¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Craft CMS es un sistema de gestion de contenidos PHP comercial autoalojado de Pixel & Tonic, disenado para sitios editoriales y que ofrece una excelente compatibilidad con el RGPD cuando se aloja en la Union Europea.
Craft CMS es un sistema de gestion de contenidos comercial escrito en PHP y construido sobre el framework Yii. Fue creado en 2013 por Pixel & Tonic, Inc., una empresa con sede en Bend, Oregon, Estados Unidos. La plataforma se dirige a sitios editoriales profesionales y es ampliamente adoptada por agencias digitales, sobre todo en Europa, para sitios corporativos ricos en contenido, revistas y publicaciones de marca. Craft CMS se distribuye bajo licencia comercial en tres niveles: Solo (gratuito para proyectos personales o de un unico editor), Pro (de pago, multi usuario) y Enterprise (a medida). La misma compania ofrece Craft Commerce, una extension de comercio electronico, y Craft Cloud, un servicio de alojamiento gestionado sobre DigitalOcean.
De forma predeterminada, Craft CMS solo trata datos relacionados con la administracion del back end. Almacena cuentas de administrador y editor (correo electronico, contrasena hasheada, nombre, campos de perfil opcionales), el contenido creado por estos usuarios e informacion basica de sesion para las solicitudes administrativas autenticadas. El CMS deposita un pequeno numero de cookies estrictamente necesarias para el panel de administracion: un token CSRF para protegerse de la falsificacion de peticiones entre sitios, un identificador de sesion para los usuarios conectados y una cookie de autenticacion persistente opcional cuando se utiliza la funcion recuerdame. El sitio publico no recibe ninguna cookie de seguimiento por parte de Craft, y no existe analitica, telemetria ni perfilado de visitantes integrados.
Craft CMS puede instalarse en cualquier infraestructura que soporte PHP y una base de datos compatible, lo que ofrece al responsable plena libertad sobre la region de alojamiento y la residencia de los datos. Las agencias europeas suelen desplegar Craft en proveedores con sede en la UE como Hetzner, OVH, Scaleway o Combell para garantizar que los datos personales permanezcan dentro del Espacio Economico Europeo. Como alternativa, Pixel & Tonic ofrece Craft Cloud, una plataforma de alojamiento gestionado llave en mano construida sobre DigitalOcean que permite elegir region, incluidas ubicaciones en la UE. Independientemente de la opcion, la activacion de licencia y la tienda opcional de plugins se comunican con los sistemas de Pixel & Tonic en Estados Unidos; estos intercambios afectan a claves de licencia y metadatos de software, no a datos personales de visitantes.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Desde la optica del RGPD, el nucleo de Craft CMS es una de las soluciones mainstream mas respetuosas con la privacidad. No hay cookies de seguimiento, ni llamadas de red a terceros en el sitio publico, y el responsable puede mantener todo el flujo de datos dentro de la UE. Las bases legales aplicables a los datos que Craft trata son la ejecucion contractual (art. 6.1.b RGPD) para la relacion administrativa con los editores y el interes legitimo (art. 6.1.f RGPD) para asegurar el back office. La situacion cambia en cuanto el sitio integra servicios de terceros como Google Analytics, Meta Pixel, reproductores embebidos de YouTube o Vimeo, formularios de automatizacion de marketing o un tag manager: cada uno de ellos puede exigir un banner de consentimiento conforme a la Directiva ePrivacy y una base legal documentada. Los plugins instalados desde la Craft Plugin Store tambien pueden ampliar el ambito de tratamiento, por lo que cada incorporacion debe revisarse.
Para desplegar Craft CMS de manera plenamente conforme: elija una region de alojamiento en la UE o una region UE de Craft Cloud; firme un contrato de encargado del tratamiento con el proveedor de alojamiento; documente el intercambio de licencia con Pixel & Tonic como tratamiento accesorio; mantenga un inventario de los plugins instalados y de los datos que tratan; implante una plataforma de gestion del consentimiento para cualquier script de terceros anadido en el front end; configure atributos de cookie seguros (Secure, HttpOnly, SameSite) en las cookies administrativas; active copias de seguridad y un procedimiento de respuesta ante incidentes; y actualice la politica de privacidad para reflejar los flujos reales, incluyendo region de alojamiento y subencargados.
Si el sitio utiliza Craft Commerce, la huella de tratamiento se amplia significativamente. Las cuentas de cliente, el historial de pedidos y las direcciones de facturacion y envio se almacenan en la misma base de datos. El procesamiento de pagos se delega habitualmente en terceros como Stripe, PayPal, Mollie o Adyen, cada uno de los cuales actua como responsable independiente o encargado y debe figurar en la politica de privacidad. Las funciones de marketing (correos de carrito abandonado, notificaciones transaccionales) pueden requerir un consentimiento independiente. Se recomienda una EIPD dedicada cuando Craft Commerce se despliega a gran escala o cuando se manejan categorias de productos sensibles.
Websites using Craft CMS must obtain user consent under GDPR regulations.
DPIA considerations
Por lo general no se requiere una EIPD para una instalacion estandar de Craft CMS, ya que el nucleo del CMS solo deposita cookies esenciales para la autenticacion administrativa y la proteccion CSRF, sin analitica ni telemetria. El alcance del analisis debe centrarse en el entorno de alojamiento elegido por el cliente (infraestructura autoalojada o region de Craft Cloud), los plugins instalados que puedan anadir servicios de terceros, las integraciones de front end como analitica, videos embebidos o formularios de marketing, y el modulo Craft Commerce si se utiliza para comercio electronico. Documente la region de alojamiento, el inventario de plugins y los encargados de tratamiento implicados.
Sample consent text
No se requiere ningun banner de consentimiento para el nucleo de Craft CMS porque solo deposita cookies estrictamente necesarias para el back office administrativo. Si su sitio anade analitica, publicidad, videos embebidos u otras tecnologias de seguimiento, implemente una plataforma de gestion del consentimiento que cargue dichos scripts unicamente tras un opt in explicito.
Third-party domains contacted
craftcms.complugins.craftcms.comelliptic.iopackagist.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| CRAFT_CSRF_TOKEN | Strictly necessary | Session | Cross site request forgery (CSRF) protection token used by the Craft CMS administration panel to validate form submissions and AJAX requests originating from authenticated users. |
| CraftSessionId | Strictly necessary | Session | Administrative session identifier used to maintain the authenticated state of editors and administrators in the Craft CMS control panel. Not set on visitors who do not log in to the back end. |
| CraftAuthorization | Strictly necessary | Up to 14 days (configurable, only when remember me is enabled) | Persistent authentication cookie set when an administrator checks the remember me option at login, allowing the back end to recognise the user across sessions without requiring a fresh password entry. Duration is configurable via the userSessionDuration setting in Craft CMS. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. El nucleo de Craft CMS solo deposita cookies estrictamente necesarias para el panel de administracion: CRAFT_CSRF_TOKEN para la proteccion contra la falsificacion de peticiones entre sitios, CraftSessionId para sesiones administrativas autenticadas y una cookie CraftAuthorization opcional cuando se activa la funcion recuerdame. El sitio publico no recibe ninguna cookie de seguimiento, analitica o marketing por parte de Craft. Cualquier seguimiento en el front end proviene de las integraciones que usted anade (scripts de analitica, videos embebidos, pixeles de marketing), no del CMS.
No para el nucleo del CMS. Las cookies depositadas por Craft son estrictamente necesarias y entran en la exencion del articulo 5.3 de la Directiva ePrivacy, por lo que no se requiere banner. Un banner de consentimiento se vuelve necesario en cuanto anade en el front end tecnologias no esenciales como Google Analytics, pixeles publicitarios, reproductores sociales embebidos, formularios de marketing o cualquier etiqueta de terceros.
Para el back office administrativo, las bases pertinentes segun el RGPD son la ejecucion contractual (art. 6.1.b) para la relacion con editores y administradores, y el interes legitimo (art. 6.1.f) para proteger la plataforma frente a ataques. Si recoge datos de visitantes mediante formularios o cuentas en el sitio publico, identifique una base especifica (consentimiento, contrato o interes legitimo) y documentela en su registro de actividades de tratamiento.
Depende por completo del alojamiento elegido. Como Craft CMS es autoalojado, usted decide donde se ejecuta la aplicacion: elija un proveedor en la UE (Hetzner, OVH, Scaleway, Combell, etc.) o una region UE de Craft Cloud y los datos de los visitantes permaneceran en la UE. El unico flujo sistematico hacia Estados Unidos es la validacion de licencia y la comunicacion con la tienda de plugins de Pixel & Tonic, que afecta a claves de licencia y metadatos de software, no a datos personales de los visitantes.
Una EIPD no suele ser necesaria para una instalacion por defecto, ya que el nucleo del CMS solo trata datos administrativos con bajo riesgo. Resulta apropiada cuando Craft Commerce se despliega a gran escala, cuando se tratan datos sensibles (salud, biometria, grandes comunidades de usuarios), cuando plugins de terceros introducen perfilado o seguimiento extensivo o cuando el front end integra numerosos servicios de marketing y analitica.
Aloje Craft en una infraestructura UE o en una region UE de Craft Cloud, firme un contrato de encargado del tratamiento con el proveedor, mantenga un inventario actualizado de plugins, configure los atributos Secure, HttpOnly y SameSite en las cookies administrativas, despliegue una plataforma de gestion del consentimiento para cualquier script de terceros en el front end, documente el intercambio de licencia con Pixel & Tonic, active copias de seguridad automaticas, defina un procedimiento de respuesta ante incidentes y refleje todo ello en una politica de privacidad clara.
Entre las soluciones de CMS autoalojadas comparables se encuentran Kirby (flat file, editor aleman), Statamic (basado en Laravel, flat file o base de datos), ExpressionEngine (PHP, larga trayectoria), ProcessWire (PHP de codigo abierto) y Wagtail (Python, basado en Django) para usos clasicos. Para enfoques headless considere Sanity, Storyblok o Strapi. Muchas comparten las fortalezas de Craft CMS: control total sobre la region de alojamiento y seguimiento minimo por defecto.
Liste las cookies estrictamente necesarias depositadas por el back office (CRAFT_CSRF_TOKEN, CraftSessionId y CraftAuthorization cuando se activa recuerdame), explique que se utilizan unicamente para autenticacion administrativa y proteccion CSRF, y aclare que no se depositan en visitantes que no inicien sesion en el back end. Anada al mismo documento las cookies de front end introducidas por integraciones o plugins, con su finalidad, duracion y base legal.