Explicación de los controles de soberanía del sector público de la Unión Europea

Introducción

Este documento explica cómo Zoom ayuda a las instituciones del sector público de la Unión Europea (UE) a satisfacer sus estrictas necesidades de privacidad y seguridad de datos.

Zoom respalda los requisitos únicos de cumplimiento y controles de soberanía del sector público de la UE

La plataforma de Zoom respalda la creciente importancia de las necesidades de control de soberanía en toda la Unión Europea. Las organizaciones del sector público de la UE requieren sistemas de comunicación seguros, conformes y fiables capaces de ayudarles a cumplir las normativas sectoriales y regionales. Zoom entiende que las organizaciones del sector público requieren soluciones que les ayuden a gestionar las crecientes obligaciones de prácticas responsables de tratamiento de datos, al tiempo que permiten sistemas de comunicación fiables y fáciles de administrar.

Zoom se compromete a ayudar a los clientes del sector público a satisfacer sus necesidades mediante una variedad de servicios, soluciones y herramientas, incluida infraestructura alojada en la UE, marcos flexibles de implementación híbrida, opciones de cifrado administradas por el cliente y políticas transparentes de tratamiento de datos. A través del uso de estas ofertas, los equipos de TI del sector público pueden mejorar su supervisión y control del almacenamiento, procesamiento y acceso a sus datos en la plataforma de Zoom.

Para obtener información sobre Zoom y la ley del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, consulte nuestra documentación del Centro de confianza.

Un marco de tres capas permite a las organizaciones administrar sus datos mediante infraestructura, cifrado y alojamiento híbrido según sus políticas

El marco de tres capas de Zoom está diseñado para ofrecer a las organizaciones del sector público un control mejorado sobre sus datos y comunicaciones:

• Capa de plataforma: Zoom ofrece una infraestructura dedicada de la UE para alojar sus servicios en centros de datos de la UE.

• Capa de cifrado: Las organizaciones pueden administrar sus propias claves de cifrado mediante configuraciones de Clave administrada por el cliente (CMK) o Conserve su propia clave (HYOK).

• Capa de contenido: Las organizaciones pueden instalar Zoom Node para alojar reuniones, chat y grabaciones en su propio entorno de TI.

El marco de tres capas ofrece cuatro beneficios clave para el sector público

Las organizaciones del sector público, incluidas escuelas, hospitales y organismos gubernamentales, pueden manejar datos regulados cada día durante sus flujos de trabajo diarios de comunicación y colaboración. Estas instituciones deben seguir las normas locales y de toda la UE para mantener los datos seguros, privados y accesibles solo para el personal autorizado.

El enfoque de Zoom para las organizaciones del sector público ofrece los siguientes beneficios:

• Residencia de datos: Mantener ciertos datos física y lógicamente dentro de la UE.

• Control criptográfico: Permitir que la organización administre el acceso y sea propietaria de sus claves de cifrado.

• Resiliencia: Ayudar a garantizar que las comunicaciones puedan continuar incluso durante cortes o problemas de red.

• Transparencia: Proporcionar información sobre los flujos de datos. ¿Cómo y cuándo se accede a los datos? ¿Quién accedió a qué y por qué?

Zoom ayuda a las instituciones públicas a cumplir estos objetivos con infraestructura configurable, políticas detalladas y sólidas protecciones de privacidad.

Compatibilidad con el cumplimiento del RGPD sin desarrollo personalizado

Zoom ofrece compatibilidad con el cumplimiento del RGPD al incorporar sus requisitos en sus servicios principales, ofrecer compromisos contractuales mediante su Anexo sobre tratamiento de datos e implementar salvaguardas técnicas. Para todos los clientes que buscan alineación con el RGPD, Zoom mantiene medidas de seguridad adecuadas, proporciona una herramienta de Solicitud de acceso del interesado (DSAR) de autoservicio y ofrece transparencia sobre las prácticas de tratamiento de datos, al tiempo que ofrece opciones para transferencias internacionales de datos mediante mecanismos como el Marco de privacidad de datos UE-EE. UU. y las Cláusulas contractuales tipo.

Para las organizaciones del sector público de la UE en sanidad, educación, gobierno e industrias reguladas que buscan un enfoque más gestionado para el cumplimiento del RGPD, el marco de tres capas disponible de Zoom en los niveles de plataforma, cifrado y contenido puede mejorar aún más las operaciones alineadas con el RGPD en toda la Unión Europea sin requerir código personalizado ni un desarrollo complicado.

Infraestructura

Zoom proporciona la infraestructura y los controles que ayudan a las organizaciones del sector público a gestionar los estrictos requisitos de la UE en materia de privacidad de datos, seguridad y resiliencia del servicio.

La infraestructura basada en la UE mantiene ciertos datos dentro de las fronteras europeas

Para los clientes de la Unión Europea (UE) que prefieren no transferir datos personales —incluidos los datos de contenido, cuenta, diagnóstico, soporte y datos del sitio web con acceso restringido— a EE. UU., Zoom proporciona una infraestructura dedicada, conocida como la infraestructura de Zoom EU. Esta infraestructura aloja cuentas para clientes de educación y empresas de la UE y actualmente admite una amplia selección de productos de Zoom, incluidos Meetings, Webinar, Chat, Zoom Phone, Zoom Contact Center y más.

Zoom proporciona a los clientes alojados en la infraestructura regional de Zoom EU la capacidad de almacenar y procesar datos dentro de la región. Zoom no transfiere ni accede a datos fuera de esta infraestructura, salvo que exista un acuerdo previo con un cliente, o cuando se apliquen excepciones específicas, incluidas las exigidas por la legislación aplicable, por motivos de confianza y seguridad, y para proporcionar notificaciones del servicio y habilitar los servicios. Para obtener información más detallada, consulte nuestra hoja informativa de la infraestructura de Zoom EU.

Funciones de identidad, acceso y privacidad

Zoom incluye capacidades estándar de gestión de identidad y acceso que se integran con los sistemas organizativos existentes.

Autenticación y autorización estándar

Zoom proporciona una integración de identidad empresarial típica mediante Inicio de sesión único (SSO) con proveedores compatibles con SAML 2.0, aprovisionamiento SCIM 2.0 para la gestión automatizada de usuarios y Control de acceso basado en roles (RBAC) con roles y permisos personalizables. Estas funciones se integran con Proveedores de identidad (IdP) regionales proporcionados por el cliente, que son administrados y alojados por el cliente o por el proveedor de IdP elegido, y se conectan a la infraestructura de la UE de Zoom mediante SAML 2.0.

Controles de privacidad y datos integrados

La plataforma incluye funciones estándar de privacidad desde el diseño alineadas con los requisitos del RGPD:

• minimización de datos mediante identificadores seudonimizados en los registros del sistema

• controles administrativos de datos para establecer períodos de retención y procesar solicitudes de eliminación

• registro de acceso para la supervisión de seguridad y las pistas de auditoría

• acceso con privilegio mínimo y basado en roles controles para el acceso de Zoom a los datos y contenidos del cliente

Propiedad organizativa de los datos

Al igual que con otras plataformas empresariales, las organizaciones mantienen el control sobre los ciclos de vida de usuarios y contenidos, y Zoom proporciona la infraestructura técnica para respaldar las políticas internas y los requisitos normativos, como el cumplimiento del artículo 17 del RGPD.

Zoom Node

Para un mayor control sobre sus datos, considere Zoom Node. Esta plataforma híbrida le permite ejecutar cargas de trabajo de Zoom Workplace, incluida la enrutación de medios, el almacenamiento de chat, la grabación y el acceso web, directamente en su propio entorno. Zoom Node es perfecto para clientes que necesitan localización de medios, mejor gestión de datos de contenido o operaciones ininterrumpidas, todo ello manteniendo la familiar experiencia de Zoom. Para obtener más información sobre los conceptos de Zoom Node, consulte la Explicación de Zoom Node.

En esencia, Zoom Node funciona como una máquina virtual (VM) que ejecuta el SO de Zoom Node. Zoom Node permite el alojamiento local de determinados servicios de Zoom mediante componentes de servicio modulares y contiene:

• SO de Zoom Node: la capa operativa principal que rige los módulos contenedorizados. Gestiona la comunicación, la orquestación del ciclo de vida y la administración de recursos.

• Módulos de servicio: componentes funcionales independientes (por ejemplo, Reunión, Grabación, Chat) implementados en contenedores aislados dentro de la VM.

Esta estructura modular permite a los clientes ejecutar solo los servicios que necesitan, simplificando la administración y optimizando el uso de recursos.

Zoom Node ofrece control y flexibilidad, al tiempo que mantiene una experiencia de usuario de Zoom fluida. Entre las ventajas de Zoom Node se incluyen:

• Modularidad: Implemente solo los servicios que necesita.

• Localización: Procesamiento y retención local de medios para reuniones y seminarios web.

• Preparación para el futuro: Compatible con futuros servicios híbridos (Zoom Chat, Zoom Phone).

Zoom Node admite la implementación modular de servicios principales como reuniones, grabaciones, chat, acceso mediante navegador y conectividad de sala

Estos son los módulos actualmente disponibles para Zoom Node:

• Módulo híbrido de reuniones: Ejecuta los servidores de reuniones de Zoom localmente para mantener el control de los flujos de audio, vídeo y contenido.

  • Pasarela de acceso web: Una pasarela web que permite a los usuarios de Zoom que se unen mediante el navegador unirse a una reunión privada alojada en Meetings Hybrid, sin necesidad de acceder a la nube de Zoom

• Módulo híbrido de grabación: Almacene las grabaciones de reuniones on-premises en lugar de dentro de la nube de Zoom.

  • Servicio de transmisión de contenido: Un servicio intermediario de transmisión de vídeo para grabaciones de Zoom Meeting y seminarios web, almacenado en reposo en el almacenamiento de archivos de red del cliente. Este servicio proporcionará al anfitrión de la reunión acceso a la reproducción, descarga y redistribución de la grabación a través del portal web de Zoom, que refleja el flujo de trabajo de las grabaciones almacenadas dentro de la nube de Zoom.

• Módulo híbrido de chat: Almacena y gestiona el contenido interno del chat dentro de su propio entorno.

• Supervivencia de la reunión: Conmutación por error local en caso de interrupción de la nube.

• Interoperabilidad híbrida de salas: Conecte sistemas de sala basados en estándares a las reuniones de Zoom con la solución Hybrid Room Interoperability.

Las configuraciones híbridas respaldan las políticas organizativas del cliente relacionadas con el control de datos y la recuperación ante desastres, al tiempo que mantienen la funcionalidad principal de la aplicación Zoom Workplace. Consulte nuestra página dedicada página de descripción general de Zoom Node para conocer las últimas novedades sobre los distintos módulos.

Para obtener información sobre la implementación, consulte la Guía de campo de implementación de Zoom Node.

Zoom Node se administra a través de una interfaz en la nube que admite la activación de módulos, la supervisión del rendimiento, las actualizaciones de software y el registro

Los administradores pueden administrar Zoom Node a través de una consola centralizada. Esta consola les permite:

• Habilitar o deshabilitar módulos específicos

• Supervisar el estado del servicio y el rendimiento de la red

• Aplicar actualizaciones en un calendario controlado

• Revisar la configuración de seguridad y los registros de acceso

Cifrado

Zoom admite herramientas avanzadas de cifrado, incluida la Clave administrada por el cliente (CMK), que ofrecen a las organizaciones un control mejorado sobre cómo se protegen sus datos. Zoom ofrece múltiples opciones para proteger las comunicaciones sensibles, incluida la plena propiedad de las claves de cifrado.

La Clave administrada por el cliente (CMK) permite a las instituciones administrar y auditar sus propias claves de cifrado con servicios de confianza o sistemas internos

Zoom CMK se integra con proveedores populares de servicio de gestión de claves (KMS), como:

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (a través de AWS External Key Store)

También puede alojar su propio módulo de seguridad de hardware (HSM), como Thales Luna HSM, para proporcionar control de las claves de cifrado y evitar la dependencia de sistemas externos con sede en EE. UU., ofreciendo una solución HYOK (Conserve su propia clave) completa.

CMK puede cifrar muchos tipos de contenido confidencial de Zoom

CMK puede cifrar muchos tipos de contenido confidencial de Zoom, incluidos:

• Grabaciones de reuniones y seminarios web (audio, vídeo, chat)

• Transcripciones (excepto la búsqueda indexada)

• Mensajes de correo de voz y grabaciones de llamadas

• tokens de acceso de calendario

• tokens de integración de Microsoft Teams

• Mensajes y archivos de chat

• Pizarras

• Contenido generado por funciones de AI Companion

Para las organizaciones que requieren que determinados datos, como los mensajes de chat, no sean descifrados por la nube de Zoom, Zoom ofrece el módulo híbrido de Zoom CMK. El uso de Zoom CMK Hybrid permite a las organizaciones generar y administrar sus propias claves de datos para su uso con cifrado del lado del cliente dentro de su perímetro de seguridad utilizando una clave administrada por el cliente independiente.

Consulte el artículo de soporte de Zoom Contenido protegido por la Clave administrada por el cliente para ver la lista actual.

El cifrado de extremo a extremo (E2EE) está diseñado para que solo los participantes puedan acceder a los medios durante las reuniones o llamadas

Existen controles de seguridad adicionales para que los clientes protejan sus reuniones. Zoom proporciona cifrado de extremo a extremo opcional (E2EE) que puede habilitarse en las aplicaciones de escritorio o móviles de Workplace para:

• Llamadas de Zoom Phone uno a uno dentro de la cuenta

• Zoom Meetings con hasta 1.000 participantes

E2EE para Zoom Meetings utiliza el mismo método de cifrado AES-GCM de 256 bits que admite el cifrado estándar y mejorado. Cuando está habilitado, el sistema de Zoom está diseñado para que las claves criptográficas solo sean conocidas por los dispositivos de los participantes de la reunión. Esto hace que terceros, incluido Zoom, no tengan acceso a las claves privadas de la reunión.

Además, Zoom ha introducido E2EE poscuántico (PQ E2EE) para Zoom Workplace, específicamente para el soporte de Zoom Meetings, Zoom Phone y Zoom Rooms. El lanzamiento de la nueva mejora de seguridad convierte a Zoom en la primera empresa de Comunicaciones unificadas como servicio (UCaaS) en ofrecer una solución E2EE poscuántica para videoconferencias. El cifrado de extremo a extremo poscuántico (PQ E2EE) ofrece la misma propiedad de seguridad que el cifrado de extremo a extremo (E2EE): solo los participantes de la reunión, ni siquiera el servidor de Zoom, tienen acceso a las claves utilizadas para cifrar la reunión. A diferencia del cifrado de extremo a extremo, PQ E2EE está diseñado para resistir la amenaza de un adversario que puede capturar tráfico de red cifrado y que espera adquirir un ordenador cuántico en el futuro y usarlo para descifrar los datos capturados.

Los clientes interesados en estas funciones adicionales de cifrado pueden habilitar E2EE. Sin embargo, hay requisitos previos y limitaciones que deben tenerse en cuenta.

Requisitos del cliente: E2EE requiere que todos los participantes de la reunión se unan desde la aplicación de escritorio de Zoom Workplace, la aplicación móvil o una Zoom Room.

Limitaciones de la función: Habilitar E2EE es incompatible con ciertas funciones, entre ellas:

• Grabación en la nube para Zoom Meetings

• Grabación automática de llamadas para Zoom Phone

• Funciones de AI Companion

• Chat continuo de la reunión

• Funciones adicionales enumeradas en nuestra documentación de soporte

Consulte nuestros artículos de soporte sobre Zoom Phone y Zoom Meetings para obtener todos los detalles sobre limitaciones, dependencias e implementación.

Opciones de cifrado a nivel de cliente para mejorar la seguridad de Zoom Chat

Zoom Chat ofrece múltiples opciones de cifrado más allá del cifrado estándar, cada una diseñada para diferentes requisitos de seguridad y estructuras organizativas.

Cifrado estándar de chat (predeterminado)

De forma predeterminada, Zoom cifra los mensajes de chat en tránsito mediante TLS y en reposo mediante cifrado AES-256 con claves administradas por Zoom. Esto proporciona una seguridad básica para la mayoría de las necesidades organizativas.

Cifrado avanzado de chat (ACE)

ACE utiliza claves generadas y almacenadas en el dispositivo para cifrar los mensajes entre los participantes del chat, con protección TLS adicional en tránsito. Las claves se generan y operan en los dispositivos de los participantes del chat, lo que proporciona una privacidad mejorada pero limita la funcionalidad cuando los participantes no están en línea al mismo tiempo.

Cifrado avanzado de chat CMK (ACCE)

ACCE utiliza claves administradas por el cliente a través del servicio CMK de Zoom, pero las claves se generan y protegen en la nube de Zoom. Esta opción proporciona control de claves por parte del cliente al tiempo que mantiene una mejor compatibilidad entre cuentas que las soluciones basadas en dispositivos.

Cifrado de chat híbrido CSE de CMK del lado del cliente

CSE utiliza claves administradas por el cliente generadas y almacenadas on-premises a través de la infraestructura CMK Hybrid. Esto proporciona el nivel más alto de control del cliente sobre las claves de cifrado, ya que nunca residen en el entorno de nube de Zoom.

Diferencias clave

• ACE: Claves generadas en el dispositivo, solo mensajería dentro de la cuenta

• ACCE: Claves del cliente en la nube de Zoom, funciona entre cuentas

• CSE: Claves del cliente on-premises, mensajería dentro de la cuenta con ACCE como alternativa para comunicaciones externas

Requisitos

• ACE: Cuentas de pago, activación por parte del administrador

• ACCE: Zoom Enterprise Plus (o superior) o licencia de complementos CMK

• CSE: Licencias Zoom Enterprise Plus o CMK Hybrid (con un mínimo de dos licencias CMK Hybrid y dos servidores para tolerancia a fallos)

Limitaciones importantes

Todas las opciones de cifrado avanzado restringen la funcionalidad del chat, incluyendo:

• Funciones de AI Companion

• edición y traducción de mensajes

• GIF animados y vistas previas de enlaces

• Archivado de mensajes con proveedores externos

• Integración continua del chat de la reunión

Notas de disponibilidad

• CSE solo está disponible para clientes de CMK Hybrid con infraestructura de gestión de claves on-premises

• ACCE sirve como protocolo alternativo para cuentas habilitadas con CSE cuando se comunican con contactos externos

• Las organizaciones deben evaluar si la seguridad mejorada justifica las limitaciones de la función, ya que el cifrado estándar puede respaldar suficientemente los marcos de cumplimiento normativo

Un proceso de conexión seguro admite la asignación regional de servidores y el cumplimiento de los datos

Tanto si usa la aplicación Zoom Workplace, se une a reuniones o accede al portal web de Zoom a través de su navegador, las reuniones de Zoom están diseñadas para cifrar los datos del cliente en tránsito mediante métodos de confianza cuando se comunican con el portal web de Zoom o con los servicios de la plataforma en la nube de Zoom. Esto incluye el proceso de conexión y los medios en tiempo real en tránsito (vídeo, audio y contenido compartido durante la reunión).

Cuando un usuario inicia una reunión de Zoom o una llamada de Zoom Phone:

1. La aplicación Zoom Workplace primero se comunica con el servicio global de búsqueda de Zoom mediante cifrado TLS 1.2 o TLS 1.3.

2. Los metadatos de búsqueda, incluida la geolocalización de IP y la información del dispositivo, se envían por HTTPS (puerto 443) con cifrado TLS 1.2 o superior.

3. Según la ubicación y la disponibilidad, la aplicación se dirige al controlador de zona de Zoom y al nodo de medios regional óptimos.

4. La aplicación Zoom Workplace prueba la conectividad con cada nodo y establece sesiones de medios cifradas (vídeo, audio, contenido) mediante:

   1. UDP (preferido, puerto 8801) con cifrado AES-256-GCM

   2. TCP (alternativa, puerto 8801) con cifrado AES-256-GCM

   3. TCP (alternativa secundaria, puerto 443) con cifrado TLS 1.2 o TLS 1.3

Puede encontrar más detalles sobre el diseño de cifrado de Zoom, que utiliza métodos de cifrado estándar del sector para los datos en tránsito y en reposo, en nuestro libro blanco sobre cifrado de Zoom. Para validar las prácticas de seguridad de Zoom, consulte nuestras atestaciones y certificaciones disponibles visitando nuestro Centro de confianza de Zoom.