Explicación de los controles de soberanía del sector público de la Unión Europea

Introducción

Este documento explica cómo Zoom ayuda a las instituciones del sector público en la Unión Europea (UE) a abordar sus estrictas necesidades de privacidad y seguridad de los datos.

Zoom admite los requisitos únicos de cumplimiento y controles de soberanía del sector público de la UE

La plataforma Zoom respalda la creciente importancia de las necesidades de control de soberanía en toda la Unión Europea. Las organizaciones del sector público de la UE requieren sistemas de comunicación seguros, conformes y fiables que puedan ayudarles a cumplir las normativas sectoriales y regionales. Zoom entiende que las organizaciones del sector público necesitan soluciones que les ayuden a gestionar las crecientes obligaciones de prácticas responsables de manejo de datos, al tiempo que permiten sistemas de comunicación fiables y fáciles de gestionar.

Zoom se compromete a ayudar a los clientes del sector público a satisfacer sus necesidades a través de una variedad de servicios, soluciones y herramientas que incluyen infraestructura alojada en la UE, marcos de implementación híbridos flexibles, opciones de cifrado gestionadas por el cliente y políticas transparentes de manejo de datos. Mediante el uso de estas ofertas, los equipos de TI del sector público pueden mejorar su supervisión y control sobre el almacenamiento, procesamiento y acceso a sus datos en la plataforma Zoom.

Para obtener información sobre Zoom y la Ley de Protección de Datos de la Unión Europea (GDPR), consulte nuestro documentación del Centro de confianza.

Un marco de tres capas permite a las organizaciones gestionar sus datos mediante infraestructura, cifrado y alojamiento híbrido de acuerdo con sus políticas

El marco de tres capas de Zoom está diseñado para ofrecer a las organizaciones del sector público un mayor control sobre sus datos y comunicaciones:

• Capa de plataforma: Zoom ofrece una infraestructura dedicada en la UE para alojar sus servicios en centros de datos de la UE.

• Capa de cifrado: Las organizaciones pueden gestionar sus propias claves de cifrado utilizando configuraciones de Customer Managed Key (CMK) o Hold‑Your‑Own‑Key (HYOK).

• Capa de contenido: Las organizaciones pueden instalar Zoom Node para alojar reuniones, chat y grabaciones en su propio entorno de TI.

El marco de tres capas proporciona cuatro beneficios clave para el sector público

Las organizaciones del sector público, incluidas escuelas, hospitales y agencias gubernamentales, pueden manejar datos regulados cada día durante sus flujos de trabajo diarios de comunicación y colaboración. Estas instituciones deben seguir las normas locales y de toda la UE para mantener los datos seguros, privados y accesibles únicamente al personal autorizado.

El enfoque de Zoom para las organizaciones del sector público ofrece los siguientes beneficios:

• Residencia de datos: Mantener ciertos datos física y lógicamente dentro de la UE.

• Control criptográfico: Permitir que la organización gestione el acceso y sea propietaria de sus claves de cifrado.

• Resiliencia: Ayudar a garantizar que las comunicaciones puedan continuar incluso durante cortes o problemas de red.

• Transparencia: Proporcionar visibilidad sobre los flujos de datos. ¿Cómo y cuándo se accede a los datos? ¿Quién accedió a qué y por qué?

Zoom ayuda a las instituciones públicas a alcanzar estos objetivos con infraestructura configurable, políticas detalladas y sólidas protecciones de privacidad.

Soporte para el cumplimiento del RGPD sin desarrollo personalizado

Zoom ofrece soporte para el cumplimiento del RGPD incorporando sus requisitos en sus servicios principales, ofreciendo compromisos contractuales a través de su Adenda de tratamiento de datos (Data Processing Addendum) e implementando salvaguardas técnicas. Para todos los clientes que buscan alinearse con el RGPD, Zoom mantiene medidas de seguridad apropiadas, proporciona una herramienta de autoservicio para Solicitudes de Acceso del Interesado (DSAR) y ofrece transparencia sobre las prácticas de tratamiento de datos, al tiempo que proporciona opciones para transferencias internacionales de datos mediante mecanismos como el Marco de Privacidad de Datos UE‑EE. UU. y las Cláusulas Contractuales Estándar.

Para las organizaciones del sector público de la UE en atención sanitaria, educación, gobierno e industrias reguladas que buscan un enfoque más gestionado para el cumplimiento del RGPD, el marco de tres capas disponible de Zoom a nivel de plataforma, cifrado y contenido puede mejorar aún más las operaciones alineadas con el RGPD en toda la Unión Europea sin requerir código personalizado o desarrollos complicados.

Infraestructura

Zoom proporciona la infraestructura y los controles que ayudan a las organizaciones del sector público a gestionar los estrictos requisitos de la UE en materia de privacidad de datos, seguridad y resiliencia del servicio.

La infraestructura con base en la UE mantiene ciertos datos dentro de las fronteras europeas

Para los clientes de la Unión Europea (UE) que prefieran no transferir datos personales —incluido el contenido, la cuenta, datos de diagnóstico, soporte y datos del sitio web de acceso restringido— a los EE. UU., Zoom proporciona una infraestructura dedicada, conocida como la Infraestructura de Zoom en la UE. Esta infraestructura aloja cuentas para clientes de Educación y Empresa de la UE y actualmente admite una amplia selección de productos de Zoom, incluidos Meetings, Webinar, Team Chat, Zoom Phone, Zoom Contact Center y más.

Zoom ofrece a los clientes alojados en la Infraestructura regional de Zoom en la UE la capacidad de almacenar y procesar datos dentro de la región. Zoom no transfiere ni accede a datos fuera de esta infraestructura a menos que exista un acuerdo previo con un cliente o cuando se apliquen excepciones específicas, incluidas las exigidas por la ley aplicable, para fines de confianza y seguridad, y para proporcionar notificaciones de servicio y habilitar los servicios. Para obtener información más detallada, consulte nuestro Ficha informativa de la Infraestructura de Zoom en la UE.

Funciones de identidad, acceso y privacidad

Zoom incluye capacidades estándar de gestión de identidad y acceso que se integran con los sistemas organizativos existentes.

Autenticación y autorización estándar

Zoom ofrece la típica integración de identidad empresarial mediante Inicio de sesión único (SSO) con proveedores compatibles con SAML 2.0, aprovisionamiento SCIM 2.0 para la gestión automatizada de usuarios y Control de acceso basado en roles (RBAC) con roles y permisos personalizables. Estas funciones se integran con los proveedores de identidad regionales (IdP) proporcionados por el cliente, que son gestionados y alojados por el cliente o por su proveedor de IdP elegido, y se conectan con la infraestructura de Zoom en la UE mediante SAML 2.0.

Controles de privacidad y datos integrados

La plataforma incluye funciones estándar de privacidad desde el diseño alineadas con los requisitos del RGPD:

• Minimización de datos mediante identificadores p seudonimizados en los registros del sistema

• Controles administrativos de datos para establecer periodos de retención y procesar solicitudes de eliminación

• Registro de accesos para la supervisión de seguridad y las pistas de auditoría

• Acceso de mínimo privilegio y basado en roles controles para el acceso de Zoom a los datos y contenido del cliente

Propiedad organizativa de los datos

Como con otras plataformas empresariales, las organizaciones mantienen el control sobre los ciclos de vida de usuarios y contenidos, con Zoom proporcionando la infraestructura técnica para respaldar las políticas internas y los requisitos regulatorios como el cumplimiento del artículo 17 del RGPD.

Nodo de Zoom

Para aumentar el control sobre sus datos, considere Zoom Node. Esta plataforma híbrida le permite ejecutar cargas de trabajo de Zoom Workplace, incluido el enrutamiento de medios, almacenamiento de chat, grabación y acceso web, directamente dentro de su propio entorno. Zoom Node es perfecto para clientes que necesitan localización de medios, mejor gestión de datos de contenido u operaciones ininterrumpidas, todo ello manteniendo la experiencia familiar de Zoom. Para más información sobre los conceptos de Zoom Node, consulte el Explicación de Zoom Node.

En su núcleo, Zoom Node funciona como una máquina virtual (VM) que ejecuta el Sistema operativo Zoom Node. Zoom Node permite el alojamiento local de servicios selectos de Zoom mediante componentes de servicio modulares y contiene:

• Sistema operativo Zoom Node: La capa operativa central que gobierna los módulos en contenedores. Gestiona la comunicación, la orquestación del ciclo de vida y la gestión de recursos.

• Módulos de servicio: Componentes funcionales independientes (p. ej., Reunión, Grabación, Chat) desplegados en contenedores aislados dentro de la VM.

Esta estructura modular permite a los clientes ejecutar solo los servicios que requieren, simplificando la gestión y optimizando el uso de recursos.

Zoom Node ofrece control y flexibilidad mientras mantiene una experiencia de usuario de Zoom fluida. Los beneficios de Zoom Node incluyen:

• Modularidad: Implemente únicamente los servicios que necesite.

• Localización: Procesamiento y retención de medios locales para reuniones y seminarios web.

• Preparado para el futuro: Compatible con futuros servicios híbridos (Zoom Chat, Zoom Phone).

Zoom Node admite el despliegue modular de servicios centrales como reuniones, grabaciones, chat, acceso por navegador y conectividad de salas

Estos son los módulos actualmente disponibles para Zoom Node:

• Módulo híbrido de reuniones: Ejecuta servidores de reuniones de Zoom localmente para mantener el control de las transmisiones de audio, vídeo y contenido.

  • Gateway de acceso web: Un gateway web que permite a los usuarios de Zoom que se unen mediante el navegador conectarse a una reunión privada alojada en Meetings Hybrid, sin la necesidad de acceder a la nube de Zoom

• Módulo híbrido de grabación: Almacene las grabaciones de las reuniones en las instalaciones en lugar de en la nube de Zoom.

  • Servicio de transmisión de contenido: Un servicio intermediario de transmisión de vídeo para las grabaciones de reuniones y seminarios web de Zoom, almacenadas en reposo en el almacenamiento de archivos de red del cliente. Este servicio proporcionará al anfitrión de la reunión acceso a la reproducción, descarga y redistribución de la grabación a través del portal web de Zoom, que refleja el flujo de trabajo para las grabaciones almacenadas en la nube de Zoom.

• Módulo híbrido de chat de equipo: Almacena y gestiona el contenido de chat interno dentro de su propio entorno.

• Supervivencia de reuniones: Conmutación por error local en caso de interrupción de la nube.

• Interoperabilidad híbrida de salas: Conecte sistemas de sala basados en estándares a las reuniones de Zoom con la solución de interoperabilidad híbrida de salas.

Las configuraciones híbridas admiten las políticas organizativas del cliente relacionadas con el control de datos y la recuperación ante desastres, al tiempo que mantienen la funcionalidad central de la aplicación Zoom Workplace. Consulte nuestra página de descripción general de Zoom Node para lo último sobre los distintos módulos.

Para información de implementación, consulte la Guía de despliegue de Zoom Node.

Zoom Node se gestiona a través de una interfaz en la nube que admite la activación de módulos, supervisión del rendimiento, actualizaciones de software y registro

Los administradores pueden gestionar Zoom Node mediante una consola centralizada. Esta consola les permite:

• Habilitar o deshabilitar módulos específicos

• Supervisar la salud del servicio y el rendimiento de la red

• Aplicar actualizaciones en un calendario controlado

• Revisar la configuración de seguridad y los registros de acceso

Cifrado

Zoom admite herramientas avanzadas de cifrado, incluida Customer Managed Key (CMK), que brindan a las organizaciones un mayor control sobre cómo se protegen sus datos. Zoom ofrece múltiples opciones para proteger las comunicaciones sensibles, incluida la propiedad completa de las claves de cifrado.

Customer Managed Key (CMK) permite a las instituciones gestionar y auditar sus propias claves de cifrado con servicios de confianza o sistemas internos

Zoom CMK se integra con proveedores populares de servicios de gestión de claves (KMS), como:

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (a través de AWS External Key Store)

También puede alojar su propio Módulo de Seguridad de Hardware (HSM), como Thales Luna HSM, para proporcionar control de las claves de cifrado y evitar la dependencia de sistemas externos con base en EE. UU., proporcionando una solución HYOK (Hold‑Your‑Own‑Key) completa.

CMK puede cifrar muchos tipos de contenido sensible de Zoom

CMK puede cifrar muchos tipos de contenido sensible de Zoom, incluidos:

• Grabaciones de reuniones y seminarios web (audio, vídeo, chat)

• Transcripciones (excluida la búsqueda indexada)

• Mensajes de correo de voz y grabaciones de llamadas

• Tokens de acceso al calendario

• Tokens de integración con Microsoft Teams

• Mensajes y archivos de Team Chat

• Pizarras

• Contenido generado por funciones de AI Companion

Para organizaciones que requieren que ciertos datos, como los mensajes de Team Chat, no sean descifrados por la nube de Zoom, Zoom ofrece el módulo híbrido Zoom CMK. El uso de Zoom CMK Hybrid permite a las organizaciones generar y gestionar sus propias claves de datos para su uso con el cifrado del lado del cliente dentro de su perímetro de seguridad utilizando una clave gestionada por el cliente separada.

Consulte el artículo de soporte de Zoom Contenido protegido por Customer Managed Key para la lista actual.

El cifrado de extremo a extremo (E2EE) está diseñado para que solo los participantes puedan acceder a los medios durante reuniones o llamadas

Existen controles de seguridad adicionales para que los clientes aseguren sus reuniones. Zoom ofrece cifrado de extremo a extremo opcional (E2EE) que puede habilitarse en las aplicaciones de Zoom Workplace para escritorio o móvil para:

• Llamadas de Zoom Phone uno a uno dentro de la misma cuenta

• Reuniones de Zoom con hasta 1 000 participantes

E2EE para Zoom Meetings utiliza el mismo método de cifrado AES‑GCM de 256 bits que admite el cifrado estándar y mejorado. Cuando está habilitado, el sistema de Zoom está diseñado para que las claves criptográficas sean conocidas únicamente por los dispositivos de los participantes de la reunión. Esto hace que terceros, incluida la propia Zoom, no tengan acceso a las claves privadas de la reunión.

Además, Zoom ha introducido E2EE poscuántico (PQ E2EE) para Zoom Workplace, específicamente para el soporte de Zoom Meetings, Zoom Phone y Zoom Rooms. El lanzamiento de esta nueva mejora de seguridad convierte a Zoom en la primera compañía de Comunicaciones Unificadas como Servicio (UCaaS) en ofrecer una solución de E2EE poscuántica para videoconferencias. El cifrado de extremo a extremo poscuántico (PQ E2EE) ofrece la misma propiedad de seguridad que el cifrado de extremo a extremo (E2EE): solo los participantes de la reunión, y ni siquiera el servidor de Zoom, tienen acceso a las claves utilizadas para cifrar la reunión. A diferencia del cifrado de extremo a extremo, PQ E2EE está diseñado para resistir la amenaza de un adversario que pueda capturar tráfico de red cifrado y que espere adquirir en el futuro un ordenador cuántico para usarlo con el fin de descifrar los datos capturados.

Los clientes interesados en estas funciones de cifrado adicionales pueden habilitar E2EE. Sin embargo, existen prerrequisitos y limitaciones a tener en cuenta.

Requisitos del cliente: E2EE requiere que todos los participantes de la reunión se unan desde la aplicación de Zoom Workplace para escritorio, la aplicación móvil o una Zoom Room.

Limitaciones de la función: La habilitación de E2EE es incompatible con ciertas funciones, incluidas:

• Grabación en la nube para Zoom Meetings

• Grabación automática de llamadas para Zoom Phone

• Funciones de AI Companion

• Chat continuo de la reunión

• Funciones adicionales indicadas en nuestra documentación de soporte

Consulte nuestros artículos de soporte para Zoom Phone como Zoom Meetings para obtener detalles completos sobre limitaciones, dependencias e implementación.

Opciones de cifrado a nivel de cliente para una mayor seguridad de Zoom Team Chat

Zoom Team Chat ofrece múltiples opciones de cifrado más allá del cifrado estándar, cada una diseñada para diferentes requisitos de seguridad y estructuras organizativas.

Cifrado estándar de Team Chat (predeterminado)

Por defecto, Zoom cifra los mensajes de Team Chat en tránsito utilizando TLS y en reposo utilizando cifrado AES‑256 con claves gestionadas por Zoom. Esto proporciona seguridad básica para la mayoría de las necesidades organizativas.

Cifrado avanzado de chat (ACE)

ACE utiliza claves generadas y almacenadas en el dispositivo para cifrar los mensajes entre los participantes del chat, con protección TLS adicional en tránsito. Las claves se generan y operan en los dispositivos de los participantes del chat, proporcionando mayor privacidad pero limitando la funcionalidad cuando los participantes no están en línea simultáneamente.

Cifrado avanzado de chat con CMK (ACCE)

ACCE utiliza claves gestionadas por el cliente a través del servicio CMK de Zoom, pero las claves se generan y aseguran en la nube de Zoom. Esta opción proporciona control de las claves por parte del cliente manteniendo mejor compatibilidad entre cuentas que las soluciones basadas en dispositivos.

Cifrado híbrido de chat con CMK en el lado del cliente (CSE)

CSE utiliza claves gestionadas por el cliente generadas y almacenadas in situ mediante la infraestructura CMK Hybrid. Esto proporciona el nivel más alto de control por parte del cliente sobre las claves de cifrado, ya que nunca residen en el entorno en la nube de Zoom.

Diferencias clave

• ACE: Claves generadas por el dispositivo, mensajería solo intra‑cuenta

• ACCE: Claves del cliente en la nube de Zoom, funciona entre cuentas

• CSE: Claves del cliente en las instalaciones, mensajería intra‑cuenta con conmutación a ACCE para comunicaciones externas

Requisitos

• ACE: Cuentas de pago, habilitación por el administrador

• ACCE: Zoom Enterprise Plus (o superior) o licencia adicional CMK

• CSE: Zoom Enterprise Plus o licencias CMK Hybrid (con un mínimo de dos licencias CMK Hybrid y dos servidores para tolerancia a fallos)

Limitaciones importantes

Todas las opciones de cifrado avanzado restringen la funcionalidad de Team Chat, incluidas:

• Funciones de AI Companion

• Edición y traducción de mensajes

• GIF animados y vistas previas de enlaces

• Archivado de mensajes con proveedores de terceros

• Integración de chat continuo de reuniones

Notas de disponibilidad

• CSE solo está disponible para clientes CMK Hybrid con infraestructura de gestión de claves on‑premises

• ACCE sirve como protocolo de conmutación para las cuentas habilitadas con CSE al comunicarse con contactos externos

• Las organizaciones deben evaluar si la mayor seguridad justifica las limitaciones de funciones, ya que el cifrado estándar puede ser suficiente para respaldar marcos de cumplimiento normativo

Un proceso de conexión seguro admite la asignación regional de servidores y el cumplimiento de datos

Ya sea que utilice la aplicación Zoom Workplace, se una a reuniones o acceda al portal web de Zoom a través de su navegador, Zoom Meetings está diseñado para cifrar los datos del cliente en tránsito utilizando métodos fiables al comunicarse con el portal web de Zoom o los servicios en la Plataforma en la nube de Zoom. Esto incluye el proceso de conexión y los medios en tiempo real en tránsito (vídeo, audio y contenido compartido durante la reunión).

Cuando un usuario inicia una reunión de Zoom o una llamada de Zoom Phone:

1. La aplicación Zoom Workplace primero contacta con el Servicio global de búsqueda (Lookup Service) de Zoom usando cifrado TLS 1.2 o TLS 1.3.

2. Los metadatos de búsqueda, incluida la geolocalización IP y la información del dispositivo, se envían a través de HTTPS (puerto 443) con cifrado TLS 1.2 o superior.

3. Según la ubicación y la disponibilidad, la aplicación es dirigida al Controlador de zona (Zoom Zone Controller) óptimo y al nodo de medios regional.

4. La aplicación Zoom Workplace prueba la conectividad con cada nodo y establece sesiones de medios cifradas (vídeo, audio, contenido) a través de:

   1. UDP (preferido, puerto 8801) con cifrado AES‑256‑GCM

   2. TCP (respaldo, puerto 8801) con cifrado AES‑256‑GCM

   3. TCP (respaldo secundario, puerto 443) con cifrado TLS 1.2 o TLS 1.3

Más detalles sobre el diseño de cifrado de Zoom utilizando métodos de cifrado estándar de la industria para los datos en tránsito y en reposo se pueden encontrar en nuestro Libro blanco de cifrado de Zoom. Para la validación de las prácticas de seguridad de Zoom, consulte nuestras atestaciones y certificaciones disponibles visitando nuestro Centro de confianza de Zoom.