¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Akamai Web Application Protector (WAP) es el Web Application Firewall de gama de entrada de la cartera de seguridad de Akamai. Vive en la red edge global de Akamai como reverse proxy, inspecciona cada solicitud HTTP antes de llegar al origen del editor, bloquea OWASP Top 10, aplica rate limiting y bot mitigation. Por ser una capa de seguridad y no un tracker, trata metadatos (IP, User, Agent, URL) en interes legitimo, y las cookies que puede colocar (AKA_A2, _abck, bm_sz) son estrictamente necesarias.
Akamai Web Application Protector (WAP) es el WAF mas sencillo del catalogo de seguridad de Akamai. Funciona como reverse proxy en la red edge global de Akamai delante del origen del editor. Cada solicitud HTTP entrante se analiza con reglas basadas en firmas y en comportamiento que cubren OWASP Top 10 (SQLi, XSS, RCE, LFI) y luego se deja pasar, se desafia o se bloquea. WAP incluye ademas bot mitigation basica, rate limiting y proteccion DDoS.','
Como minimo WAP trata los metadatos de conexion: IP, handshake TLS, User, Agent, cabeceras HTTP, URL y metodo. Cuando la regla WAF lo exige, tambien se inspecciona el cuerpo de la solicitud (form data, payload JSON). La bot mitigation coloca cookies de corta duracion (AKA_A2, _abck, bm_sz, akacd_*) como tokens de desafio. Los registros se transmiten al SOC de Akamai y pueden exportarse mediante Akamai DataStream al SIEM del editor.','
Operar un WAF es la implementacion de manual del articulo 32 del RGPD (medidas tecnicas y organizativas apropiadas). Base juridica: interes legitimo del articulo 6.1.f para la seguridad, reforzado por 6.1.c cuando NIS2 o DORA exigen capacidades WAF. Las cookies de deteccion de bots son estrictamente necesarias para el servicio de seguridad implicito y quedan exentas conforme al articulo 5.3 de ePrivacy.','
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
El trafico europeo termina normalmente en PoPs europeos, pero Akamai tiene su sede en Massachusetts y opera SOCs globales. Los metadatos y registros de incidentes pueden por tanto tratarse en EE.UU. El DPA de Akamai incorpora las CCT y referencia su certificacion en el Marco UE, EE.UU. Se espera una evaluacion del impacto de la transferencia.','
Documente el WAF de Akamai en el registro como encargado de seguridad. Firme el DPA. Mencione a Akamai Technologies Inc. y a Estados Unidos en la politica de privacidad con la ponderacion del articulo 32. Configure una retencion corta para los registros de incidentes. No mezcle WAP con analitica de marketing en el mismo modulo para preservar el estatus estrictamente necesario de las cookies del WAF.','
Websites using Akamai Web Application Protector must obtain user consent under GDPR regulations.
DPIA considerations
Akamai WAP es una capa de seguridad que trata metadatos de conexion para bloquear ataques. Consideraciones clave: (1) el WAF inspecciona headers, URLs y a veces cuerpos de solicitud que pueden contener datos del visitante; limitar la retencion de muestras; (2) las cookies de Akamai (AKA_A2, _abck, bm_sz) son tokens de deteccion de bots y son estrictamente necesarias conforme al articulo 5.3 de ePrivacy; (3) Akamai es empresa estadounidense; los registros se tratan globalmente; el editor se apoya en el DPA de Akamai, CCT y el Marco UE, EE.UU.; (4) la inteligencia agregada de amenazas se comparte entre clientes en interes legitimo y debe mencionarse en la politica; (5) los registros de incidentes pueden incluir IPs de visitantes legitimos mal clasificados; los derechos de acceso deben gestionarse en consecuencia. Se recomienda EIPD si la inspeccion del cuerpo de solicitud esta activa.
Sample consent text
Este sitio esta protegido por Akamai Web Application Protector (Akamai Technologies Inc., Estados Unidos), un WAF que opera en la red edge global de Akamai. Akamai inspecciona cada solicitud entrante (IP, cabeceras, URL) para bloquear ataques y puede almacenar registros tecnicos y cookies de deteccion de bots de corta duracion (AKA_A2, _abck, bm_sz). Este tratamiento es necesario para la seguridad del sitio y no requiere su consentimiento.
Third-party domains contacted
akamai.comakamaihd.netakamaized.netakamaitechnologies.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| AKA_A2 | Strictly necessary | 1 hour | Akamai bot detection token issued by Web Application Protector and Bot Manager to verify that the request is coming from a real browser, not from an automated client. |
| _abck | Strictly necessary | 1 year | Akamai Bot Manager cookie that stores the result of the bot challenge so subsequent requests do not have to be challenged again. |
| bm_sz | Strictly necessary | 4 hours | Akamai Bot Manager session cookie used to track the integrity of a browser session and detect anomalies suggesting automation. |
| akacd_* | Strictly necessary | Session | Akamai cookie that ties the visitor to a specific Akamai edge server for sticky routing during the security analysis. |
Akamai Web Application Protector es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
AKA_A2 (1 hora), _abck (1 ano), bm_sz (4 horas) y akacd_* (sesion). Todas son cookies de corta a media duracion de bot detection o sticky routing en dominios de Akamai o del editor.
No. Son estrictamente necesarias para el servicio de seguridad que el editor debe operar conforme al articulo 32 del RGPD. Exentas conforme al articulo 5.3 de ePrivacy.
Interes legitimo (articulo 6.1.f del RGPD) para el tratamiento de seguridad, mas obligacion legal (6.1.c) cuando NIS2 o DORA exigen capacidades WAF. Documente la ponderacion en el registro.
Si. Akamai tiene sede en EE.UU. y los metadatos y registros de incidentes pueden transitar por alli. CCT y certificacion de Akamai en el Marco UE, EE.UU. aplicables. Se espera una EIT.
Recomendada si la inspeccion del cuerpo de solicitud esta activa (posible captura de datos personales en payloads) o si WAP alimenta decisiones automatizadas que afecten al usuario (bloqueo de cuenta).
Firme el DPA de Akamai. Documente la ponderacion del articulo 32. Mencione a Akamai Technologies Inc. y a Estados Unidos en la politica de privacidad. Retencion corta para los registros. No mezcle las cookies del WAF con cookies de marketing.
Si: OVHcloud WAF, Cloudflare WAF (EE.UU. con regiones UE), Imperva (EE.UU.), F5 Distributed Cloud WAF o ModSecurity/Coraza autoalojados en origenes UE. Akamai sigue siendo lider para volumenes muy altos que requieren un WAF edge.
Liste AKA_A2, _abck, bm_sz y akacd_* como estrictamente necesarias con dominio, duracion y finalidad de seguridad. Anada a Akamai Technologies Inc. a la lista de destinatarios y mencione Estados Unidos como destino de las transferencias de los registros de seguridad.