Como empresa que se toma muy en serio la seguridad y la privacidad de los datos, reconocemos que las prácticas de seguridad de la información de Mailchimp son importantes para ti. Aunque no nos gusta exponer demasiados detalles sobre nuestras prácticas (ya que puede dar poder a las mismas personas de las que nos protegemos), a continuación te damos información general para que tengas confianza en cómo protegemos los datos que se nos confían.
Seguridad del centro de datos
- Mailchimp entrega miles de millones de correos electrónicos al mes a millones de usuarios. Utilizamos múltiples agentes de transferencia de correo (Mail Transfer Agent, MTA), ubicados en distintos centros de datos de clase mundial repartidos por Estados Unidos.
- Nuestros centros de datos gestionan la seguridad física las 24 horas al día, los 7 días a la semana, con escáneres biométricos y el habitual material de alta tecnología del que siempre presumen los centros de datos.
- Disponemos de mitigación DDOS en todos nuestros centros de datos.
- Tenemos un plan documentado de continuidad de la infraestructura "en caso de ataque nuclear a un centro de datos".
Protección contra la pérdida de datos y la corrupción
- Todas las bases de datos se conservan de forma separada para evitar el mal uso y la suplantación. Tenemos múltiples capas de lógica que segregan las cuentas de los usuarios entre sí.
- Los datos de las cuentas se duplican y se hacen copias de seguridad periódicas fuera del sitio.
Seguridad a nivel de la aplicación
- Las contraseñas de las cuentas de Mailchimp están cifradas. Ni siquiera nuestro personal puede verlas. Si pierdes tu contraseña, no podrás recuperarla. Deberás restablecerla.
- Todas las páginas de inicio de sesión (de nuestro sitio web y del sitio web para móviles) pasan los datos a través de TLS 1.2.
- Toda la aplicación de Mailchimp está cifrada con TLS 1.2.
- Las páginas de inicio de sesión y los inicios de sesión mediante la API de Mailchimp disponen de protección frente a ataques de fuerza bruta.
- A lo largo del año, realizamos regularmente pruebas de penetración de seguridad externas con diferentes proveedores. Las pruebas consisten en pruebas de penetración en el servidor de alto nivel, pruebas en profundidad de las vulnerabilidades dentro de la aplicación y simulacros de ingeniería social.
Seguridad interna de TIC
- Las oficinas de Mailchimp están protegidas mediante un sistema de acceso con tarjeta y biométrico, y vigiladas por cámaras de infrarrojos.
- Nuestra red de oficinas está fuertemente segmentada y se supervisa de forma centralizada.
- Contamos con un equipo de seguridad interna de dedicación exclusiva que continuamente supervisa nuestro entorno en busca de vulnerabilidades. Realizan pruebas de penetración y ejercicios de ingeniería social en nuestro entorno y nuestros empleados. Nuestro equipo de seguridad incluye miembros certificados en OSCP y CISSP.
Formación y protocolo internos
- Formamos continuamente a los empleados en buenas prácticas de seguridad, como, por ejemplo, cómo identificar la ingeniería social, las estafas de phishing y los hackers.
- Los empleados de los equipos que tienen acceso a los datos de los clientes (como el servicio técnico y nuestros ingenieros) se someten a una comprobación de antecedentes penales y crediticios antes de ser contratados.
- Todos los empleados firman un Acuerdo de Protección de la Privacidad en el que se describe su responsabilidad en la protección de los datos de los clientes.
- Con el fin de proteger a nuestra empresa de distintas pérdidas, Mailchimp ha establecido un amplio programa de seguros. La cobertura incluye, sin limitación, cobertura de incidentes cibernéticos, incidentes de privacidad de datos (incluidos los gastos regulatorios), cobertura de responsabilidad general por error y omisión, cobertura de responsabilidad cibernética en exceso, cobertura de propiedad e interrupción de negocios, así como cobertura de responsabilidad general comercial internacional.
Certificación PCI DSS conforme a SOC II
Nuestro proveedor de procesamiento de tarjetas de crédito en Mailchimp utiliza medidas de seguridad para proteger tu información durante una transacción y después de esta se haya completado. Nuestro proveedor tiene la certificación de compatibilidad con las iniciativas de seguridad de la asociación de tarjetas de crédito, incluidos el Programa de seguridad de la información del titular de la tarjeta (CISP), el Programa de protección de datos en el sitio de Mastercard® (SDP) y el Programa de seguridad de la información y cumplimiento de Discovery (DISC). También realizamos auditorías de SOC II anuales.
Facilitamos nuestro informe SOC II previa petición. Haz clic en "Solicitar informe" y déjanos cualquier pregunta que puedas tener.
Certificación ISO 27001
El estándar 27001 de la Organización Internacional de Normalización (ISO 27001) es una norma de seguridad de la información que garantiza la gestión segura de las oficinas, los centros de desarrollo, los centros de apoyo y los centros de datos. Estas certificaciones tienen una duración de tres años (auditorías de renovación) y cuentan con auditorías anuales de contacto (auditorías de vigilancia).
Nos protegemos contra ti
Sí, has leído bien. Podemos asegurarnos como Fort Knox; pero, si tu ordenador se ve comprometido y alguien entra en tu cuenta de Mailchimp, eso no es bueno para ninguno de nosotros.
- Supervisamos y suspendemos automáticamente las cuentas en caso de que haya indicios de actividad de inicio de sesión irregular o sospechosa.
- Ciertos cambios en tu cuenta, como la contraseña, darán lugar a notificaciones por correo electrónico al propietario de la cuenta.
- Supervisamos las cuentas y la actividad de las campañas en busca de indicios de abuso.
- Además de nuestros algoritmos escalables, empleamos otra capa de revisores humanos, que vigilan la actividad anómala de las cuentas y del correo electrónico.
- Ofrecemos la posibilidad de establecer niveles de acceso dentro de las cuentas.
Inversión en tu privacidad
- Nuestro equipo jurídico colabora con nuestros desarrolladores e ingenieros para asegurarse de que nuestros productos y funciones cumplen con la legislación internacional aplicable en materia de spam y privacidad.
- Contratamos a un bufete de abogados del Reino Unido para que nos asesore en cuestiones de privacidad de la UE.
- Nos sometemos a una verificación anual con un revisor de cumplimiento externo con sede en EE. UU. en el marco del programa de verificación del Escudo de Privacidad, y hemos certificado nuestro cumplimiento de los marcos del Escudo de Privacidad UE-EE. UU./Suiza-EE. UU.
- Somos miembros de ANA, ESPC, OTA y MAAWG.
- Nuestros abogados corporativos y el Gestor de Conformidad Legal son miembros activos de la Asociación Internacional de Profesionales de la Privacidad (International Association of Privacy Professionals, IAPP) y poseen colectivamente las certificaciones CIPP/US, CIPP/G y CIPP/E.
Programa de divulgación responsable
En Mailchimp nos comprometemos a garantizar la seguridad de nuestros servicios y de la información de los clientes. Como parte de este compromiso, animamos a los investigadores de seguridad a ponerse en contacto con nosotros para notificar cualquier posible debilidad identificada en cualquier producto, sistema o activo perteneciente a Intuit. Este programa no pretende representar un programa público de recompensas por errores, y no ofrecemos ninguna recompensa o compensación por enviar posibles problemas. Agradecemos tu compromiso por mejorar los servicios de Mailchimp.
Directrices para una divulgación responsable
Los investigadores de seguridad divulgarán debilidades potenciales en cumplimiento de las siguientes directrices:
Qué hacer
- Comparte el problema de seguridad con nosotros antes de hacerlo público (p. ej., en tablones de anuncios, listas de correo u otros foros).
- Espera a que te notifiquemos que la vulnerabilidad ha sido resuelta antes de divulgarla a terceros. Nos centramos en la seguridad de nuestros clientes y nuestros sistemas, y algunas vulnerabilidades tardan más que otras en solucionarse.
- Proporciona una descripción clara y concisa de los pasos necesarios para reproducir cualquier vulnerabilidad que envíes.
- Proporciona los detalles completos relacionados con el problema de seguridad, incluida la URL de la prueba de concepto (proof-of-concept, POC), así como los detalles del sistema o sistemas donde se han realizado las pruebas.
Qué no hacer:
- No causes daño a Mailchimp, Intuit, sus clientes, accionistas, socios o empleados.
- No participes en ningún acto que pudiera causar una interrupción o detener cualquiera de los servicios de Mailchimp.
- No participes en actividades ilegales ni en actos que infrinjan las leyes o reglamentos internacionales, o las leyes o reglamentos federales o estatales.
- No almacenes, compartas, comprometas ni destruyas ningún dato de Mailchimp o de los clientes mientras realizas actividades de investigación. Si encuentras información personal identificable (IPI), debes parar y notificarlo inmediatamente a Mailchimp.
- No lleves a cabo actividades fraudulentas ni realices transacciones financieras fraudulentas como parte de tu investigación.
Vulnerabilidades fuera del alcance
Los siguientes tipos de vulnerabilidades están fuera del alcance de este programa:
- Phishing
- Ingeniería social
- Evaluaciones de seguridad física
- Cualquier forma de ataque de denegación de servicio (denial of service, DoS)
Directrices para el envío
Todas las posibles deficiencias enviadas deben incluir información suficiente para reproducir y validar el problema. La documentación debe incluir un resumen detallado del problema, los objetivos, los pasos realizados, capturas de pantalla, las herramientas utilizadas y cualquier información que ayude a Intuit durante el triaje.
Al seguir estas directrices y revelar de manera responsable cualquier fallo de seguridad directamente a Intuit, nos comprometemos a no emprender acciones legales contra ti. Mailchimp se reserva sus derechos legales en caso de incumplimiento de las directrices del programa.
Mailchimp revisará y acusará recibo inmediatamente de cualquier problema presentado en un plazo de tres días laborables a partir de su envío a través de su formulario web, que se encuentra aquí: Formulario de divulgación responsable.