¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Servicio de identidad de AWS que gestiona registro, inicio de sesión, autenticación multifactor, recuperación de contraseña y federación con proveedores de identidad sociales o corporativos para aplicaciones web y móviles.
Amazon Cognito es el servicio de identidad de AWS. Ofrece user pools para registrar y autenticar usuarios mediante correo, teléfono, inicios de sesión sociales (Google, Facebook, Apple, SAML, OIDC), autenticación multifactor y recuperación de contraseña, además de identity pools que conceden credenciales temporales de AWS para que la aplicación llame a APIs de AWS en nombre del usuario.
Cognito trata atributos de cuenta (correo, teléfono, claims personalizados), contraseñas, secretos MFA, tokens OAuth y OIDC, direcciones IP, huellas de dispositivo (con seguridad avanzada activada) y actividad de inicio de sesión. La UI alojada instala cookies de origen en el dominio de autenticación (token XSRF, cookie de sesión) y la aplicación cliente suele guardar tokens de ID, acceso y refresh en cookies o en el almacenamiento del navegador.
Las cookies y tokens que mantienen la sesión son estrictamente necesarios al amparo del artículo 5(3) de la directiva ePrivacy y no requieren consentimiento previo. AWS actúa como encargado mediante el AWS Data Processing Addendum, que incorpora Cláusulas Contractuales Tipo y se acoge al Marco UE EE.UU. de Privacidad de Datos. Las funciones de seguridad avanzada (autenticación adaptativa, comprobación de credenciales comprometidas) realizan perfilado basado en riesgo y deben describirse en la política de privacidad.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
No se requiere consentimiento para autenticar al usuario con Cognito. Sí se requiere cuando el flujo de login carga widgets de federación social que instalan cookies de tracking (Google, Facebook, Apple), y debe informar al usuario de que iniciar sesión con un proveedor social comparte identificadores con dicho proveedor.
Los user pools e identity pools guardan los datos en la región AWS que elija. Para minimizar transferencias despliegue en eu west 1 (Irlanda), eu central 1 (Fráncfort), eu west 3 (París), eu south 1 (Milán), eu north 1 (Estocolmo) o eu west 2 (Londres). Metadatos administrativos, soporte y telemetría operativa pueden seguir siendo tratados por AWS en EE.UU. con CCT y Marco UE EE.UU.
Firme el DPA de AWS, elija una región UE, imponga política de contraseñas fuertes y MFA, configure vida útil razonable de tokens, restrinja acciones administrativas con roles IAM, registre CloudTrail y eventos de Cognito, documente flujos de derechos del interesado (exportación, supresión vía AdminDeleteUser) y realice una EIPD cuando active seguridad avanzada o tratamiento de identidad a gran escala.
Websites using Amazon Cognito must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD es recomendable cuando Cognito se utiliza para autenticación a gran escala, cuando trata categorías especiales (salud, identidad pública), cuando federa varios proveedores de identidad o cuando las funciones de seguridad avanzada perfilan dispositivos e IPs de los usuarios.
Sample consent text
Utilizamos Amazon Cognito (Amazon Web Services) para gestionar cuentas de usuario, inicio de sesión y autenticación. Las cookies y tokens de autenticación son estrictamente necesarios para mantener su sesión. Si decide iniciar sesión con un proveedor externo (Google, Facebook, Apple), dicho proveedor puede recibir sus identificadores según sus propias condiciones.
Third-party domains contacted
auth.<region>.amazoncognito.comcognito-idp.<region>.amazonaws.comcognito-identity.<region>.amazonaws.comamazoncognito.comamazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| XSRF-TOKEN | http | Session | CSRF protection for the Cognito Hosted UI login forms. |
| cognito-fl | http | Session | Flag cookie used by the Hosted UI to track multi step login flows. |
| csrf-state | http | 10 minutes | Stores the state parameter used during OAuth and federation flows to prevent replay attacks. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.idToken | http | 1 hour (configurable) | Stores the OpenID Connect ID token issued to the authenticated user. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.accessToken | http | 1 hour (configurable) | Stores the OAuth 2.0 access token used to call protected APIs. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.refreshToken | http | 30 days (configurable, up to 10 years) | Allows the client to obtain new access and ID tokens without re authentication. |
| CognitoIdentityServiceProvider.<clientId>.LastAuthUser | http | Persistent | Stores the username of the last user signed in on this device. |
Amazon Cognito es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
La UI alojada instala XSRF-TOKEN, csrf-state y una cookie de flujo en su propio dominio auth.<region>.amazoncognito.com. Tras la autenticación la aplicación cliente guarda tokens de ID, acceso y refresh, normalmente como cookies CognitoIdentityServiceProvider.* o entradas de almacenamiento del navegador.
No para la autenticación en sí: las cookies de sesión y los tokens son estrictamente necesarios. Sí para cualquier botón de inicio social que cargue SDK de Google, Facebook o Apple con sus propias cookies de tracking, y sí si la seguridad avanzada construye un perfil de comportamiento más allá de lo necesario para la seguridad.
El artículo 6(1)(b) del RGPD (ejecución del contrato) cubre la creación de cuenta, el login y la gestión de contraseñas. El artículo 6(1)(f) (interés legítimo) cubre la prevención del fraude, la mitigación de abusos y los registros de seguridad. El artículo 6(1)(a) (consentimiento) es necesario para la federación opcional que expone datos a terceros.
Los datos del cliente permanecen en la región AWS elegida. Los metadatos administrativos, el soporte y la telemetría pueden tratarse en EE.UU. por personal de AWS bajo Cláusulas Contractuales Tipo y el Marco UE EE.UU. de Privacidad de Datos, conforme al DPA de AWS.
Una EIPD es recomendable (y puede ser obligatoria conforme al artículo 35 del RGPD) para tratamiento de identidad a gran escala, identidad del sector público, sectores sensibles (salud, finanzas) o cuando se activan autenticación adaptativa y perfilado basado en riesgo.
Elija una región UE de AWS, firme el DPA, exija MFA, limite la vida útil de los tokens, gestione los accesos de administración con roles IAM, registre eventos con CloudTrail, ofrezca flujos para derechos del interesado (exportación y AdminDeleteUser) y limite los atributos de usuario recogidos al mínimo imprescindible.
Otros proveedores de identidad incluyen Auth0, Okta Customer Identity, Microsoft Entra External ID, Keycloak (autoalojado), FusionAuth, Ory Hydra/Kratos, Clerk, WorkOS y Supabase Auth. Cada uno presenta su propio perfil de residencia de datos, precio e integración.
Ejecute un escaneo centrado en las páginas de autenticación y callback, liste las cookies estrictamente necesarias de Cognito (XSRF-TOKEN, csrf-state, almacenamiento de tokens), aclare que son de origen en su dominio de auth y documente las cookies de terceros para login social que se carguen tras una acción del usuario.