Why is JotForm Secure?

SSL 256-bit

Independentemente do seu plano, todos os seus formulários são atendidos através da conexão SSL (Secure Socket Layer) 256 bits que usa um certificado SHA256. Esse é o mesmo nível de proteção usado pelos bancos online ou fornecedores de e-commerce. Veja mais

Encrypted Forms

You can easily encrypt your forms to ensure that submission data is transferred and stored in a secure format and no one else can read it. Submissions are encrypted with high-grade RSA 2048 right at user's computer then transferred and stored in our servers securely. Veja mais

PCI Certification

JotForm is PCI DSS Service Provider Level 1 compliant, the highest security attainment you can have as a business that collects payments from, and integrates with, credit cards. Veja mais

GDPR Compliance

JotForm is fully compliant with the European Union’s General Data Protection Regulation (GDPR), the data protection law taking effect on May 25, 2018. This applies to any business that collects data in or from Europe. Veja mais

CCPA Compliance

JotForm is compliant with the California Consumer Privacy Act (CCPA), which protects California residents by requiring businesses to handle their online and offline data in a responsible manner. Veja mais

Conformidade HIPAA

Profissionais de saúde podem coletar informações de pacientes através dos formulários em conformidade com a HIPAA do JotForm. Um Acordo de Parceiro Comercial (BAA - Business Associate Agreement) também está disponível mediante solicitação. Veja mais

Proteção contra spam

In addition to the Captcha’s that you can use in your forms, we have several other options to protect your forms from spammers. For example, you can choose to allow only one submission per IP or computer, or you can disable your form after a specific time or number of submissions. Read More

Formulários seguros

Nas configurações de privacidade, você pode limitar o acesso aos seus dados, dependendo do nível de privacidade escolhido. Também é possível desativar a clonagem de seus formulários ou solicitar um login para acessar um envio (por padrão, isso é protegido por URLs exclusivos).

How you can make your forms even safer?

Make Your Forms Encrypted

You can easily encrypt your forms to ensure that submission data is transferred and stored in a secure format. JotForm uses the RSA-2048 algorithm while encrypting your form data. Since you own your encryption key, use caution storing it. If you lose your key, it is impossible to access your encrypted data anymore.

When you enable this feature and get a submission, notification emails sent by JotForm does not include any form submission data. You can learn more about how to encrypt your forms here.

Uploads de arquivos não estão cobertos por esse recurso. Você pode ler mais sobre a segurança de upload de arquivos nesta postagem.

Set Privacy of Your Forms and Data

Access to submissions of a form is protected and requires login to the account which owns that form. However, a single submission can be viewed if the unique, and almost impossible-to-guess URL of that single submission is known. If you think that you want additional privacy, you can add an extra layer of protection and require login in addition to the security provided by unique URL.

Como você possui a propriedade total de seus formulários e envios, o acesso aos seus dados é concedido apenas com sua permissão quando você usa um widget e/ou aplicativo de integração. Tenha certeza de que tratamos seus dados com a máxima confidencialidade.

Mantenha dados de usuários europeus em servidores

You can select to store your data in the European Union (EU) from the Data tab in your account settings. After confirmation, your form data will be copied to our European servers in Frankfurt, Germany, run by Amazon Web Services. Once the transfer is complete, you’ll be automatically redirected to eu.jotform.com upon login. There’s no need to worry about the safety of your data. JotForm is fully compliant with the EU’s General Data Protection Regulation.

With JotForm Enterprise, you can use geolocalization to host form data on servers in almost any part of the world. Since many countries — including Australia — have laws requiring this, it can be an invaluable tool for global businesses.

Back Up Your Data

Você pode realizar o backup de seus dados com um único clique na aba "Dados" nas configurações da sua conta. Ao iniciar uma operação de backup, começamos a preparar um único arquivo ZIP que contém o código HTML dos seus formulários, uma exportação em CSV dos envios de formulários e todos os arquivos enviados.

Esses backups podem ser baixados ou armazenados em nosso banco de dados. Se você deseja fazer backup apenas de seus formulários, também é possível fazer o download do código-fonte no formato zip e armazená-lo no armazenamento local nas opções de publicação.

Keep Your Forms Safe From Spammers

O JotForm oferece duas alternativas diferentes de CAPTCHA para dificultar o preenchimento do formulário por robôs enquanto ainda é facilmente acessível para as pessoas. Você pode usar um CAPTCHA básico ou reCAPTCHA conforme fornecido pelo Google.

We’ve also implemented multiple coding checks within the submission process to analyze if the submission is coming from a person. If spam does get through, our 24/7 support team will help identify the cause and credit your account, if necessary.

As an additional spam protection, you can also limit submissions to your form so that only one submission can be made from one IP address, or one computer. If you prefer, you can also enable both for greater protection. Furthermore, you may also choose for your forms to be disabled at a specific time or after a specific submission limit has been reached.

Service Level Agreements

JotForm has a near perfect uptime ratio of 99.9 percent, so you’ll always be able to access your data. You can check JotForm’s operational status in real time here. Our JotForm Enterprise service promises to meet the error response rates, resolution times, and uptime ratios outlined in your specific service level agreement (SLA). If these goals aren’t met, you will receive a partial refund as agreed upon in your signed Enterprise agreement.

What measures do we take to protect your data?

Data centers

Os servidores do JotForm estão localizados em uma arquitetura baseada em nuvem com o Google Cloud e o Amazon Web Services (AWS). Os data centers do Google Cloud estão hospedados em Iowa (EUA). Os data centers da AWS estão localizados na Alemanha, Frankfurt (UE) e EUA, Virgínia (EUA).

Os servidores do Google Cloud hospedam nossos servidores de aplicativos e dados redundantes na configuração ativo-ativo e todos os dados também são replicados nos servidores da AWS continuamente. Isso fornece uma redundância no nível da plataforma, além da redundância obtida com vários servidores na plataforma única. No caso de precisarmos mudar da plataforma principal (Google Cloud) para a plataforma secundária (AWS), essa arquitetura nos ajudará a realizar uma mudança fácil e rápida.

Hosting JotForm at these major cloud platforms also provides us some extra benefits in means of implementation of security best practices in areas like hardware lifecycle management, physical security and network infrastructure. Our servers are constantly updated and patched.

Dedicated Server Locations

If you’re a JotForm Enterprise user, you can choose the physical location of your dedicated cloud server and host your data in any part of the world — this is especially important for complying with data privacy rules and location requirements in places such as Australia, Canada, the U.K., and the EU. Whether you choose to keep your data server close to home or your audience, you’ll enjoy better security, reliability, and site latency. Only users and admins within your Enterprise account will be able access your data server.

Política de backup / Continuidade de negócios

Nós replicamos continuamente (backup em tempo real) seus dados entre vários servidores hospedados pelo nosso provedor principal de serviços Google Cloud. Além disso, todos os dados também são replicados para a AWS (nossa plataforma secundária) em tempo real. Tiramos instantâneos de todos os nossos dados a cada hora. Cada instantâneo é armazenado por 30 dias no ambiente de nuvem.

Single Sign-On (SSO)

With a JotForm Enterprise account, you can use single sign-on. A third-party login boosts security while making it easier for your employees to work together to run your business. You can still decide on login methods, track users’ actions, and maintain control of your account’s security.

You can also SSO-protect internal-facing forms with JotForm Enterprise. Users will need to be authenticated before viewing your form. That way, when you collect sensitive employee data, you can ensure the person submitting the form is who they say they are.

Encorajamos as melhores práticas de codificação

In addition to implementing features that increase security, we maintain best practices on the backend to ensure your account remains secure. We monitor sessions to restrict access of your account appropriately, and have constructed JotForm in a way that every account is isolated.

Criamos salvaguardas para detectar ataques comuns, como injeção de SQL e cross-site scripting. Mais importante, revisamos ativamente nosso código em busca de possíveis problemas de segurança (além de avaliar todos os feedbacks dos usuários) para que possamos resolver qualquer problema, se surgirem. Nossa declaração de privacidade refere-se ao nosso nível de comprometimento em garantir que seus dados não sejam usados de maneira incorreta.

All developed code is deployed to the production environment only after certain procedures including tests run on staging systems. Our continuous deployment system and development process allow us to rapidly update and patch our system whenever needed.

Auditorias de segurança

As verificações de PCI são realizadas para detectar qualquer tipo de vulnerabilidade das interfaces publicamente disponíveis regularmente. A cada trimestre, são realizados testes internos e externos de ASV (Approved Scanning Vendor ou, em português, Fornecedor de Digitalização Aprovado) para PCI. Além dessas varreduras de PCI, testes de intrusão são realizados periodicamente para o JotForm.

Também temos um programa de Bug Bounty, no qual oferecemos pagamentos por relatos de vulnerabilidades, o que garante que seremos os primeiros a ter conhecimento sobre elas. Corrigimos todos os problemas relatados ao nosso programa de recompensas de bugs com maior prioridade no menor tempo possível.

Segurança de rede

Temos uma camada de roteamento externa fornecida pelo CloudFlare que fornece filtragem básica para lidar e gerenciar qualquer potencial ataque DDoS (negação de serviço). As verificações de segurança são realizadas periodicamente, conforme descrito no capítulo de auditorias/VA/PT. Nossos servidores estão configurados para permitir apenas o nível mínimo absoluto de acesso necessário para mantê-los.

Todos os usuários, protocolos e portas desnecessários são desativados e monitorados. Nossos funcionários podem acessar os servidores somente por meio de uma rede privada virtual usando uma conexão criptografada de 2048 bits com chaves privadas. Além dos serviços de segurança de terceiros, nossa experiente equipe de operações de desenvolvimento monitora continuamente qualquer comportamento suspeito em todo o sistema.

Account Security

All account information is automatically encrypted when transferred. Unless you share your username and password with others, only you have access to your forms and submissions. You may add multiple users to your account with JotForm Enterprise.

Opções de segurança personalizáveis

No matter what industry you work in, JotForm wants to help create the perfect security controls for your needs. As an Enterprise user, you can easily request to enable, disable, or add specific security settings to your dedicated server! Contact our Enterprise team to learn more.

Perguntas e respostas

form security questions

  • Are there any security features available in the forms?

    Yes. Your forms are served across a protected, 256-bit Secure Sockets Layer (SSL) connection. When you choose to encrypt your forms, submissions transferred and stored after being encrypted with RSA-2048 key at internet browser of the user. Additionally, you can enable extra privacy and spam protection as defined under “How you can make your forms even safer?” section above.

  • Vocês armazenam todos os dados criptografados de formulários? Vocês enviam e-mails de notificação para formulários criptografados?

    Se você deseja criptografar seus formulários, os envios são transferidos e armazenados de forma criptografada. No entanto, os uploads de arquivos não são criptografados. Os e-mails de notificação para esses formulários não podem conter dados de envio e, portanto, não são criptografados.

  • Is our data protected, both in-transit and at-rest, if we were to use your system?

    Yes, if you encrypt your form, submission data is encrypted right at the user’s internet browser with RSA 2048. This encrypted data is once more encrypted during transmission to our servers with 256 bit SSL encryption. And when it reaches our servers SSL is decrypted and it is stored as encrypted in user’s computer with RSA 2048 key.

  • Can search engines index my form data?

    O JotForm desencoraja os mecanismos de pesquisa de indexar envios. Os usuários também podem limitar o acesso a envios para suas próprias contas, se desejarem, e tornar seus envios inacessíveis ao público.

data security questions

  • Como você armazena os uploads de arquivos enviados nos meus formulários?

    Files uploaded to your forms are assigned a very complex URL. Only people having this URL can download these files. However if you want increased security for your file uploads, you can restrict access. For example, to be able to download these files requires you to be logged in to your JotForm account within same browser. You can read more about this feature here.

  • What backups do you perform? What are the backup policies for cloud storage?

    Nós replicamos continuamente (backup em tempo real) seus dados entre vários servidores hospedados pelo nosso provedor principal de serviços Google Cloud. Além disso, todos os dados também são replicados para a AWS (nossa plataforma secundária) em tempo real. Tiramos instantâneos de todos os nossos dados a cada hora. Cada instantâneo é armazenado por 30 dias no ambiente de nuvem.

  • Sua organização lida com transações ou informações de cartão de crédito? Se este for o caso, você está em conformidade com o PCI DSS?

    JotForm is PCI DSS compliant and is Payment Credit Industry Data Security Standard (PCI DSS) Service Provider Level I certified, the highest security attainment you can have as a business that collects payments from, and integrates with, credit cards. That is, while most of the payments are processed in processors own page, for PayPal Pro, Authorize.Net, Worldpay US and PayJunction, credit card information is processed over our PCI servers, but not stored in any way. read more here.

  • What are JotForm’s security (HTTPS / Encryption) standards?

    Por padrão, o JotForm utiliza o padrão de conexão TLSv1.2 sobre a criptografia SHA256/RSA para HTTPS. Para criptografia de envios de formulários, o JotForm usa chaves RSA de 2048 bits.

  • How do you prevent XSS and SQL injections?

    Aplicamos as melhores práticas para evitar tais vulnerabilidades e revisamos ativamente nosso código para prevenir problemas de segurança. Além disso, avaliamos todos os comentários de usuários e relatórios de programas de recompensas no menor tempo possível.

  • Quais medidas de segurança vocês oferecem contra possíveis ataques maliciosos?

    We use CloudFlare for spam, phishing, and DDOS attack protection and OSSEC for intrusion detection and monitoring our servers.

  • Who has access to the information gathered in our database at JotForm?

    Our servers have restricted access by network and authentication level. On a network level, only a limited number of VPN entry-points are allowed, and the rest of the connection requests are completely blocked by our firewall. On an authentication level, only the Development Operations team, plus our CTO and CEO, have credentials to access these servers.

  • Do you conduct any internal or external vulnerability assessments or penetration testing?

    Yes. In addition to internal and external PCI scans, Pen-tests are performed periodically for JotForm. Also we have a bounty program where outside parties report vulnerabilities. You can Read More about it in Security Audits section above.

  • What is your company’s password complexity policy?

    Não temos política de complexidade de senha. As senhas são criptografadas com salt e SHA-256.

  • Does your company have an intrusion detection policy?

    O JotForm possui instâncias HIDS (Sistema de detecção de intrusão de host) nos servidores de aplicativos e instâncias NIDS (Sistema de detecção de intrusão de rede) nos escritórios de desenvolvimento. Além disso, as políticas de detecção de intrusões do PCI estão sendo aplicadas, conforme definido pelos requisitos do PCI.

  • What type of due diligence is performed on employees of your organization?

    All JotForm employees must pass a rigorous screening process at the time of hiring. Additionally, all employees must sign and are bound by a non-disclosure agreement (NDA).

data center questions

  • Qual é a Segurança de Dados em seu data center e quaisquer certificados disponíveis relacionados à Segurança de Dados, Confidencialidade de Dados, Transmissão Segura de Dados etc. Um relatório de conformidade com SOC 2?

    All data centers we host our servers have highest level compliance with security standards. Our primary platform is Google Cloud and it complies with; SSAE16 / ISAE 3402 Type II, SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Cloud Security), ISO 27018 (Cloud Privacy), PCI DSS v3.2 and HIPAA. You can find more information about Google Cloud compliance from https://cloud.google.com/security/compliance.

    Our secondary Platform is Amazon Web Services(AWS) and it complies with ;SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Cloud Security), ISO 27018 (Cloud Privacy), PCI DSS Level 1 and HIPAA. You can find more information about AWS compliance from https://aws.amazon.com/compliance/ If you need further information about security of our datacenters please fill in this request form.

  • Where is the datacenter? Do you have in-house servers?

    Usamos duas plataformas de nuvem diferentes para hospedar nossos servidores. Nosso principal é o Google Cloud e seu data center está localizado em Iowa, EUA. Os servidores de plataforma secundária estão hospedados nos data centers da Amazon Web Services (AWS) e estão localizados na UE e nos EUA. O data center da AWS na UE está localizado em Frankfurt, na Alemanha, e o data center da AWS nos EUA está localizado na Virgínia, EUA. Não temos servidores internos.

  • What is server failover?

    Nossos servidores são gerenciados por uma política de alta disponibilidade e são redundantes no Google Cloud. Eles também são replicados em uma segunda plataforma de nuvem (AWS), que possibilita a mudança para a plataforma secundária dentro de uma hora sem perda de dados.

  • Are your systems tested for security flaws?

    Yes, our systems are regularly tested against external and internal threats.

×