¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Varnish es un acelerador HTTP de codigo abierto y proxy inverso de cache desarrollado originalmente por Poul Henning Kamp para el periodico noruego VG y hoy mantenido por el proyecto open source Varnish Cache y por Varnish Software AS. Se situa entre el cliente y el servidor de origen, cachea respuestas HTTP segun reglas VCL y sirve contenido cacheado sin tocar el backend. Desde la perspectiva de privacidad, Varnish es software de servidor: no coloca cookies en el cliente, pero escribe logs de acceso con IPs y metadatos de solicitud.
Varnish es un acelerador HTTP de alto rendimiento y proxy inverso de cache. Lo escribio en 2006 Poul Henning Kamp para el periodico noruego VG con el fin de manejar picos de trafico, y hoy lo mantienen el proyecto Varnish Cache y la empresa Varnish Software AS (Noruega, Suecia, Alemania). Varnish se coloca delante de uno o varios servidores de origen, cachea respuestas HTTP segun el lenguaje VCL y sirve respuestas cacheadas directamente a los clientes, reduciendo drasticamente la carga del backend y la latencia. Se usa ampliamente en editores, e commerce, video streaming y APIs SaaS.
Varnish no coloca ni lee cookies de cliente propias. Puede pasar cookies del cliente al origen (o eliminarlas a nivel VCL), pero esas cookies pertenecen a los backends, no a Varnish. Lo que Varnish produce son logs detallados via varnishlog (tracing completo de solicitud/respuesta) y varnishncsa (Combined Log Format), con IP del cliente, marca temporal, metodo, URL, estado, tiempo de respuesta y cabeceras. Estos logs son datos personales bajo el RGPD. Varnish tambien almacena cuerpos de respuesta en memoria compartida mientras estan en cache, lo que puede contener brevemente datos personales desde respuestas API o HTML.
Como Varnish no almacena ni recupera informacion del terminal del visitante, el articulo 5(3) de la Directiva ePrivacy (consentimiento de cookies) no se aplica a Varnish. La cache y los logs de acceso se rigen por el RGPD y se apoyan en el interes legitimo del articulo 6(1)(f): el cacheado es una actividad operativa esperada y los logs son necesarios para ajustar la cache, seguridad y estabilidad. La retencion debe ser corta por defecto, ya que los logs de cache no se usan tipicamente para investigacion forense de largo plazo.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Varnish trae un VCL por defecto que elimina cookies de las solicitudes GET cacheables para maximizar el hit ratio. Es un defecto positivo en privacidad porque las cookies de rastreo no llegan a los caminos cacheables. El operador puede configurar varnishncsa para anonimizar las IPs truncando el ultimo octeto, o usar un Combined Log Format con anonimizacion propia. La construccion de claves de cache puede ajustarse para no incluir identificadores de sesion, lo que preserva la eficiencia y reduce el riesgo de cachear datos de sesion sin querer.
Varnish Cache, como software de codigo abierto, no transfiere datos por si mismo. El regimen de transferencia depende de donde aloje el operador. Varnish Software AS, la entidad comercial, tiene sede en Noruega (reconocida adecuada bajo el RGPD) con oficinas en Suecia y Alemania; si el operador compra Varnish Enterprise o el SaaS Controlled Edge, la relacion se rige por contrato noruego con residencia UE/EEE por defecto.
Documentar Varnish en el registro de tratamientos como capa de cache operacional bajo interes legitimo. Ajustar la retencion de varnishncsa a 7 a 30 dias, rotacion de logs con logrotate, almacenamiento en infraestructura UE. Configurar VCL para eliminar cookies de rastreo en caminos cacheables, anonimizar IPs donde sea posible, omitir cadenas de consulta en logs en rutas que llevan tokens. Si se contrata Varnish Enterprise o Controlled Edge, firmar el DPA de Varnish Software. Varnish no necesita estar en el banner de cookies porque no las coloca, pero el operador puede mencionar la capa de cache en la seccion de tecnologia de la politica de privacidad por transparencia.
Websites using Varnish must obtain user consent under GDPR regulations.
DPIA considerations
Varnish no requiere EIPD por si mismo, es software de cache de servidor sin rastreo del cliente. Sus logs (varnishlog, varnishncsa) escriben entradas con IPs, URLs y codigos de respuesta, que son datos personales bajo el RGPD. Consideraciones: (1) los logs de cache tienen menor horizonte de retencion que los logs aplicativos completos al servir para ajuste de cache, 7 a 30 dias son tipicos; (2) las URLs pueden llevar tokens o datos personales en query strings, lo que afecta retencion y controles de acceso; (3) Varnish puede configurarse para eliminar cookies en el camino de solicitud (para maximizar el hit ratio) y de respuesta, defecto positivo para privacidad; (4) Varnish Software AS, la entidad comercial, esta en la UE (sede Noruega), lo que limita la exposicion Schrems II para clientes enterprise; (5) la propia cache guarda cuerpos de respuesta en memoria compartida, lo que puede contener brevemente datos personales, cubierto por interes legitimo operacional.
Sample consent text
Usamos Varnish Cache como acelerador HTTP y proxy inverso en nuestra infraestructura. Varnish no coloca cookies en su dispositivo. Como cualquier intermediario HTTP, escribe logs de acceso con su direccion IP, la pagina solicitada, cabeceras y codigo de respuesta. Estos logs se usan para ajuste de rendimiento, investigacion de seguridad y estabilidad operacional bajo nuestro interes legitimo. Los logs se conservan [XX] dias y despues se anonimizan o eliminan.
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. Varnish no coloca ni lee cookies en el dispositivo del visitante. Puede pasar o eliminar cookies en la solicitud y la respuesta a nivel VCL, pero esas cookies pertenecen a los backends aplicativos detras de Varnish.
No. Como Varnish no almacena ni recupera informacion del terminal del visitante, el articulo 5(3) de la Directiva ePrivacy no se aplica. La cache y los logs de acceso se rigen por el RGPD y se apoyan en el interes legitimo.
Interes legitimo del articulo 6(1)(f), justificado por el cacheado para rendimiento, seguridad y estabilidad, y por la retencion de logs para ajuste y operacion.
Varnish Cache de codigo abierto no transfiere datos. El hosting determina el regimen de transferencia. Varnish Software AS, la entidad comercial, tiene sede en Noruega (reconocida adecuada bajo RGPD) con oficinas en Suecia y Alemania.
Una EIPD no se requiere para Varnish en si. Puede serlo para la arquitectura mas amplia de cache y logs si los logs se procesan para analitica de seguridad avanzada o se exportan fuera de la UE.
Conservar el comportamiento VCL por defecto que elimina cookies en GET cacheables. Configurar varnishncsa con un log_format propio que anonimice las IPs y omita cadenas de consulta en rutas con tokens. Rotar logs con logrotate y retencion corta (7 a 30 dias). Evitar IDs de sesion en la clave de cache.
Otras capas de cache HTTP y proxies inversos: Nginx (proxy_cache), Apache (mod_cache), Squid, Traefik, HAProxy, Caddy. CDNs cloud (Cloudflare, Fastly, Akamai, Bunny.net, EdgeOne) con sus propias consideraciones de privacidad y residencia.
Varnish no debe estar en el banner de cookies porque no las coloca. En la politica de privacidad puede mencionar que el sitio usa una cache HTTP y proxy inverso para rendimiento y estabilidad, la base juridica, las categorias de datos, el plazo de conservacion y los destinatarios.