiento de los datos no deberá interferir en su transferencia.

Obligaciones de conformidad

El RGPD requiere que las organizaciones implementen políticas y protocolos de seguridad apropiados, lleven a cabo evaluaciones de impacto en la privacidad, guarden registros detallados de las actividades de datos y celebren acuerdos por escrito con proveedores.

Mayor cumplimiento

Según el RGPD, las autoridades pueden sancionar a las organizaciones hasta un máximo de 20 millones de euros o un 4 % de los ingresos globales anuales de la empresa (lo que sea mayor) en función de la gravedad de la violación y los daños sufridos. Además, el RGPD proporciona un punto central de aplicación de la ley para las organizaciones que operan en varios estados miembros de la UE al exigir a las empresas que trabajen con una autoridad supervisora líder en cuestiones transfronterizas de protección de datos.

Requisitos nuevos para la elaboración de perfiles y la supervisión

El RGPD impone obligaciones adicionales a las organizaciones que elaboran perfiles o controlan el comportamiento de los ciudadanos de la UE. Las disposiciones del RGPD se aplican de forma global a cualquier organización que procese datos personales de los ciudadanos de la Unión Europea, incluido el seguimiento de sus actividades en línea, independientemente de si la organización tiene presencia física o no en la UE.

Seguridad y notificación de violación de datos

El RGPD requiere que las organizaciones informen sobre ciertas violaciones de datos a las autoridades de protección de datos y, bajo ninguna circunstancia, al sujeto de datos afectado. El RGPD también impone requisitos de seguridad adicional a las organizaciones.

Acuerdo de tratamiento de datos (DPA por sus siglas en inglés) de Keeper

Es posible que los clientes empresariales deban firmar un acuerdo de procesamiento de datos (DPA) con Keeper Security para ayudarles de cara al cumplimiento del RGPD. Solicite el acuerdo DPA a su representante de Keeper Security o póngase en contacto con nosotros en https://keepersecurity.com/support.

Descargar el Acuerdo de tratamiento de datos (DPA)

Preguntas frecuentes

¿Qué hace Keeper Security con respecto al RGPD?

Colaboramos con TrustArc, un líder mundial en el cumplimiento de la privacidad, para identificar los cambios en nuestros procesos empresariales, prácticas de privacidad y productos necesarios para garantizar nuestro cumplimiento del RGPD.

Al ser una empresa de seguridad de conocimiento cero, los productos y servicios principales que ofrecemos se ajustan a los requisitos del RGPD. Cumplir con las leyes internacionales y proteger la privacidad de nuestros clientes es nuestra prioridad.

¿Qué es de conocimiento cero?

Keeper es un proveedor de seguridad de conocimiento cero. El usuario de Keeper es la única persona que tiene todo el control sobre los procesos de cifrado y descifrado de sus datos. Con Keeper, ambos procesos ocurren exclusivamente en el dispositivo del usuario cuando accede a la bóveda. Cada registro individual guardado en la bóveda del usuario se cifra con una clave AES de 256 bits que se genera de forma aleatoria en el dispositivo. Las claves de registro están protegidas por una clave adicional, denominada clave de datos. Para aquellos usuarios que acceden a Keeper con una contraseña maestra, la clave de datos se cifra con una clave derivada en el dispositivo a partir de la contraseña maestra del usuario usando PBKDF2 con 1 000 000 de iteraciones. Para los usuarios que acceden con SSO, la clave de datos se cifra con una clave privada de curva elíptica. Los datos almacenados en reposo en el dispositivo del usuario también se cifran con otra clave AES de 256 bits, denominada clave de cliente. La sincronización segura de registros entre los dispositivos del usuario también se cifra a nivel de capa de red y se enruta a través de Keeper's Cloud Security Vault. Este modelo de cifrado de varios niveles proporciona la protección de datos más avanzada disponible en el sector.

¿Qué cambios ha tenido que implementar Keeper Security para seguir cumpliendo con el RGPD?

Como plataforma de conocimiento cero, la información almacenada en nuestro producto está completamente cifrada y solo está disponible para el usuario. Hemos modificado nuestros sistemas de análisis para garantizar el anonimato de nuestros clientes. También hemos realizado otros cambios para que sean nuestros clientes quienes decidan cómo se utilizan o almacenan los datos personales que se hayan podido recopilar sobre ellos.

¿Keeper es un procesador de datos o un responsable del tratamiento de datos?

El RGPD distingue entre dos identidades que pueden procesar datos personales. Por un lado, el responsable del tratamiento de datos que decide qué datos se recopilan y cuál es el tratamiento que se le da a los datos personales. Por el otro, el encargado del tratamiento de datos que actúa bajo la dirección de un responsable del tratamiento de datos para recopilar, almacenar, recuperar o eliminar datos personales. En Keeper Security, somos el responsable del tratamiento de datos cuando vendemos nuestro gestor de contraseñas directamente a los clientes y somos el encargado del tratamiento de los datos cuando vendemos a empresas, que a su vez se considerarían responsables del tratamiento.

¿Cómo exporto mis datos personales?

Para exportar datos, inicie sesión en el almacén web de Keeper en https://keepersecurity.com/vault y haga clic en "Más > Copia de seguridad > Exportar". Puede descargar su información almacenada en formato CSV o PDF. Si su cuenta ha expirado, contacte con exportme@keepersecurity.com y nuestro equipo de asistencia le ayudará a acceder a la bóveda.

¿Cómo solicito que se eliminen mis datos?

Envíe un correo electrónico a deleteme@keepersecurity.com y facilite la cuenta de correo asociada a su cuenta de Keeper.

¿Dónde se almacenan mis datos?

Keeper opera centros de datos en varias regiones de todo el mundo con Amazon AWS. Los clientes empresariales pueden elegir establecer su inquilino de Keeper en cualquier región primaria compatible, como Estados Unidos (EE. UU.), GovCloud de Estados Unidos (US_GOV), Europa (UE), Australia (AU), Canadá (CA) y Japón (JP). Los datos de los clientes y el acceso a la plataforma se aíslan en esa región específica. Desde cada región principal, Keeper utiliza la replicación multizona y multirregión para garantizar alta disponibilidad. En la región comercial de Estados Unidos, Keeper utiliza ubicaciones en el este y el oeste. En el centro de datos GovCloud de EE. UU., Keeper utiliza ubicaciones en el este y el oeste. En Europa, Keeper utiliza ubicaciones en Irlanda y Frankfurt. En Australia, Keeper ser sirve de Canadá como zona para la recuperación en caso de desastres. En Canadá, los datos se replican dentro del país. En Japón, la región principal es Tokio y se replica a Osaka. Los usuarios particulares que se registren a través de el almacén web de Keeper, una aplicación de escritorio o apps móviles, pueden seleccionar la ubicación deseada del centro de datos en la pantalla de creación de la cuenta.

¿Cómo transfiero mis datos del centro de datos de EE. UU al centro de datos de la UE?

Póngase en contacto con exportme@keepersecurity.com para recibir instrucciones y asistencia sobre la transferencia de datos.

¿Cómo ayuda Keeper Security a cumplir el RGPD?

Arquitectura y seguridad de conocimiento cero: el gestor de contraseñas de Keeper se crea desde cero con la idea de que el usuario sea la única persona que pueda acceder a sus datos. Esto se ajusta perfectamente a los principios del RGPD y a los requisitos de protección de datos. Todo el proceso de cifrado se realiza en el dispositivo o los dispositivos del usuario. Los datos se cifran en tránsito con Transport Layer Security (TLS) y se almacenan en texto cifrado AES-256. Al separar los datos y las claves de cifrado, ningún empleado de Keeper puede acceder a los datos de la bóveda del cliente. Según el artículo 34, si se produjera una violación de los datos de Keeper Vault, el texto cifrado no tendría ningún valor para los delincuentes y, por lo tanto, no sería necesaria ninguna notificación.

Además de las revisiones y pruebas de seguridad habituales, Keeper obtiene la certificación SOC 2 tipo 2 e ISO27001 cada año.

Keeper utiliza la infraestructura de nube reforzada de Amazon AWS en varias ubicaciones geográficas para alojar y operar Keeper Vault. Los datos en reposo y en tránsito se aíslan totalmente en el centro global de datos preferido por el cliente. Dicho de otra forma, los datos de la UE permanecen en la UE. Esto ofrece a los clientes el almacenamiento en la nube más rápido y seguro.

Sin tratamiento adicional: Keeper nunca accederá a los datos de la bóveda de ningún cliente para ningún propósito. En primer lugar, porque el respeto de la privacidad del cliente es una cuestión de la política de los niveles más altos de Keeper. En segundo lugar, debido a nuestra arquitectura de conocimiento cero, es técnicamente imposible que podamos hacerlo. Esto sigue los principios del RGPD tanto de la organización como de las políticas técnicas para proteger los datos personales.

Control de datos: los clientes pueden exportar sus datos (en formato CSV o PDF), modificar o eliminar sus registros de la bóveda en cualquier momento. Esto cumple con los requisitos del RGPD que requieren que los datos personales se puedan transferir o eliminar tan pronto como se complete el uso previsto, se retire el consentimiento o se cambie el propósito legítimo del negocio. Debido a que los interesados son capaces de autoservirse de sus Keeper Vault, el responsable del tratamiento de datos se libera de una carga significativa en el cumplimiento del RGPD. Los datos se cifran de tal manera que solo el interesado puede acceder a ellos, por lo que ningún empleado puede ni siquiera verlos.

Control de acceso basado en roles: el concepto de seguridad de privilegio mínimo significa que los empleados solo deben tener acceso a la cantidad mínima de datos que necesitan para realizar su trabajo. Esto se logra con el control de acceso basado en roles (RBAC por sus siglas en inglés).

Keeper se integra con Microsoft Active Directory (AD) para sincronizarse con nodos (unidades organizativas), equipos y usuarios. Una vez conectado, Keeper permite el control de acceso basado en roles. Estos controles se pueden conectar en cascada a otros nodos si se desea. En las bóvedas de Keeper, estos controles incluyen la seguridad de la contraseña maestra, el tiempo de rotación, los requisitos de 2FA, la lista blanca de IP y mucho más. Keeper bloquea las cuentas que terminan en AD y esas cuentas se pueden transferir a administradores de confianza. Esto permite que los administradores de TI controlen las cuentas de datos y los activos de toda la organización.

Información administrativa y auditoría: Keeper Enterprise proporciona información sobre la seguridad de las contraseñas de los clientes y sobre la reutilización y el uso de la autenticación de dos factores. Keeper ofrece registros de auditoría completos con marcas de tiempo y filtros para permitir búsquedas rápidas de anomalías, malos comportamientos, informes exhaustivos o de cumplimiento.

close
Ventas empresariales
Asistencia
close
Comprar Ahora