Security Policy - Spanish
Esta Política de Seguridad se aplica a los productos, servicios, sitios web y aplicaciones ofrecidos por Problem Free Limited. Nos referimos a esos productos, servicios, sitios web y aplicaciones colectivamente como los "Servicios" en esta Declaración. Esta Política de Seguridad también forma parte de los acuerdos de usuario para los clientes de FreeOnlineSurveys, KwikSurveys y Shout.
Seguridad de los recursos humanos
Un programa integral de capacitación en concienciación se imparte de manera continua a todos los empleados de Problem Free Limited para enfatizar la necesidad de proteger adecuadamente los datos en la nube de los clientes. También requerimos que nuestros contratistas proporcionen una capacitación adecuada en concienciación a todos los empleados relevantes y se les informa sobre los requisitos específicos.
Encriptación
Las transacciones entre el usuario (incluidos los administradores) y el entorno de la nube están encriptadas utilizando TLS 1.2+ por defecto. Si se retiran de un centro de datos físicamente seguro, los datos del cliente estarán encriptados en reposo. Cualquier dato enviado entre nuestros servidores de producción (como a una base de datos) solo se comunicará a través de su propia red privada, LAN virtual privada o mediante un canal encriptado.
Seguridad física
Nuestra base de datos principal y servidores web están ubicados en centros de datos reputados en el Reino Unido. Nuestros centros de datos tienen seguridad en el lugar las 24 horas del día, los 7 días de la semana, monitoreo por CCTV y control de acceso mediante tarjetas de clave RF. El centro de datos posee certificaciones de gestión de seguridad de la información ISO 27001. Las copias de seguridad están encriptadas antes de ser transferidas a la nube de Amazon S3 (UE). Todos los centros de datos que utilizamos tendrán la seguridad física adecuada.
Control de acceso y registro
Utilizamos el principio de "autenticación en todas partes" para todos los sistemas administrativos internos. Los empleados solo tienen acceso a los sistemas y datos personales si es necesario para el desempeño de su función. Registramos registros de auditoría de cualquier acceso a las cuentas de los clientes (incluyendo a nuestro propio personal), así como de operaciones importantes que se realicen en sus cuentas para fines legales y de seguridad. El acceso de los empleados a los sistemas de la empresa se revocará dentro de las 24 horas posteriores a la terminación. Se aplican políticas complejas de contraseñas. Los registros de los servidores se envían a un agregador de registros externo.
Gestión de activos
Todos los discos duros de la empresa están encriptados con encriptación de disco completo. Solo los dispositivos debidamente asegurados por la empresa podrán acceder a las redes de la empresa. Todos los PCs de los empleados tienen firewalls instalados como estándar, así como software antimalware que escanea los sistemas en busca de vulnerabilidades al menos una vez a la semana.
Desarrollo
Nuestro servicio se basa en la plataforma Microsoft .NET MVC de nivel empresarial y utiliza un ORM para interactuar con la base de datos de los clientes. Esto previene muchas de las vulnerabilidades de seguridad más comunes (como la inyección SQL). Utilizamos sistemas de automatización de implementación para mover el código desde el sistema de control de fuente distribuido, a entornos de preparación para revisión y prueba antes de desplegarlo en el entorno de producción. Los sistemas de preparación y producción siempre están separados.
Pruebas de vulnerabilidad y gestión de parches
Realizaremos periódicamente escaneos de vulnerabilidad en nuestros servidores para identificar cualquier problema relevante. Los parches de seguridad se revisan regularmente y se aplican a nuestros servidores cuando es apropiado.
Firewall de aplicación web y proxy de seguridad
Nuestros servidores están protegidos por Cloudflare, que proporciona defensa experta contra ataques DDOS, un firewall de aplicación web para filtrar actividades sospechosas o peligrosas, bloquear "direcciones IP/usuarios malos" conocidos y ofrecer diversas mejoras criptográficas. Nuestras encuestas y formularios se distribuyen a sus servidores de borde para garantizar un alto rendimiento para los usuarios finales.
Gestión de incidentes de seguridad de la información
Cuando creemos que es apropiado informar al cliente sobre un evento de seguridad de la información (antes de que se determine si debe tratarse como un incidente), se comunicará al administrador del cliente designado. De manera similar, el cliente puede reportar eventos de seguridad a nuestro servicio de asistencia donde serán registrados y se decidirá la acción apropiada. La información sobre el progreso de dichos eventos se puede obtener del servicio de asistencia. Informaremos a los clientes sobre incidentes de seguridad de la información cuando creamos que el servicio o los datos del cliente han sido o serán afectados.
Haremos esto al administrador del cliente designado o su suplente tan pronto como sea razonablemente posible y compartiremos tanta información sobre el impacto y la investigación del incidente como creamos apropiada para su resolución efectiva y oportuna. Se nombrará un gerente de incidentes en cada caso que actuará como el punto de contacto de Problem Free Limited para el incidente, incluyendo asuntos relacionados con la captura y preservación de evidencia digital si es necesario. Priorizamos las actividades de gestión de incidentes para garantizar que se cumplan los requisitos de tiempo del GDPR para la notificación de violaciones que afecten datos personales.
Aspectos de seguridad de la información de la gestión de continuidad del negocio
Nuestros centros de datos de producción están distribuidos en múltiples ciudades para proporcionar redundancia en caso de una interrupción generalizada. Las copias de seguridad de los registros de transacciones de la base de datos están programadas cada 15 minutos y se encriptan automáticamente y se transfieren a la nube de almacenamiento de Amazon S3. Se realizan copias de seguridad completas y diferenciales adicionales periódicamente y de manera similar se transfieren a la misma ubicación segura. El código fuente se almacena en un control de versión distribuido.