¿Qué está haciendo Keeper con respecto al RGPD?
Trabajamos con TrustArc, un líder mundial en el cumplimiento de la privacidad, para identificar los cambios en nuestros procesos de negocio, prácticas de privacidad y productos necesarios para asegurar que cumplimos con el RGPD.
Al ser una empresa de seguridad de conocimiento cero, los productos y servicios principales que ofrecemos se ajustan a los requisitos del RGPD. Cumplir con las leyes internacionales y proteger la privacidad de nuestros clientes es nuestra prioridad.
¿Qué es el conocimiento cero?
Keeper es un proveedor de seguridad de conocimiento cero. El usuario de Keeper es la única persona que tiene todo el control sobre los procesos de cifrado y descifrado de sus datos. Con Keeper, ambos procesos ocurren exclusivamente en el dispositivo del usuario cuando accede a su almacén. Cada registro individual guardado en el almacén del usuario se cifra con una clave AES de 256 bits que se genera de forma aleatoria en el dispositivo. Las claves de registro están protegidas por una clave adicional, denominada clave de datos. Para aquellos usuarios que acceden a Keeper con una contraseña principal, la clave de datos se cifra con una clave derivada en el dispositivo a partir de la contraseña principal del usuario usando PBKDF2 con 1.000.000 de iteraciones. Para los usuarios que acceden con SSO, la clave de datos se cifra con una clave privada de curva elíptica. Los datos almacenados en reposo en el dispositivo del usuario también se cifran con otra clave AES de 256 bits, denominada clave de cliente. La sincronización segura de registros entre los dispositivos del usuario también se cifra a nivel de capa de red y se enruta a través del Cloud Security Vault de Keeper. Este modelo de cifrado de varios niveles proporciona la protección de datos más avanzada disponible en el sector.
¿Qué cambios ha tenido que poner en marcha Keeper Security para seguir cumpliendo con el RGPD?
Como plataforma de conocimiento cero, la información almacenada en nuestro producto está completamente cifrada y solo está disponible para el usuario. Hemos modificado nuestros sistemas de análisis para asegurar el anonimato de nuestros clientes. También hemos realizado otros cambios para que sean nuestros clientes quienes decidan cómo se utilizan o almacenan los datos personales que se hayan podido recoger sobre ellos.
¿Keeper es un procesador de datos o un responsable del tratamiento de datos?
El RGPD distingue entre dos identidades que pueden procesar datos personales. El responsable del tratamiento de datos decide qué datos se recogen y cuál es el tratamiento que se le da a los datos personales. El procesador de datos actúa bajo la dirección de un responsable del tratamiento de datos para recoger, almacenar, recuperar o eliminar datos personales. En Keeper Security, somos el responsable del tratamiento de datos cuando vendemos nuestro gestor de contraseñas directamente a los clientes y somos un procesador de datos cuando vendemos a empresas, que a su vez se considerarían las responsables del tratamiento de datos.
¿Cómo exporto mis datos personales?
Para exportar datos, inicie sesión en el almacén web de Keeper en https://keepersecurity.com/vault y haga clic en "Más > Copia de seguridad > Exportar. Puede descargar su información almacenada en formato CSV o PDF. Si su cuenta ha expirado, contacte con exportme@keepersecurity.com y nuestro equipo de asistencia le ayudará a acceder a su almacén.
¿Cómo solicito que se eliminen mis datos?
Envíe un correo electrónico a deleteme@keepersecurity.com y facilite la cuenta de correo asociada a su cuenta de Keeper.
¿Dónde se almacenan mis datos?
Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.
¿Cómo transfiero mis datos del centro de datos de EE. UU al centro de datos de la UE?
Póngase en contacto con exportme@keepersecurity.com para recibir instrucciones y asistencia sobre la transferencia de datos.
¿Cómo ayuda Keeper Security a cumplir el RGDP?
Arquitectura y seguridad de conocimiento cero: El gestor de contraseñas de Keeper se construye desde cero con la idea de que el usuario es la única persona que puede acceder a sus datos. Esto se ajusta perfectamente a los principios del RGPD y a los requisitos de protección de datos. Todo el proceso de cifrado se realiza en el dispositivo o los dispositivos del usuario. Los datos se cifran en tránsito con Transport Layer Security (TLS) y se almacenan en texto cifrado AES-256. Al separar los datos y las claves de cifrado, ningún empleado de Keeper puede acceder al almacén de datos del cliente. Según el artículo 34, si se produjera una brecha en los datos del almacén de Keeper, el texto cifrado no tendría ningún valor para los delincuentes y, por lo tanto, no sería necesaria ninguna notificación.
Además de las revisiones y pruebas de seguridad habituales, Keeper obtiene los certificados SOC 2 tipo 2 e ISO27001 cada año.
Keeper utiliza la infraestructura de nube reforzada de Amazon AWS en varias ubicaciones geográficas para alojar y operar el almacén de Keeper. Los datos en reposo y en tránsito se aíslan completamente en el centro global de datos preferido por el cliente. Dicho de otra forma, los datos de la UE permanecen en la UE. Esto ofrece a los clientes el almacenamiento en la nube más rápido y seguro.
Ningún procesamiento adicional: Keeper nunca accederá a los datos del almacén de ningún cliente para ningún propósito. En primer lugar, porque el respeto de la privacidad del cliente es una cuestión de la política de los niveles más altos de Keeper. En segundo lugar, debido a nuestra arquitectura de conocimiento cero, es técnicamente imposible que podamos hacerlo. Esto sigue los principios del RGPD tanto de la organización como de las políticas técnicas para proteger los datos personales.
Control de datos: Los clientes pueden exportar sus datos (en formato CSV o PDF), modificar o eliminar sus registros en el almacén en cualquier momento. Esto cumple con los requisitos del RGPD que requieren que los datos personales se puedan transferir o eliminar tan pronto como se complete el uso previsto, se retire el consentimiento o se cambie el propósito legítimo del negocio. Debido a que los sujetos de datos son capaces de autoservirse de sus almacenes web, el responsable del tratamiento de datos se libera de una carga significativa en el cumplimiento del RGPD. Los datos se cifran de tal manera que solo el interesado puede acceder a ellos, por lo que ningún empleado puede ni siquiera verlos.
Control de acceso basado en roles: El concepto de seguridad de mínimo privilegio significa que los empleados solo deben tener acceso a la cantidad mínima de datos que necesitan para realizar su trabajo. Esto se logra con el control de acceso basado en roles (RBAC por sus siglas en inglés).
Keeper se integra con Microsoft Active Directory (AD) para sincronizarse con nodos (unidades organizativas), equipos y usuarios. Una vez conectado, Keeper permite el control de acceso basado en roles. Estos controles se pueden conectar en cascada a otros nodos si se desea. En los almacenes de Keeper, estos controles incluyen la seguridad de la contraseña principal, el tiempo de rotación, los requisitos de 2FA, la lista blanca de IP y mucho más. Keeper bloquea las cuentas que terminan en AD y esas cuentas se pueden trasferir a administradores de confianza. Esto permite que los administradores de TI controlen las cuentas de datos y los activos de toda la organización.
Información administrativa y auditoría: Keeper Enterprise proporciona información sobre la seguridad de las contraseñas de los clientes y sobre la reutilización y el uso de la autenticación de dos factores. Keeper ofrece registros de auditoría completos con marcas de tiempo y filtros para permitir búsquedas rápidas de anomalías, malos comportamientos, informes forenses o de cumplimiento.
