Saltar al contenido principal
Según el artículo 5 del RGPD, los datos personales que recopile deben limitarse a lo necesario para su tratamiento y conservarse solo durante el tiempo necesario. Debe garantizarse una seguridad adecuada durante el tratamiento de los datos, incluida la protección frente al tratamiento no autorizado o ilícito y frente a la pérdida, destrucción o daño accidentales. Existen varias funciones de Auth0 que pueden ayudarle a lograr estos objetivos, como la vinculación de cuentas, el cifrado del perfil del usuario, entre otras.
El contenido de estos documentos no pretende constituir asesoramiento jurídico ni debe considerarse un sustituto de la asistencia legal. La responsabilidad final de comprender y cumplir el RGPD recae en usted, aunque Auth0 le ayudará a cumplir los requisitos del RGPD siempre que sea posible.

Restringir la información del perfil de usuario

Para limitar la cantidad de información personal en el perfil de usuario de Auth0, puede:
  • Minimizar (o evitar) el almacenamiento de información personal en la sección de metadatos del perfil de usuario
  • Si utiliza directorios empresariales, configúrelos para que devuelvan únicamente la información mínima necesaria
  • Si utiliza proveedores sociales, configúrelos para que devuelvan únicamente la información mínima necesaria
  • Incluir en la lista de denegación los atributos de usuario que no quiera conservar en las bases de datos de Auth0

Cifrar la información del perfil de usuario

Puede cifrar la información del usuario antes de guardarla en el perfil de usuario. Puede usar cualquier mecanismo de cifrado que prefiera antes de almacenar datos en los campos de metadatos. Cuando un usuario establezca información confidencial, llame al endpoint Update a User.

Usar la vinculación de cuentas

Cada vez que un usuario usa una conexión para iniciar sesión en tu aplicación, se crea un perfil de usuario si todavía no existe. Ten en cuenta que esto ocurre por cada conexión. Para entenderlo mejor, considera el siguiente escenario. Tu aplicación ofrece tres opciones de registro diferentes:
  • registrarse con correo electrónico/contraseña
  • iniciar sesión con Google
  • iniciar sesión con Facebook
Si un usuario se registra con Google, se creará un perfil de usuario en Auth0. Si ese mismo usuario, cuando regresa, no recuerda con qué se registró y elige iniciar sesión con Facebook, Auth0 creará otro perfil de usuario para ese usuario. Así, ahora tienes dos perfiles para el mismo usuario. Puedes resolver esto con la vinculación de cuentas. Puedes vincular varias cuentas a un único perfil de usuario, independientemente del tipo de conexión (por ejemplo, usuario/contraseña, social o ). Hay dos formas de implementar esto:
  • Vinculación de cuentas iniciada por el usuario: tu aplicación debe proporcionar la interfaz de usuario para que un usuario autenticado pueda vincular sus cuentas manualmente.
  • Vinculación de cuentas sugerida: en este caso, sigues configurando una Rule que vinculará cuentas con la misma dirección de correo electrónico verificada. Sin embargo, en lugar de completar la vinculación automáticamente, tu aplicación primero le pedirá al usuario que vincule sus identidades.

Exportar registros

Puedes exportar los registros de Auth0 y almacenarlos por tu cuenta o enviarlos automáticamente a un servicio externo de registros en Auth0 Marketplace. Esta funcionalidad puede ayudarte a cumplir los requisitos de retención de datos, así como los de análisis de registros.

Exportar registros con la API

Puede usar la para exportar registros y almacenarlos por su cuenta. Hay dos endpoints disponibles, y cada uno proporciona información ligeramente distinta.

Buscar en todos los registros

El endpoint Search Log Events recupera las entradas de registro que coinciden con los criterios de búsqueda que indiques. Si no proporcionas ningún criterio de búsqueda, obtendrás una lista de todas las entradas disponibles. Puedes indicar criterios de búsqueda mediante el parámetro q y recuperar campos específicos mediante el parámetro fields. Para acceder a la API, necesitas un token de la Management API v2. Esta solicitud de ejemplo recupera todos los registros de inicios de sesión exitosos (el acrónimo del evento para un inicio de sesión exitoso es s). La lista de campos que recuperaremos por cada entrada de registro es: date, description, client_id y log_id.

Obtener una entrada de registro individual

El endpoint Get a Log Event by ID recupera la entrada de registro asociada al ID proporcionado. Esta solicitud de ejemplo recupera una entrada de registro individual con el ID 90020180129170850881585554625888895190928456277777449010.

Exportar a un servicio externo

Puede instalar y configurar una de nuestras soluciones de transmisión de registros en Auth0 Marketplace para exportar automáticamente los registros a otro proveedor, como Sumo Logic o Loggly. Para obtener una lista de los proveedores disponibles y los pasos detallados para configurar cada uno, consulte Export Auth0 logs to an external service.

Evite que la información confidencial aparezca en los registros

Debe minimizar cualquier información confidencial contenida en las URL que pueda quedar registrada en los archivos de registro de Auth0. Por ejemplo, considere usar health-site o un nombre similar como dominio en lugar de cancer-treatments. También debe asegurarse de hacer lo siguiente:
  • Analice qué información recopila en el registro y a través de las redes sociales, y si realmente es necesaria para la finalidad de su servicio.
  • Configure los empresariales para controlar qué datos se devuelven a Auth0.
  • Especifique qué datos desea recopilar del proveedor social y acuerde con él cualquier condición específica relacionada con el inicio de sesión social y el uso de los datos que obtendrán sobre el inicio de sesión de sus usuarios.

Más información