¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Okta

¿Qué hace Okta?

Okta es una de las principales plataformas de gestión de identidades y accesos, utilizada por empresas para SSO, MFA, gestión del ciclo de vida del usuario, federación e identidad de cliente (a través de la marca Auth0, también operada por Okta). Se basa en un flujo de autenticación alojado que fija cookies de sesión y emite tokens OAuth/OIDC. Los tenants pueden desplegarse en celdas UE (Frankfurt, Dublín), pero Okta, Inc. sigue siendo responsable estadounidense de la plataforma.

Qué es Okta

Okta es una plataforma global de gestión de identidades y accesos operada por Okta, Inc., con sede en San Francisco. Su Workforce Identity Cloud ofrece a los empleados SSO, MFA, gestión del ciclo de vida y revisiones de acceso para cientos de aplicaciones empresariales. Su Customer Identity Cloud, que incluye Auth0 adquirida en 2021, asegura el login de aplicaciones de consumo y B2B con social login, sin contraseña, protección antifuerza bruta, detección de anomalías y MFA adaptativo. Ambos productos pasan por un flujo de autenticación alojado en subdominios okta.com o auth0.com y por SDKs amplios.

Qué datos y cookies recoge Okta

Okta recoge nombre de usuario, contraseña (siempre hasheada), correo, teléfono, factores MFA (secretos OTP, claves WebAuthn), huella de dispositivo, IP, User Agent, país, registros de auditoría de cada autenticación, sesión y cambio de configuración y cualquier claim personalizada. En el visitante, el flujo alojado fija una cookie de sesión sid y varias cookies técnicas (DT, JSESSIONID, t) de protección CSRF. Auth0 añade su propia cookie auth0 y señales opcionales de detección de anomalías.

Implicaciones RGPD y ePrivacy

Las cookies de autenticación de Okta son estrictamente necesarias para iniciar sesión en el servicio solicitado y quedan exentas del requisito de consentimiento del artículo 5.3 de ePrivacy. El tratamiento de credenciales, MFA y registros de auditoría se basa en la ejecución del contrato (art. 6.1.b), obligaciones legales (art. 6.1.c para seguridad y conservación) e interés legítimo para la prevención del fraude. La detección de anomalías o el scoring conductual que vayan más allá de lo necesario deben evaluarse por separado. La política debe listar a Okta o Auth0 como encargado.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Se requiere consentimiento

No para las cookies de autenticación estrictamente necesarias y los tokens de seguridad. Sí para funciones opcionales más allá de la autenticación: analítica en la página de login, widgets de marketing, proveedores sociales sujetos a consentimiento, reconocimiento persistente de dispositivos con fines de marketing. El usuario siempre debe ser informado de que Okta o Auth0 participan en el inicio de sesión.

Transferencias y destinatarios

Con una celda UE (Frankfurt o Dublín) elegida al crear el tenant, los datos persistentes permanecen en la UE. Okta, Inc. (EE. UU.) sigue siendo responsable de la plataforma y accede a los datos para soporte, seguridad y respuesta a incidentes. Okta está certificado en el Marco de Privacidad de Datos UE EE. UU., ofrece cláusulas tipo UE a través del Master Subscription Agreement y el DPA, y publica una lista de subencargados actualizada. Auth0 sigue el mismo régimen. Para sectores regulados, Okta dispone de FedRAMP, ISO 27001, ISO 27018, SOC 2 Type II y HIPAA.

Pasos prácticos de cumplimiento

Elija una celda UE al provisionar el tenant, firme el DPA de Okta con anexo de cláusulas tipo, liste a Okta, Inc. y Auth0 como destinatarios con el mecanismo de transferencia, configure la retención de los registros de auditoría al mínimo que satisfaga sus obligaciones, restrinja accesos administrativos con SSO y MFA y considere Bring Your Own Key para tenants sensibles. Documente la integración en el registro del art. 30.

GDPR consent category

Esencial

Websites using Okta must obtain user consent under GDPR regulations.

Legal basisContract (Art. 6(1)(b) GDPR) for authenticating the user into the customer's application, legal obligation (Art. 6(1)(c)) for security and audit logs, legitimate interest (Art. 6(1)(f)) for fraud and bot detection; consent (Art. 6(1)(a) and Art. 5(3) ePrivacy) for any optional analytics, marketing or persistent recognition features

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, eIDAS for strong customer authentication scenarios, NIS2 for essential operators, TTDSG, LIL, DORA for regulated financial entities

DPIA considerations

Okta trata credenciales, factores MFA, registros de auditoría y (con Auth0 Hooks) atributos conductuales opcionales. Se recomienda una EIPD para despliegues de customer identity a gran escala (apps B2C con millones de usuarios, administraciones públicas, sectores regulados) que cubra la elección de la celda, el mecanismo de transferencia UE EE. UU., la retención de logs y la lista de subencargados.

Sample consent text

Utilizamos Okta para iniciar tu sesión en nuestra aplicación. Las cookies de autenticación y los tokens de seguridad los fija Okta. Okta está operada por Okta, Inc. (EE. UU.) con los datos de nuestro tenant alojados en la celda UE.

Technical details

Tracking methodHosted authentication flow (Okta Identity Engine) with redirect or embedded widget (Okta Sign In Widget), OAuth 2.0 / OpenID Connect tokens, SAML 2.0 federation, SCIM provisioning, optional Auth0 (Okta Customer Identity) JavaScript SDKs and Universal Login

Server locationRegion selected by the customer at tenant provisioning: EU (Frankfurt, Dublin), US, AU, IN, JP cells. Okta, Inc. is headquartered in San Francisco; the Auth0 product line is operated by Okta and inherited the Auth0 EU and US regions.

Data transferred outside the EUCustomer data persists in the chosen Okta cell. Okta, Inc. (USA) operates the service globally and accesses tenant data for support, security and incident response. Okta is self certified under the EU US Data Privacy Framework, lists EU sub processors with their regions in the Okta Trust portal, and offers EU Standard Contractual Clauses through the Okta Master Subscription Agreement.

Third-party domains contacted

okta.com<tenant>.okta.com<tenant>.oktapreview.comokta-emea.comoktacdn.comauth0.com<tenant>.eu.auth0.com<tenant>.us.auth0.com

Cookies placed

Name	Type	Duration	Purpose
sid	third party	Session	Okta authenticated session cookie set after successful sign in; strictly necessary for the authenticated experience.
DT	third party	1 year	Device token used by Okta to recognise a known device during sign in and to power device based MFA policies.
JSESSIONID	third party	Session	Back end application server session cookie for the Okta sign in service.
t	third party	Session	CSRF protection token used during the Okta sign in flow.
proximity_<...>	third party	30 days	Optional Okta cookie used by Okta FastPass and proximity based authentication features.
auth0	third party	Session	Auth0 session cookie set on the Auth0 hosted login page (.auth0.com) for the duration of an authentication session.
auth0_compat	third party	Session	Compatibility session cookie used by older Auth0 SDKs when the SameSite=None policy cannot be enforced on the main auth0 cookie.

Okta es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies fija Okta?

Okta fija sid (cookie de sesión), DT (token de dispositivo), JSESSIONID (sesión de backend) y t (protección CSRF) en su dominio de autenticación alojado. Estas cookies son estrictamente necesarias para el inicio de sesión y están exentas de consentimiento. Auth0 añade cookies auth0 y auth0_compat.

¿Se necesita consentimiento para Okta?

No para las cookies y tokens de autenticación, que son estrictamente necesarios. Sí para cualquier widget analítico o de marketing en la página de login y para funciones de riesgo conductual más allá de lo necesario.

¿Cuál es la base jurídica para Okta?

Ejecución del contrato (art. 6.1.b RGPD) para el servicio de autenticación, obligación legal (art. 6.1.c) para la conservación de logs exigida por marcos como ISO 27001, NIS2 o eIDAS, e interés legítimo (art. 6.1.f) para prevención de fraude y bots.

¿Existen transferencias fuera de la UE?

Con una celda UE, los datos persistentes permanecen en la UE. Okta, Inc. (EE. UU.) conserva accesos de soporte y seguridad. Las transferencias se apoyan en la certificación DPF, las cláusulas tipo UE del DPA de Okta y una lista pública de subencargados.

¿Necesito una EIPD antes de desplegar Okta?

Para identidad de empleados en plantillas pequeñas, basta una EIPD ligera. Para identidad de cliente a gran escala, administraciones públicas o sectores regulados, realice una EIPD completa con celda, transferencias, logs de auditoría y señales de riesgo personalizadas.

¿Cómo desplegar Okta cumpliendo la normativa?

Elija una celda UE, firme el DPA de Okta, configure SSO y MFA para accesos administrativos, limite la retención de los logs al mínimo necesario, mencione a Okta y Auth0 como encargados en la política y desactive funciones de riesgo conductual no evaluadas.

¿Cuáles son las alternativas a Okta?

Alternativas europeas: Ory (Alemania), FusionAuth (open source de EE. UU., autoalojable en la UE), Keycloak (open source, Red Hat), Microsoft Entra ID (con región UE), implementaciones OIDC sobre WSO2 o Authentik. Para customer identity, Auth0 (también de Okta) es el competidor directo con regiones UE.

¿Cómo describir a Okta en la política de cookies?

Liste las cookies de Okta (sid, DT, JSESSIONID, t) en Estrictamente necesarias con proveedor Okta, Inc. (EE. UU.), finalidad (autenticación y gestión de sesión), plazo (sesión o pocas horas) y mecanismo de transferencia (Marco de Privacidad de Datos y cláusulas tipo).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note