Seguridad en Typeform

Confiar tu información a un proveedor de servicio externo requiere medidas de seguridad rigurosas. La seguridad e integridad de tu información es de vital importancia para nosotros, y hemos construido nuestros servicios con esta idea en mente para que puedas crear tus encuestas y formularios con total tranquilidad.

Este artículo describe las tecnologías y procesos que usamos para proteger tu información y nuestra cultura de seguridad. Nuestro propósito es que esta información sea clara y fácil de entender, aunque, sobre todo cuando hay términos legales de por medio, esto no siempre es posible. Si hay algo que te cueste entender, contacta con nosotros utilizando el botón Solicita Soporte que encontrarás al final de esta página.

Seguridad física

La infraestructura de Typeform se encuentra alojada en Amazon Web Services (AWS). Nuestros servidores principales se encuentran en Virginia, EE.UU. y nuestros servidores de respaldo en Fráncfort, Alemania. Todos cumplen con los estándares de seguridad y privacidad, incluyendo Privacy Shield (este sitio web se encuentra únicamente en inglés).

Nuestras oficinas e instalaciones cuentan con control de acceso las 24 horas, cámaras de seguridad y registros de visitas; además, nuestros accesos requieren de código PIN.

Básicamente, tu información se encuentra alojada y respaldada en lugares seguros, y nuestras oficinas también lo son.

Seguridad de nuestra red

Todos nuestros entornos de red se encuentran alojados en una Red virtual privada en la nube (VPC) en Amazon Web Services. Nuestras redes de producción se encuentran separadas en servicios públicos e internos. No se permite tráfico entrante de internet en las subredes privadas, y todos los servidores de aplicación residen en redes privadas que no cuentan con direcciones IP públicas. Los distribuidores de carga, gestionados y mantenidos por Amazon, son los únicos que tienen acceso de entrada a los servidores internos de la aplicación. Además, tenemos estrictos grupos de seguridad que controlan el acceso entrante y saliente a los servidores.

Cortafuegos y Sistemas de detección de intrusos (IDS) se encuentran instalados en las ubicaciones de borde de red para proporcionar una capa de seguridad de red adicional interna y externa.

En resumen, nos aseguramos de que todas las redes que usamos sean seguras. El acceso a los servidores que utilizamos se encuentra estrictamente limitado, y no se permite ningún tráfico externo hacia ellos.

Resumen de nuestra arquitectura

Typeform ha sido diseñado para ser escalable y con tolerancia a fallos. Si una máquina falla, otra estará lista para tomar el relevo inmediatamente. Esta redundancia se encuentra en todos los niveles de la plataforma.

También en línea con las prácticas recomendadas por AWS, tenemos en marcha una arquitectura de múltiples zonas de disponibilidad. En caso de que falle una zona de disponibilidad, las máquinas restantes en la zona de disponibilidad en funcionamiento tienen la capacidad suficiente para correr el servicio en su totalidad.

Además, copias de seguridad redundantes de datos críticos se encuentran en marcha y en una cuenta diferente para asegurar la continuidad del negocio en caso de desastre.

Control de acceso

El acceso a los recursos de Typeform se permite únicamente a través de conexiones seguras (por ejemplo, redes VPN o bastiones SSH) y, en algunos casos, requiere de autenticación multifactor. Seguimos el principio de mínimo privilegio, y el acceso existente es auditado de forma regular para asegurarnos de que nuestros empleados solo tengan el permiso necesario para desempeñar sus funciones.

Esto significa que nuestros empleados solo pueden acceder a los sistemas de Typeform con una conexión segura. En cuanto alguien deja la compañía, su acceso se bloquea.

Políticas de seguridad y concienciación

Tenemos un amplio conjunto de políticas de seguridad de la información para garantizar el cumplimiento de la legislación y estándares de seguridad de la industria, y para orientar a nuestros empleados y contratistas para que tomen las decisiones de seguridad correctas. Por ejemplo, contamos con políticas de contraseñas, de protección de datos, uso aceptable, entre otras. Revisamos y actualizamos estas políticas anualmente.

Tenemos acuerdos de confidencialidad con todos nuestros empleados y contratistas, e impartimos varios cursos de formación y concienciación sobre seguridad dentro de la compañía.

Todo esto significa que todos nosotros en Typeform seguimos pautas de seguridad internas, recibimos formación en dichas pautas, y son actualizadas regularmente.

Pruebas de penetración

En el marco de nuestra estrategia de seguridad, contratamos firmas de reconocida especialidad en investigación sobre seguridad para que efectúen pruebas de penetración de “caja gris” en nuestra plataforma. Las vulnerabilidades y otras conclusiones son clasificadas de acuerdo a su severidad, y las priorizamos en consecuencia.

Esto significa que dejamos que expertos en seguridad entren e intenten romper cosas, para así ayudarnos a encontrar cualquier debilidad.

Medidas de protección de datos

Una vez que tu información entra a los sistemas de Typeform, la aseguramos con múltiples niveles de cifrado y controles de acceso (end-to-end, incluso dentro de la red virtual privada en la nube de AWS), utilizando protocolos criptográficos seguros TLS (actualmente soportamos TLS 1.0, 1.1 y 1.2).

Utilizamos el estándar de cifrado avanzado (AES) con una clave de 256 bits para cifrar datos en reposo, incluyendo las copias de seguridad.

El acceso a los datos de nuestros usuarios se encuentra restringido en función del puesto de trabajo: solo los empleados autorizados tienen acceso a la información, y el acceso es revocado de forma inmediata en cuanto un empleado deja la empresa.

Mantenemos la información por el tiempo que la guardes en nuestros sistemas. Una vez que elimines los datos, o al final de tu relación con Typeform, la mantendremos en nuestros sistemas y copias de seguridad durante un máximo de treinta y cinco días hasta que sea eliminada permanentemente. La información que guardamos en sistemas y registros de terceros puede tardar hasta noventa días en ser eliminada permanentemente.

Cumplimiento con la legislación y estándares de seguridad

Typeform cumple con el estándar de Seguridad de Datos para la Industria de Tarjeta de Pagos (PCI DSS 3.2), por lo que podemos aceptar o procesar información de pago de manera segura y en conformidad con estos estándares, siempre que se utilice el Bloque de pago. Nuestro procesador de pagos externo certifica nuestro cumplimiento con este estándar anualmente. Typeform se encuentra actualmente trabajando para obtener otras certificaciones y cumplir con otros estándares.

Lee más sobre nuestro cumplimiento con el Reglamento general de protección de datos (RGPD), de momento solo en inglés.

Monitorización y auditoría de seguridad

Typeform recopila registros de aplicación, infraestructura y sistemas en un repositorio de registros gestionado de manera centralizada con motivo de monitorización, resolución de problemas, revisiones de seguridad y análisis por parte de personal autorizado. Estos registros son preservados en conformidad con los requisitos reglamentarios de asistencia en caso de incidente de seguridad.

Tenemos que guardar algunos datos por ley, y eso hacemos.

Responsabilidad compartida

Proteger el acceso a tu información y respuestas requiere que tú, como cliente de Typeform, mantengas la seguridad utilizando contraseñas seguras y protegiéndolas como sea necesario. En este artículo puedes aprender más sobre buenas prácticas en el uso de contraseñas.