¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Strapi es el principal CMS headless de código abierto, publicado por Strapi SAS en París. La API pública REST y GraphQL sirve JSON sin establecer cookies, por lo que la capa de entrega pública es conforme al RGPD por defecto. El alojamiento lo elige el cliente, lo que ofrece control total de la región para proyectos europeos.
Strapi es el CMS headless open source más popular del mundo. Publicado por Strapi SAS en París desde 2015 bajo licencia MIT, permite a los desarrolladores modelar colecciones en un panel de administración y exponer los datos vía REST o GraphQL. Los clientes ejecutan Strapi en su propia infraestructura (Docker, Kubernetes, VPS, PaaS) o en Strapi Cloud. La API pública de entrega es sin estado y no requiere identificadores del lado del cliente.
Por defecto Strapi no establece ninguna cookie en el sitio público. La única cookie producida por Strapi es jwtToken, una cookie de sesión httpOnly usada por el panel de administración bajo /admin para autenticar a los redactores. Esa cookie nunca se expone al sitio público. Los clientes de Strapi Cloud que usan el portal de cuenta strapi.io disponen también de una cookie de sesión del portal y pueden ser rastreados por la analítica de marketing de strapi.io, limitada al dominio strapi.io.
Como la entrega pública de Strapi no escribe identificadores en el navegador del visitante, el Artículo 5(3) de la Directiva ePrivacy (transpuesta en LSSI en España, LCEN en Francia, TTDSG en Alemania) no requiere consentimiento previo. El Artículo 6(1)(f) del RGPD (interés legítimo) cubre los registros de solicitud limitados necesarios para la entrega y la prevención de abusos. El cliente es responsable del tratamiento de los datos almacenados en Strapi, siendo la instancia Strapi sólo la herramienta. Para Strapi Cloud, Strapi SAS es encargado del tratamiento según el Artículo 28 RGPD con un DPA disponible en el panel.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Para Strapi autoalojado el cliente controla totalmente la región. Elija un proveedor con sede en la UE (OVH Roubaix, Scaleway París, Clever Cloud, Hetzner Falkenstein, AWS Fráncfort o Irlanda) para evitar transferencias a terceros países. Strapi Cloud permite seleccionar una región al crear el proyecto: Fráncfort (eu central 1) mantiene los datos en la UE, mientras que las opciones US (Virginia us east 1) activan las consideraciones Schrems II y exigen Cláusulas Contractuales Tipo y una evaluación de impacto de transferencias.
Documente Strapi en el registro de actividades (RAT) con región de alojamiento, finalidad, retención y controles de acceso. Proteja la ruta /admin con listas de IP permitidas o VPN cuando sea posible, habilite SSO y exija 2FA en las cuentas de redactores. Aplique limitación de tasa estricta en la API pública para prevenir enumeración. Si se ingesta contenido enviado por usuarios (comentarios, formularios) a través de Strapi, documente por separado la base legal de ese tratamiento. Audite los plugins instalados ya que pueden extender el flujo de datos.
Websites using Strapi must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD no es necesaria para la capa pública de entrega de Strapi en la mayoría de los casos porque no se procesan datos personales de visitantes más allá de los registros estándar. Una EIPD es recomendable si la instancia Strapi almacena categorías especiales (salud, biometría, opiniones políticas) o si un flujo de contenido generado por usuarios gestiona muchas personas físicas. Documente la región de alojamiento, los controles de acceso de /admin y el método de autenticación de los redactores.
Sample consent text
Este sitio utiliza Strapi para gestionar y entregar su contenido editorial. La API pública de Strapi no establece cookies y no le rastrea. No se requiere consentimiento. Si inicia sesión en el área de administración, se crea una cookie de sesión estrictamente necesaria para autenticarle.
Third-party domains contacted
strapi.iocloud.strapi.iomarket.strapi.ioapi.strapi.ioanalytics.strapi.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| jwtToken | first-party (admin panel only) | Session (or 30 days if "remember me" is enabled) | httpOnly cookie that carries the JSON Web Token authenticating a logged in editor on the Strapi admin panel under /admin. Strictly necessary, only set after a successful sign in, never reaches anonymous visitors. |
| strapi_session | first-party (Strapi Cloud portal) | Session | Authenticates a user on the Strapi Cloud account portal (cloud.strapi.io). Strictly necessary for the customer side. Not set on the public website. |
| ajs_anonymous_id | third-party (Segment, on strapi.io only) | 1 year | Anonymous identifier set by Segment on the strapi.io marketing site for product analytics. Does not appear on customer instances. Disclosed here for completeness. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. Las APIs públicas REST y GraphQL de Strapi no establecen cookies. La única cookie producida por Strapi es jwtToken, una cookie de sesión httpOnly limitada a la ruta /admin y usada para autenticar a los redactores autenticados. Los visitantes anónimos nunca la reciben.
No se requiere consentimiento para la entrega pública de Strapi porque no se almacena ningún identificador en el terminal del visitante. El Artículo 5(3) de la Directiva ePrivacy no se aplica. El consentimiento solo es relevante si su frontend incorpora rastreadores de terceros alimentados por el contenido de Strapi.
El Artículo 6(1)(f) del RGPD (interés legítimo) cubre los registros limitados de solicitud necesarios para la entrega y la seguridad. El cliente es el responsable del tratamiento de los datos editoriales gestionados en Strapi. Strapi SAS solo actúa como encargado del tratamiento para Strapi Cloud, con un DPA del Artículo 28.
Strapi autoalojado no transfiere nada por sí mismo, el cliente elige la ubicación del alojamiento. Strapi Cloud transfiere a Estados Unidos solo cuando se selecciona la región US. La región Fráncfort mantiene los datos en la UE. El sitio de marketing strapi.io utiliza algunas herramientas en EE.UU., pero solo aplican a ese sitio, no a su instancia desplegada.
Una EIPD no es necesaria para un despliegue CMS editorial típico porque no se realiza profiling ni se procesan categorías especiales por defecto. Una EIPD es recomendable si Strapi almacena contenido sensible (salud, biometría), si se gestionan grandes volúmenes de aportaciones de usuarios, o cuando se integra con personalización o funciones de IA.
Aloje dentro de la UE, restrinja /admin con lista de IP permitidas o VPN, habilite SSO y 2FA, firme el DPA de Strapi Cloud si aplica, documente el tratamiento en su RAT, establezca limitación de tasa fuerte en la API pública y audite los plugins instalados para detectar flujos de datos adicionales.
Otros CMS headless utilizados en Europa incluyen Storyblok (Austria), Contentful (Alemania), Hygraph (Alemania), Sanity (Noruega), Directus (Alemania, open source), Payload CMS (open source, autoalojado) y Wagtail (Python, open source).
No es necesaria una mención específica de Strapi en la declaración de cookies del sitio público si no se establecen cookies. Liste Strapi como encargado del tratamiento de gestión de contenido en su política de privacidad con la región de alojamiento, finalidad y controles de acceso. La cookie jwtToken, restringida al admin, no necesita aparecer en el banner porque es estrictamente necesaria y solo se establece tras una autenticación exitosa.