¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
JumpCloud es una plataforma estadounidense de directorio abierto que combina identidad, acceso y gestión de dispositivos en una sola consola. Los equipos de TI la utilizan para gestionar cuentas de usuario, SSO, MFA, postura de dispositivo y acceso condicional en Windows, macOS, Linux, móvil y aplicaciones SaaS. Aunque JumpCloud no tiene un widget frontal en los sitios web de los clientes, trata grandes volúmenes de datos personales de empleados (identidades, telemetría de dispositivos, registros de auditoría) y es por tanto un encargado del tratamiento crítico para el RGPD.
JumpCloud es una plataforma de directorio abierto que combina lo que antes eran tres categorías separadas: proveedor de identidad (similar a Okta o Azure AD), gestión unificada de endpoints (similar a Intune o Jamf) y gestión de accesos (SSO, MFA, acceso condicional). Los equipos de TI utilizan JumpCloud para centralizar el aprovisionamiento de usuarios en aplicaciones SaaS, imponer la postura del dispositivo antes de conceder acceso y auditar quién accedió a qué y desde dónde. JumpCloud está operada por JumpCloud Inc. (Estados Unidos) y se despliega ampliamente en pymes y empresas medianas de EMEA.
JumpCloud almacena atributos del directorio (nombre, correo, rol, departamento, responsable, pertenencia a grupos, hash de contraseña), configuración MFA, inventario de dispositivos (hostname, SO, versión, número de serie, parches), datos de sesión (IP de inicio de sesión, geolocalización inferida, user agent, dispositivo usado) y un log de auditoría completo de todas las acciones en la plataforma. Los logs se conservan 90 días por defecto y pueden ampliarse a 1 año en planes superiores.
JumpCloud es encargado del tratamiento de datos personales de empleados bajo el RGPD. El cliente (empleador) es el responsable y debe documentar el tratamiento en su registro de actividades, firmar el DPA de JumpCloud y asegurarse de informar a los empleados. La NIS2 exige que las entidades esenciales e importantes implementen MFA y controles de acceso; JumpCloud suele ser la herramienta elegida, por lo que su disponibilidad e integridad son directamente relevantes para el cumplimiento de NIS2. Las transferencias transfronterizas a EE. UU. deben abordarse mediante CCT y una Evaluación de Impacto de la Transferencia, o evitarse mediante la región UE.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Como las personas interesadas son empleados, la base jurídica suele ser el art. 6(1)(b) (ejecución del contrato laboral) o el art. 6(1)(f) (interés legítimo en proteger los sistemas), no el consentimiento. Algunos Estados miembros exigen una consulta al comité de empresa según el art. 88 RGPD antes de desplegar herramientas de supervisión de empleados, especialmente cuando la postura del dispositivo y los logs de auditoría pueden perfilar comportamientos. El consentimiento no es necesario para que JumpCloud funcione, pero la información sí es obligatoria.
JumpCloud aloja por defecto en EE. UU. (AWS us-east). Al darse de alta o mediante migración, los clientes pueden elegir la región UE (AWS Frankfurt), que mantiene todos los datos de directorio y auditoría en la UE. Utilice la región UE para clientes europeos cuando sea viable. Para la región US, las transferencias se basan en CCT y en el Marco de Privacidad de Datos UE, EE. UU. donde JumpCloud está certificada. Realice una Evaluación de Impacto de la Transferencia y documente las medidas técnicas y organizativas (cifrado en reposo y en tránsito, claves gestionadas por el cliente para clientes sensibles).
Firme el DPA de JumpCloud, elija la región UE cuando sea posible, realice una EIT si debe usar EE. UU., documente JumpCloud en su registro de actividades, informe a los empleados mediante la política interna, consulte al comité de empresa donde sea necesario, configure la retención de logs alineada con sus necesidades legales y política de seguridad, habilite MFA para administradores, restrinja el acceso a la consola por IP e integre los logs de JumpCloud en su SIEM para detección y respuesta a incidentes.
Websites using JumpCloud must obtain user consent under GDPR regulations.
DPIA considerations
JumpCloud trata una cantidad sustancial de datos personales de empleados: nombre completo, correo profesional, teléfono, rol, departamento, responsable, pertenencia a grupos, IPs de inicio de sesión, identificadores de dispositivo, versión de SO, tokens MFA, hashes de contraseñas, decisiones de acceso condicional y logs de auditoría completos. Consideraciones clave EIPD: (1) JumpCloud está en la ruta crítica del acceso de empleados, por lo que un incidente puede afectar la disponibilidad de sistemas críticos (relevancia NIS2); (2) los logs de auditoría pueden contener datos de ubicación inferidos de la IP, válidos para supervisión pero que plantean cuestiones del art. 88 RGPD; (3) la telemetría de dispositivos puede revelar patrones de trabajo fuera de horario y uso personal; (4) el almacenamiento de hashes y la capacidad de saltar MFA convierten a JumpCloud en un objetivo de alto valor que exige controles fuertes; (5) el alojamiento en EE. UU. es el predeterminado; la región UE debe seleccionarse al darse de alta para una residencia completa.
Sample consent text
Su empleador utiliza JumpCloud para gestionar identidad, acceso y seguridad de los dispositivos. JumpCloud trata su información de cuenta profesional y la telemetría de su dispositivo para autenticarle y proteger los sistemas de la empresa. Los datos pueden transferirse a servidores de JumpCloud en Estados Unidos (o a la región UE si su empleador la ha seleccionado). Consulte la política de privacidad interna para empleados para más detalles.
Third-party domains contacted
jumpcloud.comconsole.jumpcloud.comsso.jumpcloud.comapp.jumpcloud.comapi.jumpcloud.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| session | Strictly Necessary | Session | JumpCloud admin console and user portal session cookie used to maintain authenticated state during a login. |
| csrf_token | Strictly Necessary | Session | Cross site request forgery protection token used to prevent unauthorised state changing requests. |
| jcc_mfa | Strictly Necessary | 30 days | Stores the multi factor authentication remember device decision, so users do not have to complete MFA on every login on the same trusted device. |
JumpCloud es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
JumpCloud no coloca un widget de seguimiento en los sitios web de los clientes, por lo que no establece cookies en visitantes finales. La consola de administración (console.jumpcloud.com) y el portal de usuario establecen cookies de sesión y CSRF en esos dominios, pero solo en inicios de sesión de administradores y empleados, no en navegadores de visitantes públicos.
No, el consentimiento no suele ser la base. JumpCloud trata datos de empleados para ejecución del contrato (art. 6(1)(b)) e interés legítimo en seguridad TI (art. 6(1)(f)). No obstante, los empleados deben ser informados y, en algunas jurisdicciones (Alemania, Francia), se debe consultar al comité de empresa antes del despliegue según el art. 88 RGPD.
Para autenticación y gestión de accesos de empleados, la ejecución del contrato (art. 6(1)(b)) y el interés legítimo en seguridad TI (art. 6(1)(f)) son las bases estándar. Para logs de auditoría y telemetría de dispositivos que vayan más allá de lo estrictamente necesario, debe documentarse un test de ponderación y compartirse con la representación de los trabajadores cuando proceda.
Sí por defecto. El despliegue por defecto es en AWS us-east. JumpCloud también ofrece una región UE (AWS Frankfurt) que se puede seleccionar al darse de alta o mediante migración. Para despliegues en EE. UU., las transferencias se basan en CCT y en el Marco de Privacidad de Datos UE, EE. UU., en el que JumpCloud está certificada.
Se recomienda una EIPD siempre que JumpCloud se utilice a gran escala (plantilla numerosa), procese roles sensibles (directivos, personal sanitario), habilite telemetría de dispositivos que pueda perfilar a empleados o cuando el acceso condicional use señales conductuales. La mayoría de despliegues empresariales necesitará una EIPD alineada con el art. 35 RGPD y los criterios del EDPB.
Firme el DPA de JumpCloud, elija la región UE cuando sea posible, documente el tratamiento en su registro, informe a los empleados mediante la política interna, consulte al comité de empresa si procede, configure la retención de logs según sus necesidades, habilite MFA para administradores, restrinja el acceso a la consola por IP, integre los logs de JumpCloud en su SIEM, realice una EIT para la región US y una EIPD para tratamientos de alto riesgo.
Las alternativas basadas en la UE o con residencia UE incluyen Microsoft Entra ID (con EU Data Boundary), Okta (con despliegue UE), OneLogin (con región UE), Keycloak (open source autoalojado) y Authelia (open source autoalojado). Para directorio totalmente autoalojado, Samba, FreeIPA o Authentik open source son opciones cuando no se acepta un encargado en EE. UU.
Indique que JumpCloud Inc. es el encargado del tratamiento de los datos de gestión de identidad y dispositivos, las categorías de datos personales tratados (atributos de cuenta, tokens MFA, inventario de dispositivos, eventos de inicio de sesión, logs de auditoría), la base jurídica (ejecución de contrato, interés legítimo), el periodo de retención (según JumpCloud y su política de seguridad), la región de alojamiento (EE. UU. o UE), el mecanismo de transferencia (CCT, Marco de Privacidad de Datos) y cómo ejercer los derechos del RGPD.