Declaración de Seguridad

ÚLTIMA ACTUALIZACIÓN: 1 de julio de 2021

Esta Declaración de Seguridad se aplica a todos los productos, los servicios, las páginas web y las aplicaciones que ofrecen Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Ltda. y sus filiales (colectivamente, “Momentive”) y aparecen con las marcas “Momentive”, “SurveyMonkey”, “Wufoo” y “GetFeedback”, salvo que se indique lo contrario. En esta Declaración, se hace referencia colectivamente a esos productos, servicios, páginas web y aplicaciones como los “Servicios”. Esta Declaración de Seguridad también es parte integral de los acuerdos de usuario celebrados con los clientes de SurveyMonkey y Wufoo.

Momentive valora la confianza que depositan en él sus clientes al confiarnos la custodia de sus datos. Tomamos muy en serio nuestra responsabilidad de proteger y custodiar su información y procuramos garantizar la total transparencia respecto de nuestras prácticas de seguridad, que se describen más abajo. Asimismo, nuestro Aviso de privacidad describe las maneras en que utilizamos sus datos.

Los sistemas de información y la infraestructura técnica de Momentive se alojan en centros de datos de primera clase, con certificación SOC 2. Los controles físicos de seguridad en estos centros de datos incluyen supervisión las 24 horas, los 7 días de la semana, cámaras, registros de visitantes, límites de ingreso y todo lo que se espera de una instalación de procesamiento de datos de alta seguridad.

Momentive ha implementado prácticas de gobernanza, gestión de riesgos y cumplimiento que se alinean con los marcos de seguridad de la información más reconocidos en todo el mundo. Momentive ha obtenido la certificación ISO 27001. Además, el producto SurveyMonkey Enterprise cumple con la HIPAA, y nuestros productos SurveyMonkey, Wufoo y SurveyMonkey Apply cuentan con la certificación de los estándares de protección de datos (PCI DSS 3.2) de la industria de tarjetas de pago.

Solo se permite acceder a los recursos tecnológicos de Momentive a través de una conexión segura (p. ej., redes privadas virtuales, Secure SHell), que requiera autenticación multifactor. Nuestra Política de Contraseñas exige que sean complejas, tengan un vencimiento, no se puedan volver a utilizar y bloqueen el acceso de ser necesario. Momentive otorga acceso solo en los casos necesarios de acuerdo con los parámetros de menores privilegios, revisa los permisos en forma trimestral y revoca el acceso inmediatamente después de la desvinculación de un empleado.

Momentive revisa y actualiza sus políticas relacionadas con la seguridad de la información, como mínimo en forma anual. Los empleados deben leer y aceptar estas políticas cada año, además de realizar capacitaciones adicionales pertinentes para sus funciones. La capacitación está diseñada para observar todas las especificaciones y reglamentaciones que se aplican a Momentive.

Momentive realiza una verificación de antecedentes al contratar a su personal (en la medida en que lo permitan la legislación aplicable y los distintos países). Asimismo, Momentive informa sus políticas sobre seguridad de la información a todo su personal (que debe aceptarlas), exige que los nuevos empleados firmen acuerdos de confidencialidad y brinda capacitación continua en temas de privacidad y seguridad.

Momentive cuenta con una organización especializada de Confianza y Seguridad, que se centra en la seguridad de las aplicaciones, la nube, la red y el sistema. Este equipo también es responsable del cumplimiento y la capacitación en materia de seguridad, al igual que de la respuesta ante incidentes.

Momentive cuenta con un programa documentado de gestión de la vulnerabilidad que incluye escaneos periódicos, identificación y corrección de las vulnerabilidades de seguridad en los servidores, las estaciones de trabajo, el equipo de red y las aplicaciones. Todas las redes, incluidos los entornos de prueba y producción, se examinan periódicamente a través de proveedores externos de confianza. Se aplican parches críticos a los servidores en función de su prioridad y según resulte apropiado para todos los demás parches.

Además, llevamos a cabo pruebas de penetración internas y externas en forma periódica y realizamos las correcciones necesarias en función de la gravedad de los resultados detectados.

Momentive cifra todos los datos almacenados en nuestros centros de datos mediante cifrado basado en AES 256. Además, Momentive cifra todos los datos en movimiento utilizando (i) RSA con certificados basados en claves de 2048 bits generados a través de una autoridad certificadora pública, para comunicaciones con entidades fuera de los centros de datos de Momentive, y (ii) certificados RSA 256 generados a través de una autoridad certificadora interna, para todos los datos dentro del centro de datos.

Nuestro equipo de desarrollo utiliza técnicas y mejores prácticas de codificación segura, que se centran en torno a los 10 riesgos principales según el Proyecto Abierto de Seguridad de Aplicaciones. Los desarrolladores reciben capacitación formal en prácticas de desarrollo de aplicaciones web seguras, tanto al momento de su contratación como en forma anual.

Se utilizan entornos de desarrollo, prueba y producción separados. Todos los cambios están sujetos a revisión por parte de colegas del mismo nivel y se registran con fines forenses, de rendimiento y de auditoría antes de implementarlos en el entorno de producción.

Momentive cuenta con una política de administración de activos que incluye la identificación, clasificación, conservación y eliminación de la información y los activos. Los dispositivos proporcionados por la empresa están equipados con codificación total del disco rígido y software antivirus actualizado. Solo se permite el acceso de los dispositivos proporcionados por la empresa a las redes corporativas y de producción.

Momentive cuenta con un proceso de respuesta ante incidentes de seguridad que abarca la respuesta inicial, la investigación y la notificación al cliente (con al menos el mismo nivel de exigencia que el que establece la legislación aplicable), al igual que la comunicación al público y la subsanación de errores. Este proceso se revisa periódicamente.

A pesar de que se hacen los mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es perfectamente seguro. No podemos garantizar una seguridad absoluta. No obstante, en caso de que Momentive detecte una violación a la seguridad, notificaremos a los usuarios afectados para que puedan tomar las medidas de protección correspondientes. Nuestros procedimientos de notificación de violaciones guardan coherencia con las obligaciones emanadas de la legislación aplicable a cada país, al igual que con las leyes y reglamentaciones estatales y federales y las reglas o normas de la industria en la que operamos. Asumimos el compromiso de mantener plenamente informados a nuestros clientes respecto de todo asunto pertinente a la seguridad de su cuenta, y de proporcionarles la información necesaria para cumplir con sus propias obligaciones de presentación de informes reglamentarios.

Las copias de seguridad se codifican y se almacenan dentro del entorno de producción a fin de preservar su confidencialidad e integridad. Momentive tiene una estrategia de copias de seguridad para garantizar que el tiempo de inactividad y la pérdida de datos sean mínimos. El plan de continuidad del negocio (BCP, por sus siglas en inglés) se somete a pruebas y se actualiza periódicamente a fin de asegurar su eficacia si ocurriera un desastre.

Para garantizar la seguridad de sus datos, también es necesario que usted mantenga la seguridad de su cuenta utilizando contraseñas lo suficientemente complejas, que se deben almacenar de manera segura. Además, debe asegurarse de contar con medidas de seguridad suficientes en sus propios sistemas. Ofrecemos cifrado Transport Layer Security para mantener segura la transmisión de las respuestas de las encuestas, pero es su responsabilidad garantizar que ese componente esté habilitado para utilizarse en sus encuestas cuando corresponda. Para obtener más información sobre cómo proteger sus encuestas, visite nuestro Centro de asistencia.

Los sistemas de las aplicaciones y la infraestructura registran la información en un repositorio de registro controlado centralmente, que luego es sometido a resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado de Momentive. Los registros se conservan de conformidad con los requisitos regulatorios. En una medida razonable, proporcionamos asistencia a nuestros clientes, al igual que acceso a los registros en caso de un incidente de seguridad que afecte a su cuenta.