¿Qué significa la privacidad para una Plataforma de Experimentación?
A medida que los datos impulsan los experimentos, mantener la confidencialidad y la seguridad de estos datos se vuelve esencial. Si es una empresa que realiza experimentos, se rige por las leyes de cumplimiento, seguridad y privacidad de datos aplicables en su región. Por lo tanto, resulta esencial que elija una herramienta de experimentación que dé prioridad a la privacidad.
Entonces surge la pregunta: ¿Cómo saber si se puede confiar en que una plataforma de experimentación cumpla con los criterios necesarios relacionados con la privacidad? Para determinar esto, es necesario evaluar qué tipo de datos recopila la plataforma, dónde se almacenan, cómo se utilizan y si existen riesgos de seguridad, privacidad y cumplimiento.
En este artículo, hemos respondido estas preguntas cruciales en el ámbito de VWO.
En VWO creemos que la privacidad es un derecho humano fundamental. Nos comprometemos a brindarle productos, información, controles y transparencia que le permitan elegir cómo se procesa su información y la de sus usuarios, visitantes y clientes. Le debemos nuestro crecimiento a nuestros clientes y ganarnos su confianza es nuestra máxima prioridad. Por lo tanto, mantener la confidencialidad de los datos de los clientes y cumplir con las normas es primordial para nosotros.
La seguridad es el núcleo de cómo construimos nuestros productos, políticas y procesos para proporcionar una alta resiliencia. Seguimos principios de seguridad por diseño para proteger los sistemas de información y la información del cliente para que pueda experimentar y crear la mejor experiencia para el cliente utilizando la plataforma en la que realmente confía.
¿Qué datos recopila VWO?
La totalidad de los datos recopilados por VWO se clasifican en las dos categorías siguientes:
- Datos de la cuenta del cliente: Estos son los datos del cliente de VWO, asociados con su compra y uso de la plataforma y los servicios de VWO Experimentación. Estos datos incluyen información de inicio de sesión y contacto de los clientes, configuraciones de campaña, configuraciones de cuentas, configuraciones de facturación y otros datos similares necesarios para usar y ejecutar la aplicación VWO.
- Datos del usuario: Estos son los datos de los visitantes o usuarios finales (que llegan a los sitios web/aplicaciones de los clientes) recopilados como parte de las campañas ejecutadas a través de VWO. Estos datos impulsan todas las funciones de la aplicación VWO, es decir, grabaciones de sesiones, mapas de calor, encuestas, pruebas A/B, MVT, etc.
Los servidores de VWO recopilan y almacenan información UUID (Identificador único de usuario) en formato seudonimizado. Un UUID es un número de 128 bits que se utiliza para identificar información en los sistemas informáticos. Como VWO utiliza un seudónimo del UUID antes de almacenarlo mediante una función de hash unidireccional, la información que puede apuntar a la identidad de un visitante se reemplaza por seudónimos y la identidad queda protegida.
Los servidores de VWO almacenan datos de agentes de usuario, incluida la siguiente información para los clientes que utilizan la segmentación de informes en la plataforma de experimentación de VWO:
- Dirección IP del visitante en formato anónimo.
- URL de referencia para saber desde dónde llegó el visitante a su sitio web.
- Tipo de visitante: nuevo o recurrente.
- Una ubicación como país, ciudad y región. Puede seleccionar qué nivel de información de ubicación desea almacenar aquí.
- Información sobre el dispositivo utilizado para acceder al sitio web, incluido el sistema operativo, el agente de usuario, el dispositivo móvil/tableta/escritorio y el navegador.
- Los datos sobre el tiempo de acción del visitante o los objetivos incluyen clics, desplazamientos, ingresos, etc.
Estos datos se recopilan cuando el usuario final o visitante interactúa con su sitio web.
Para uno de nuestros productos, &39;VWO Insights&39;, los servidores VWO procesan tipos de datos adicionales para mapas de calor, grabaciones de sesiones, encuestas y otras funciones que brindan información sobre el comportamiento de los visitantes:
- Grabaciones de las acciones de los visitantes en el sitio web para analizar el comportamiento de los visitantes en formato de vídeo.
- Desplácese por los datos para comprender la profundidad de la interacción del usuario en el contenido de su sitio web.
- Movimientos del mouse para analizar el comportamiento de los visitantes en una página.
- Mutaciones.
- Orientación del dispositivo y comportamiento de cambio para dispositivos móviles.
- Contenido HTML de la página web.
Para conocer los motivos legales para el procesamiento de datos, los derechos de los interesados y los fines del procesamiento de datos personales, consulte nuestra política de privacidad.
¿Dónde almacena VWO los datos?
VWO siempre ha cumplido plenamente con el RGPD. Históricamente, los datos de los clientes de VWO y de sus usuarios se han almacenado y procesado en el centro de datos con sede en EE. UU., cumpliendo con la ley GDPR. Este centro de datos presta servicio a más de 2500 clientes satisfechos en todo el mundo, más de mil en la Unión Europea.
Dimos el siguiente paso natural con un compromiso continuo con la privacidad y la seguridad. Recientemente lanzamos un centro de datos de la Unión Europea (UE) para garantizar que los datos de los usuarios no salgan de las fronteras internacionales de la UE. Ubicado en Bélgica (Europa-oeste1 de GCP), este centro de datos está dirigido a quienes prefieren almacenar y administrar los datos de sus usuarios finales dentro de la UE. Los datos de los visitantes procesados por VWO cumplen con el Acuerdo de protección de datos (DPA) para las entidades que eligen configurar sus cuentas con este centro de datos.
¿Qué tan seguros están tus datos con VWO? ¿Se puede filtrar, distribuir o acceder a él?
La plataforma de nivel empresarial de VWO se ha diseñado teniendo en cuenta el alto nivel de seguridad que esperan las empresas de clase mundial. Con VWO, puede estar seguro de que todos los datos que almacenemos permanecerán seguros, confidenciales y accesibles. Por seguro queremos decir que los datos estarán protegidos contra cualquier tipo de pérdida o corrupción. Confidencial significa que el acceso a los datos se otorga únicamente al personal autorizado, y por accesible queremos decir que los datos están disponibles solo para los usuarios autorizados cuando sea necesario.
Esta garantía de protección de datos proviene de una combinación de seguridad física y de código, acceso a aplicaciones configurables, análisis periódicos de vulnerabilidades y disponibilidad constante de datos. Puede leer más sobre esto en nuestro artículo de la base de conocimientos.
¿Cómo gestiona VWO la eliminación y el acceso a datos?
De forma predeterminada, VWO identifica y anonimiza cualquier información de identificación personal (PII) o datos confidenciales de los usuarios antes de almacenarlos en sus servidores. La PII incluye contraseñas, números de seguro social, teléfono, información de tarjetas y otros datos personales.
Para cuentas eliminadas o vencidas, los datos se eliminan dentro de 45 a 90 días a partir de la fecha de vencimiento. Como cliente de VWO, puede escribir al soporte de VWO solicitando la eliminación inmediata de cuentas o datos de usuario específicos si desea priorizar esto.
VWO ha establecido políticas y procedimientos para deshacerse de medios electrónicos y físicos que contienen PII, datos de cuentas e información sensible y confidencial para garantizar la seguridad de los datos de sus servidores. Puede leer más al respecto en nuestro artículo de la base de conocimientos.
¿Cómo se alinea la estrategia de producto de VWO con nuestro enfoque de priorizar la privacidad?
En VWO, nos respaldamos con sólidas prácticas de privacidad y seguridad de datos que forman una parte integral de la ingeniería y el desarrollo de nuestros productos. Estos principios tienen un marco sólido para construir sistemas seguros que aborden todos los vectores de amenazas por defecto y por diseño.
De acuerdo con esto, las siguientes configuraciones son parte de nuestro conjunto de productos:
1. Puede excluir a sus visitantes del seguimiento de VWO sin obstaculizar su experiencia en su sitio web.
Aunque VWO nunca rastrea los datos personales del usuario final, sus visitantes tienen la opción de optar por no ser rastreados por VWO.
Como propietario de un sitio web, puede hacer que sus visitantes opten por no participar en VWO generando un enlace de exclusión voluntaria y compartiéndolo con los visitantes de su sitio web o utilizando la API de exclusión voluntaria de VWO.
La API de exclusión voluntaria tiene dos versiones. Cuando activa esta API en la primera versión, todas las cookies de VWO se eliminan y VWO detiene el seguimiento de visitantes de inmediato. Si el visitante en cuestión regresa a la página, aún así no será considerado para el seguimiento de VWO. Por lo tanto, no verán ningún cambio en la campaña cuando vuelvan a visitarla.
En la segunda versión, puede excluir a un visitante del seguimiento de VWO pero aún mostrar la experiencia (cambios de campaña) que vio anteriormente. Por ejemplo, digamos que un visitante ha visto la variación A de una campaña específica y ahora desea excluirlo del seguimiento de VWO mientras muestra la misma variación al visitante en sus visitas posteriores. Cuando activa esta API, VWO detiene el seguimiento de visitantes inmediatamente. Sin embargo, los visitantes siguen viendo la misma variación de la que formaban parte anteriormente.
2. Puede solicitar fácilmente el consentimiento antes de recopilar datos de los visitantes y puede hacerlo de forma más responsable que antes.
En vista de las leyes de protección de datos aplicables, es necesario mostrar un banner de cookies que informe a los visitantes sobre las cookies u obtener el consentimiento antes de rastrear sus datos. Esto garantiza que solo podrá hacerlo con su permiso si utiliza herramientas/scripts en su sitio web para identificar personas y su información personal.
VWO le ofrece la opción de configurar activadores de VWO Insights para que pueda realizar un seguimiento de los datos de los visitantes de forma más cuidadosa, responsable y con consentimiento. Cualquier acción del visitante se puede utilizar para activar la recopilación de datos de Insights. Puede escribir código JavaScript personalizado que pueda escuchar las acciones de los visitantes y decidir en función del tipo de páginas visitadas o cualquier escenario que desee validar antes de recopilar datos de Insights. Este artículo de la base de conocimientos describe el proceso de configuración de un activador personalizado en VWO.
¿Cómo garantizamos el cumplimiento de las cookies?
VWO utiliza cookies y almacenamiento local para comprender el comportamiento de los visitantes y realizar un seguimiento de los recorridos de los visitantes en su sitio web para ofrecer las mejores experiencias. Las cookies identifican la variación en un experimento que ve el visitante y ayudan a ofrecer la misma variación al visitante de manera consistente. Estas cookies también rastrean las acciones de los visitantes, determinan si son parte de una campaña, etc. Sin embargo, la única información que VWO recopila sobre una cookie es una identificación del visitante, es decir, un UUID explicado anteriormente que no contiene ningún dato personal. Este UUID ayuda a distinguir a un visitante de otro, pero VWO no puede rastrear ni identificar a ningún individuo o consumidor.
Como parte de los requisitos de cumplimiento de las leyes y regulaciones de protección de datos aplicables, como GDPR, PECR, CCPA, etc., es necesario obtener el consentimiento informado de los visitantes antes de implementar cookies o rastreadores para procesar sus datos. VWO no recopila ninguna información confidencial. Sin embargo, como usuario, la decisión de implementar VWO con el consentimiento de las cookies o no depende totalmente de usted. Consulte siempre a su asesor legal para determinar qué implementación es adecuada para usted. Pueden ayudarle a tomar una decisión informada teniendo en cuenta las normas de privacidad de datos de los países en los que opera.
El VWO SmartCode es un fragmento de código generado automáticamente que debe agregar para habilitar VWO en su sitio web. Puede optar por ejecutar el SmartCode sin el consentimiento del visitante, es decir, no necesita ningún permiso antes de implementar cookies o rastreadores para procesar los datos de los visitantes. También puede optar por ejecutar el SmartCode después de obtener el consentimiento de los visitantes (esto es para VWO Insights y Engage; las campañas de prueba se ejecutan sin el permiso de los visitantes). También puede optar por la ejecución condicional: aquí, el SmartCode se ejecuta sólo después de obtener el consentimiento de los visitantes, independientemente del producto que esté utilizando. Además, VWO se comunica con los administradores de consentimiento de cookies mediante devolución de llamada cuando el visitante acepta o rechaza la cookie, lo que le permite ejecutar el SmartCode según un consentimiento válido.
Dependiendo de las normas de privacidad de datos de los países en los que opera, puede tomar una decisión informada. Este artículo de la base de conocimientos analiza la elección del método correcto para implementar SmartCode.
¿Cómo garantiza VWO la seguridad?
Más de 2500 clientes confían sus datos a la plataforma de optimización de experiencia VWO, y esta responsabilidad es algo que nos tomamos muy en serio. Todos los datos que llegan a los servidores de VWO desde grabaciones, respuestas a encuestas o la dimensión personalizada se cifran utilizando el algoritmo de cifrado AES-256 estándar de la industria. Puede leer este artículo de la base de conocimientos para obtener más detalles.
También hemos incorporado fundamentos de seguridad en los siguientes aspectos de nuestras operaciones diarias:
Estructura organizacional y gobierno
Wingify (creadores de VWO) ha establecido un Equipo Corporativo de Seguridad y Cumplimiento (CSC) compuesto por personal clave cuya responsabilidad es identificar problemas de seguridad y cumplimiento en toda la empresa. Este equipo actúa como la primera línea de defensa para mejorar la postura adecuada de seguridad y cumplimiento. Este equipo reporta al CEO.
Gestión de riesgos – ISO
ISO/IEC 27701:2019 (ISO 27701) es un estándar de privacidad global reconocido internacionalmente que se centra en la recopilación y el procesamiento de información de identificación personal (PII). Cualquier auditoría ISO/IEC 27701 requiere que la organización declare las leyes/regulaciones aplicables en sus criterios para la auditoría. Esto significa que el estándar se puede asignar a muchos de los requisitos del RGPD, la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes. Una vez mapeados, los profesionales de la privacidad implementan los controles operativos ISO/IEC 27701 y son auditados por auditores internos o externos, lo que da como resultado una certificación y evidencia integral de conformidad.
VWO ha recibido una certificación ISO/IEC 27701:2019 como procesador y controlador de PII después de someterse a una auditoría por parte de un tercero independiente.
ISO/IEC 27001:2013 (ISO 27001) es un marco reconocido internacionalmente que especifica los requisitos para establecer, implementar, mantener y mejorar la gestión de la seguridad de la información dentro de una organización. VWO ha recibido la certificación ISO 27001:2013 de la British Standards Institution (BSI), la empresa de normalización internacional. La certificación ISO 27001:2013 demuestra nuestro compromiso con la seguridad de la información en todos los niveles. El cumplimiento de este estándar reconocido internacionalmente y validado por una auditoría independiente de terceros confirma que nuestro programa de gestión de seguridad es integral y sigue prácticas líderes en la industria.
Gestión de Acceso
A todos los usuarios de una cuenta VWO se les asigna un nivel de acceso que determina las acciones que los usuarios pueden realizar en la cuenta VWO. Si es propietario o administrador de una cuenta, puede cambiar el nivel de acceso en cualquier momento.
Gestión de autenticación y contraseñas.
Para garantizar la santidad de su cuenta VWO, hemos agregado una capa adicional de seguridad en forma de autenticación de dos factores (2FA) que evita que los delincuentes accedan a sus datos, incluso si conocen su contraseña.
La autenticación de dos factores (2FA) se basa en dos medidas de seguridad para evitar que intrusos obtengan acceso a su cuenta VWO. Una vez que 2FA esté habilitado, para iniciar sesión en su cuenta, deberá proporcionar algo que sepa, es decir, su contraseña, y algo que tenga, es decir, un código único de seis dígitos enviado a su correo electrónico en el momento de iniciar sesión. (o utilizando aplicaciones populares basadas en TOTP para generar el código).
Con 2FA, puede asegurarse de que su cuenta no se vea comprometida incluso si un virus malicioso expone su contraseña o si los piratas informáticos obtienen acceso a su contraseña por fuerza bruta.
Gestión de sesiones
Cada vez que un usuario de VWO inicia sesión en la cuenta de VWO, el sistema asigna un nuevo identificador de sesión para el usuario. El identificador de sesión es un valor generado aleatoriamente de 64 bytes para proteger la cuenta contra ataques de fuerza bruta. Después de siete días, todas las sesiones caducan, lo que requiere que los usuarios vuelvan a iniciar sesión en su cuenta. Además, todas las sesiones activas expiran después de 4 horas de inactividad.
Seguridad de red y transmisión.
VWO está alojado en servidores seguros administrados por GCP. Cualquier acceso físico a los centros de datos de GCP está restringido a todos. Los firewalls se configuran utilizando las mejores prácticas de la industria y se bloquean todos los puertos innecesarios.
Como usuario de VWO, siempre está conectado a la aplicación web de VWO a través de HTTPS utilizando Transport Layer Security (TLS) versión 1.2 y superior, un protocolo criptográfico diseñado para proteger contra escuchas, manipulación y falsificación de mensajes.
Control de acceso
Puede asignar roles y permisos a cada usuario que agregue a su cuenta para garantizar un nivel adecuado de acceso a su cuenta VWO. Puede restringir el acceso a su cuenta VWO a direcciones IP específicas. También puede habilitar alertas para enviarle correos electrónicos cada vez que se produzcan actividades particulares en su cuenta.
Acceso interno a los datos.
Solo el vicepresidente senior de ingeniería y los ingenieros principales pueden acceder a los datos almacenados en los servidores de producción de VWO. Ningún otro miembro de VWO tiene acceso a los datos del cliente a menos que el director ejecutivo y el vicepresidente senior de ingeniería otorguen un permiso de acceso específico para resolver problemas técnicos.
La seguridad en la ingeniería como parte del desarrollo de productos.
Los controles de calidad exhaustivos son una parte integral de nuestro proceso de desarrollo. Ningún código se activa a menos que lo revise y apruebe el equipo de control de calidad. El entorno de ensayo o prueba está completamente separado de la producción y no utiliza ningún dato de producción. Cualquier característica nueva pasa por una revisión de seguridad antes de implementarse en producción. Además, se llevan a cabo auditorías externas VAPT (evaluación de vulnerabilidades y pruebas de penetración) a nivel del sistema para evaluar posibles vulnerabilidades.
Filtración de datos
En caso de una violación de la seguridad de los datos, notificamos a nuestros clientes dentro de las cuarenta y ocho horas posteriores a la detección del incidente. Contamos con políticas y procedimientos de gestión de incidentes para manejar dichos eventos o emergencias.
¿Qué significa todo esto para los clientes de VWO?
Como cliente de VWO, lo que esto significa para usted en pocas palabras es lo siguiente:
- VWO recopila únicamente los datos necesarios por motivos de seguridad y con fines de mejora de productos, marketing y análisis, y con el consentimiento de sus visitantes. Cualquier información personal, si se recopila, se anonimiza.
- Estos datos se almacenan de forma segura y según las leyes de protección de datos aplicables, incluidas GDPR, PIPEDA, CCPA, POPIA, DPDPA, etc.
- Estos datos permanecen seguros, confidenciales y accesibles para usted en todo momento.
- Procesos sólidos y seguros rigen la eliminación de datos si su cuenta con nosotros se elimina o vence.
- La privacidad forma una parte integral de nuestra estrategia de producto y cualquier mejora del producto está diseñada según los principios de privacidad.
- Garantizamos el cumplimiento de las cookies como parte de políticas de protección de datos como GDPR.
- Garantizamos la seguridad de sus datos con la ayuda de nuestro Equipo Corporativo de Seguridad y Cumplimiento al obtener y mantener la certificación de seguridad de la información a través de una sólida gestión de acceso, contraseñas y sesiones, y políticas relevantes de gestión de desastres.
Nuestro Equipo Corporativo de Seguridad y Cumplimiento, junto con miembros de nuestro liderazgo senior, han tomado las siguientes medidas:
- Hemos creado conciencia en toda la organización a través de debates frecuentes en nuestros canales internos y hemos capacitado a los empleados para manejar los datos de manera adecuada.
- Hemos evaluado todos nuestros productos individualmente según los requisitos del RGPD. Hemos implementado nuevas funciones que le brindarán más control sobre sus datos y aliviarán la carga de lograr el cumplimiento del RGPD.
- Hemos designado defensores internos de la confianza en la privacidad para todos nuestros equipos. También hemos establecido un Delegado de Protección de Datos (DPO).
- Nuestros equipos de aplicaciones han adoptado el concepto de privacidad desde el diseño y le han brindado más control sobre los datos que almacena en nuestros sistemas. Nos esforzamos constantemente por ofrecerle más mejoras, implementadas en fases. Hemos implementado salvaguardas organizativas, técnicas, administrativas y físicas apropiadas para proteger la seguridad, confidencialidad, integridad y privacidad de la información personal y los datos de los clientes de nuestra organización.
Con estas medidas implementadas, como cliente de VWO, usted cumple con las leyes de privacidad, sus datos están seguros con nosotros y la privacidad de los visitantes de su sitio web se respeta y protege en todo momento.
Como propietario de un experimento, no es suficiente que simplemente sea consciente de su privacidad. Deberá priorizar la privacidad de los datos e integrarla en su pila de experimentación, así como en su hoja de ruta. Puede ponerse en contacto con nuestros expertos en productos si desea comprender más sobre cómo VWO puede ayudarlo a lograrlo.