¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Akamai opera una de las redes de distribución de contenido más antiguas y grandes del mundo, con una amplia red Edge utilizada para aceleración de contenido, firewall de aplicaciones, mitigación de bots y real user monitoring. Desde la óptica del RGPD, Akamai actúa como encargado del tratamiento y procesa direcciones IP, metadatos de solicitud, señales de seguridad y, cuando mPulse está activado, telemetría de rendimiento por cuenta de los editores.
Akamai opera una de las mayores redes de distribución de contenido y seguridad en el borde del mundo, con cientos de miles de servidores en más de 130 países. La plataforma Akamai Intelligent Edge se sitúa entre los visitantes y los orígenes de los editores y ofrece aceleración de contenido estático y dinámico mediante Ion, Adaptive Media Delivery y Download Delivery, protección de aplicaciones y API con App and API Protector, defensa avanzada contra bots con Bot Manager Premier y Account Protector y real user monitoring con mPulse. Muchas webs empresariales, portales bancarios y plataformas del sector público canalizan cada solicitud a través de Akamai antes de llegar al origen.
Akamai trata la dirección IP del visitante, la URL solicitada, el método HTTP, las cabeceras (User Agent, Referer y cookies reenviadas), los parámetros del handshake TLS, la geolocalización derivada y el nodo Edge escogido. Cuando se activan Bot Manager o App and API Protector también calcula huellas de comportamiento y de dispositivo, instala cookies de seguridad como _abck y bm_sz, evalúa puntuaciones de riesgo y almacena telemetría necesaria para la repetición y el ajuste. Con mPulse activado, Akamai recoge balizas de Real User Monitoring detalladas con tiempos de navegación, Core Web Vitals, errores de JavaScript y un identificador de sesión.
Las direcciones IP, las huellas de dispositivo y las puntuaciones de riesgo de comportamiento son datos personales conforme al RGPD. Akamai actúa como encargado del tratamiento por cuenta del editor y como responsable con fines limitados de explotación y de inteligencia de amenazas. La distribución pura de contenido y las cookies de seguridad estrictamente necesarias pueden ampararse en el interés legítimo del artículo 6.1.f) del RGPD y en la excepción de ePrivacy para cookies estrictamente necesarias. mPulse, Identity Cloud y cualquier función opcional de analítica o huella digital van más allá y requieren consentimiento informado conforme al artículo 6.1.a) del RGPD y al artículo 5.3 de la Directiva ePrivacy.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aunque haya servidores Edge en la UE, Akamai gestiona de forma central configuración, inteligencia de amenazas, soporte al cliente y determinadas telemetrías desde Estados Unidos y otras regiones. Las transferencias se apoyan en el Anexo de Tratamiento de Akamai, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., complementados por TLS 1.3, cifrado en reposo, ISO 27001, ISO 27017, ISO 27018, PCI DSS y controles SOC 2 Tipo II. Para cargas de trabajo con requisitos estrictos de residencia, Akamai ofrece configuraciones Datastream y Bot Manager que mantienen los registros en almacenes regionales.
Firme el Anexo de Tratamiento de Akamai, incluya a Akamai en su registro de actividades de tratamiento y actualice la política de privacidad para mencionar la red Edge, las cookies de seguridad (_abck, bm_sz, ak_bmsc) y el destino estadounidense. Restrinja mPulse y otras funciones analíticas a los visitantes que hayan dado su consentimiento mediante una plataforma de gestión del consentimiento, defina plazos de retención breves para los registros de Datastream y verifique que las reglas de Bot Manager no registren cuerpos brutos de solicitud que puedan contener datos personales. Revise periódicamente el portal de confianza de Akamai para conocer las certificaciones e informes de auditoría más recientes.
Websites using Akamai must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD cuando Akamai se despliega con Bot Manager Premier, Account Protector, EdgeWorkers que ejecutan lógica de personalización, mPulse Real User Monitoring o Identity Cloud, o cuando se protegen recursos sensibles (servicios financieros, sector público, salud). La distribución habitual de contenido estático mediante Ion o Adaptive Media Delivery normalmente no requiere EIPD.
Sample consent text
Este sitio se entrega y protege a través de Akamai, un proveedor estadounidense de CDN y seguridad operado por Akamai Technologies Inc. Akamai trata su dirección IP, señales de seguridad y metadatos de la solicitud. Cuando mPulse o las funciones de huella digital están activas, se recogen datos adicionales de rendimiento. Al aceptar, autoriza este tratamiento en servidores Akamai, incluido en Estados Unidos, amparado por las Cláusulas Contractuales Tipo de la UE.
Third-party domains contacted
akamai.netakamai.netakamaihd.netakamaihd.netakamaiedge.netakamaiedge.netakamaized.netakamaized.netedgekey.netakamaitechnologies.comedgesuite.netedgekey.netedgesuite.netmpulse.netgo-mpulse.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _abck | First party (Akamai Bot Manager) | 1 year | Stores the bot detection state for the visitor, used by Bot Manager to remember whether the browser has passed the challenge |
| _abck | Strictly necessary (security) | 12 months | Akamai Bot Manager cookie. Stores a signed token used to evaluate whether the visitor is a legitimate user or an automated bot during subsequent requests. |
| bm_sz | First party (Akamai Bot Manager) | 4 hours | Session token used during the Bot Manager challenge to associate the proof of work with the right session |
| bm_sz | Strictly necessary (security) | 4 hours | Akamai Bot Manager session cookie. Stores short lived risk signals and ensures that repeated requests within a session can be correlated for bot scoring. |
| ak_bmsc | Strictly necessary (security) | 2 hours | Bot Manager session token used to track whether a session has passed Bot Manager checks. Helps avoid challenging the same legitimate session multiple times. |
| ak_bmsc | First party (Akamai Edge Server) | 12 hours | Edge session affinity cookie that keeps the visitor on the same Akamai edge cluster for the session |
| akacd_* | First party (Akamai Edge Server) | Configurable (seconds to days) | Cache directive marker used internally by the Akamai edge to coordinate cache invalidation and surrogate keys |
| ak_bmsc_ssn | Strictly necessary (security) | Session | Bot Manager session continuation cookie used together with ak_bmsc to maintain session integrity during navigation. |
| bm_mi | First party (Akamai Bot Manager Premier) | 2 hours | Mobile intelligence cookie used by Bot Manager Premier when device based bot detection is enabled |
| bm_lso | Strictly necessary (security) | 2 hours | Bot Manager local storage observer cookie. Used to detect tampering with browser storage that could indicate automated behaviour. |
| RT | Analytics (mPulse, after consent) | 7 days | Akamai mPulse Real User Monitoring cookie. Stores a session identifier used to correlate page navigations, Core Web Vitals and error reports. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Las cookies de Akamai las establecen principalmente Bot Manager y Edge Server: _abck (1 año, estado de detección de bot), bm_sz (4 horas, token de sesión del challenge), ak_bmsc (12 horas, afinidad de sesión edge) y akacd_* (configurable, directiva de caché). Ninguna es de marketing. Se escriben automáticamente cuando Bot Manager o Edge Server está activo para el dominio.
Akamai Bot Manager y App and API Protector instalan cookies de seguridad estrictamente necesarias como _abck, bm_sz, ak_bmsc, ak_bmsc_ssn y bm_lso, que almacenan señales de riesgo de bot y tokens de integridad de sesión. mPulse añade cookies analíticas (RT, mp_rid) que almacenan identificadores de Real User Monitoring. Akamai por sí mismo no instala cookies publicitarias ni de marketing.
Para la pila CDN y seguridad estándar (caché, WAF, DDoS, Bot Manager), no. Estas cookies son estrictamente necesarias bajo el art. 5(3) ePrivacy y la CNIL las exime. Se requiere consentimiento para productos Akamai que perfilan visitantes (Audience Insights, Predictive Personalization, Bot Manager Premier más allá de seguridad pura).
No se requiere consentimiento para la distribución de contenido ni para las cookies de seguridad estrictamente necesarias (_abck, bm_sz, ak_bmsc), que se amparan en el interés legítimo y en la excepción de ePrivacy. Sí se requiere consentimiento para mPulse, Identity Cloud y cualquier función avanzada opcional de huella digital que vaya más allá de lo estrictamente necesario para operar el servicio.
Art. 6(1)(b) RGPD (ejecución del contrato, el visitante pidió la página) y art. 6(1)(f) (interés legítimo en seguridad y entrega) para CDN y seguridad. Art. 6(1)(a) consentimiento para productos de perfilado. El art. 28 RGPD rige la relación de encargado entre el editor y Akamai.
La distribución de contenido, la mitigación de denegación de servicio, el firewall de aplicaciones, la gestión básica de bots y la protección de cuentas se amparan en el interés legítimo del artículo 6.1.f) del RGPD. mPulse Real User Monitoring, la analítica de comportamiento, la gestión de identidad y la personalización opcional se basan en el consentimiento del artículo 6.1.a) del RGPD recabado mediante una plataforma de gestión del consentimiento.
Sí. El tráfico UE se sirve normalmente desde PoP europeos, pero el SOC y la security intelligence de Akamai acceden centralmente desde EE UU, India y Costa Rica. Akamai está certificado bajo el EU US Data Privacy Framework con SCC 2021 como respaldo. Se requiere una evaluación de impacto de las transferencias (Recomendación 01/2020 CEPD).
Akamai firma con sus clientes las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD mediante su Anexo de Tratamiento y confirma su adhesión al Marco de Privacidad de Datos UE EE. UU. Como medidas adicionales se aplican TLS 1.3, cifrado en reposo, ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1, SOC 2 Tipo II y la opción de mantener los registros de Datastream en almacenes regionales.
No para el CDN estándar. Sí para Akamai Bot Manager Premier con huella de dispositivo, Akamai Audience Insights, Predictive Personalization o Edge Auth. La EIPD debe describir los flujos, el acceso SOC desde países terceros y la conservación de logs WAF.
Se recomienda una EIPD siempre que Akamai se despliegue con Bot Manager Premier, Account Protector, mPulse Real User Monitoring, Identity Cloud o EdgeWorkers que ejecutan lógica de personalización, y siempre que se protejan recursos de alto riesgo como servicios financieros, portales del sector público o aplicaciones sanitarias. La distribución básica de contenido mediante Ion no suele requerir EIPD.
Firmar el DPA con compromiso de residencia UE, listar cookies estrictamente necesarias en la política sin gating, condicionar al consentimiento Audience Insights y similares, configurar la retención de logs WAF al mínimo necesario, formar a los equipos en el portal DSAR de Akamai y documentar la cadena en el registro de actividades.
Firme el Anexo de Tratamiento de Akamai, incluya Akamai en su registro de actividades, documente las cookies de seguridad en la política de cookies y mencione expresamente el destino estadounidense. Integre mPulse y otras opciones con una plataforma de gestión del consentimiento para que solo recopilen datos tras el consentimiento, limite la retención de Datastream y verifique que las reglas de Bot Manager no capturen cuerpos de solicitud sensibles (contraseñas, datos de pago).
Las alternativas europeas incluyen OVHcloud Edge (Francia), Gcore (Luxemburgo), Bunny.net (Eslovenia) y StackPath (con centros de datos en la UE) para CDN, además de Cloudflare con su complemento de residencia de datos en la UE. Específicamente para Bot Management, Imperva y Radware ofrecen despliegues europeos. La elección depende de la cobertura del Edge, las funciones de seguridad y los compromisos contractuales sobre residencia.
Cloudflare (US con EU Regional Services), Fastly (US con Compute@Edge UE), Bunny.net (Eslovenia, EU first), Gcore (Luxemburgo), Stackpath, Edgio (antes Limelight), CloudFront (US con regiones UE) y Microsoft Azure Front Door. Ninguno es totalmente UE a nivel corporativo; Bunny.net y Gcore son los más centrados en UE.
Listar las cookies estrictamente necesarias (_abck, bm_sz, ak_bmsc, akacd_*) en la sección de seguridad, declarar a Akamai como subencargado con residencia UE, mencionar la certificación EU US Data Privacy Framework, enlazar al Akamai Trust Center y explicar por qué no pueden rechazarse sin romper el servicio.
Indique a Akamai Technologies Inc. como encargado del tratamiento de los servicios CDN y de seguridad, describa las cookies de seguridad estrictamente necesarias (_abck, bm_sz, ak_bmsc, ak_bmsc_ssn, bm_lso), explique que las cookies de mPulse (RT, mp_rid) solo se cargan tras el consentimiento, mencione el destino estadounidense al amparo de CCT y del Marco de Privacidad de Datos UE EE. UU. y enlace a la declaración de privacidad de Akamai.