¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Sucuri

¿Qué hace Sucuri?

Sucuri es una suite estadounidense de seguridad web (filial de GoDaddy) que combina firewall de aplicaciones web (WAF) en la nube, CDN, escaneo y eliminación de malware y monitorización de uptime. Sucuri proxiza todo el tráfico entrante a través de su red edge global, inspecciona las peticiones y sirve contenido cacheado. Muy utilizado en sitios WordPress, Joomla y Magento para hardening y respuesta ante incidentes.

Qué es Sucuri

Sucuri es una plataforma estadounidense de seguridad web fundada en 2010 y adquirida por GoDaddy en 2017. Reúne firewall de aplicaciones web en la nube (WAF), CDN global, escaneo y eliminación de malware, monitorización de uptime y respuesta ante incidentes. El sitio protegido apunta su DNS al edge de Sucuri, que proxiza todo el tráfico HTTP, aplica las reglas del WAF y sirve contenido cacheado. Sucuri es muy popular en sitios WordPress, Joomla y Magento, tanto en la UE como en EE. UU.

Qué datos trata Sucuri

En el WAF/CDN: cada petición HTTP al sitio protegido, incluyendo IP, user agent, URI, cabeceras y, con logging completo activo, el cuerpo de la petición. En el plano de gestión: identidad del propietario, resultados de escaneo, detecciones de malware e historial de configuración. El plugin de WordPress (sucuri, scanner) trata el inventario de ficheros, la actividad de administradores y los eventos de seguridad en el host.

Implicaciones RGPD y ePrivacy

Las direcciones IP son datos personales. El tratamiento se acoge a la excepción de seguridad del considerando 49 RGPD y se basa en el interés legítimo (art. 6.1.f). Las cookies de Sucuri (sucuri_cloudproxy_uuid, etc.) son funcionales y están ligadas a la lógica del WAF, por lo general acogibles a la excepción estricta del art. 5.3 de ePrivacy. Debe documentarse un LIA que justifique necesidad y proporcionalidad.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias internacionales de datos

Sucuri opera un CDN global con PoPs en la UE, pero el plano de gestión, los logs y la inteligencia de amenazas están centralizados en EE. UU. bajo GoDaddy. Las transferencias desde la UE se basan en CCT conforme al art. 46.2.c RGPD y en la certificación Data Privacy Framework UE, EE. UU. de GoDaddy. Se recomienda TIA para sectores sensibles.

Pasos prácticos de cumplimiento

Firme el DPA de Sucuri/GoDaddy, confirme CCT y DPF, realice un LIA, documente una EIPD breve si activa el logging completo, configure el caché para excluir páginas autenticadas con datos personales, excluya los formularios de pago del caché, mencione Sucuri en la política de privacidad como encargado de seguridad con transferencia a EE. UU. y documente el plugin de WordPress en el RAT.

GDPR consent category

Otros

Websites using Sucuri must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR), with the security exemption of Recital 49 GDPR for network and information security

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law), Recital 49 GDPR, CCPA, PCI DSS (where the site processes payments)

DPIA considerations

Sucuri inspecciona cada petición HTTP al sitio protegido y trata IP, payloads, user agents y, a través del plugin, la actividad de administradores de WordPress. Aspectos clave para la EIPD: (1) el WAF puede registrar el cuerpo de los POST, que incluyen incidentalmente datos personales de formularios; (2) las IP se tratan de forma sistemática, con retención configurable; (3) la inteligencia de amenazas centralizada se aloja en EE. UU. bajo control operativo de GoDaddy; (4) el CDN cachea respuestas que pueden incluir datos personales en páginas autenticadas si no se excluyen; (5) el plugin de WordPress (sucuri, scanner) requiere acceso de administrador y trata el inventario de ficheros. Se recomienda una EIPD en sitios con mucho tráfico o cuando se activa el logging completo.

Sample consent text

Nuestro sitio está protegido por Sucuri, servicio estadounidense de seguridad web (grupo GoDaddy). Todo el tráfico entrante transita por Sucuri para detectar y bloquear ataques. Para ello, Sucuri trata su dirección IP, su user agent y los detalles de la petición. El tratamiento se basa en nuestro interés legítimo en la seguridad del sitio (art. 6.1.f RGPD, considerando 49). Las transferencias a EE. UU. se amparan en las Cláusulas Contractuales Tipo y en el Data Privacy Framework UE, EE. UU.

Technical details

Tracking methodCloud-based Web Application Firewall (WAF) and CDN proxying all traffic, plus optional WordPress plugin (sucuri-scanner) for server-side scanning

Server locationUnited States (Sucuri Inc., a GoDaddy company, headquartered in Menifee, California) with a global edge network for the firewall and CDN tier

Data transferred outside the EUSucuri proxies all visitor traffic through its global CDN, with PoPs in multiple regions including the EU. Logs, threat intelligence, and management plane data are centralised in the United States. As a GoDaddy company, processing is subject to GoDaddy data protection terms. Transfers from the EU rely on Standard Contractual Clauses under Art. 46(2)(c) GDPR and on the EU-US Data Privacy Framework.

Third-party domains contacted

sucuri.netwww.sucuri.netcloudproxy.sucuri.netfirewall.sucuri.netsitecheck.sucuri.net

Cookies placed

Name	Type	Duration	Purpose
sucuri_cloudproxy_uuid	Functional / Security	1 year	Unique identifier set by the Sucuri Web Application Firewall to recognise a returning visitor and apply consistent firewall rules and rate limits across requests.
sucuri_protect_*	Functional / Security	Session	Short-lived session cookies used by the Sucuri WAF to confirm that a request comes from a previously challenged browser, avoiding repeated CAPTCHAs.
sucuri_session	Functional / Security	Session	Maintains the security session between the visitor browser and the Sucuri edge for the duration of the visit.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies instala Sucuri?

Sucuri instala un pequeño número de cookies funcionales (sucuri_cloudproxy_uuid, sucuri_protect_*) que reconocen a un visitante recurrente y aplican las reglas del WAF de forma coherente. Son cookies funcionales ligadas al fin de seguridad.

¿Sucuri requiere consentimiento?

Por lo general no. Las cookies se acogen a la excepción estricta del art. 5.3 de ePrivacy y el tratamiento se basa en el interés legítimo conforme al considerando 49 RGPD. Documente el LIA y mencione Sucuri en la política de privacidad.

¿Cuál es la base jurídica para Sucuri?

Interés legítimo (art. 6.1.f RGPD) con la excepción de seguridad del considerando 49. Documente un LIA breve que cubra necesidad, proporcionalidad y derechos de los interesados.

¿Sucuri transfiere datos a Estados Unidos?

Sí. El plano de gestión y los logs se alojan en EE. UU. bajo control operativo de GoDaddy. Las transferencias se basan en CCT conforme al art. 46.2.c RGPD y en el Data Privacy Framework UE, EE. UU.

¿Necesito una EIPD para Sucuri?

Para despliegues típicos, no. Documente una EIPD si activa el logging completo del cuerpo de las peticiones (que captura incidentalmente datos personales de formularios) o si se encuentra en un sector sensible (salud, sector público, finanzas).

¿Cómo implemento Sucuri de forma conforme?

Firme el DPA de GoDaddy, confirme CCT y DPF, configure las reglas de caché del CDN para excluir páginas autenticadas con datos personales, excluya los formularios de pago del caché, documente el LIA, mencione Sucuri en la política de privacidad y documente el alcance del plugin de WordPress en el RAT.

¿Qué alternativas existen a Sucuri?

Alternativas europeas o EU, friendly: Cloudflare WAF (EE. UU., PoPs en la UE), Imperva Cloud WAF, Akamai Web Application Protector, Fastly Next, Gen WAF, Patchstack (Estonia), Wordfence (EE. UU.) y ModSecurity autoalojado con OWASP Core Rule Set.

¿Cómo actualizo la política de cookies para Sucuri?

Liste las cookies funcionales de Sucuri en la sección estrictamente necesarias o de seguridad, con nombre, finalidad, duración y mención de la transferencia a EE. UU. con CCT y DPF. Indique que no se requiere consentimiento porque el tratamiento se basa en el interés legítimo con excepción de seguridad.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note