Mailchimp se toma muy en serio la seguridad y la privacidad de los datos, y reconocemos que nuestras medidas y prácticas de seguridad son importantes para ti. Aunque no podemos exponer demasiados detalles sobre nuestras prácticas (ya que puede dar poder a las mismas personas de las que nos protegemos), podemos proporcionarte información general para que tengas confianza en cómo protegemos los datos que nos confían.
Seguridad del centro de datos
- Mailchimp entrega miles de millones de correos electrónicos al mes a millones de usuarios. Utilizamos múltiples agentes de transferencia de correo (Mail Transfer Agent, MTA), ubicados en distintos centros de datos de clase mundial repartidos por Estados Unidos.
- Nuestros centros de datos gestionan la seguridad física las 24 horas al día, los 7 días de la semana, con escáneres biométricos y el material de alta tecnología habitual del que siempre presumen los centros de datos.
- Disponemos de mitigación DDOS en todos nuestros centros de datos.
- Tenemos un plan documentado de continuidad de la infraestructura "en caso de ataque nuclear a un centro de datos".
Protección contra la pérdida de datos y la corrupción
- Las cuentas de usuario se segregan entre sí a través de múltiples capas de lógica que evitan la corrupción y la superposición
- La infraestructura tecnológica de MailChimp incluye dispositivos de red como cortafuegos y herramientas IDS/IPS que están estratégicamente situados para controlar y supervisar el tráfico de red y evitar así la pérdida y corrupción de datos.
- Los datos de las cuentas se duplican y se hacen copias de seguridad periódicas fuera del sitio.
Seguridad a nivel de la aplicación
- Las contraseñas de las cuentas de Mailchimp están cifradas. Ni siquiera nuestro personal puede verlas. Si pierdes tu contraseña, no podrás recuperarla. Deberás restablecerla.
- Todas las páginas de inicio de sesión (desde nuestro sitio web y sitio web móvil) transmiten datos a través de TLS 1.2 o superior.
- Toda la aplicación de Mailchimp está encriptada con TLS 1.2 o superior.
- Las páginas de inicio de sesión y los ingresos mediante la API de Mailchimp cuentan con protección contra ataques de fuerza bruta.
- Ofrecemos la posibilidad de habilitar notificaciones por correo electrónico o SMS sobre actividades clave.
- Ofrecemos la posibilidad de habilitar la autenticación de dos factores (2FA) en tu cuenta de Mailchimp.
- A lo largo del año, realizamos regularmente pruebas de penetración de seguridad externas e internas con diferentes proveedores. Estas consisten en pruebas de penetración general en el servidor, pruebas detalladas de las vulnerabilidades dentro de la aplicación y simulacros de ingeniería social.
- Los resultados de nuestras pruebas de penetración se mantienen estrictamente confidenciales. Podemos confirmar que todos los hallazgos se atienden y se solucionan.
Seguridad interna de TI
- Las oficinas de Mailchimp están protegidas mediante un sistema de acceso biométrico y con tarjeta, y son vigiladas por cámaras infrarrojas.
- Las instalaciones de Mailchimp tienen al menos una estación de guardia/área de recepción con personal en las instalaciones.
- Nuestra red de oficinas está sólidamente segmentada y se supervisa de forma centralizada.
- Contamos con un equipo de seguridad interna dedicado que continuamente supervisa nuestro entorno en busca de vulnerabilidades. Realizan pruebas de penetración y ejercicios de ingeniería social en nuestro entorno y nuestros empleados. Nuestro equipo de seguridad incluye miembros certificados en OSCP y CISSP.
Seguridad y salvaguardas de los empleados
- Capacitamos continuamente a los empleados sobre las buenas prácticas de seguridad, como, por ejemplo, cómo identificar la ingeniería social, las estafas de phishing y los hackers.
- Los empleados de los equipos que tienen acceso a los datos de los clientes (como el servicio técnico y nuestros ingenieros) se someten a una comprobación de antecedentes penales y crediticios antes de ser contratados.
- Todos los nuevos empleados y trabajadores eventuales deben firmar acuerdos de confidencialidad y no divulgación. Además, deben asistir y certificar la finalización de la capacitación sobre el Código de Conducta de Intuit y las políticas de seguridad de la información, incluido el uso aceptable.
- Con el fin de proteger a nuestra empresa de distintas pérdidas, Mailchimp ha establecido un amplio programa de seguros. La cobertura incluye, sin limitación, cobertura de incidentes cibernéticos, incidentes de privacidad de datos (incluidos los gastos regulatorios), cobertura de responsabilidad general por error y omisión, cobertura de responsabilidad cibernética en exceso, cobertura de propiedad e interrupción de negocios, así como cobertura de responsabilidad general comercial internacional.
Certificaciones de conformidad de Mailchimp
El proveedor de procesamiento de tarjetas de crédito de Mailchimp utiliza medidas de seguridad para proteger tu información durante una transacción y después de que esta se haya completado. Nuestro proveedor tiene la certificación de conformidad con las iniciativas de seguridad de la asociación de tarjetas de crédito, entre ellas el Programa de seguridad de la información del titular de la tarjeta (CISP) de Visa, el Programa de protección de datos en el sitio de Mastercard® (SDP) y el Programa de seguridad de la información y cumplimiento (DISC).
Nuestros informes de SOC 2 abarcan los controles en cuanto a la seguridad, la disponibilidad y la integridad del proceso de los datos de los clientes.
El estándar 27001 de la Organización Internacional de Normalización (ISO 27001) es una norma de seguridad de la información que garantiza la gestión segura de las oficinas, los centros de desarrollo, los centros de apoyo y los centros de datos. Estas certificaciones tienen una duración de tres años (auditorías de renovación) y cuentan con auditorías anuales de contacto (auditorías de vigilancia).
Mailchimp también mantiene una VPAT, o Plantilla de accesibilidad voluntaria de productos (VPAT®). Es un documento que explica de qué manera los productos de tecnología informática y de comunicación (ICT), como software, hardware, contenido electrónico y documentación complementaria (cumplen) con las Normas 508 revisadas para accesibilidad informática.
Para acceder a nuestras certificaciones y descargarlas, visita el portal de Conformidad de Intuit aquí.
Protegemos tu cuenta y nos protegemos de ti
Sí, leíste bien. Podemos asegurarnos como Fort Knox; pero, si tu computadora se ve comprometida y alguien entra en tu cuenta de Mailchimp, eso no es bueno para nadie.
- Supervisamos y suspendemos automáticamente las cuentas en caso de que haya indicios de actividad de inicio de sesión irregular o sospechosa.
- Además de nuestros algoritmos escalables, utilizamos otra capa de revisores humanos, que vigilan la actividad anómala de las cuentas y del correo electrónico.
- Supervisamos las cuentas y la actividad de las campañas en busca de indicios de abuso.
- Ciertos cambios en tu cuenta, como la contraseña, generarán notificaciones por correo electrónico para el propietario de la cuenta.
- Ofrecemos la posibilidad de habilitar notificaciones por correo electrónico o SMS sobre actividades clave.
- Ofrecemos la posibilidad de habilitar la autenticación de dos factores (2FA) en tu cuenta de Mailchimp.
- Ofrecemos la posibilidad de establecer niveles escalonados de acceso dentro de las cuentas.
Inversión en tu privacidad
- Nuestro equipo de privacidad colabora con equipos de toda la organización para garantizar que nuestros productos y funciones cumplan con las legislación en materia de protección de datos y anti-spam aplicable.
- Revisamos y actualizamos regularmente las políticas legales que tienen un impacto en nuestra relación con usted.
- Nos comprometemos a cumplir con las leyes de protección de datos aplicables y a proporcionar a nuestros clientes las herramientas para ayudarlos con sus propios requisitos de cumplimiento.
- Contratamos a un bufete de abogados en la UE y el Reino Unido para asesorar sobre las leyes de privacidad y protección de datos.
- Nos sometemos a una verificación anual con un revisor de cumplimiento externo con sede en EE.UU. conforme al Marco de Privacidad de Datos UE-EE. UU. (DPF de UE-EE. UU.), la Extensión del Reino Unido al DPF de UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. (DPF de Suiza-EE. UU.). Intuit y Mailchimp se basan el DPF UE-EE. UU. para transferir datos y se basarán en la extensión del Reino Unido al DPF de UE-EE. UU. y DPF de Suiza-EE. UU una vez que los aprueben las autoridades correspondientes. Estamos sujetos a las facultades de investigación y cumplimiento de la Comisión Federal de Comercio. Puedes encontrar más información sobre Intuit y la certificación del marco de privacidad de datos de MailChimp aquí.
- Somos miembros de grupos como ESPC, M3AAWG, ISC2, ISACA, ISSA, SANS y más.
- Los directivos de nuestra organización de privacidad son miembros activos de la International Association of Privacy Professionals (IAPP) y poseen en conjunto las certificaciones de CIPP/US, CIPP/G, CIPP/E, CIPM y CIPT.
- Puedes encontrar información sobre el cumplimiento del RGPD aquí.
Programa de divulgación responsable
En Mailchimp nos comprometemos a garantizar la seguridad de nuestros servicios y de la información de los clientes. Como parte de este compromiso, animamos a los investigadores de seguridad a ponerse en contacto con nosotros para notificar cualquier posible debilidad identificada en cualquier producto, sistema o activo perteneciente a Intuit. Este programa no pretende representar un programa público de recompensas por errores, y no ofrecemos ninguna recompensa o compensación por enviar posibles problemas. Agradecemos tu compromiso por mejorar los servicios de Mailchimp.
Lineamientos para una divulgación responsable
Los investigadores de seguridad revelarán posibles debilidades de acuerdo con los siguientes lineamientos:
Qué hacer
- Comparte el problema de seguridad con nosotros antes de hacerlo público (por ejemplo, en tableros de mensajes, listas de correo u otros foros).
- Espera a que te notifiquemos que la vulnerabilidad ya se resolvió antes de divulgarla a terceros. Nos centramos en la seguridad de nuestros clientes y nuestros sistemas, y algunas vulnerabilidades tardan más que otras en solucionarse.
- Proporciona una descripción clara y concisa de los pasos necesarios para reproducir cualquier vulnerabilidad que envíes.
- Proporciona los detalles completos relacionados con el problema de seguridad, incluida la URL de la prueba de concepto (proof-of-concept, POC), así como los detalles del sistema o sistemas donde se realizaron las pruebas.
No
- No causes daño a Mailchimp, Intuit, sus clientes, accionistas, socios o empleados.
- No participes en ningún acto que pudiera causar una interrupción o detener cualquiera de los servicios de Mailchimp.
- No participes en actividades ilegales ni en actos que infrinjan las leyes o reglamentos internacionales, ni las leyes o reglamentos federales o estatales.
- No almacenes, compartas, comprometas ni destruyas ningún dato de Mailchimp o de los clientes mientras realizas las actividades de investigación. Si encuentras información personal identificable (IPI), debes parar y notificarlo inmediatamente a Mailchimp.
- No lleves a cabo actividades ni transacciones financieras fraudulentas como parte de tu investigación.
Vulnerabilidades fuera del alcance
Los siguientes tipos de vulnerabilidades están fuera del alcance de este programa:
- Phishing
- Ingeniería social
- Evaluaciones de seguridad física
- Cualquier forma de ataque de denegación de servicio (denial of service, DoS)
Lineamientos para el envío
Todas las posibles deficiencias enviadas deben incluir información suficiente para reproducir y validar el problema. La documentación debe incluir un resumen detallado del problema, los objetivos, los pasos realizados, capturas de pantalla, las herramientas utilizadas y cualquier información que ayude a Intuit durante el triaje.
Si sigues estos lineamientos y revelaa de manera responsable cualquier fallo de seguridad directamente a Intuit, nos comprometemos a no emprender acciones legales contra ti. Mailchimp se reserva sus derechos legales en caso de incumplimiento de los lineamientos del programa.
Mailchimp revisará y reconocerá de inmediato cualquier problema enviado dentro de los tres días hábiles posteriores al envío a través de su formulario web, que encuentras aquí: Formulario de divulgación responsable