Preguntas frecuentes
Introducción
En esta página, encontrará respuestas a las preguntas habituales de nuestros clientes sobre las prácticas de privacidad de datos de Zscaler.
Para obtener más información sobre nuestras prácticas de privacidad de datos, consulte nuestro sitio de información general sobre privacidad y protección de datos.
1. ¿Dónde puedo encontrar el Acuerdo de procesamiento de datos (DPA) de Zscaler?
Puede encontrar el DPA de Zscaler en zscaler.com.mx/privacy/dpa. Si tiene alguna pregunta sobre este APD, póngase en contacto con su representante de Zscaler o [email protected].
2. ¿Por qué Zscaler recopila y utiliza mi información personal?
Nuestros productos les permiten a nuestros clientes otorgar a sus usuarios autorizados acceso directo y seguro a Internet o a aplicaciones específicas desde cualquier lugar y desde cualquier dispositivo. Por lo tanto, nuestros productos utilizan información personal como la identidad basada en el contexto para garantizar que nuestros clientes puedan protegerse contra intrusos y autenticar las solicitudes de acceso de sus usuarios autorizados.
3. ¿Qué datos personales recopila Zscaler sobre mí?
Zscaler almacena una cantidad limitada de datos personales (p. ej., direcciones IP, URL, ID de usuario, grupos de usuarios y departamentos del directorio corporativo) y no procesa ni almacena ninguna categoría especial o confidencial de datos personales (p. ej., tarjeta de crédito o información médica protegida).
Para obtener más información, consulte el Anexo A de nuestro DPA, que puede encontrar aquí.
4. ¿Zcaler utiliza cookies?
Sí, las cookies nos permiten recordarle, mejorar su experiencia en nuestro sitio web y ofrecerle productos y servicios pertinentes. Usamos cookies para facilitar la navegación del sitio, supervisar las respuestas a nuestros anuncios, y mejorar continuamente el diseño y la funcionalidad de nuestro sitio web para los titulares de cuentas y visitantes.
Para Zscaler Internet Access (ZIA), se utilizan cookies de nivel de usuario para el aislamiento remoto del navegador.
Para obtener más información, consulte la Política de cookies de Zscaler.
5. ¿Cómo cumple Zscaler contractualmente nuestras responsabilidades como procesador de datos bajo el RGPD?
Cuando actúe como procesador de datos, Zscaler exclusivamente tratará los datos personales en nombre del responsable del tratamiento de datos y previa autorización por escrito de este (es decir, a través de un contrato o de un pedido, e incluyendo en el DPA detalles de dichas instrucciones).
Además, firmamos acuerdos por escrito con nuestros subprocesadores y seguimos siendo responsables de los actos y omisiones de estos. Nuestros esfuerzos de diligencia debida también implican garantizar que todos nuestros subprocesadores mantengan su cumplimiento de las leyes de protección de datos.
6. ¿Utiliza Zscaler subprocesadores para prestar sus servicios?
Sí. Como todos los proveedores de la nube, Zscaler contrata subprocesadores para brindar sus servicios. Sin embargo, ninguno de los datos compartidos con los subprocesadores se utiliza para fines secundarios, como la publicidad de terceros. Zscaler realiza la diligencia debida sobre las prácticas de seguridad y privacidad de sus subprocesadores para garantizar que dichos subprocesadores brinden un nivel de seguridad y privacidad apropiado para su acceso a los datos del cliente (que pueden incluir datos personales) y el alcance de los servicios que brindan. Zscaler requiere que los subprocesadores se comprometan contractualmente por escrito a proporcionar una protección y confidencialidad de datos adecuadas de acuerdo con las políticas de privacidad de Zscaler.
Puede ver una lista actual de nuestros subprocesadores aquí.
7. ¿Zscaler almacena datos personales de los clientes?
Para la mayoría de los servicios y productos de Zscaler, Zscaler nunca almacena el contenido de transacciones HTTP, HTTPS y no HTTP (que incluye cualquier parte sustancial de la solicitud, como mensajes, archivos, etc.) ni dicha información queda registrada en disco. Toda inspección tiene lugar en la memoria.
Para los clientes que solicitan Zscaler Cloud Sandbox, Zscaler registra contenido malicioso en un disco de almacenamiento. Sin embargo, los clientes pueden decidir qué archivos enviar a la zona de pruebas de Zscaler (según el tipo de archivo, la categoría de URL, el usuario/grupo, etc.).
Para Zscaler Client Connector, los clientes pueden habilitar o deshabilitar globalmente la captura de paquetes a través de políticas con Zscaler, y eliminar los registros de captura de paquetes del ordenador portátil, ordenador de sobremesa o dispositivo móvil personal correspondiente.
Los registros de transacciones de clientes (Customer Logs) nunca se almacenan en texto simple y se indexan, comprimen y tokenizan en el punto de generación, lo que significa que se utiliza un token como identificador en el registro, no el nombre de usuario, y los únicos identificadores restantes en el registro son entradas más inocuas como el grupo de AD, la dirección IP o la ubicación de la oficina. Esto garantiza que un único registro de cliente no tenga sentido sin una cadena completa de registros de clientes históricos y sin el acceso a los índices almacenados en la Autoridad Central de Zscaler (CA por sus siglas en inglés). Cuando un usuario con privilegios (como el administrador de un cliente) desea desofuscar los registros, nuestro sistema transpone nuevamente el nombre de usuario con el token antes de mostrar o proporcionar los registros para su descarga. Por lo tanto, incluso teniendo acceso a los datos almacenados, no se pueden extraer los datos personales sin que la interfaz de usuario de Zscaler reúna la información de los registros de los clientes y la información de la CA.
8. ¿Dónde se procesan mis datos?
Zscaler procesará los datos de los usuarios tokenizados y cifrados en uno de nuestros más de 150 centros de datos globales ubicados más cerca de los usuarios del cliente, lo que significa que el cliente tiene el control sobre qué centros de datos utilizar o no, dependiendo de dónde se encuentren sus usuarios (por ejemplo, centros de datos en la UE para los usuarios de la UE, centros de datos en los EE. UU. para los usuarios de los EE. UU.). Si un usuario de la UE viaja a los EE. UU., Zscaler procesará sus datos personales desde el centro de datos más cercano en los EE. UU. Tenga en cuenta que los centros de datos no son subprocesadores; son instalaciones ubicadas en el mismo lugar (es decir, espacio alquilado) donde Zscaler controla el procesamiento en todo momento.
Incluso si nuestro cliente sólo tiene usuarios en la UE, Zscaler proporciona servicios de apoyo global no únicamente desde la UE, sino también desde los EE.UU., India y Costa Rica (exclusivamente para algunas empresas con sede en EE.UU.) con el fin de garantizar la cobertura 24x7x365. Esta es una práctica común entre la mayoría de los proveedores de nube.
9. ¿Qué son los registros de clientes?
Los registros de clientes son los registros de metadatos de tráfico de red recopilados y almacenados para cada transacción. Los administradores pueden acceder y revisar los registros de los clientes a través del Portal de administración para autenticar las solicitudes web de los usuarios de los clientes. Los registros de clientes tienen varios campos que pueden contener datos personales, como propietario del dispositivo, usuario, nombre de host, etc.
Zscaler ofrece a nuestros clientes la opción de almacenar sus registros de clientes en la UE y Suiza únicamente, independientemente de dónde ocurra el procesamiento de datos global. Nuestros clientes pueden configurar esto con Zscaler durante el proceso de implementación.
10. ¿Zscaler se compromete a notificar a los usuarios en caso de cambios de política?
Los clientes recibirán la notificación de los cambios importantes en nuestra Política de privacidad por correo electrónico o mediante un aviso publicado en el sitio web de Zscaler antes de que dichos cambios entren en vigor. Tenga en cuenta que su uso del sitio web, el contenido o los productos después de la publicación de dichos cambios constituye su consentimiento a dichos cambios.
11. ¿Zscaler notifica a los usuarios sobre violaciones de datos?
Si Zscaler tiene conocimiento de una violación de datos, Zscaler notificará a los clientes afectados sin demora indebida después de confirmar el incidente.Zscaler tomará las medidas razonables para (a) identificar la causa del incidente de seguridad y (b) tomar las medidas necesarias y razonables para remediar la causa de dicho incidente de seguridad en la medida en que dicha remediación esté dentro del control razonable de Zscaler.
12. ¿En qué marco legal aprobado se basa Zscaler para transferir datos personales fuera de la UE?
Zscaler procesa datos personales en todo el mundo a través de su red de más de 150 centros de datos para brindar sus servicios. El RGPD exige que las transferencias de datos personales fuera de la UE estén cubiertas por un marco jurídico aprobado, como las cláusulas contractuales tipo de la UE. Por lo tanto, Zscaler se adhiere a las Cláusulas contractuales estándar de la UE y los complementos apropiados para las transferencias de datos personales fuera de la UE, Suiza o el Reino Unido.
Estas son algunas de las formas en las que garantizamos la protección de los datos, tal y como exigen las Cláusulas Contractuales Estandares de la UE:
• Los datos personales se procesan únicamente en representación de nuestros clientes y de acuerdo con sus instrucciones.
• Implementamos las medidas de seguridad técnicas y organizativas especificadas en el DPA antes de procesar los datos personales. Por ejemplo, aplicamos la tokenización (conversión en tokens) como uno de los métodos para proteger los registros del cliente.
• Notificamos a nuestros clientes de cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario.
• Proporcionamos almacenamiento de registros solo en la UE (Alemania, Países Bajos) y Suiza a nuestros clientes cuando implementamos nuestros productos por primera vez.
• Nos aseguramos de que nuestros clientes den su consentimiento para que utilicemos subprocesadores de datos, y de que dichos subprocesadores proporcionen una protección equivalente a los datos que procesan en nuestro nombre.
Con aviso previo por escrito, y sujeto a ciertos requisitos y controles de Zscaler, permitimos a nuestros clientes y socios realizar auditorías anuales e inspecciones automatizadas de nuestra nube.
• Nos comprometemos a garantizar nuestro cumplimiento continuo de las cláusulas contractuales tipo de la UE, e implementaremos cualquier medida adicional exigida legalmente en un plazo razonable.
• Nos comprometemos e implementamos medidas de confidencialidad para garantizar la protección de los datos personales.
Para obtener más detalles, consulte nuestro Acuerdo de procesamiento de datos (APD).
Aunque nos basamos en las cláusulas contractuales estándar en nuestro APD estándar, Zscaler ha decidido autocertificarse en los Marcos del Escudo de Privacidad de UE-EE. UU. y Suiza-EE. UU. que administra el Departamento de Comercio de los EE.UU. ("Escudo de Privacidad"). Zscaler cumple con los principios del Escudo de Privacidad de aviso, elección, responsabilidad por transferencia posterior, seguridad, integridad de los datos y limitación de fines, acceso, recurso, garantía y responsabilidad.
13. ¿Cómo protege Zscaler mis datos personales?
Zscaler se adhiere a rigurosos estándares de seguridad, disponibilidad, confidencialidad y privacidad para que los clientes puedan adoptar nuestros servicios con confianza.
Nuestro equipo de cumplimiento trabaja para asegurar que todos los productos de Zscaler estén alineados y certificados con respecto a los marcos de normas gubernamentales y comerciales reconocidos internacionalmente para generar confianza en sus clientes proporcionando soluciones idóneas.
Zscaler está certificado conforme a las normas ISO 27001 y System and Organization Controls (SOC) 2, Tipo II, y es auditado anualmente por un tercero para garantizar el cumplimiento continuo de estas certificaciones. Zscaler comprueba, valora y evalúa regularmente la eficacia de las medidas de seguridad. Si se solicita por escrito y está sujeto a las medidas de protección de confidencialidad adecuadas, Zscaler puede proporcionar al Cliente una copia de su certificado ISO 27001 más reciente o informe SOC 2, Tipo II.
Haga clic aquí para obtener más información sobre nuestras distintas certificaciones de privacidad y seguridad.
14. ¿Cómo se enmarca la habilitación de la inspección SSL en los requisitos de seguridad y el cumplimiento de las leyes de privacidad?
Habilitar la inspección TLS/SSL no cambia la cantidad limitada de datos que Zscaler procesa o almacena. En lugar de ello, ayuda a nuestros clientes a cumplir con sus obligaciones en virtud del Artículo 32 del RGPD proporcionando el nivel adecuado de seguridad para el procesamiento de datos personales. Aunque existen implicaciones comerciales, de privacidad y seguridad en el uso de la inspección TLS/SSL que nuestros clientes deben tener en cuenta, es necesario encontrar el equilibrio entre ellas y la obligación de garantizar que los derechos de cada empleado del cliente estén protegidos contra amenazas y ataques. En este sentido, más que una amenaza para la privacidad, la inspección TLS/SSL debe contemplarse como una herramienta que apoya al cumplimiento de la privacidad de una organización.
Zscaler ofrece capacidades integrales de inspección TLS/SSL para proteger los datos de los clientes de las amenazas ocultas en el tráfico cifrado. Una vez completada la inspección de datos, el flujo de datos continúa sin obstáculos, sin que se conserve ningún registro de los datos de origen más allá del registro de la propia transacción.
15. ¿Cómo ejerzo mi derecho de acceso, rectificación y supresión de mis datos personales?
Zscaler dispone de un proceso interno para responder a las solicitudes de los interesados.Sin embargo, es importante recordar que, como responsable del tratamiento de datos, nuestro cliente es responsable de revisar y validar la solicitud, y enviar un ticket de soporte a Zscaler. Una solicitud de derechos de datos solo debe realizarse si un interesado (normalmente un empleado o usuario del cliente) realiza dicha solicitud a nuestro cliente.Si Zscaler recibe una solicitud de derechos de datos directamente, redirigiremos a la persona a nuestro cliente para validarla y responder.
Los clientes que necesiten asistencia adicional pueden comunicarse con [email protected].
16. ¿Por cuánto tiempo conservará Zscaler mis datos?
Solo procesamos y almacenamos los datos personales durante el período necesario para cumplir con el propósito del almacenamiento, o según lo permita la ley. El criterio utilizado para determinar el periodo de almacenamiento de la información es el período de conservación legal correspondiente.Al acabar de ese período, la información correspondiente se elimina de forma rutinaria siempre que ya no sea necesaria para el cumplimiento de un contrato.
17. ¿Zscaler tiene un órgano ejecutivo responsable de los riesgos de privacidad y seguridad de datos?
Sí, la junta directiva de Zscaler tiene responsabilidades de supervisión de todos los riesgos empresariales, incluida la privacidad. La junta directiva delega parte de esa responsabilidad en comités permanentes que informan a toda la junta. El Comité de Auditoría y el Comité de Gobierno Corporativo y de Nominaciones tienen la tarea de supervisar los riesgos de privacidad y las amenazas a la ciberseguridad.
18. ¿Tiene Zscaler un oficial de cumplimiento y protección de datos/privacidad?
Sí, nuestro equipo de privacidad se encarga de garantizar que Zscaler cumpla con las leyes de protección de datos y evita los riesgos a los que se enfrentan las organizaciones al procesar datos personales. Los miembros del Equipo de Privacidad son expertos en la organización que actúan como enlace entre el público y Zscaler en relación con el tratamiento de la información personal. El equipo de privacidad actúa como el órgano al que se dirigen las consultas de protección de datos. Los miembros del equipo son profesionales certificados en privacidad de la información (CIPP). A nivel de dirección, el vicepresidente de Operaciones en la Nube es responsable de supervisar el cumplimiento de la política.
19. ¿Los empleados y contratistas tienen formación en seguridad de datos y riesgos y procedimientos relacionados con la privacidad?
La privacidad es fundamental para todos en Zscaler. Requerimos que nuestros empleados y contratistas reciban formación en privacidad y seguridad durante todo el proceso de incorporación y actualicen su formación anualmente.
20. ¿Cómo cumple Zscaler con la legislación de privacidad en todo el mundo?
Zscaler se compromete a mantener el cumplimiento de las normas y supervisa atentamente el desarrollo de la legislación y la normativa sobre privacidad en varios países. Para obtener más información sobre cómo Zscaler cumple con varias leyes de privacidad, visite zscaler.com.mx/privacy/global-privacy-laws.
Para obtener más información sobre las transferencias internacionales de datos, visite zscaler.es/privacy/international-data-transfer-policy.
21. ¿Zscaler almacena mi número de teléfono?
Zscaler puede usar una plataforma de autenticación unificada, lo que significa almacenar su número de teléfono para fines de autenticación de segundo factor.
¿Cómo usaría Zscaler su número de teléfono?
1. Zscaler no utiliza los números de teléfono para enviar mensajes promocionales
2. Zscaler no utiliza los números de teléfono para realizar llamadas de marketing
3. Zscaler solo usa los números de teléfono para enviar OTP seguro cuando el usuario final se está autenticando en nuestros sistemas
22. ¿Zscaler mantiene y proporciona informes de transparencia de las solicitudes gubernamentales de datos personales?
Sí. Zscaler se toma muy en serio la confianza y la transparencia, especialmente en todo lo relacionado con el uso y la divulgación de los datos personales del usuario de un cliente. Zscaler publica anualmente el número de solicitudes que recibió en el año anterior por parte de agencias gubernamentales, organismos reguladores y otras autoridades policiales para divulgar información relacionada con el uso de los productos de Zscaler por parte de los clientes.
Para acceder a nuestro informe completo sobre solicitudes gubernamentales, consulte nuestro Informe de transparencia.
23. ¿Con quién debo ponerme en contacto si tengo más preguntas?
Puede enviarnos un correo electrónico a [email protected].