Seguridad en Qualtir

Certificaciones y Cumplimiento

Todos los datos transmitidos entre su navegador y nuestros servidores están cifrados con TLS 1.2 o superior. Los datos en reposo están cifrados con AES-256.

• En tránsito: cifrado TLS 1.2+ para todos los datos entre clientes y servidores
• En reposo: cifrado AES-256 para todos los datos almacenados
• Gestión de claves: las claves de cifrado se gestionan a través del Servicio de Gestión de Claves de Google Cloud
• Cifrado de bases de datos: todas las bases de datos están cifradas a nivel de almacenamiento

Seguimos el principio de mínimo privilegio. El acceso a los datos de los clientes está estrictamente controlado.

• Control de acceso basado en roles (RBAC) en todos los sistemas internos
• Autenticación multifactor (MFA) requerida para todas las cuentas de empleados
• Los registros de acceso se mantienen y revisan regularmente
• El acceso privilegiado es limitado en el tiempo y sujeto a aprobación adicional
• El acceso del empleado se revoca inmediatamente al partir

Toda nuestra infraestructura está alojada en Google Cloud Platform (GCP). Los centros de datos de GCP están físicamente asegurados.

• Datos alojados en centros de datos de GCP en regiones EU y US
• Firewalls a nivel de red y protección DDoS
• Análisis automatizado de vulnerabilidades de infraestructura
• Redes VPC privadas que aíslan entornos de producción
• Pruebas de penetración regulares por empresas de seguridad de terceros

Monitoreamos continuamente nuestros sistemas en busca de actividad inusual y amenazas de seguridad.

• Monitoreo automatizado 24/7 con alertas en tiempo real
• Integración de Gestión de Información y Eventos de Seguridad (SIEM)
• Auditorías de seguridad anuales de terceros y pruebas de penetración
• Auditorías internas regulares contra controles ISO 27001
• Registros de auditoría completos retenidos por un mínimo de 12 meses

Tenemos un plan de respuesta a incidentes documentado que se prueba y actualiza regularmente.

• Rutas de escalación definidas y equipo de respuesta de guardia
• Contención objetivo dentro de 1 hora de incidente confirmado
• Notificación al cliente dentro de 72 horas de una brecha confirmada (según GDPR)
• Revisión post-incidente y remediación para prevenir recurrencia

Conservamos sus datos solo durante el tiempo necesario para proporcionar nuestros servicios.

• Los datos de la cuenta se eliminan dentro de 90 días del cierre de la cuenta
• Las copias de seguridad se retienen 30 días y luego se destruyen permanentemente
• Procedimientos de eliminación segura aplicados a todos los medios de almacenamiento
• Las solicitudes de eliminación de datos se procesan dentro de 30 días

Nuestras extensiones de Google Workspace están diseñadas con un enfoque de permisos mínimos.

• Cumplimiento de la Política de Datos de Usuario de los Servicios API de Google
• Sin almacenamiento persistente de contenido de Google Doc, Sheet o Drive en nuestros servidores
• OAuth 2.0 utilizado para toda autorización de cuenta de Google
• Los usuarios pueden revocar el acceso en cualquier momento a través de la configuración de la cuenta de Google
• Las extensiones pasan por el proceso de revisión de seguridad de Google antes de la publicación

8. Divulgación responsable

Agradecemos la divulgación responsable de vulnerabilidades de seguridad. Si descubre un posible problema de seguridad, contáctenos en contact@qualtir.com. Nos comprometemos a confirmar su informe dentro de 48 horas.

Preguntas sobre seguridad

Si tiene preguntas o inquietudes sobre cómo protegemos sus datos, estamos felices de ayudar.