¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Nginx es un servidor web de codigo abierto de alto rendimiento, proxy inverso y balanceador de carga desarrollado originalmente por Igor Sysoev y ahora mantenido por F5 Networks. Es una de las piezas de infraestructura mas extendidas en Internet, presente en mas del 30 por ciento de los sitios web del mundo. Desde la perspectiva de privacidad, Nginx es software de servidor: no coloca cookies en el cliente, pero escribe logs de acceso con IPs, URLs, user agents y referer, que son datos personales bajo el RGPD.
Nginx es un servidor web de codigo abierto de alto rendimiento, proxy inverso, balanceador de carga, proxy de correo y cache HTTP. Lo escribio en 2004 Igor Sysoev para resolver el problema C10K (manejar diez mil conexiones simultaneas en un solo servidor) y hoy lo mantiene Nginx Inc., filial de F5 Networks. Nginx alimenta mas del 30 por ciento de los sitios web publicos y se usa mucho en contenedores (el Nginx Ingress Controller es uno de los ingress mas populares de Kubernetes). Clave: Nginx es software de servidor, corre en la infraestructura del propio operador y no envia datos a Nginx Inc. ni a F5 por defecto.
Nginx no coloca ninguna cookie en el lado del cliente. Las cookies que ve el visitante en su navegador vienen de los backends aplicativos (Express, Django, Rails, PHP) detras de Nginx, o de las etiquetas de terceros cargadas en el HTML. Lo que Nginx genera son logs de acceso: por defecto el formato combined registra la IP, la marca temporal, el metodo HTTP y la URI, el codigo de estado, los bytes enviados, la cabecera referer y el user agent. Estos logs son datos personales bajo el RGPD porque la IP es atribuible a una persona en la mayoria de contextos. Los logs de error anaden lineas de solicitud que pueden contener parametros de query o datos POST segun la configuracion, lo que puede incluir datos personales.
Como Nginx no almacena ni recupera informacion del terminal del visitante, el articulo 5(3) de la Directiva ePrivacy (consentimiento de cookies) no se aplica a Nginx en si. Los logs de servidor se rigen por el RGPD y se apoyan en el interes legitimo del articulo 6(1)(f): operar un sitio implica el derecho a registrar accesos por seguridad, prevencion de fraude, solucion de problemas y gestion del trafico. La AEPD y la CNIL aceptan plazos de 6 a 12 meses para investigaciones de seguridad, con preferencia por plazos cortos y justificacion documentada para plazos largos. Cuando una ley sectorial (telecomunicaciones, finanzas, prevencion del blanqueo) exige plazos mayores, se anade la obligacion legal del articulo 6(1)(c).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Configurar Nginx para anonimizar IPs donde el caso de uso lo permita. Patron habitual: definir un log_format propio que enmascare el ultimo octeto IPv4 o los ultimos 80 bits IPv6 y usarlo en access_log en servidores expuestos al publico, manteniendo la IP completa solo en endpoints de administracion. Configurar log_format para omitir cadenas de consulta en rutas que llevan tokens o datos personales. Usar access_log off; en assets estaticos que no requieren auditoria. Rotar logs con logrotate segun la politica documentada. Si los logs se envian a un SIEM externo, ese SIEM debe estar en el registro de tratamientos y el mecanismo de transferencia documentado.
Nginx en si no transfiere datos. El regimen de transferencia aplicable depende de donde se ubica la infraestructura del operador. El hosting UE (OVH, Scaleway, Hetzner, Ionos, etc.) mantiene los logs en la UE. AWS, Google Cloud y Azure ofrecen regiones UE, pero el operador debe considerar la exposicion al CLOUD Act cuando el proveedor cloud tiene sede en EE.UU. F5 Networks (Nginx Plus, soporte comercial) tiene su propia politica con mecanismos de transferencia US (CCT, EU US Data Privacy Framework), relevantes solo si se contrata el Nginx comercial.
Mencionar que opera un servidor web (Nginx) que registra datos de acceso para seguridad y operacion, las categorias (IP, URL de solicitud, user agent, referer), la base juridica (interes legitimo, en su caso obligacion legal), el plazo de conservacion y los destinatarios (proveedor de hosting, SIEM, socios de seguridad). No suele ser necesario nombrar a Nginx en concreto, pero hay que documentar el tratamiento subyacente. Nginx no necesita aparecer en el banner de cookies porque no coloca cookies.
Websites using Nginx must obtain user consent under GDPR regulations.
DPIA considerations
Nginx en si mismo no requiere EIPD, ya que es software de infraestructura de servidor. Sus logs de acceso si merecen atencion: (1) el formato combined por defecto contiene la IP completa, dato personal bajo el RGPD; (2) la retencion debe limitarse a lo necesario para seguridad y operacion (tipicamente 30 a 90 dias para investigacion de seguridad, mas tiempo solo con justificacion documentada); (3) la anonimizacion de IPs puede configurarse al nivel de Nginx (log_format personalizado con enmascarado del ultimo octeto) cuando lo permita la seguridad; (4) los logs pueden ser procesados por herramientas posteriores (Splunk, Elastic, Datadog) con sus propias implicaciones; (5) si Nginx hace proxy inverso ante backends que ponen cookies, esas cookies deben evaluarse por si mismas, no como cookies de Nginx. Una EIPD suele ser necesaria para la arquitectura global de logs y seguridad, no para Nginx en particular.
Sample consent text
Operamos Nginx como servidor web y proxy inverso en nuestra propia infraestructura. Nginx no coloca cookies en su dispositivo. Como cualquier servidor web, escribe logs de acceso con su direccion IP, la pagina solicitada, el tipo de navegador y la pagina de referencia. Estos logs se usan para operar el sitio, investigar incidentes de seguridad y cumplir obligaciones legales de conservacion. Los logs se conservan [XX] dias y despues se eliminan o anonimizan, y tiene derecho de acceso a sus datos registrados bajo solicitud.
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. Nginx en si no coloca ni lee cookies en el dispositivo del visitante. Las cookies visibles en el navegador provienen de los backends aplicativos que estan detras de Nginx o de las etiquetas de terceros cargadas en el HTML. Si el operador configura Nginx para anadir cookies (proxy_set_header, add_header), esas cookies deben evaluarse por si mismas.
No. Como Nginx no almacena ni recupera informacion del terminal del visitante, el articulo 5(3) de la Directiva ePrivacy (consentimiento de cookies) no se aplica. Los logs de servidor se rigen por el RGPD y se apoyan en el interes legitimo para seguridad y operacion.
Interes legitimo del articulo 6(1)(f), justificado por seguridad, prevencion del fraude, resolucion de problemas y gestion del trafico. Donde una ley sectorial exige conservacion (telecomunicaciones, finanzas, prevencion del blanqueo), se anade la obligacion legal del articulo 6(1)(c). El plazo debe limitarse a lo necesario, tipicamente 30 a 90 dias para fines de seguridad.
Por si mismo no. Nginx es software de codigo abierto que corre donde lo hospede el operador. Si el operador usa un proveedor cloud estadounidense, aplica la transferencia subyacente del hosting (a evaluar para el proveedor, no para Nginx). F5 Networks comercializa Nginx Plus; si se contrata Nginx Plus o soporte comercial, aplican la politica de F5 y sus CCT para esa relacion.
Una EIPD no suele ser necesaria para Nginx solo, dado que es infraestructura de servidor. Puede serlo para la arquitectura global de logs y seguridad si se procesan logs para deteccion de fraude, analisis de comportamiento o perfilado de alto riesgo, o si los logs salen a sistemas fuera de la UE. Documente Nginx en el registro de tratamientos con categorias de logs, plazos y destinatarios.
Usar un log_format propio que anonimice IPs donde el caso de uso lo permita (enmascarar el ultimo octeto IPv4 o los ultimos 80 bits IPv6). Omitir cadenas de consulta en rutas que llevan tokens. access_log off; para assets estaticos. Rotar logs agresivamente con logrotate. Evitar registrar cuerpos de peticion por defecto. Ajustar el nivel de error_log en produccion. Enviar logs solo a SIEMs que figuren en el registro de tratamientos.
Otros servidores web y proxies inversos de codigo abierto: Apache HTTP Server, Caddy (HTTPS automatico, origen UE friendly), HAProxy (balanceador), Traefik (cloud native, origen UE), Envoy (proxy moderno). Todos generan logs de acceso similares con las mismas consideraciones RGPD. La arquitectura de hosting y logs importa mas que el software de servidor en si.
Nginx no debe estar en el banner de cookies ya que no las coloca. En la politica de privacidad mencione que el sitio se sirve mediante un servidor web (Nginx) que registra datos de acceso para seguridad y operacion, las categorias, la base juridica, el plazo de conservacion y los destinatarios. Nombrar Nginx no es obligatorio salvo que se quiera transparencia sobre la pila tecnica.