¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Vanta es una plataforma estadounidense de automatización del cumplimiento que ayuda a las empresas a preparar y mantener SOC 2, ISO 27001, ISO 27701, HIPAA, PCI DSS, RGPD y más de 30 marcos adicionales. Se conecta a sus proveedores cloud, sistemas de identidad, repositorios de código y herramientas de RR. HH. para verificar los controles de forma continua. Vanta trata datos de directorio de empleados, inventario de sistemas, hallazgos de vulnerabilidades y pruebas de aceptación de políticas, por lo que es un encargado del tratamiento crítico que debe ser conforme con el RGPD.
Vanta es una plataforma de automatización del cumplimiento de Vanta Inc. (San Francisco) diseñada para llevar a las empresas SaaS a auditorías SOC 2, ISO 27001 y otras. La plataforma se conecta a más de 200 sistemas (AWS, GCP, Azure, Microsoft 365, Google Workspace, Okta, JumpCloud, GitHub, Jira, Slack y muchos más) mediante integraciones de solo lectura y verifica de forma continua que los controles correspondientes están en marcha. También gestiona políticas internas, evaluaciones de riesgos de proveedores, formación de empleados y recopilación de evidencia para auditorías.
Vanta trata atributos del directorio (nombre, correo profesional, rol, fechas de incorporación y baja, responsable), inventario de dispositivos desde MDM (portátiles, SO, estado de cifrado, bloqueo de pantalla), registros de formación, pruebas de aceptación de políticas, capturas de revisión de accesos, metadatos de configuración cloud (sin datos de producción, solo configuración), resultados de escaneos de vulnerabilidades desde escáneres conectados y cuestionarios de proveedores. Las cargas sensibles (datos de producción, datos de clientes) quedan explícitamente fuera del alcance, pero pueden filtrarse mediante metadatos si los alcances de integración son demasiado amplios.
Vanta es encargado del tratamiento de datos personales de empleados bajo el RGPD. El cliente (empleador) es el responsable y debe firmar el DPA de Vanta, documentar el tratamiento en su registro de actividades e informar a los empleados. Dado que Vanta es en sí misma una herramienta de cumplimiento, publica informes ISO 27001 y SOC 2 detallados sobre sí misma, lo que simplifica la diligencia debida. No obstante, la amplitud de las integraciones y el matiz de supervisión laboral (registros de formación, revisiones de acceso) hace que normalmente se recomiende una EIPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los datos de empleados en Vanta se tratan bajo el art. 6(1)(b) (contrato laboral) y el art. 6(1)(f) (interés legítimo en seguridad y cumplimiento), no consentimiento. En Francia y Alemania, el comité de empresa debe ser informado y, cuando Vanta habilita supervisión de dispositivos o conductas, consultado bajo el art. 88 RGPD y el derecho laboral nacional. El consentimiento no es necesario para que Vanta funcione, pero la información sí es obligatoria.
Vanta se aloja por defecto en AWS us-west. Para clientes con requisitos estrictos de residencia, se puede seleccionar una región UE (AWS Irlanda o Frankfurt según disponibilidad). Para despliegues en EE. UU. aplican las CCT y Vanta está certificada en el Marco de Privacidad de Datos UE, EE. UU. Realice una Evaluación de Impacto de la Transferencia y documente las medidas técnicas y organizativas (cifrado en tránsito y en reposo, alcances de integración gestionados por el cliente, tokens de auditoría limitados).
Firme el DPA de Vanta, seleccione la región UE cuando sea viable, documente Vanta en su registro, informe a los empleados en la política interna, ajuste cada integración al mínimo necesario (solo lectura, permisos mínimos), restrinja el acceso de administradores con MFA y SSO, realice una EIT para despliegues en EE. UU., realice una EIPD para uso a escala, ajuste la retención de pruebas de formación y políticas a los requisitos de auditoría y revise los cambios de subencargados notificados por Vanta.
Websites using Vanta must obtain user consent under GDPR regulations.
DPIA considerations
Vanta recopila datos extensos mediante más de 200 integraciones: directorio de empleados (nombre, correo, rol, responsable, fechas de incorporación y baja), inventario de dispositivos (portátiles, móviles con datos MDM), metadatos de repositorios (commits, contribuyentes, protecciones de ramas), capturas de configuración cloud (AWS, GCP, Azure), resultados de escaneos de vulnerabilidades, revisiones de acceso, registros de formación completada y atestaciones de políticas firmadas. Consideraciones clave EIPD: (1) Vanta tiene acceso de lectura a muchos sistemas internos, por lo que es un encargado privilegiado; (2) los registros de formación y revisiones de acceso pueden influir en decisiones de RR. HH.; (3) los tokens de integración pueden conceder a Vanta un acceso superior al estrictamente necesario; (4) algunos auditores tienen acceso de solo lectura a su espacio Vanta, creando flujos posteriores; (5) los cambios de subencargados (OpenAI para funciones de IA de Vanta) introducen riesgo adicional de transferencia.
Sample consent text
Su empleador utiliza Vanta para automatizar el cumplimiento y la supervisión de seguridad. Vanta trata su información de cuenta profesional, el inventario de su dispositivo y los registros de formación en seguridad para demostrar la conformidad con estándares como SOC 2 e ISO 27001. Los datos pueden transferirse a servidores de Vanta en Estados Unidos (o a la región UE si su empleador la ha seleccionado). Consulte la política de privacidad interna para empleados.
Third-party domains contacted
vanta.comapp.vanta.comapi.vanta.comcdn.vanta.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _vanta_session | Strictly Necessary | Session | Vanta admin application session cookie used to maintain authenticated state during a login. |
| csrf_token | Strictly Necessary | Session | Cross site request forgery protection token used to prevent unauthorised state changing requests. |
| _vanta_marketing | Marketing | 1 year | Used on the public marketing site at vanta.com (not on customer admin app) to attribute leads and track campaign performance. |
Vanta es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Vanta no es un widget frontal en los sitios web de los clientes y no establece cookies en los visitantes públicos. La aplicación de administración Vanta (app.vanta.com) deposita cookies de sesión y CSRF en su dominio, pero solo para administradores y empleados autenticados, no para visitantes externos.
No, el consentimiento no es la base. Vanta trata datos de empleados por ejecución del contrato (art. 6(1)(b) RGPD) e interés legítimo en seguridad y cumplimiento (art. 6(1)(f)). Los empleados deben ser informados mediante la política interna; en algunas jurisdicciones se requiere consulta al comité de empresa.
Para la identidad de la plantilla y las pruebas de cumplimiento, ejecución del contrato e interés legítimo en seguridad TI y cumplimiento regulatorio. Para la revisión de logs por auditores externos invitados al espacio Vanta, debe documentarse una finalidad adicional e informar a los empleados.
Sí por defecto. Vanta se aloja en AWS us-west por defecto. Hay una región UE disponible para clientes con requisitos de residencia. Para despliegues en EE. UU., las transferencias se basan en CCT y en el Marco de Privacidad de Datos UE, EE. UU., donde Vanta está certificada.
Se recomienda una EIPD cuando Vanta se conecta a numerosos sistemas y agrega datos extensos de empleados, especialmente en sectores regulados. La amplitud de integraciones, la dimensión de supervisión (formación, revisiones de acceso) y cualquier función de IA refuerzan la EIPD del art. 35 RGPD.
Firme el DPA de Vanta, elija la región UE cuando sea viable, realice una EIT para despliegues en EE. UU., documente Vanta en su registro, informe a los empleados en la política interna, ajuste cada integración al mínimo necesario (solo lectura, permisos mínimos), exija MFA y SSO para administradores, realice una EIPD, ajuste la retención de pruebas al calendario de auditorías y revise los cambios de subencargados.
Las alternativas basadas en la UE o híbridas incluyen Drata (EE. UU. con residencia UE disponible), Sprinto (con opciones UE), Secureframe (EE. UU. con residencia UE), Tugboat Logic y, en el lado open source, el ecosistema Open Policy Agent con recopilación de evidencias personalizada. Para residencia UE pura, Drata EU o la automatización interna son las opciones más fuertes.
Indique que Vanta Inc. es el encargado del tratamiento para automatización del cumplimiento, liste las categorías de datos tratados (atributos de cuenta, inventario de dispositivos, registros de formación y políticas, capturas de revisiones de acceso), la base jurídica (ejecución de contrato, interés legítimo), el periodo de retención (según Vanta y su calendario de auditorías), la región de alojamiento (EE. UU. o UE), el mecanismo de transferencia (CCT, Marco de Privacidad de Datos) y cómo ejercer los derechos del RGPD.