¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
AWS CloudFront es la red de distribución de contenido (CDN) de Amazon Web Services. Almacena en caché páginas, scripts, imágenes y flujos de vídeo en cientos de puntos de presencia repartidos por el mundo y los sirve desde el más cercano al visitante. Desde la óptica del RGPD, CloudFront trata como encargado direcciones IP, cabeceras HTTP y registros de acceso opcionales, con los datos controlados por AWS Inc. con sede en Estados Unidos.
AWS CloudFront es la red de distribución de contenido (CDN) de Amazon Web Services. Almacena en caché páginas HTML, bundles de JavaScript y CSS, imágenes, fuentes, segmentos de vídeo y respuestas de API en cientos de puntos de presencia repartidos por el mundo y los entrega desde el más cercano a cada visitante. Para los editores establecidos en la Unión Europea, CloudFront se despliega habitualmente como proxy inverso delante de un bucket S3, un Application Load Balancer o un origen de terceros, con el fin de reducir la latencia, absorber picos de tráfico y aliviar el servidor de origen.
CloudFront recibe cada solicitud HTTP y HTTPS emitida por el navegador del visitante. Para servir la respuesta trata la dirección IP de origen, la URL solicitada, el método HTTP, las cabeceras de solicitud y respuesta (incluidos User Agent, Referer y cookies reenviadas por el origen), la versión TLS y el cifrado negociado, la geolocalización deducida de la IP y el punto de presencia escogido. Cuando los registros de acceso o los registros en tiempo real están activados, esta información se almacena en un bucket S3 o se envía a Kinesis. CloudFront no instala por sí mismo cookies analíticas ni publicitarias, pero puede reenviar y almacenar cookies, parámetros de consulta y cabeceras según la política de caché.
Las direcciones IP tratadas por CloudFront son datos personales en el sentido del RGPD. Amazon Web Services Inc. actúa como encargado del tratamiento por cuenta del editor y como responsable con fines limitados de explotación del servicio. Al estar la matriz establecida en Estados Unidos, cada solicitud a una distribución CloudFront puede ser observada en teoría por infraestructura estadounidense. La base jurídica para la distribución habitual de contenido es el interés legítimo del artículo 6.1.f) del RGPD. La Directiva ePrivacy solo exige consentimiento previo cuando se almacena o se accede a información en el terminal del usuario, lo cual no se activa con la mera distribución de contenido, pero sí cuando CloudFront se combina con cookies de marketing, etiquetas publicitarias o técnicas de huella digital.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aunque un punto de presencia europeo sirva la respuesta, AWS puede transferir o replicar datos operativos hacia Estados Unidos. Estas transferencias se apoyan en el Anexo de Tratamiento RGPD de AWS, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., complementados por cifrado en tránsito (TLS 1.3) y en reposo, claves gestionadas por el cliente mediante AWS KMS y un régimen estricto de control de accesos. Los editores deben incluir a AWS en su registro de actividades de tratamiento e informar a los visitantes del destino estadounidense en la política de privacidad.
Firme el Anexo de Tratamiento RGPD de AWS, documente CloudFront en el registro de actividades de tratamiento y actualice la política de privacidad mencionando la red Edge de AWS y el destino estadounidense. Configure políticas de caché que retiren cookies y parámetros no esenciales, habilite reglas de AWS WAF que no registren innecesariamente las direcciones IP en bruto y establezca un plazo de retención para los registros de acceso. Cuando CloudFront sirva recursos cargados junto a scripts analíticos o publicitarios, condicione esos scripts a una plataforma de gestión del consentimiento, de modo que ninguna etiqueta de marketing se ejecute antes de que el visitante haya aceptado.
Websites using AWS CloudFront must obtain user consent under GDPR regulations.
DPIA considerations
Por norma general no se requiere una EIPD para la simple distribución de activos estáticos mediante CloudFront. Se recomienda una EIPD cuando CloudFront se combina con AWS WAF, Lambda@Edge, registros en tiempo real o técnicas de huella digital que supervisan sistemáticamente el comportamiento de los visitantes, o cuando se sirve contenido sensible (salud, finanzas, sector público) a usuarios de la UE.
Sample consent text
Utilizamos Amazon CloudFront, una red de distribución de contenido operada por Amazon Web Services Inc. (EE. UU.), para entregar este sitio más rápido y de forma más fiable. CloudFront trata su dirección IP y los metadatos de su solicitud. Al aceptar, autoriza esta transferencia a servidores de AWS, incluido en Estados Unidos, amparada en las Cláusulas Contractuales Tipo de la UE y el Marco de Privacidad de Datos UE EE. UU.
Third-party domains contacted
cloudfront.netamazonaws.comaws.amazon.coms3.amazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| aws-waf-token | Security | Up to 24 hours (configurable) | Set by AWS WAF Bot Control or Captcha challenges when integrated with CloudFront. Stores a signed token attesting that the visitor has passed a bot or captcha challenge so that subsequent requests are not blocked. |
| CloudFront-Key-Pair-Id | Functional | Session or until logout | Used by CloudFront signed cookies to authorise access to private content (videos, downloads). Carries the key pair ID that identifies the signing keys used by the distribution. |
| CloudFront-Policy | Functional | Defined by the signing policy (typically minutes to hours) | Stores the base64 encoded policy that defines which resources the signed cookie authorises and until when. Read by CloudFront edge servers to validate access to restricted distributions. |
| CloudFront-Signature | Functional | Same lifetime as CloudFront-Policy | Stores the cryptographic signature that proves the CloudFront-Policy was issued by an authorised signer. Used together with CloudFront-Key-Pair-Id and CloudFront-Policy to grant access to private content. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
CloudFront por sí mismo no instala cookies de seguimiento, analítica ni publicidad. Sí puede reenviar y almacenar en caché las cookies provenientes de su origen si la política de caché está configurada para incluirlas. Las cookies de marketing o analítica que aparezcan en un sitio servido por CloudFront proceden de otras capas (su aplicación, los desafíos de AWS WAF, scripts embebidos) y deben tratarse conforme a las reglas propias de esas capas.
No. La mera entrega de contenido mediante CloudFront se ampara en el interés legítimo del artículo 6.1.f) del RGPD y no activa la regla de almacenamiento de ePrivacy, porque no se escribe ni se lee información en el terminal con esa finalidad. El consentimiento explícito solo es obligatorio cuando CloudFront sirve etiquetas de marketing, creatividades publicitarias o scripts de huella digital que requieren por sí mismos consentimiento del artículo 6.1.a) del RGPD.
La base jurídica es el interés legítimo del artículo 6.1.f) del RGPD, porque operar un CDN para servir su propio sitio responde a un interés comercial y de seguridad reconocido. El tratamiento debe ser proporcional, la retención de los registros de acceso debe limitarse y los visitantes deben ser informados en la política de privacidad de la red Edge de AWS y del destino estadounidense.
AWS publica un Anexo de Tratamiento RGPD que incorpora las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y confirma la adhesión al Marco de Privacidad de Datos UE EE. UU. Como medidas complementarias se aplican TLS 1.3 en tránsito, cifrado en reposo, claves gestionadas por el cliente mediante AWS KMS, certificaciones de auditoría (ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II) y un control de accesos estricto.
Para la simple distribución de activos estáticos no se requiere EIPD. Se recomienda una EIPD cuando CloudFront se combina con AWS WAF, Lambda@Edge, registros en tiempo real o técnicas de huella digital que supervisan al visitante de forma sistemática, cuando el recurso protegido trata datos sensibles (salud, finanzas, sector público) o cuando se espera tráfico de menores europeos.
Firme el Anexo de Tratamiento RGPD de AWS, incluya a AWS en su registro de actividades de tratamiento, actualice la política de privacidad para mencionar el destino estadounidense y configure políticas de caché y de solicitud al origen que retiren cookies no esenciales. Limite la retención de los registros de acceso, restrinja al mínimo el registro de IP en bruto por parte de WAF y condicione cualquier script de terceros cargado vía CloudFront a una plataforma de gestión del consentimiento.
Sí. CDN europeos como BunnyCDN (Eslovenia), KeyCDN (Suiza), Gcore (Luxemburgo) u OVHcloud (Francia) mantienen sus nodos y su control corporativo en Europa, lo que reduce el volumen de transferencias a Estados Unidos. Cloudflare ofrece además una opción de residencia de datos exclusivamente en la UE. La elección correcta depende de la cobertura geográfica, las funcionalidades avanzadas (WAF, edge compute) y la integración con el resto del stack.
Indique a AWS Inc. como encargado del servicio CDN, mencione las zonas de la red Edge de AWS relevantes para su tráfico, advierta de que pueden transferirse datos, incluidas direcciones IP, a Estados Unidos al amparo de CCT y del Marco de Privacidad de Datos UE EE. UU., enlace al aviso de privacidad de AWS y precise el plazo de retención elegido para los registros de acceso de CloudFront.