Política de seguridad

Millones de usuarios confían en SurveyMonkey para depositar los datos de sus encuestas. Para nosotros, la seguridad y la privacidad de nuestros usuarios es uno de los principales aspectos. Nos esforzamos constantemente para garantizar la seguridad de los datos de los usuarios y solo recopilamos los datos personales necesarios para proporcionarles a nuestros usuarios un servicio eficiente y efectivo.

SurveyMonkey utiliza una de las tecnologías más avanzadas para la seguridad en Internet que está disponible en el comercio hoy en día. El objetivo de la presente Declaración de seguridad es brindar transparencia en cuenta a la infraestructura y las prácticas de seguridad, a fin de que usted se quede tranquilo y sepa que sus datos están bien protegidos.

Aplicación y seguridad de los usuarios

  • Cifrado SSL/TLS:  los usuarios pueden decidir si desean recopilar las respuestas de sus encuestas por medio de conexiones seguras y con un cifrado SSL/TLS. El resto de las comunicaciones con el sitio web surveymonkey.com se envía por medio de conexiones SSL/TLS. Las tecnologías de capa de sockets seguros (SSL) y seguridad de la capa de transporte (TLS) (la tecnología que precedió a SSL) protegen las comunicaciones por medio del uso de autenticaciones de servidores y cifrado de datos. De esta manera, se garantiza que los datos del usuario en tránsito estén seguros y disponibles solo para los destinatarios correspondientes.
  • Autenticación de usuarios:  los datos de los usuarios incluidos en nuestra base de datos se clasifican en función de reglas de acceso basadas en la cuenta. Las cuentas de usuario tienen nombres de usuario y contraseñas únicos que deben ingresarse cada vez que el usuario inicia sesión. SurveyMonkey emite una cookie de sesión solo para registrar la información de autenticación cifrada mientras dure la sesión específica. La cookie de sesión no incluye la contraseña del usuario.
  • Contraseñas de usuarios:  las contraseñas de aplicación de los usuarios deben cumplir con ciertos requisitos de complejidad. Las contraseñas se clasifican y se revisan en forma individual.
  • Cifrado de datos:  ciertos datos confidenciales del usuario, como la información de la tarjeta de crédito y las contraseñas de las cuentas, se almacenan en un formato cifrado.
  • Portabilidad de datos:  SurveyMonkey le permite descargar los datos de nuestro sistema en distintos formatos, para poder hacer una copia de respaldo o utilizarlos con otras aplicaciones.
  • Privacidad:  hemos implementado una política de privacidad integral en la que se muestra con claridad cómo administramos los datos, incluido el uso de los datos, con quién los compartimos y durante cuánto tiempo los conservamos.
  • HIPAA:  funciones de seguridad mejoradas para cuentas habilitadas por la HIPAA.

Seguridad física

  • Centros de datos:  la infraestructura de los sistemas de información (servidores, equipos de red, etc.) se coloca en centros de datos auditados SSAE 16/SOC 2 de terceros. Somos propietarios y manejamos todos los equipos ubicados en dichos centros de datos.
  • Seguridad del centro de datos:  nuestros centros de datos cuentan con personal y vigilancia las 24 horas, los 7 días de la semana. El acceso se encuentra vigilado por guardias de seguridad y para ingresar es necesario completar el registro de visitas. Además, se aplican ciertos requisitos para el ingreso, como tarjetas de acceso y reconocimiento biométrico. Nuestros equipos están ubicados dentro de estructuras cerradas y trabadas.
  • Controles ambientales:  nuestro centro de datos se mantiene a temperaturas controladas y dentro de rangos de humedad que se supervisan en forma constante para detectar cualquier tipo de variación. Hay sistemas de detección de humo e incendios, y sistemas de respuesta ante emergencias en funcionamiento.
  • Ubicación:  la totalidad de los datos de los usuarios se almacena en servidores ubicados en los Estados Unidos y Luxemburgo.

Disponibilidad

  • Conectividad:  contamos con conexiones de red IP totalmente redundantes, con conexiones independientes a una amplia gama de proveedores de acceso a Internet de nivel 1.
  • Suministro eléctrico:  los servidores cuentan con suministros eléctricos internos y externos redundantes. El centro de datos cuenta con equipos eléctricos de respaldo y puede extraer energía de las múltiples subestaciones de la grilla, de los diversos generadores diesel y de las baterías de respaldo.
  • Tiempo de actividad:  supervisión constante del tiempo de actividad y escalamiento inmediato al equipo de SurveyMonkey en caso de detectar una interrupción en el servicio.
  • Conmutación por error:  nuestra base de datos cuenta con un sistema de automatización de las copias de seguridad y las envía a los servidores en espera; además, puede realizar una conmutación por error en menos de una hora.

Seguridad de red

  • Tiempo de actividad:  supervisión constante del tiempo de actividad y escalamiento inmediato al equipo de SurveyMonkey en caso de detectar una interrupción en el servicio.
  • Escaneo de terceros:  personal calificado lleva a cabo escaneos de seguridad semanales.
  • Pruebas:  se verifican la funcionalidad del sistema y los cambios de diseño en un entorno de prueba aislado y se someten a pruebas funcionales y de seguridad antes de la implementación en los sistemas de producción activos.
  • Firewall:  el firewall restringe el acceso a todos los puertos, excepto al 80 (http) y al 443 (https).
  • Aplicación de revisión:  se aplican los últimos parches de seguridad a todos los sistemas operativos y a los archivos de aplicación para reducir las vulnerabilidades recientemente descubiertas.
  • Control de acceso:  se aplican una VPN segura, la autenticación de múltiples factores y el acceso basado en las funciones para la administración de los sistemas por parte de personal de ingeniería autorizado.
  • Registro y auditoría:  los sistemas de registro central capturan y archivan el acceso a todos los sistemas internos, incluidos los intentos de autenticación fallidos.

Seguridad de almacenamiento

  • Frecuencia de las copias de seguridad:  las copias de seguridad se realizan una vez por hora a nivel interno y una vez por día en un sistema de copias de seguridad centralizado en múltiples sitios de distinta ubicación geográfica.
  • Redundancia de la producción:  los datos se almacenan en una matriz RAID 10. El sistema operativo se almacena en una matriz RAID 1.

Seguridad organizacional y administrativa

  • Control de los empleados:  llevamos a cabo controles regulares de los empleados.
  • Capacitación:  brindamos a nuestros empleados capacitación en materia de seguridad y uso de la tecnología.
  • Proveedores de servicios:  controlamos a nuestros proveedores de servicio y les solicitamos que firmen un contrato para asumir las obligaciones de confidencialidad correspondientes en caso de que tengan que manejar datos de usuarios.
  • Acceso: los controles de acceso a datos confidenciales incluidos en nuestras bases de datos, sistemas y entornos se establecen en función de una base de necesidad de conocimiento/menores privilegios.
  • Registro de auditorías:  conservamos y supervisamos los registros de auditorías en nuestros servicios y sistemas (nuestros sistemas de registro generan gigabytes de archivos de registro todos los días).
  • Políticas de seguridad de la información:  implementamos políticas internas de seguridad de la información, como planes de respuesta ante incidentes, y las revisamos y actualizamos en forma constante.

Prácticas de desarrollo de software

  • Pila:  codificamos en Python y C# y ejecutamos con SQL Server 2008, Ubuntu Linux y Windows 2008 Server.
  • Prácticas de codificación:  nuestros ingenieros aplican las prácticas recomendadas y las pautas de codificación segura estándares de la industria para garantizar una codificación segura.

Manejo de las violaciones a la seguridad

A pesar de que se hacen los mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es perfectamente seguro. No podemos garantizar una seguridad absoluta. No obstante, en caso de que SurveyMonkey detecte una violación a la seguridad, notificaremos a los usuarios afectados para que puedan tomar las medidas de protección correspondientes. Nuestros procedimientos de notificación de violaciones guardan coherencia con las obligaciones asumidas bajo distintas leyes y reglamentaciones estatales y federales, así como con las reglas o los estándares de la industria a la cual pertenecemos. Los procedimientos de notificación incluyen el envío de avisos por correo electrónico o la publicación de un aviso en nuestro sitio web, en caso de que se produzca una violación.

Sus responsabilidades

Mantener sus datos seguros también depende de que garantice que mantiene la seguridad de su cuenta al usar contraseñas suficientemente complicadas y almacenarlas de manera segura. También debe garantizar que tiene suficiente seguridad en su sistema, a fin de mantener cualquier dato de la encuesta que descargue a su propia computadora lejos de ojos fisgones. Ofrecemos cifrado SSL para mantener segura la transmisión de las respuestas de la encuesta, pero es su responsabilidad garantizar que esa función esté habilitada en su cuenta.

Solicitudes personalizadas

Debido a la cantidad de clientes que utilizan nuestro servicio, las preguntas de seguridad específicas o los formularios de seguridad personalizados solo pueden abordarse para los clientes que compran un determinado volumen de cuentas de usuario dentro de una suscripción de SurveyMonkey Enterprise. Si su empresa cuenta con una cantidad importante de posibles usuarios o usuarios existentes y le interesa explorar dichos acuerdos, visite www.surveymonkey.com/mp/enterprise.

Última actualización: 9 de septiembre de 2013.