Las personas te confían información confidencial, desde retroalimentación de los empleados hasta inquietudes de los clientes y datos sobre su salud. Proteger esa información demuestra respeto por cada persona que responde y fortalece la relación que has construido con tus encuestados. La mayoría de los problemas de seguridad se originan en pequeños descuidos, como compartir accesos o usar contraseñas débiles, por lo que mantener buenas prácticas en el día a día es tan importante como la seguridad de la plataforma para garantizar encuestas seguras.
Hablaremos sobre dos aspectos esenciales: cómo SurveyMonkey protege tus datos y cómo configurar tu cuenta para garantizar la seguridad de las encuestas y las respuestas. Explicaremos cómo funcionan el cifrado, las certificaciones auditadas y la supervisión tras bambalinas. Y te daremos una lista de verificación de 10 pasos para que protejas tu cuenta con SSO/2FA, roles con privilegios mínimos, configuraciones de retención de datos y protección contra bots.
Qué hace SurveyMonkey para proteger tus datos y garantizar encuestas seguras
Los datos personales y las respuestas que recopilas son de tu propiedad. Nuestra tarea es garantizar que siga siendo así, ofreciéndote servicios que te permiten recopilar y analizar tus respuestas. Así es como lo logramos:
- Certificación y cumplimiento: Contamos con la certificación ISO/IEC 27001, lo que significa que nuestro sistema de gestión de seguridad de la información es auditado de forma independiente en relación a un estándar global. Para los planes Enterprise elegibles, ofrecemos configuraciones que cumplen con la ley HIPAA. También cumplimos con los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) en productos relacionados con pagos. Al operar dentro de marcos reconocidos, tu equipo de seguridad puede alinear fácilmente nuestros controles con tus políticas. Encontrarás más información en nuestro resumen de funciones de seguridad y en el Centro de confianza.
- Cifrado en tránsito y en reposo: Protegemos los datos transmitidos entre tu navegador y nuestros servidores mediante TLS, que permite bloquear las escuchas clandestinas. El cifrado AES-256 protege los datos en reposo, por lo que las respuestas almacenadas están cifradas. Esta combinación protege todo el ciclo de vida de los datos. Consulta las secciones de cifrado en la Declaración de seguridad de SurveyMonkey para obtener más información.
- Acceso y autenticación: El acceso interno está estrictamente controlado. Aplicamos el principio de privilegios mínimos, de modo que cada persona solo tiene acceso a lo que necesita. Los administradores deben usar la autenticación multifactor (MFA, por sus siglas en inglés). Revisamos los accesos periódicamente y los eliminamos en cuanto cambian los roles, para reducir los riesgos internos y mantener el acceso auditable.
- Gestión de vulnerabilidades y pruebas: Nuestros sistemas se someten a escaneos continuos de vulnerabilidades, pruebas de penetración internas y externas periódicas y actualizaciones rutinarias. Este enfoque proactivo nos permite detectar y corregir problemas antes de que te afecten.
- Registro, monitoreo y respuesta a incidentes: El registro centralizado y las alertas ayudan a nuestros equipos a detectar conductas sospechosas. Contamos con un plan de respuesta a incidentes probado que detalla los pasos para investigar, contener y notificar a los clientes cuando es necesario. Estamos preparados para actuar de manera rápida y transparente.
- Continuidad y resiliencia empresarial: Las copias de seguridad cifradas y un plan documentado para apoyar la continuidad empresarial garantizan que los servicios y los datos estén disponibles y puedan recuperarse, incluso ante situaciones imprevistas.
Preguntas y respuestas rápidas: ¿SurveyMonkey es seguro?
¿Mis datos están cifrados de extremo a extremo?
Tus datos se cifran en tránsito mediante TLS y en reposo con AES-256. El cifrado real de extremo a extremo (donde el control reside exclusivamente en el emisor y el receptor) inhabilitaría funciones como la colaboración, el análisis y los recordatorios. Nuestro enfoque busca un equilibrio entre una sólida protección de los datos de las encuestas y las capacidades que los equipos necesitan.
¿Dónde se almacenan mis datos y quién puede acceder a ellos?
Los datos se mantienen en entornos seguros y monitoreados, ya sea en nuestros centros de datos en EE. UU. o de la UE, alojados en AWS. El acceso está limitado por roles con privilegios mínimos y se revisa periódicamente. Además, exigimos MFA para el acceso administrativo y revocamos inmediatamente las credenciales cuando hay cambios de función. Estos controles limitan quién puede acceder a qué información y por cuánto tiempo.
¿Cómo se detectan las vulnerabilidades?
Realizamos escaneos continuos, hacemos pruebas de penetración internas y externas periódicamente y aplicamos parches que priorizan la corrección según el nivel de riesgo.
10 formas de conseguir encuestas más seguras en este momento
- Utiliza SSO y 2FA para todos los administradores: Habilita el registro único (SSO, por sus siglas en inglés) y elimina las contraseñas compartidas para bloquear la mayoría de los intentos de relleno de credenciales. Si tu proveedor de identidad lo permite, usa la autenticación de dos factores (2FA, por sus siglas en inglés) para protegerte contra el phishing. Vincula el acceso a funciones con privilegios mínimos, de modo que cada persona solo acceda a lo que necesita, mediante nuestros controles de funciones y permisos de equipos. Esto cierra la brecha de los “empleados que ya no están”: cuando alguien se va, su acceso se suspende automáticamente.
- Deja de compartir inicios de sesión: Compartir credenciales diluye la responsabilidad y complica el proceso de desvinculación. Mejor crea una cuenta de equipo y asigna permisos según las funciones a cada usuario. Si alguien se va, utiliza la función de transferencia de cuenta para conservar las encuestas y los resultados, al tiempo que eliminas sus credenciales.
- Establece una política de retención de datos: Decide el tiempo que quieres conservar la información de identificación personal (PII, por su siglas en inglés) y cuándo anonimizar las respuestas. Programa limpiezas periódicas para que tu base de datos solo contenga lo necesario. Menos datos almacenados significa menos que proteger.
- Minimiza la recopilación de datos: Solicita solo la información que realmente necesitas. Evita recopilar datos confidenciales a menos que sean fundamentales para tu investigación. Esto está en línea con las pautas de los comités de revisión institucional (IRB) y las mejores prácticas académicas para la investigación ética. Obtén más información en nuestra guía para recopilar respuestas anónimas y en la política de recopilación de datos y privacidad, así como en las guías de East Tennessee State University para minimizar datos en encuestas de investigación.
- Configura recopiladores seguros: Utiliza recopiladores solo por invitación cuando sea adecuado. Limita las respuestas múltiples y agrega reglas de limitación para reducir el correo no deseado. Las universidades suelen recomendar estas medidas cuando la identidad es importante y para ayudar a prevenir los abusos. Consulta las guías de la University of Maine y la Ball State University.
- Protégete contra bots y fraudes: Activa CAPTCHA u otras funciones anti-bot cuando estén disponibles. Busca patrones inusuales, como marcas de tiempo idénticas, textos sin sentido o IP duplicadas. Revisa cuidadosamente las respuestas a preguntas abiertas. Aprende cómo ser más astuto que un bot que responde encuestas.
- Restringe las exportaciones: Limita quién puede descargar archivos de datos en bruto. Evita enviar archivos CSV por correo electrónico; en su lugar, comparte los resultados en la plataforma con comentarios.
- Usa contraseñas fuertes y únicas junto con un gestor: Si no es posible usar SSO, exige que los administradores utilicen frases de contraseña únicas y un gestor de contraseñas confiable. Rota las credenciales cuando cambien las funciones o surja un nuevo riesgo.
- Verifica los correos electrónicos asociados a tu cuenta: Revisa tus correos de administrador y recuperación, y mantén actualizados los contactos de seguridad. Esto evita el restablecimiento de cuentas por intrusos, que se pasen por alto alertas o que usuarios no verificados obtengan acceso.
- Capacita a tu equipo y a los encuestados: El phishing sigue siendo un riesgo importante. Enseña a tu equipo a no confiar en enlaces que dirigen a “formularios” falsos. Establece como política no solicitar credenciales ni pagos a través de una encuesta. WIRED explica cómo detectar estafas en encuestas y nosotros compartimos consejos sobre cómo evitar el fraude.
Por qué SurveyMonkey destaca en seguridad
Muchas plataformas destacan el cifrado, el cumplimiento y los controles de acceso. Nosotros nos enfocamos en lo que realmente importa: cómo tú y tu equipo aplican la seguridad cada día.
SurveyMonkey combina controles de nivel empresarial con orientación práctica que ayuda a los equipos a actuar con seguridad desde el primer día. Junto con el cifrado en tránsito y en reposo, el acceso basado en funciones y las certificaciones de cumplimiento, como SOC 2 Tipo II e ISO 27001, te explicamos los pasos a seguir para que esas protecciones sean realmente eficaces en la práctica.
Nuestro enfoque vincula la política con la conducta:
- Orientación clara para administradores sobre cómo configurar SSO, MFA y funciones de privilegios mínimos.
- Recordatorios integrados para gestionar el acceso y la exportación de datos de manera responsable.
- Opciones de retención y protección contra bots que refuerzan la gestión segura de encuestas.
Mientras otros solo te dicen lo que tienen, nosotros te enseñamos a usarlo. Esa es la diferencia entre la seguridad por defecto y la seguridad en acción.
Para organizaciones con mayores necesidades de cumplimiento, también ofrecemos planes compatibles con HIPAA y de Seguridad Empresarial y Protección de Datos (ESDP).
Recursos de seguridad y cumplimiento
- Centro de confianza: Fuente única para declaraciones, preguntas frecuentes y opciones de contacto.
- Funciones de seguridad: Resumen de la seguridad del producto y controles para administradores.
- Autenticación de dos factores: Cómo habilitar 2FA para tu cuenta.
- Cómo evitar fraudes: Cómo detectar y reportar phishing o fraude.
- Conceptos básicos de privacidad: Cómo manejamos los datos personales y tus opciones.
- Privacidad para encuestados: Orientación para compartir e incluir en invitaciones.
Genera confianza duradera mediante la seguridad diaria
SurveyMonkey se encarga de los aspectos más complejos de la seguridad, como certificaciones, cifrado, monitoreo y planes de acción probados, para garantizar la auditoría y confidencialidad de tus datos. Tus propias configuraciones y hábitos determinan esa protección total.
Comienza ahora mismo. Revisa tu configuración de seguridad con la lista de verificación de 10 pasos y luego visita nuestra Declaración de Seguridad para conocer todos los detalles. Si gestionas un equipo grande, contáctanos para conocer las opciones ampliables de seguridad Enterprise. Cuando estés listo, explora cómo configurar equipos y funciones o visita nuestro Centro de confianza para ver cómo protegemos tus datos de extremo a extremo.
