close

Keeper Security se compromete a cumplir el RGPD

Cambios clave para cumplir el próximo RGPD

¿Qué es el RGPD?

El Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR según sus siglas en inglés) está considerado como una de las leyes de protección de datos más importantes incluida en la legislación europea hace 20 años y remplazará la directiva de protección de datos de 1995. El RGPD mejora los derechos de privacidad de los ciudadanos de la UE e impone más obligaciones a las organizaciones que manejan datos. En Keeper Security, nos comprometemos a que el RGPD sea todo un éxito.

El RGPD regula el procesamiento de datos personales de los ciudadanos de la Unión Europea, donde se incluye su recogida, almacenamiento, transferencia o uso. El concepto "datos personales" tiene una definición amplia y cubre cualquier información relacionada con un ciudadano identificado o identificable, definido por el RGPD como un "sujeto de datos". Para la mayoría de las empresas, esto incluye a sus empleados y clientes.

El RGPD distingue entre dos identidades que pueden poseer datos personales. El responsable del tratamiento de datos ejerce control sobre el procesamiento de datos personales y decide qué datos se recogen. El procesador de datos actúa bajo la dirección de un responsable del tratamiento de datos para recoger, almacenar, recuperar o eliminar datos personales. En Keeper Security, somos el responsable del tratamiento de datos cuando vendemos nuestro gestor de contraseñas directamente a los clientes y somos un procesador de datos cuando vendemos a empresas, que a su vez se considerarían las responsables del tratamiento de datos.

Nuestro compromiso

Keeper cumple los requisitos del RGPD y nos comprometemos a garantizar que nuestros procesos empresariales y productos sigan cumpliendo los requisitos para nuestros clientes en la Unión Europea.

El cliente web Keeper, las aplicaciones de Android, Windows Phone y iPhone/iPad y las extensiones del navegador ya se han certificado, de conformidad con el Departamento de Comercio de EE. UU., como puertos seguros ("Privacy Shield") de la UE que cumplen con la Directiva de la Comisión Europea sobre protección de datos. Keeper también está certificado como SOC 2 Tipo 2 de acuerdo con el marco de Control de Organización de Servicios del Instituto Estadounidense de Contables Públicos Certificados (AICPA por sus siglas en inglés). Keeper tiene además el certificado ISO27001.

Más derechos para los ciudadanos

El RGPD amplía los derechos de los ciudadanos de la Unión Europea concediéndoles, entre otras cosas, el derecho a ser olvidados y el derecho a solicitar una copia de cualquier información personal almacenada sobre ellos. La información debe estar en un formato común legible por máquina y el responsable del tratamiento de los datos no deberá interferir en su transferencia.

Obligaciones de compromiso

El RGPD requiere que las organizaciones implementen las políticas y los protocolos de seguridad apropiados, lleven a cabo evaluaciones de impacto en la privacidad, guarden registros detallados de las actividades de datos y celebren acuerdos por escrito con proveedores.

Aumento de la aplicación de la ley

Según el RGPD, las autoridades pueden sancionar a las organizaciones hasta un máximo de 20 millones de euros o un 4 % de los ingresos globales anuales de la empresa (lo que sea mayor) en función de la gravedad de la infracción y los daños sufridos. Además, el RGPD proporciona un punto central de aplicación de la ley para las organizaciones que operan en varios estados miembros de la UE al exigir a las empresas que trabajen con una autoridad supervisora líder en cuestiones transfronterizas de protección de datos.

Requisitos nuevos para la elaboración de perfiles y la supervisión

El RGPD impone obligaciones adicionales a las organizaciones que elaboran perfiles o controlan el comportamiento de los ciudadanos de la UE. Las disposiciones del RGPD se aplican de forma global a cualquier organización que procese datos personales de los ciudadanos de la Unión Europea, incluido el seguimiento de sus actividades en línea, independientemente de si la organización tiene presencia física o no en la UE.

Seguridad y notificación de brecha de datos

El RGPD requiere que las organizaciones informen sobre ciertas brechas de datos a las autoridades de protección de datos y, bajo ninguna circunstancia, al sujeto de datos afectado. El RGPD también impone requisitos de seguridad adicional a las organizaciones.

El Acuerdo de procesamiento de datos (DPA por sus siglas en inglés) de Keeper

Es posible que los clientes de negocios tengan que firmar el Acuerdo de procesamiento de datos (DPA) con Keeper Security para asistir a su cumplimiento del RGPD. Solicite un acuerdo DPA a su representante de Keeper Security o envíenos un correo a business.support@keepersecurity.com.

Descargar el Acuerdo de procesamiento de datos (DPA)

Preguntas frecuentes

¿Qué está haciendo Keeper con respecto al RGPD?

Trabajamos con TrustArc, un líder mundial en el cumplimiento de la privacidad, para identificar los cambios en nuestros procesos de negocio, prácticas de privacidad y productos necesarios para asegurar que cumplimos con el RGPD.

Al ser una empresa de seguridad de conocimiento cero, los productos y servicios principales que ofrecemos se ajustan a los requisitos del RGPD. Cumplir con las leyes internacionales y proteger la privacidad de nuestros clientes es nuestra prioridad.

¿Qué es el conocimiento cero?

Keeper es un proveedor de seguridad de conocimiento cero. El usuario de Keeper es la única persona que tiene un control total sobre el cifrado y descifrado de sus datos. Con Keeper, el cifrado y el descifrado solo ocurren en el dispositivo del usuario cuando inicia sesión en su almacén. Cada registro individual guardado en el almacén se cifra con una clave AES de 256 bits que se genera de forma aleatoria en el dispositivo. Las claves de registro están protegidas con una clave adicional, denominada clave de datos. La clave de datos está cifrada con una clave derivada en el dispositivo desde la contraseña principal del usuario. Los datos almacenados en reposo en el dispositivo del usuario también se cifran con otra clave, llamada clave del cliente. La sincronización segura de registros entre los dispositivos del usuario también se cifra en la capa de red y se enruta a través del almacén de seguridad en la nube de Keeper. Este modelo de cifrado de varios niveles proporciona la protección de datos más avanzada disponible en la industria.

¿Qué cambios está realizando Keeper Security para cumplir con el RGPD?

Como plataforma de conocimiento cero, la información almacenada en nuestro producto está completamente cifrada y solo está disponible para el usuario. Hemos modificado nuestros sistemas de análisis para asegurar el anonimato de nuestros clientes. También hemos realizado otros cambios para que sean nuestros clientes quienes decidan cómo se utilizan o almacenan los datos personales que se hayan podido recoger sobre ellos.

¿Keeper es un procesador de datos o un responsable del tratamiento de datos?

El RGPD distingue entre dos identidades que pueden procesar datos personales. El responsable del tratamiento de datos decide qué datos se recogen y cuál es el tratamiento que se le da a los datos personales. El procesador de datos actúa bajo la dirección de un responsable del tratamiento de datos para recoger, almacenar, recuperar o eliminar datos personales. En Keeper Security, somos el responsable del tratamiento de datos cuando vendemos nuestro gestor de contraseñas directamente a los clientes y somos un procesador de datos cuando vendemos a empresas, que a su vez se considerarían las responsables del tratamiento de datos.

¿Cómo exporto mis datos personales?

Para exportar datos, inicie sesión en el almacén web de Keeper en https://keepersecurity.com/vault y haga clic en "Más > Copia de seguridad > Exportar. Puede descargar su información almacenada en formato CSV o PDF. Si su cuenta ha expirado, contacte con support@keepersecurity.com y nuestro equipo de asistencia le ayudará a acceder a su almacén.

¿Cómo solicito que se eliminen mis datos?

Envíe un correo electrónico a support@keepersecurity.com y facilite la cuenta de correo asociada a su cuenta de Keeper.

¿Dónde se almacenan mis datos?

Keeper opera en centros de datos de varias regiones en EE. UU. e Irlanda. Los clientes de negocios pueden elegir si quieren establecer su solución de Keeper en el centro de datos estadounidense o en el europeo. Los usuarios individuales que se registren a través del almacén web estadounidense de Keeper (https://keepersecurity.com/vault) o de las aplicaciones móviles o de ordenador se registrarán por defecto en el centro de datos de EE. UU. La información de los usuarios que se registren directamente en el almacén web de la UE (https://keepersecurity.eu/vault) se almacenará en el centro de datos de la UE.

¿Cómo transfiero mis datos del centro de datos de EE. UU al centro de datos de la UE?

Póngase en contacto con support@keepersecurity.com para recibir instrucciones y asistencia sobre la transferencia de datos.

¿Cómo ayuda Keeper Security a cumplir el RGDP?

Arquitectura y seguridad de conocimiento cero: El gestor de contraseñas de Keeper se construye desde cero con la idea de que el usuario es la única persona que puede acceder a sus datos. Esto se ajusta perfectamente a los principios del RGPD y a los requisitos de protección de datos. Todo el proceso de cifrado se realiza en el dispositivo o los dispositivos del usuario. Los datos se cifran en tránsito con Transport Layer Security (TLS) y se almacenan en texto cifrado AES-256. Al separar los datos y las claves de cifrado, ningún empleado de Keeper puede acceder al almacén de datos del cliente. Según el artículo 34, si se produjera una brecha en los datos del almacén de Keeper, el texto cifrado no tendría ningún valor para los delincuentes y, por lo tanto, no sería necesaria ninguna notificación.

Además de las revisiones y pruebas de seguridad habituales, Keeper obtiene los certificados SOC 2 tipo 2 e ISO27001 cada año.

Keeper utiliza la infraestructura de nube reforzada de Amazon AWS en varias ubicaciones geográficas para alojar y operar el almacén de Keeper. Los datos en reposo y en tránsito se aíslan completamente en el centro global de datos preferido por el cliente. Dicho de otra forma, los datos de la UE permanecen en la UE. Esto ofrece a los clientes el almacenamiento en la nube más rápido y seguro.

Ningún procesamiento adicional: Keeper nunca accederá a los datos del almacén de ningún cliente para ningún propósito. En primer lugar, porque el respeto de la privacidad del cliente es una cuestión de la política de los niveles más altos de Keeper. En segundo lugar, debido a nuestra arquitectura de conocimiento cero, es técnicamente imposible que podamos hacerlo. Esto sigue los principios del RGPD tanto de la organización como de las políticas técnicas para proteger los datos personales.

Control de datos: Los clientes pueden exportar sus datos (en formato CSV o PDF), modificar o eliminar sus registros en el almacén en cualquier momento. Esto cumple con los requisitos del RGPD que requieren que los datos personales se puedan transferir o eliminar tan pronto como se complete el uso previsto, se retire el consentimiento o se cambie el propósito legítimo del negocio. Debido a que los sujetos de datos son capaces de autoservirse de sus almacenes web, el responsable del tratamiento de datos se libera de una carga significativa en el cumplimiento del RGPD. Los datos se cifran de tal manera que solo el interesado puede acceder a ellos, por lo que ningún empleado puede ni siquiera verlos.

Control de acceso basado en roles: El concepto de seguridad de mínimo privilegio significa que los empleados solo deben tener acceso a la cantidad mínima de datos que necesitan para realizar su trabajo. Esto se logra con el control de acceso basado en roles (RBAC por sus siglas en inglés).

Keeper se integra con Microsoft Active Directory (AD) para sincronizarse con nodos (unidades organizativas), equipos y usuarios. Una vez conectado, Keeper permite el control de acceso basado en roles. Estos controles se pueden conectar en cascada a otros nodos si se desea. En los almacenes de Keeper, estos controles incluyen la seguridad de la contraseña principal, el tiempo de rotación, los requisitos de 2FA, la lista blanca de IP y mucho más. Keeper bloquea las cuentas que terminan en AD y esas cuentas se pueden trasferir a administradores de confianza. Esto permite que los administradores de TI controlen las cuentas de datos y los activos de toda la organización.

Información administrativa y auditoría: Keeper Enterprise proporciona información sobre la seguridad de las contraseñas de los clientes y sobre la reutilización y el uso de la autenticación de dos factores. Keeper ofrece registros de auditoría completos con marcas de tiempo y filtros para permitir búsquedas rápidas de anomalías, malos comportamientos, informes forenses o de cumplimiento.