Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

Prevención de la
pérdida de datos en
la empresa
Privacidad
El propósito de este documento es proporcionar a los clientes de Palo Alto
Networks la información necesaria para evaluar el impacto de este servicio en
su postura general de privacidad, detallando cómo la información personal
puede ser capturada, procesada y almacenada por y dentro del servicio.

Strata de Palo Alto Networks | Prevención de pérdida de datos en empresas | Hoja 1

de datos
Palo Alto Networks Enterprise Data Loss Prevention (DLP) es un servicio en la nube que analiza
los datos que fluyen a través de varios productos de Palo Alto Networks, ayudando a proporcionar
una protección de datos coherente en toda la organización. Permite a las organizaciones descubrir,
supervisar, controlar y proteger los datos confidenciales, y respalda los esfuerzos de cumplimiento
y protección de datos de una organización de forma simplificada y rentable.

Resumen del producto

DLP se integra con productos de Palo Alto Networks (en adelante, "canales") como SaaS
Security, Prisma® Access, Prisma Cloud Data Security y NGFW para proporcionar seguridad de datos en
varios puntos de aplicación. Los canales envían archivos a DLP a través de API. DLP escanea los
archivos, realiza análisis para detectar información sensible en los archivos para cualquier violación
de la política, y devuelve un veredicto y otros datos al canal. A continuación, el canal utiliza esta
información para tomar medidas correctoras con el fin de proteger los datos confidenciales que
estén en peligro.

Información procesada por DLP

Palo Alto Networks DLP descubre y protege información confidencial en datos en reposo
almacenados en aplicaciones de software como servicio (SaaS), como Microsoft 365™, Google
Workspace, Slack y Box, y en datos en movimiento a través de las redes.
La DLP analiza los archivos en función de patrones de datos predefinidos o definidos por el cliente.
Cada patrón de datos corresponde a un tipo de información que el cliente desea detectar y
proteger. Por ejemplo, existe un patrón de datos para los números de la Seguridad Social
estadounidense y otro para los números de tarjetas de crédito. También hay clasificadores basados
en el aprendizaje automático que se utilizan para determinar si los archivos contienen otros tipos
de datos sensibles.
Los veredictos se utilizan para tomar medidas correctoras por canal.
La DLP analiza los archivos para detectar infracciones de las políticas habilitadas por el cliente. Por
ejemplo, si el cliente desea proteger los números de tarjetas de crédito frente a pérdidas o
filtraciones, la DLP analizará los archivos comparándolos con el patrón de datos de tarjetas de crédito
y proporcionará visibilidad, así como veredictos procesables. Los resultados de estos análisis se
ponen a disposición del cliente a través de las funciones de generación de informes que ofrece la
interfaz de usuario de cada canal. Los resultados, denominados "fragmentos", se facilitan al
administrador que los solicite a través de la interfaz de usuario del canal. Para determinados canales, el
administrador del cliente puede configurar la información que se muestra en el fragmento.
Los registros generados por DLP en todos los canales muestran información que incluye, entre otras
cosas, las infracciones de las políticas, los metadatos de los archivos y los resúmenes de las
evaluaciones de riesgos.

Finalidad de la información tratada por DLP

El objetivo del tratamiento de la información mediante DLP es detectar información sensible, como
números de la Seguridad Social, documentos nacionales de identidad, números de tarjetas de
crédito, etc., y evitar, en la medida de lo posible, que esos datos sean exfiltrados. Para más detalles,
consulte la documentación técnica en la sección Recursos al final de este documento.

Cómo aborda la DLP la protección de datos de la UE

El tratamiento de datos personales para garantizar la seguridad de la red y de la información, incluso a
través de un procesador de datos basado en la nube, está ampliamente reconocido como un "interés
legítimo" y se menciona específicamente como tal en el Reglamento General de Protección de Datos
de la UE:
(49) El tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para
garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema de
información para resistir, con un determinado nivel de confianza, accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los
datos personales almacenados o transmitidos, así como la seguridad de los servicios conexos ofrecidos por

Strata de Palo Alto Networks | Prevención de pérdida de datos en empresas | Hoja 2

de datos
dichas redes y sistemas o accesibles a través de ellos, por las autoridades públicas, los equipos de respuesta
a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT),
los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y
servicios de seguridad, constituye un interés legítimo del responsable del tratamiento de que se trate.
Cuando un proveedor de servicios, como Palo Alto Networks, procesa datos personales para
garantizar la seguridad de los datos, se trata de un interés legítimo del proveedor de servicios y de
sus clientes, que proporciona una base para el procesamiento.

Strata de Palo Alto Networks | Prevención de pérdida de datos en empresas | Hoja 3

de datos
de datos personales por parte de Palo Alto Networks en virtud de las leyes de protección de datos de la UE.
Por lo general, este interés legítimo también proporciona una base para que los clientes escaneen
datos personales en la nube o supervisen el tráfico de red para detectar la exposición de datos
sensibles, de conformidad con los requisitos de privacidad o normativos.

Cómo cumple Palo Alto Networks las normas de

protección de datos
Palo Alto Networks se compromete a proteger los datos personales procesados por DLP. Los datos
almacenados o procesados por los sistemas de Palo Alto Networks están protegidos con tecnologías
de vanguardia, y Palo Alto Networks aplica rigurosos controles de seguridad técnicos y organizativos.
Como Palo Alto Networks es una empresa multinacional, en algunos casos puede ser necesario
compartir información con las oficinas de Palo Alto Networks en otras regiones. Lo haremos de
conformidad con los requisitos aplicables para la transferencia de datos personales, incluidas las
Cláusulas Contractuales Tipo de la UE aprobadas por la Comisión Europea u otros instrumentos legales
para la transferencia de datos personales, previstos en la ley de protección de datos de la UE.

Subprocesadores
DLP utiliza Amazon Web Services (AWS®) y Google Cloud Platform (GCP®) para el alojamiento, y
Mon- goDB® Atlas para la gestión de la configuración. Los registros y fragmentos de DLP se
almacenan en la misma región seleccionada por el cliente para el canal con el que se integra DLP.
Las configuraciones se almacenan de forma centralizada.

Opciones de privacidad
Los administradores de sistemas de los clientes pueden configurar qué usuarios pueden estar
autorizados a ver datos y registros a través de la interfaz de usuario del canal correspondiente.

Acceso a los datos

Acceso de clientes
Los usuarios clientes pueden ver fragmentos y registros a través de la interfaz de usuario de cada canal.

Acceso a Palo Alto Networks

A los datos almacenados en la instancia de DLP del cliente sólo puede acceder el administrador del
cliente o los usuarios autorizados por el administrador a través del canal que DLP está protegiendo.
Cuando se abre un caso de asistencia, se puede solicitar el acceso a los datos para solucionar
problemas y mejorar la eficacia de las protecciones de seguridad. Además, Palo Alto Networks aplica
una política de confidencialidad para mantener la privacidad y proteger la confidencialidad.

Retención
Dependiendo del canal, DLP puede almacenar fragmentos y registros además de configuraciones.
La política de retención de datos para fragmentos y registros es la siguiente:
• Seguridad SaaS: SaaS Security almacena los metadatos sobre el patrón de datos (es decir, cuántas
violaciones contiene el archivo). Cuando el cliente solicita fragmentos a través de la interfaz de
usuario, el archivo se localiza en la nube del proveedor de SaaS y se analiza de nuevo en busca de
contenido sensible. Los fragmentos recién generados se almacenan en SaaS Security durante un
periodo de 30 días.
• Prisma Cloud Data Security, Prisma Access y NGFWs: Los snippets y logs se almacenan en DLP
durante un periodo de 90 días. El contenido sensible se enmascara por defecto, pero esto es
configurable. Los clientes tienen la posibilidad de desactivar por completo la función de
fragmentos, en cuyo caso no se almacenan datos de fragmentos.
Al expirar la licencia DLP y de canal, los datos permanecerán disponibles para el acceso de los
clientes durante 90 días, tras los cuales se eliminarán.

Strata de Palo Alto Networks | Prevención de pérdida de datos en empresas | Hoja 4

de datos
Seguridad
Palo Alto Networks aplica rigurosos controles de seguridad técnicos y organizativos. Los datos en
tránsito del canal al servicio DLP se cifran mediante TLS. Los datos almacenados en MongoDB Atlas
se cifran en reposo. Palo Alto Networks ha obtenido la certificación SOC 2 Tipo II e ISO 27001 para
DLP para demostrar sus sólidas políticas de seguridad y su entorno de controles internos.

Recursos
• Página de recursos DLP
• Documentación sobre DLP
• Hojas de datos de privacidad de productos de Palo Alto Networks

Recogida Tratamiento/al Acceso/transf Archivo/destruc

de macenamiento de erencia de ción de información
informació la información información
n

Interfaz de
Cliente

seguridad
SaaS
Nube Aplicacione
pública s SaaS para
del clientes Panorama/
cliente NGFW UI

Interfaz
de
usuario
de
Prisma
Access

Interfaz de
usuario de
Palo Alto Networks

NGFW
Prisma Cloud

VM- Atención
Nube Serie Acceso Seguri al cliente
Prism Prisma dad
a SaaS Equipo de
I+D (según
DLP sea
necesario)

DLP
DLP política de
retención

Leyend Fichero para análisis Datos de registros, configuraciones y fragmentos,

(pueden ser datos en
a movimiento procedentes del
tráfico de red)
incluidos metadatos de archivos (por ejemplo,
usuario que creó, accedió, modificó el archivo);
fechas de carga/edición (sujeto a la
disponibilidad de dichos datos de la fuente de
origen).

Figura 1: Diagrama de flujo de datos

Acerca de esta ficha técnica

La información proporcionada con este documento que se refiere a temas técnicos o profesionales
es sólo para conocimiento general, puede estar sujeta a cambios y no constituye asesoramiento
jurídico o profesional, ni garantía de idoneidad para un fin determinado o de cumplimiento de la
legislación aplicable.

Principal: +1.408.753.4000
3000 Tannery Way
Ventas: +1.866.320.4788
Santa Clara, CA 95054
Soporte técnico:
+1.866.898.9087 2021 Palo Alto Networks, Inc. Palo Alto Networks es una marca
registrada de Palo Alto Networks. Encontrará una lista de nuestras
www.paloaltonetworks.com
marcas comerciales en
https://www.paloaltonetworks.com/company/trademarks.html. Todas las
demás marcas mencionadas en este documento pueden ser marcas
comerciales de sus respectivas empresas. strata_ds_dlp-privacy_110821