¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Heroku es una plataforma como servicio (PaaS) que aloja desde 2007 aplicaciones Ruby, Node.js, Python, PHP, Java, Go y Clojure. Adquirida por Salesforce en 2010, Heroku se ejecuta sobre AWS con una región europea (eu-west-1 Irlanda) y Private Spaces en Frankfurt y Dublín. Heroku por sí mismo no instala cookies en los visitantes públicos de una aplicación alojada; el propietario de la aplicación sigue siendo responsable de las cookies y la analítica que despliegue encima de Heroku.
Heroku es una de las plataformas como servicio más antiguas, fundada en 2007 y adquirida por Salesforce en 2010. Aloja aplicaciones Ruby, Node.js, Python, PHP, Java, Go y Clojure en dynos que se ejecutan sobre AWS, con CI/CD integrado, un amplio marketplace de add ons (Heroku Postgres, Heroku Redis, Heroku Connect, herramientas de datos y observabilidad de terceros) y Heroku Shield para cargas HIPAA y PCI. La mayoría de los clientes operan APIs, herramientas internas y SaaS B2B en Heroku.
Heroku trata la dirección IP, la URL, el método HTTP, las cabeceras y los parámetros TLS necesarios para enrutar las solicitudes a los dynos de la aplicación. Los registros (Logplex) incluyen metadatos de solicitud y cualquier línea de log emitida por la aplicación. Los add ons Heroku Postgres y Heroku Data almacenan los datos que el cliente decide persistir. Heroku por sí mismo no instala cookies en los visitantes públicos de las aplicaciones de los clientes.
Las direcciones IP tratadas por el router de Heroku son datos personales conforme al RGPD. Heroku es encargado del tratamiento para la aplicación del cliente y responsable con fines limitados de explotación. El alojamiento puro no escribe información en el dispositivo, por lo que no se activa la regla de consentimiento de ePrivacy. El operador de la aplicación sigue siendo responsable de las cookies, la analítica y los scripts de marketing que cargue en las respuestas del dyno.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Heroku Common Runtime ofrece una región europea (eu-west-1 Irlanda); Heroku Private Spaces amplía la cobertura a Frankfurt y Dublín para una residencia europea completa. El plano de control, el soporte al cliente y los datos de cuenta se operan desde Estados Unidos. Las transferencias se apoyan en el Anexo de Tratamiento de Salesforce, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., con TLS 1.3, cifrado en reposo, ISO 27001, SOC 2 Tipo II y Heroku Shield para cargas HIPAA y PCI DSS.
Firme el Anexo de Tratamiento de Salesforce, despliegue sus aplicaciones en la región europea (o en un Private Space en Frankfurt o Dublín) para residencia en la UE, configure la retención de los registros de Logplex, cifre columnas sensibles en Heroku Postgres y valore Heroku Shield para cargas HIPAA y PCI. Documente Heroku como encargado del tratamiento en su registro de actividades y mencione la transferencia a Salesforce en EE. UU. en la política de privacidad.
Websites using Heroku must obtain user consent under GDPR regulations.
DPIA considerations
No suele ser necesaria una EIPD para un SaaS estándar alojado en Heroku. Se recomienda una EIPD cuando la aplicación realiza perfilado sistemático, cuando Heroku Postgres y Heroku Connect almacenan grandes volúmenes de datos personales europeos, cuando se utiliza Heroku Shield para cargas HIPAA o cuando el cliente opera en un sector regulado.
Sample consent text
Esta aplicación se aloja en Heroku, una plataforma como servicio operada por Heroku Inc. (filial de Salesforce, EE. UU.) sobre AWS en la región de Irlanda. Heroku trata la dirección IP, la URL y las cabeceras necesarias para encaminar el tráfico. Al aceptar, autoriza esta transferencia a servidores de Heroku y Salesforce, incluido en Estados Unidos, al amparo de las Cláusulas Contractuales Tipo de la UE y del Marco de Privacidad de Datos UE EE. UU.
Third-party domains contacted
heroku.comherokuapp.comheroku-app.comsalesforce.comEste servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. Heroku es una plataforma de alojamiento y no instala cookies en los visitantes públicos de las aplicaciones de los clientes. Las cookies en un sitio alojado en Heroku provienen del propio código de la aplicación o de scripts de terceros que la aplicación carga.
No. El alojamiento y el enrutado HTTP no escriben información en el dispositivo, por lo que no se activa la regla de consentimiento de ePrivacy. Las obligaciones de consentimiento provienen de la aplicación que se ejecuta en Heroku, no de Heroku en sí.
Para el alojamiento y enrutado de la aplicación, la base jurídica es el interés legítimo del artículo 6.1.f) del RGPD. El contrato con Heroku se rige por el artículo 6.1.b) del RGPD. Los datos personales almacenados en Heroku Postgres o Heroku Connect siguen la base jurídica elegida por el operador de la aplicación.
Heroku está operado por Salesforce. Salesforce firma las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD mediante su Anexo de Tratamiento y confirma su adhesión al Marco de Privacidad de Datos UE EE. UU. Como medidas adicionales se aplican TLS 1.3, cifrado en reposo, ISO 27001 y SOC 2 Tipo II, con Heroku Shield para cargas HIPAA y PCI.
No se requiere EIPD para una aplicación estándar en Heroku. Se recomienda una EIPD cuando la aplicación realiza perfilado sistemático de usuarios europeos, cuando Heroku Postgres almacena grandes volúmenes de datos personales, cuando se utiliza Heroku Shield para cargas HIPAA o cuando la aplicación se dirige a sectores regulados.
Firme el Anexo de Tratamiento de Salesforce, ejecute producción en la región eu-west-1 o en un Private Space en Frankfurt o Dublín, configure la retención de registros, cifre columnas sensibles en Heroku Postgres y documente Heroku como encargado del tratamiento en su registro de actividades. Mencione la transferencia a Salesforce en EE. UU. en la política de privacidad y audite cualquier add on que trate datos personales.
Las alternativas europeas u open source incluyen Scaleway Serverless (Francia), Clever Cloud (Francia), Web PaaS de OVHcloud (Francia), Render con regiones de la UE, Fly.io con regiones europeas, Coolify (autoalojado, open source) y Kubernetes autoalojado en Hetzner o Scaleway.
Indique a Heroku (Salesforce) como encargado del tratamiento de alojamiento, señale que la aplicación se despliega en la región europea de Irlanda o en un Private Space, advierta de que pueden transferirse datos, incluidas direcciones IP, a Estados Unidos al amparo de CCT y del Marco de Privacidad de Datos UE EE. UU. y enlace a la Política de Privacidad de Salesforce.