¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Imperva

¿Qué hace Imperva?

Imperva es un proveedor líder de WAF y protección DDoS utilizado por bancos, administraciones, retailers y empresas SaaS europeas para defender su infraestructura web. Imperva se coloca delante del sitio como proxy inverso o CDN enrutado por DNS, inspeccionando cada solicitud HTTP. Deposita un número reducido de cookies estrictamente necesarias para la seguridad (incap_ses_<id>, visid_incap_<id>) que están exentas de consentimiento previo según el art. 5(3) ePrivacy.

Qué es Imperva

Imperva (originalmente Incapsula) es un proveedor líder de WAF, protección DDoS, gestión de bots y seguridad de API. Desplegado como proxy inverso o CDN enrutado por DNS, inspecciona cada solicitud HTTP antes de que llegue al servidor de origen, bloqueando ataques (SQLi, XSS, credential stuffing, DDoS de capa 7) y validando tráfico sospechoso con CAPTCHA.

Cookies y datos

Imperva deposita típicamente incap_ses_<id> (sesión de seguridad), visid_incap_<id> (ID de visitante entre sesiones) y nlbi_<id> (balanceo). Todas estrictamente necesarias. Trata IP, User-Agent, cuerpos, cabeceras y señales de comportamiento a nivel WAF.

RGPD y ePrivacy

Las cookies de seguridad de Imperva entran en la exención para cookies estrictamente necesarias (art. 5(3) ePrivacy). No requieren consentimiento. El tratamiento de solicitudes se apoya en el interés legítimo (art. 6(1)(f)) y el art. 32 RGPD.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias y enrutamiento de PoP

Imperva tiene PoPs europeos (Frankfurt, París, Dublín, Londres). Puede solicitar enrutamiento UE-only para el tráfico europeo. La threat intelligence central está en EE.UU.; las firmas agregadas y anonimizadas se comparten globalmente, cubiertas por CCT y DPF.

NIS2 y respuesta a incidentes

Para entidades esenciales e importantes bajo NIS2, Imperva es una medida técnica clave. Integre alertas y logs en su SIEM. Configure la retención según las obligaciones NIS2 (incidentes significativos deben notificarse en 24 horas).

Lista práctica de cumplimiento

1. Firmar el DPA de Imperva. 2. Configurar PoPs UE. 3. Documentar Imperva en el Registro. 4. Divulgar Imperva en el aviso. 5. Integrar logs en SIEM. 6. Mapear Imperva al runbook NIS2. 7. Configurar la retención de logs.

GDPR consent category

Esencial

Websites using Imperva must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) and legal obligation under Art. 32 GDPR to ensure security of processing

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (strictly necessary cookie exemption), NIS2 Directive

DPIA considerations

Imperva trata IP del visitante, User-Agent, URL, cuerpos y cabeceras para inspección, y telemetría de amenazas agregada. Aspectos clave: (1) cookies estrictamente necesarias bajo exención del art. 5(3) ePrivacy; (2) la inspección de solicitudes es tratamiento de datos personales, justificado por interés legítimo y art. 32 RGPD; (3) tratamiento en PoPs de Imperva (algunos UE); (4) compartición de threat intelligence a EE.UU. cubierta por CCT; (5) obligaciones NIS2 de respuesta a incidentes. EIPD simplificada es suficiente.

Sample consent text

Nuestro sitio está protegido contra ataques y bots por Imperva. Imperva inspecciona cada solicitud y deposita cookies estrictamente necesarias (incap_ses_<id>, visid_incap_<id>) para recordar qué visitantes ya han superado los desafíos de seguridad. Este tratamiento se basa en nuestro interés legítimo en seguridad y nuestra obligación legal del art. 32 RGPD.

Technical details

Tracking methodWeb application firewall and DDoS protection. Sits in front of the website as a reverse proxy or DNS-routed CDN. Sets a small number of security cookies for bot detection and challenge persistence

Server locationImperva, Inc., San Mateo, California, United States. Global PoPs including European cities (Frankfurt, Paris, Dublin, London)

Data transferred outside the EUVisitor IP, request metadata, security challenge results and aggregated threat telemetry are processed in Imperva PoPs and shared with the central Imperva threat intelligence in the US. Transfers covered by 2021 SCCs and EU-US DPF.

Third-party domains contacted

imperva.comincapdns.netincap.iocloudwaf.io

Cookies placed

Name	Type	Duration	Purpose
incap_ses_<id>	Strictly necessary	Session	Imperva security session identifier used to recognise visitors that have already passed the WAF and bot challenges.
visid_incap_<id>	Strictly necessary	1 year	Persistent visitor identifier across sessions, used to maintain security context and prevent re-challenging trusted visitors.
nlbi_<id>	Strictly necessary	Session	Load-balancing cookie that pins a visitor to the same Imperva PoP for consistent inspection.

Imperva es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Cookies de Imperva?

incap_ses_<id>, visid_incap_<id>, nlbi_<id>. Todas estrictamente necesarias.

¿Consentimiento?

No, las cookies de seguridad entran en la exención del art. 5(3) ePrivacy.

¿Base legal?

Interés legítimo (art. 6(1)(f)) y obligación del art. 32 RGPD.

¿Transferencias a EE.UU.?

Threat intelligence centralizada en EE.UU., cubierta por CCT y DPF. Tráfico se puede enrutar en UE.

¿EIPD?

EIPD simplificada suficiente; completa recomendada para entidades críticas NIS2.

¿Despliegue conforme?

DPA, enrutamiento de PoPs UE, registro, integración SIEM, runbook NIS2.

¿Alternativas?

WAF/DDoS amigables con la UE: Cloudflare (EE.UU., PoPs UE), Akamai (EE.UU., PoPs UE), Fastly (EE.UU., PoPs UE), DataDome (Francia), Variti (Suiza).

¿Actualizar políticas?

Divulgar a Imperva como encargado de seguridad, mencionar la transferencia de threat intelligence a EE.UU. con CCT, listar las cookies de seguridad como estrictamente necesarias.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note