Declaración de Seguridad

ÚLTIMA ACTUALIZACIÓN: 7 DE JULIO DE 2020

Esta Declaración de Seguridad se aplica a todos los productos, los servicios, las páginas web y las aplicaciones que ofrecen SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. y sus filiales (colectivamente, “SurveyMonkey”) y aparecen con las marcas “SurveyMonkey” y “Wufoo”, salvo que se indique lo contrario. En esta Declaración, se hace referencia colectivamente a esos productos, servicios y páginas web como los “Servicios”. Esta Declaración de Seguridad también es parte integral de los acuerdos de usuario celebrados con los clientes de SurveyMonkey y Wufoo.

SurveyMonkey valora la confianza que depositan en él sus clientes al confiarnos la custodia de sus datos. Tomamos muy en serio nuestra responsabilidad de proteger y custodiar su información y procuramos garantizar la total transparencia respecto de nuestras prácticas de seguridad, que se describen más abajo. Asimismo, nuestra Política de Privacidad describe las maneras en que utilizamos sus datos.

Los sistemas de información y la infraestructura técnica de SurveyMonkey se alojan en centros de datos de primera clase, con certificación SOC 2. Los controles físicos de seguridad en nuestros centros de datos incluyen supervisión las 24 horas, los 7 días de la semana, cámaras, registros de visitantes, requisitos de ingreso y jaulas dedicadas para el hardware de SurveyMonkey.

SurveyMonkey, Wufoo y SurveyMonkey Apply cumplen con las Normas de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS 3.2, por sus siglas en inglés) y, por lo tanto, pueden aceptar o procesar información de tarjetas de crédito de forma segura de conformidad con dichas normas. SurveyMonkey renueva esta certificación anualmente. SurveyMonkey ha obtenido la certificación ISO 27001.

Solo se permite acceder a los recursos tecnológicos de SurveyMonkey a través de una conexión segura (p. ej., redes privadas virtuales, Secure SHell), que requiera autenticación multifactor. Nuestra Política de Contraseñas exige que sean complejas, tengan un vencimiento, no se puedan volver a utilizar y bloqueen el acceso de ser necesario. SurveyMonkey otorga acceso solo en los casos necesarios de acuerdo con los parámetros de menores privilegios, revisa los permisos en forma trimestral y revoca el acceso inmediatamente después de la desvinculación de un empleado.

SurveyMonkey revisa y actualiza sus políticas relacionadas con la seguridad de la información, como mínimo en forma anual. Los empleados deben leer y aceptar estas políticas cada año, además de realizar capacitaciones adicionales, por ejemplo, sobre la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA, por la sigla en inglés), codificación segura, normas de la Industria de las Tarjetas de Pago (PCI, por la sigla en inglés) y capacitación en seguridad y desarrollo de competencias específica para cada tarea y en legislación sobre privacidad para funciones clave. El cronograma de capacitación está diseñado para observar todas las especificaciones y reglamentaciones que se aplican a SurveyMonkey.

SurveyMonkey realiza una verificación de antecedentes al contratar a su personal (en la medida en que lo permitan la legislación aplicable y los distintos países). Asimismo, SurveyMonkey informa sus políticas sobre seguridad de la información a todo su personal (que debe aceptarlas), exige que los nuevos empleados firmen acuerdos de confidencialidad y brinda capacitación continua en temas de privacidad y seguridad.

SurveyMonkey también cuenta con una organización especializada de Confianza & y Seguridad, que se centra en la seguridad de las aplicaciones, la red y el sistema. Este equipo también es responsable del cumplimiento y la capacitación en materia de seguridad, al igual que de la respuesta ante incidentes.

SurveyMonkey cuenta con un programa documentado de gestión de la vulnerabilidad que incluye escaneos periódicos, identificación y corrección de las vulnerabilidades de seguridad en los servidores, las estaciones de trabajo, el equipo de red y las aplicaciones. Todas las redes, incluidos los entornos de prueba y producción, se examinan periódicamente a través de proveedores externos de confianza. Se aplican parches críticos a los servidores en función de su prioridad y según resulte apropiado para todos los demás parches.

Además, llevamos a cabo pruebas de penetración internas y externas en forma periódica y realizamos las correcciones necesarias en función de la gravedad de los resultados detectados.

Codificamos sus datos en tránsito mediante protocolos criptográficos Transport Layer Security seguros. Los datos de SurveyMonkey y Wufoo también se codifican cuando están almacenados.

Nuestro equipo de desarrollo utiliza técnicas y mejores prácticas de codificación segura, que se centran en torno a los 10 riesgos principales según el Proyecto Abierto de Seguridad de Aplicaciones. Los desarrolladores reciben capacitación formal en prácticas de desarrollo de aplicaciones web seguras, tanto al momento de su contratación como en forma anual.

Se utilizan entornos de desarrollo, prueba y producción separados. Todos los cambios están sujetos a revisión por parte de colegas del mismo nivel y se registran con fines forenses, de rendimiento y de auditoría antes de implementarlos en el entorno de producción.

SurveyMonkey cuenta con una política de gestión de activos que incluye la identificación, clasificación, conservación y eliminación de la información y los activos. Los dispositivos proporcionados por la empresa están equipados con codificación total del disco rígido y software antivirus actualizado. Solo se permite el acceso de los dispositivos proporcionados por la empresa a las redes corporativas y de producción.

SurveyMonkey cuenta con políticas y procedimientos de respuesta ante incidentes de seguridad que abarcan la respuesta inicial, la investigación y la notificación al cliente (con al menos el mismo nivel de exigencia que el que establece la legislación aplicable), al igual que la comunicación al público y la subsanación de errores. Estas políticas se revisan periódicamente y se evalúan semestralmente.

A pesar de que se hacen los mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es perfectamente seguro. No podemos garantizar una seguridad absoluta. No obstante, en caso de que SurveyMonkey detecte una violación a la seguridad, notificaremos a los usuarios afectados para que puedan tomar las medidas de protección correspondientes. Nuestros procedimientos de notificación de violaciones guardan coherencia con las obligaciones emanadas de la legislación aplicable a cada país, al igual que con las leyes y reglamentaciones estatales y federales y las reglas o normas de la industria en la que operamos. Asumimos el compromiso de mantener plenamente informados a nuestros clientes respecto de todo asunto pertinente a la seguridad de su cuenta, y de proporcionarles la información necesaria para cumplir con sus propias obligaciones de presentación de informes reglamentarios.

En forma rotativa, se realizan copias de seguridad de las bases de datos de SurveyMonkey, con copias de seguridad completas e incrementales, que se verifican en forma periódica. Las copias de seguridad se codifican y se almacenan dentro del entorno de producción a fin de preservar su confidencialidad e integridad. Además, se evalúan periódicamente para garantizar su disponibilidad. Asimismo, SurveyMonkey mantiene un plan formal de continuidad del negocio (BCP, por sus siglas en inglés). El BCP se somete a pruebas y se actualiza periódicamente a fin de asegurar su eficacia si ocurriera un desastre.

Para garantizar la seguridad de sus datos, también es necesario que usted mantenga la seguridad de su cuenta utilizando contraseñas lo suficientemente complejas, que se deben almacenar de manera segura. Además, debe asegurarse de contar con medidas de seguridad suficientes en sus propios sistemas. Ofrecemos cifrado Transport Layer Security para mantener segura la transmisión de las respuestas de las encuestas, pero es su responsabilidad garantizar que ese componente esté habilitado para utilizarse en sus encuestas cuando corresponda. Para obtener más información sobre cómo proteger sus encuestas, visite nuestro Centro de asistencia. Aunque este artículo está destinado a los clientes de SurveyMonkey, algunos de sus lineamientos se aplican de igual manera a nuestros clientes de Wufoo.

Los sistemas de las aplicaciones y la infraestructura registran la información en un repositorio de registro controlado centralmente, que luego es sometido a resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado de SurveyMonkey. Los registros se conservan de conformidad con los requisitos regulatorios. En una medida razonable, proporcionamos asistencia a nuestros clientes, al igual que acceso a los registros en caso de una incidente de seguridad que afecte a su cuenta.