Millones de usuarios le han confiado a SurveyMonkey los datos de sus encuestas, por lo que para nosotros es prioridad tomar con mucha seriedad las preocupaciones de seguridad y privacidad que puedan tener. Nos esforzamos por garantizar que la información de los usuarios se maneje de manera segura. SurveyMonkey utiliza algunos de los sistemas tecnológicos más avanzados disponibles en el mercado para abordar la seguridad en Internet. Esta Declaración de seguridad tiene como fin brindar transparencia sobre nuestras prácticas e infraestructura de seguridad y garantizarle a usted que sus datos están protegidos adecuadamente. Consulte nuestra política de privacidad para obtener mayor información sobre cómo se maneja la información.

Seguridad del usuario

  • Autentificación del usuario: la información de los usuarios almacenada en nuestra base de datos se encuentra lógicamente separada en función de las reglas de acceso según la cuenta. Las cuentas de usuario poseen nombres de usuario y contraseñas únicas que deben ingresarse cada vez que un usuario inicia sesión. SurveyMonkey crea una cookie de sesión con el único fin de registrar la información de autentificación codificada por la duración de una sesión en particular. La cookie de sesión no incluye la contraseña del usuario.
  • Contraseñas: las contraseñas de las aplicaciones de los usuarios tienen requisitos de complejidad mínima. Las contraseñas pasan individualmente por el procedimiento de cifrado mediante sales y hash.
  • Registro único: para las cuentas de colaboración en equipo, SurveyMonkey admite la integración con SAML 2.0, que permite controlar el acceso a SurveyMonkey en su organización y definir políticas de autentificación para lograr un mayor nivel de seguridad. Para obtener mayor información, visite nuestra página de ayuda de registro único.
  • Cifrado de datos: determinada información confidencial de los usuarios (como los datos de la tarjeta de crédito y las contraseñas de las cuentas) se almacena en formato cifrado.
  • Portabilidad de la información: SurveyMonkey le permite exportar sus datos desde nuestro sistema en una variedad de formatos para que pueda hacer copias de respaldo o usarlos en otras aplicaciones.
  • Privacidad: contamos con una política de privacidad integral que brinda una visión transparente de cómo manejamos los datos de los usuarios, incluido el uso que hacemos de los datos, con quién los compartimos y por cuánto tiempo los conservamos.
  • Residencia de datos: todos los datos de los usuarios de SurveyMonkey, incluidos Wufoo y TechValidate, están guardados en servidores localizados en Estados Unidos. Para los usuarios canadienses de SurveyMonkey, los datos de las encuestas podrían guardarse en Canadá. Los datos de FluidSurveys y FluidReview están guardados en Canadá.

Seguridad física

Todos los sistemas y la infraestructura de información están alojados en centros de datos de categoría mundial. Estos centros de datos incluyen todos los controles de seguridad físicos que puedes esperar (por ej. monitorización 24×7, cámaras, registro de visitas, requisitos de entrada). SurveyMonkey tiene jaulas específicas para separar nuestro equipo del de otros. Además, estos centros de datos están acreditados por SOC 2. Para mayor información, visita SuperNAP e InterNAP. Si estás buscando FluidSurvey o FluidReview, o nuestra información sobre el Centro de datos canadienses, comunícate con nosotros directamente.

Disponibilidad

  • Conectividad: disponemos de conexiones de red IP completamente redundantes con múltiples conexiones independientes y una variedad de proveedores de acceso a Internet de nivel 1.
  • Energía: los servidores poseen suficientes fuentes de energía interna y externa. Los centros de datos tienen fuentes de energía de reserva y tienen la capacidad de obtener energía de múltiples subestaciones de la red, varios generadores diésel y baterías de reserva.
  • Tiempo de actividad: se realiza un monitoreo constante del tiempo de actividad y se recurre al personal de SurveyMonkey inmediatamente en caso de inactividad.
  • Conmutación por error: nuestra base de datos se replica en tiempo real y puede recuperarse en menos de una hora.
  • Frecuencia de los respaldos: las copias de seguridad se llevan a cabo diariamente en múltiples sitios geográficamente distintos.

Seguridad de la red

  • Pruebas: la funcionalidad del sistema y los cambios en el diseño se verifican en un entorno de pruebas aislado y son sometidos a pruebas de funcionalidad y seguridad antes de la utilización en sistemas de producción activos.
  • Cortafuegos: los cortafuegos restringen el acceso a todos los puertos, salvo el 80 (http) y el 443 (https).
  • Control de acceso: el personal de ingeniería autorizado implementa VPN seguras, 2FA (autentificación de dos factores) y un acceso basado en roles para la gestión de los sistemas.
  • Registros y auditorías: los sistemas de registro centrales detectan y archivan todos los accesos a los sistemas internos, incluido cualquier intento de autentificación fallido.
  • Cifrado en tránsito: de manera predeterminada, nuestros recopiladores de encuesta tienen activada la seguridad de la capa de transporte (TLS, por sus siglas en inglés) para cifrar el tráfico de los encuestados. Todas las demás comunicaciones con el sitio web de surveymonkey.com se envían a través de conexiones de TLS, que protegen las comunicaciones utilizando tanto autentificación del servidor como cifrado de datos. Esto garantiza que los datos de los usuarios en tránsito estén a salvo y disponibles solo para los destinatarios previstos. Nuestros criterios de valoración de aplicaciones son únicamente TLS y tienen una clasificación “A” en las pruebas de SSL Labs. También utilizamos secreto perfecto y admitimos únicamente cifrados sólidos para mayor privacidad y seguridad.

Gestión de la vulnerabilidad

  • Parches: se aplican los parches de seguridad más recientes en todos los sistemas operativos, aplicaciones e infraestructura de red para mitigar la exposición a amenazas.
  • Escaneos de terceros: nuestros entornos se escanean constantemente usando las mejores herramientas de seguridad. Estas herramientas están configuradas para realizar evaluaciones de vulnerabilidad de las aplicaciones y las redes, que verifican el estado de los parches y errores de configuración básicos en los sistemas y los sitios.
  • Pruebas de penetración: organizaciones externas realizan pruebas de penetración al menos una vez al año.
  • Recompensas por detección de fallos: ¡nos tomamos muy en serio la seguridad de nuestras plataformas! SurveyMonkey lleva a cabo su propio programa de recompensas por detección de fallos para garantizar que las aplicaciones se revisen de manera continua en busca de vulnerabilidades.

Seguridad organizacional y administrativa

  • Políticas de seguridad de la información: contamos con políticas internas para la seguridad de la información (incluidos planes de respuesta ante incidentes) que se revisan y actualizan periódicamente.
  • Verificación de antecedentes de los empleados: realizamos verificaciones de antecedentes de todos nuestros empleados, en la medida permitida por las leyes locales.
  • Capacitación: brindamos capacitación sobre seguridad y uso de tecnologías a los empleados.
  • Proveedores de servicio: verificamos los antecedentes de nuestros proveedores de servicio y hacemos que se atengan a un contrato con obligaciones relacionadas con la seguridad y la confidencialidad en caso de que tengan que manejar datos de los usuarios.
  • Acceso: los controles de acceso a información confidencial de nuestras bases de datos, sistemas y entornos se configuran según el principio de mínimo privilegio/necesidad de conocimiento.
  • Registros de las auditorías: confeccionamos y controlamos registros de las auditorías de nuestros servicios y sistemas.

Prácticas de desarrollo de software

  • Pila: programamos en Python y ejecutamos en SQL Server, Windows y Ubuntu.
  • Prácticas de programación: nuestros ingenieros utilizan las mejores prácticas y normativas estándar de programación segura de la industria, las cuales se alinean con OWASP Top 10.
  • Actividades de implementación: llevamos a cabo actividades de implementación de código decenas de veces durante la semana, lo que nos da la posibilidad de responder rápidamente en caso de que se detecte un fallo o punto vulnerable dentro del código.

Cumplimiento y certificaciones

  • PCI: en la actualidad SurveyMonkey cumple con la norma PCI 3.1.
  • HIPAA: SurveyMonkey ofrece funciones de seguridad optimizadas que cumplen con los requisitos HIPAA. Para obtener mayor información, visite nuestra página de cumplimiento HIPAA.

Gestión de las violaciones de seguridad

A pesar de nuestros mayores esfuerzos, ningún método de transferencia de datos a través de Internet y ningún método de almacenamiento electrónico es completamente seguro. No podemos garantizar seguridad absoluta. Sin embargo, si SurveyMonkey tiene conocimiento sobre una violación de seguridad, notificará a los usuarios afectados para que puedan tomar las medidas de protección adecuadas. Nuestros procedimientos para la notificación de violaciones son compatibles con nuestras obligaciones en virtud de varias leyes y normas estatales y federales, como así también con todas las reglas o estándares de la industria a los que nos atenemos. Los procedimientos de notificación incluyen el envío de un aviso por correo electrónico y una publicación en nuestro sitio web si ocurre una violación.

Sus responsabilidades

Mantener sus datos seguros también depende de que usted se asegure de conservar la seguridad de su cuenta usando contraseñas lo suficientemente complejas y guardándolas en un lugar seguro. También debe verificar que cuenta con un nivel de seguridad adecuado en sus propios sistemas, de manera que los datos de las encuestas que descarga a su propia computadora estén alejados de las miradas curiosas. Ofrecemos TLS para asegurar la transferencia de las respuestas de las encuestas, pero es su responsabilidad comprobar que sus encuestas estén configuradas para usar esa función cuando corresponda. Para obtener mayor información sobre la seguridad de sus encuestas, visite nuestro Centro de asistencia.

Solicitudes de los clientes

Dada la cantidad de clientes que usan nuestro servicio, las preguntas de seguridad específicas o los formularios de seguridad personalizados solo pueden considerarse para aquellos clientes que adquieren un cierto volumen de cuentas de usuarios dentro de una suscripción de SurveyMonkey. Si su empresa tiene un gran número de usuarios existentes o potenciales y está interesado en explorar estas opciones, revise la sección Colaboración en equipo.

Última actualización: 6 de junio, 2017.