¿Por qué JotForm es Seguro?

256 Bit SSL

Independientemente de su plan, todos sus formularios se sirven a través de una conexión protegida SSL (Secure Sockets Layer) de 256 bits que utiliza un certificado SHA256. Este es el mismo nivel de protección utilizado por los proveedores de banca en línea o comercio electrónico. Read More

Formularios Cifrados

Puede cifrar fácilmente sus formularios para asegurarse que los datos se transfieran y almacenen en un formato seguro y que nadie más pueda leerlos. Los envíos se cifran directamente con RSA 2048 de alto grado en la computadora del usuario y luego se transfieren y almacenan en nuestros servidores en forma segura. Read More

Certificación PCI

JotForm cumple como Proveedor de servicios PCI DSS Nivel 1, el mayor nivel de seguridad que se puede tener como empresa que acepta pagos, e integra con, tarjetas de crédito. Read More

Normativa GDPR

JotForm cumple totalmente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la ley de protección de datos que entró en vigencia el 25 de mayo de 2018. Esto se aplica a cualquier negocio que recopile datos en o desde Europa. Read More

Normativa CCPA

JotForm cumple con la Ley de Privacidad del Consumidor de California (CCPA), que protege a los residentes de California al exigir a las empresas que manejen sus datos en línea y fuera de línea de manera responsable. Read More

Normativa HIPAA

Los proveedores de atención médica reúnen información de pacientes a través de formularios compatibles con HIPAA de JotForm. Un Acuerdo de Asociado Comercial (BAA) también está disponible a solicitud. Read More

Protección Spam

Además del campo Captcha que utilice en sus formularios, tenemos otras opciones para protegerlos de los spammers. Por ejemplo, puede permitir solamente un envío por IP o computadora, o puede desactivar su formulario después de una hora específica o número de envíos. Leer Más

Privacidad

En los ajustes de privacidad, puede limitar el acceso a sus datos dependiendo del nivel de privacidad que escoja. Incluso puede desactivar la clonación de sus formularios o pedir inicio de sesión para ver los datos de envío (el cual está por defecto protegido por URLs únicas)

¿Cómo puede hacer que sus formularios sean aún más seguros?

Make Your Forms Encrypted

Puede cifrar fácilmente sus formularios para asegurarse que los datos de envío se transfieran y almacenen en un formato seguro. JotForm utiliza el algoritmo RSA-2048 para encriptar los datos de su formulario. Puesto que tiene su clave de cifrado, tenga cuidado al guardarla. Si pierde su clave, ya no podrá acceder a sus datos cifrados.

Cuando habilite esta funcón y reciba un envío, los correos de notificación enviados por JotForm no incluyen ningún dato de envío. Puede saber más sobre cómo cifrar sus formularios aquí.

La carga de archivos no se incluye en esta función. Puede leer sobre la seguridad de carga de archivos en esta publicación.

Establezca la privacidad de sus formularios y datos

El acceso a los envíos de un formulario está protegido y requiere iniciar sesión a la cuenta propietaria de ese formulario. Sin embargo, se puede ver un envío único si se conoce la URL única, aunque es casi imposible de adivinar. Si cree necesitar privacidad adicional, puede agregar una capa extra de protección y requerir un inicio de sesión además de la seguridad proporcionada por la URL única.

Dado que tiene la propiedad total de sus formularios y envíos, el acceso a sus datos solo se otorga con su permiso cuando utiliza un widget o aplicación de integración. Tenga la seguridad de que tratamos sus datos con la máxima confidencialidad.

Mantenga Sus Datos de Usuario Europeos en Servidores UE

Puede seleccionar guardar sus datos en la Unión Europea (UE) desde la pestaña de Datos en los ajustes de su cuenta. Después de confirmar, los datos de sus formularios serán copiados en los servidores Europeos en Frankfurt, Alemania, gestionados por Amazon Web Services. Una vez que la transferencia se completa, será redirigido automáticamente a eu.jotform.com al iniciar sesión. No hay que preocuparse por la protección de sus datos. JotForm está por completo en cumplimiento con la Regulación de Protección General de Datos.

Con JotForm Enterprise, puede utilizar geolocalización para alojar datos de formulario en servidores en casi cualquier parte del mundo. Puesto que muchos países — incluyendo Australia — tienen leyes que lo piden, puede ser una herramienta invaluable para negocios globales.

Respalde Sus Datos

Puede respaldar sus datos con un sólo clic en la pestaña "Datos" los Ajustes de su cuenta. Cuando activa una operación de respaldo, comenzamos a preparar un único archivo ZIP que contiene el código HTML de sus formularios, un archivo de exportación CSV con los datos de su formulario y cualquier archivo cargado.

Estas copias de seguridad se pueden descargar o guardar en nuestra base de datos. Si solo desea hacer un respaldo de sus formularios, también es posible descargar su código fuente en formato zip y guardarlo en su unidad local desde las opciones de publicación.

Keep Your Forms Safe From Spammers

JotForm ofrece dos alternativas diferentes de CAPTCHA para dificultar que los bots completen su formulario, sin dejar de ser fácil para las personas. Puede usar un CAPTCHA básico o reCAPTCHA, según lo dispuesto por Google.

También hemos implementado múltiples verificaciones de codificación dentro del proceso de envío para analizar si proviene de una persona. Si el spam llega, nuestro equipo de soporte 24/7 le ayudará a identificar la causa y a acreditar su cuenta, si es necesario.

Como protección adicional contra el correo spam, también puede limitar los envíos a su formulario por dirección IP o computadora única. Si lo prefiere, también puede habilitar ambos para una mayor protección. Además, también puede elegir que sus formularios se deshabiliten en un momento específico o después de que se haya alcanzado un límite de envío específico.

Acuerdos de Nivel de Servicio

JotForm tiene un índice de funcionamiento casi perfecto del 99,9 por ciento, por lo que siempre podrá acceder a sus datos. Puede comprobar el estado de funcionamiento de JotForm en tiempo real aquí. Nuestro servicio JotForm Enterprise promete cumplir con los índices de respuesta a errores, tiempos de resolución y índices de funcionamiento descritos en su acuerdo de nivel de servicio (SLA) específico. Si no se cumplen estos objetivos, recibirá un reembolso parcial según lo acordado en su acuerdo de Enterprise firmado.

¿Qué medidas tomamos para proteger sus datos?

Centros de Datos

Los servidores JotForm están co-ubicados en una arquitectura basada en la nube con Google Cloud y Amazon Web Services (AWS). Los centros de datos de Google Cloud están alojados en Iowa (EE.UU). Los centros de datos de AWS están ubicados en Alemania, Frankfurt (UE) y EE.UU, Virginia (EE.UU).

Los servidores de Google Cloud alojan nuestros servidores de aplicaciones y datos redundantes en configuración activa-activa y todos los datos también se replican en servidores de AWS continuamente. Esto proporciona una redundancia a nivel de plataforma además de la redundancia obtenida con múltiples servidores dentro de una sola plataforma. En caso de que necesitemos cambiar de la plataforma primaria (Google Cloud) a la plataforma secundaria (AWS), esta arquitectura nos ayuda a realizar un cambio fácil y rápido.

Hospedar JotForm en estas importantes plataformas en la nube también nos brinda algunos beneficios adicionales en la implementación de las mejores prácticas de seguridad en áreas como gestión del ciclo de vida del hardware, seguridad física e infraestructura de red. Nuestros servidores se actualizan y mejoran constantemente.

Ubicaciones de Servidor Dedicado

Si usted es un usuario de JotForm Enterprise, puede escoger la ubicación física de su servidor dedicado en la nube y alojar sus datos en cualquier parte del mundo — esto es especialmente importante para cumplir con las reglas de privacidad de datos y requerimientos de ubicación en lugares como Australia, Canadá, el Reino Unido y la UE. Ya sea que usted elija mantener su servidor de datos cerca de su ubicación o de su audiencia, usted gozará de una mejor seguridad, fiabilidad y latencia del sitio. Sólo los usuarios y administradores de su cuenta Enterprise podrán acceder a su servidor de datos.

Política de Respaldo / Continuidad del Negocio

Continuamente replicamos (respaldo en tiempo real) sus datos entre múltiples servidores alojados por nuestro proveedor de servicios primario Google Cloud. Además, todos los datos también se replican a AWS (nuestra plataforma secundaria) en tiempo real. Tomamos instantáneas de todos nuestros datos cada hora. Cada instantánea se almacena durante 30 días en el entorno de la nube.

Inicio de Sesión Único (SSO)

Con una cuenta JotForm Enterprise, puedes usar el inicio de sesión único. El inicio de sesión de un tercero aumenta la seguridad y facilita que sus empleados trabajen juntos para dirigir su empresa. Puede incluso decidir los métodos de ingreso, el seguimiento de las acciones de los usuarios y mantener el control de la seguridad de su cuenta.

También puede proteger con SSO formularios de uso interno con JotForm Enterprise. Los usuarios necesitarán ser autenticados antes que vean su formulario. De esa forma, cuando recopile datos confidenciales de empleados, puede asegurar que la persona que envía el formulario es quien ellos dicen ser.

Fortalecemos las mejores prácticas de codificación

Además de implementar funciones que aumenten la seguridad, mantenemos las mejores prácticas en el backend para garantizar que su cuenta permanezca segura. Monitoreamos las sesiones para restringir el acceso a su cuenta de manera adecuada, y hemos construido JotForm de manera que cada cuenta esté aislada.

Hemos puesto protección para detectar ataques comunes, como inyección de SQL y scripts de cruce de sitios. Lo importante es que revisamos activamente nuestro código para detectar posibles problemas de seguridad (además de evaluar las opiniones de los usuarios) para poder abordar cualquier problema si surge. Nuestra declaración de privacidad muestra el nivel de compromiso en asegurar que sus datos no sean mal usados.

Todo el código desarrollado se implementa en el entorno de producción solo después de ciertos procedimientos, incluidas las pruebas ejecutadas en los sistemas de preparación. Nuestro sistema de implementación continua y el proceso de desarrollo nos permiten actualizar y reparar rápidamente nuestro sistema cuando sea necesario.

Auditorías de Seguridad

Los escaneos PCI se realizan para detectar regularmente cualquier tipo de vulnerabilidad en las interfaces públicamente disponibles. Cada trimestre se realizan pruebas internas y externas ASV (Proveedor de Escaneo Aprobado) para PCI. Además de estos escaneos PCI, se realizan pruebas de penetración periódicamente para JotForm.

También tenemos un programa de Recompensa por Errores (Bug Bounty) donde pagamos a terceros por informar vulnerabilidades, lo que garantiza que seamos los primeros en conocerlos. Solucionamos todos los problemas informados por medio del programa con la máxima prioridad en el menor tiempo.

Seguridad en Red

Tenemos una capa de enrutamiento externa respaldada por CloudFlare que proporciona un filtrado básico para manejar y administrar cualquier posible ataque DDoS (Denegación de Servicio). Los análisis de seguridad se realizan periódicamente como se describe en el capítulo sobre auditorías/VA/PT. Nuestros servidores están configurados para permitir solo el nivel mínimo absoluto de acceso necesario para mantenerlos.

Todos los usuarios, protocolos y puertos innecesarios están deshabilitados y monitoreados. Nuestros empleados solo pueden acceder a los servidores a través de una red privada virtual mediante una conexión cifrada de 2048 bits con claves privadas. Además de los servicios de seguridad de terceros, nuestro experimentado equipo de operaciones de desarrollo monitorea continuamente cualquier comportamiento sospechoso en todo el sistema.

Seguridad de Cuenta

Toda la información de la cuenta se codifica automáticamente cuando se transfiere. A menos que comparta su nombre de usuario y contraseña con otros, sólo usted tiene acceso a sus formularios y envíos. Puede agregar varios usuarios a su cuenta con JotForm Enterprise.

Opciones de Seguridad Personalizables

No importa en qué industria trabaje, JotForm quiere ayudarle a crear los controles de seguridad perfectos para sus necesidades. Como usuario Enterprise, puede pedir habilitar, deshabilitar, o añadir ajustes de seguridad específicos a su servicio dedicado! Contact our Enterprise team para saber más.

Preguntas y Respuestas

PREGUNTAS SOBRE SEGURIDAD DE FORMULARIOS

  • ¿Hay algunas funciones de seguridad disponibles en los formularios?

    Sí. Sus formularios se sirven a través de una conexión protegida SSL (Secure Sockets Layer) de 256 bits. Cuando elige encriptar sus formularios, los envíos se transfieren y almacenan después de encriptarse con la clave RSA-2048 en el navegador del usuario. Además, puede habilitar privacidad adicional y protección contra correo no deseado como se define en la sección anterior "¿Cómo puede hacer que sus formularios sean aún más seguros?".

  • ¿Ustedes guardan todos los datos en forma cifrada? ¿Envían emails de notificación para formularios cifrados?

    Si desea encriptar sus formularios, los envíos se transfieren y almacenan encriptados. Sin embargo, los archivos cargados no están encriptados. Los emails de notificación para estos formularios no pueden contener datos de envío y, por lo tanto, no están encriptados.

  • ¿Están protegidos nuestros datos, tanto en tránsito como en reposo, si tuviéramos que usar su sistema?

    Sí, si encripta su formulario, los datos de envío se cifran directamente en el navegador de Internet del usuario con RSA 2048. Estos datos cifrados se vuelven a cifrar durante la transmisión a nuestros servidores con cifrado SSL de 256 bits. Y cuando llega a nuestros servidores, el SSL se descifra y se almacena encriptado en la computadora del usuario con la clave RSA 2048.

  • ¿Pueden los motores de búsqueda indexar mis datos de formulario?

    JotForm evita que los motores de búsqueda indexen datos de envío. Los usuarios también pueden limitar el acceso a estos datos en sus propias cuentas, si desean hacerlo, y hacer que sus envíos sean inaccesibles para el público.

PREGUNTAS SOBRE SEGURIDAD DE DATOS

  • ¿Cómo almacenan los archivos cargados a mis formularios?

    Los archivos cargados a sus formularios son asignados a una URL compleja. Solo las personas que tienen esta URL puede descargar estos archivos. Sin embargo, si quiere incrementar la seguridad de sus archivos, puede restringir el acceso. Por ejemplo, para poder bajarlos se requiere que ingrese en su cuenta de JotForm en el mismo navegador. Lea más sobre esta función aquí.

  • ¿Qué copias de seguridad realizan? ¿Cuáles son las políticas de respaldo para el almacenamiento en la nube?

    Continuamente replicamos (respaldo en tiempo real) sus datos entre múltiples servidores alojados por nuestro proveedor de servicios primario Google Cloud. Además, todos los datos también se replican a AWS (nuestra plataforma secundaria) en tiempo real. Tomamos instantáneas de todos nuestros datos cada hora. Cada instantánea se almacena durante 30 días en el entorno de la nube.

  • ¿Maneja su organización información o transacciones de tarjeta de crédito? Si así es, ¿Cumplen con PCI DSS?

    JotForm cumple con PCI DSS y está certificado como Proveedor de Servicios de Seguridad Estándar de Datos de la Industria de Crédito de Pago (PCI DSS) Nivel I, el mayor logro de seguridad que puede tener como empresa que colecta pagos de, e integra con, tarjetas de crédito. Es decir, mientras que la mayoría de los pagos se procesan en la página propia de los procesadores, para PayPal Pro, Authorize.Net, Worldpay US y PayJunction, la información de la tarjeta de crédito se procesa en nuestros servidores PCI, pero no se almacena de ninguna manera. leer más aquí.

  • ¿Cuáles son los estándares de seguridad (HTTPS/Cifrado) de JotForm?

    Por defecto, JotForm utiliza el estándar de conexión TLSv1.2 además del cifrado SHA256/RSA para HTTPS. Para cifrar los envíos, JotForm utiliza claves RSA de 2048 bits.

  • ¿Cómo evitan ustedes los ataques XSS y SQL?

    Aplicamos las mejores prácticas para prevenir tales vulnerabilidades y revisamos activamente nuestro código de posibles problemas de seguridad. Adicionalmente evaluamos todas las opiniones de usuarios y los reportes del programa de compensación a la menor brevedad posible.

  • ¿Qué usan para protección de seguridad contra ataques maliciosos?

    Usamos CloudFlare para protección contra ataques de spam, phishing y DDOS y OSSEC para detección de intrusos y monitoreo de nuestros servidores.

  • ¿Quién tiene acceso a la información recopilada en nuestra base de datos en JotForm?

    Nuestros servidores tienen acceso restringido por red y nivel de autenticación. A nivel de red, solo se permite un número limitado de puntos de entrada VPN, y el firewall bloquea completamente el resto de las solicitudes de conexión. A nivel de autenticación, solo el equipo de Operaciones de Desarrollo, además de nuestro CTO y CEO, tienen credenciales para acceder a estos servidores.

  • ¿Ustedes realizan evaluaciones de vulnerabilidad internas y externas o pruebas de penetración?

    Sí, además de los escaneos PCI internos y externos, se realizan periódicamente pruebas de Penetración para JotForm. También tenemos un programa de recompensas en el que partes externas informan de las vulnerabilidades. Puede Leer más acerca de esto en la sección de Auditorías de Seguridad.

  • ¿Cuál es la politica de complejidad de password de su empresa?

    No tenemos una política de complejidad de contraseña. Las contraseñas están encriptadas con sal y SHA-256

  • ¿Tiene su empresa una política de detección de intrusos?

    JotForm tiene pruebas HIDS (Host Intrusion Detection System) en servidores de aplicaciones y pruebas NIDS (Network Intrusion Detection System) en las oficinas de desarrollo. Además, se aplican políticas de detección de intrusiones PCI, según lo definido por los requerimientos PCI.

  • ¿Qué tipo de diligencia obligatoria se hace para los empleados de su organización?

    Todos los empleados de JotForm deben pasar un riguroso proceso de selección al momento de la contratación. Además, todos deben firmar y estár sujetos a un acuerdo de confidencialidad (NDA).

PREGUNTAS SOBRE CENTROS DE DATOS

  • ¿Qué es Seguridad de Datos en su centro de datos y cualquiera de los certificados disponibles relacionados con Seguridad de Datos, Confidencialidad de los Datos, Transmisión Segura de Datos, etc.? ¿Un informe de cumplimiento de SOC 2?

    Todos los centros de dato en el que alojamos nuestros servidores cumplen con el más alto nivel estándares de seguridad. Nuestra plataforma primaria es Google Cloud y cumple con SSAE16 / ISAE 3402 Tipo II, SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Seguridad en la Nube), ISO 27018 (Privacidad en la Nube), PCI DSS v3.2 y HIPAA. Puede encontrar más información sobre la normativa de Google Cloud en https://cloud.google.com/security/compliance.

    Nuestra plataforma secundaria es Amazon Web Services(AWS) y cumple con ;SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Seguridad en la Nube), ISO 27018 (Privacidad en la Nube), PCI DSS Nivel 1 y HIPAA. Puede encontrar más información sobre el cumplimiento de la AWS en https://aws.amazon.com/compliance/ Si necesita más información sobre la seguridad de nuestros centros de datos, por favor llene este formulario de pedido.

  • ¿Dónde está el centro de datos? ¿Tienen servidores internos?

    Tenemos dos diferentes Plataformas en la Nube que alojan nuestros servidores. Nuestra plataforma primaria es Google Cloud y su centro de datos está ubicado en Iowa, EE.UU. La plataforma secundaria está alojada en los centros de datos de Amazon Web Services (AWS) y están ubicados en la UE y EE.UU. El datacenter AWS para la UE está ubicado en Frankfurt, Alemania y el datacenter AWS para EE.UU está localizado en Virginia, EE.UU. No tenemos ningún servidor interno.

  • ¿Qué es una conmutación por error de servidor?

    Nuestros servidores están administrados por una política de alta disponibilidad y son redundantes dentro de Google Cloud. También se replican en una segunda plataforma en la nube (AWS) que hace posible el cambio a una plataforma secundaria en una hora sin pérdida de datos.

  • ¿Son sus sistemas probados para detectar fallas de seguridad?

    Sí, nuestros sistemas se prueban regularmente contra amenazas externas e internas.

×