Declaración de Seguridad

ÚLTIMA ACTUALIZACIÓN: 1.° de agosto de 2023

Esta Declaración de seguridad se aplica a todos los productos, los servicios, las páginas web y las aplicaciones que ofrecen SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. y sus filiales (colectivamente, “SurveyMonkey”) y aparecen con las marcas “Momentive”, “SurveyMonkey”, “Wufoo” y “GetFeedback”, salvo que se indique lo contrario. Nos referimos colectivamente a esos productos, servicios, sitios web y aplicaciones como los “Servicios” en esta Declaración. Esta Declaración de seguridad también es parte integral de los acuerdos de usuario celebrados con los clientes de SurveyMonkey y Wufoo.

SurveyMonkey valora la confianza que depositan en ella sus clientes al confiarnos la custodia de sus datos. Tomamos muy en serio nuestra responsabilidad de proteger y custodiar tu información y procuramos garantizar la total transparencia respecto a nuestras prácticas de seguridad, que se describen más abajo. Asimismo, nuestro Aviso de privacidad describe las maneras en que utilizamos tus datos.

Los sistemas de información y la infraestructura técnica de SurveyMonkey se alojan en centros de datos de primera clase, con certificación SOC 2. Los controles físicos de seguridad en estos centros de datos incluyen supervisión las 24 horas, los 7 días de la semana, cámaras, registros de visitantes, límites de ingreso y todo lo que se espera de una instalación de procesamiento de datos de alta seguridad.

SurveyMonkey ha implementado prácticas de gobernanza, gestión de riesgos y cumplimiento que se alinean con los marcos de seguridad de la información más reconocidos en todo el mundo. SurveyMonkey ha obtenido la certificación ISO 27001. Además, el producto SurveyMonkey Enterprise cumple con la HIPAA, y nuestros productos SurveyMonkey, Wufoo y SurveyMonkey Apply cuentan con la certificación de los estándares de protección de datos (PCI DSS 3.2) de la industria de tarjetas de pago.

Solo se permite acceder a los recursos tecnológicos de SurveyMonkey a través de una conexión segura (p. ej., redes privadas virtuales, Secure SHell), que requiera autenticación multifactor. Nuestra Política de Contraseñas exige que sean complejas, tengan un vencimiento, no se puedan volver a utilizar y bloqueen el acceso de ser necesario. SurveyMonkey otorga acceso solo en los casos necesarios de acuerdo con los parámetros de menores privilegios, revisa los permisos en forma trimestral y revoca el acceso inmediatamente después de la desvinculación de un empleado.

SurveyMonkey revisa y actualiza sus políticas relacionadas con la seguridad de la información, como mínimo en forma anual. Los empleados deben leer y aceptar estas políticas cada año, además de realizar capacitaciones adicionales pertinentes para sus funciones. La capacitación está diseñada para observar todas las especificaciones y reglamentaciones que se aplican a SurveyMonkey.

SurveyMonkey realiza una verificación de antecedentes al contratar a su personal (en la medida en que lo permitan la legislación aplicable y los distintos países). Asimismo, SurveyMonkey informa sus políticas sobre seguridad de la información a todo su personal (que debe aceptarlas), exige que los nuevos empleados firmen acuerdos de confidencialidad y brinda capacitación continua en temas de privacidad y seguridad.

SurveyMonkey cuenta con una organización especializada de Confianza y Seguridad, que se centra en la seguridad de las aplicaciones, la nube, la red y el sistema. Este equipo también es responsable del cumplimiento y la capacitación en materia de seguridad, al igual que de la respuesta ante incidentes.

SurveyMonkey cuenta con un programa documentado de gestión de la vulnerabilidad que incluye escaneos periódicos, identificación y corrección de las vulnerabilidades de seguridad en los servidores, las estaciones de trabajo, el equipo de red y las aplicaciones. Todas las redes, incluidos los entornos de prueba y producción, se examinan periódicamente a través de proveedores externos de confianza. Se aplican parches críticos a los servidores en función de su prioridad y según resulte apropiado para todos los demás parches.

Además, llevamos a cabo pruebas de penetración internas y externas en forma periódica y realizamos las correcciones necesarias en función de la gravedad de los resultados detectados.

SurveyMonkey cifra todos los datos almacenados en nuestros centros de datos mediante cifrado basado en AES 256. Además, SurveyMonkey cifra todos los datos en movimiento utilizando (i) RSA con certificados basados en claves de 2048 bits generados a través de una autoridad certificadora pública, para comunicaciones con entidades fuera de los centros de datos de SurveyMonkey, y (ii) certificados RSA 256 generados a través de una autoridad certificadora interna, para todos los datos dentro del centro de datos.

Nuestro equipo de desarrollo utiliza técnicas y mejores prácticas de codificación segura, que se centran en torno a los 10 riesgos principales según el Proyecto Abierto de Seguridad de Aplicaciones. Los desarrolladores reciben capacitación formal en prácticas de desarrollo de aplicaciones web seguras, tanto al momento de su contratación como en forma anual.

Se utilizan entornos de desarrollo, prueba y producción separados. Todos los cambios están sujetos a revisión por parte de colegas del mismo nivel y se registran con fines forenses, de rendimiento y de auditoría antes de implementarlos en el entorno de producción.

SurveyMonkey cuenta con una política de gestión de activos que incluye la identificación, clasificación, conservación y eliminación de la información y los activos. Los dispositivos proporcionados por la empresa están equipados con codificación total del disco rígido y software antivirus actualizado. Solo se permite el acceso de los dispositivos proporcionados por la empresa a las redes corporativas y de producción.

SurveyMonkey cuenta con un proceso de respuesta ante incidentes de seguridad que abarca la respuesta inicial, la investigación y la notificación al cliente (con al menos el mismo nivel de exigencia que el que establece la legislación aplicable), al igual que la comunicación al público y la subsanación de errores. Este proceso se revisa periódicamente y se evalúa semestralmente.

A pesar de que se hacen los mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es perfectamente seguro. No podemos garantizar una seguridad absoluta. No obstante, en caso de que SurveyMonkey detecte una violación a la seguridad, notificaremos a los usuarios afectados para que puedan tomar las medidas de protección correspondientes. Nuestros procedimientos de notificación de violaciones guardan coherencia con las obligaciones emanadas de la legislación aplicable a cada país, al igual que con las leyes y reglamentaciones estatales y federales y las reglas o normas de la industria en la que operamos. Asumimos el compromiso de mantener plenamente informados a nuestros clientes respecto de todo asunto pertinente a la seguridad de su cuenta, y de proporcionarles la información necesaria para cumplir con sus propias obligaciones de presentación de informes reglamentarios.

Las copias de seguridad se codifican y se almacenan dentro del entorno de producción a fin de proteger su confidencialidad e integridad. SurveyMonkey tiene una estrategia de copias de seguridad para garantizar que el tiempo de inactividad y la pérdida de datos sean mínimos. El Plan de continuidad del negocio (BCP, por sus siglas en inglés) se somete a pruebas y se actualiza periódicamente a fin de asegurar su eficacia si ocurriera un desastre.

Para garantizar la seguridad de sus datos, también es necesario que usted mantenga la seguridad de su cuenta utilizando contraseñas lo suficientemente complejas, que se deben almacenar de manera segura. Además, debe asegurarse de contar con medidas de seguridad suficientes en sus propios sistemas. Ofrecemos cifrado Transport Layer Security (TLS) para mantener segura la transmisión de las respuestas de las encuestas, pero es su responsabilidad garantizar que ese componente esté habilitado para utilizarse en sus encuestas cuando corresponda. Para obtener más información sobre cómo proteger sus encuestas, visite nuestro Centro de asistencia.

Los sistemas de las aplicaciones y la infraestructura registran la información en un repositorio de registro controlado centralmente, que luego es sometido a resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado de SurveyMonkey. Los registros se conservan de conformidad con los requisitos regulatorios. En una medida razonable, proporcionamos asistencia a nuestros clientes, al igual que acceso a los registros en caso de una incidente de seguridad que afecte a su cuenta.