Priorizar la privacidad de los datos en su programa de experimentación

El enfoque de privacidad primero de VWO: qué implica, por qué es esencial y cómo beneficia a nuestros clientes.

¿Qué significa privacidad para una Plataforma de Experimentación?

A medida que los datos potencian los experimentos, mantener la confidencialidad y la seguridad de estos datos se vuelve esencial. Si es una empresa que realiza experimentos, se rige por las leyes de cumplimiento, seguridad y privacidad de datos aplicables en su región. Por lo tanto, se vuelve esencial que elija una herramienta de experimentación que priorice la privacidad.

Entonces surge la pregunta: ¿cómo sabe si puede confiar en una plataforma de experimentación para cumplir con los criterios necesarios relacionados con la privacidad? Para determinar esto, debe evaluar qué tipo de datos recopila la plataforma, dónde se almacenan, cómo se utilizan y si existe algún riesgo de vulnerabilidad de los datos.

En este artículo, hemos respondido estas preguntas cruciales en el ámbito de VWO.

En VWO, creemos que la privacidad es un derecho humano fundamental. Estamos comprometidos a brindarle productos, información, controles y transparencia que le permitan elegir cómo se recopila y utiliza su información y la de sus clientes. Debemos nuestro crecimiento a nuestros clientes, y ganar su confianza es nuestra principal prioridad. Por lo tanto, mantener la confidencialidad y el cumplimiento de los datos de los clientes es primordial para nosotros.

La seguridad está en el centro de cómo construimos nuestros productos, políticas y procesos para proporcionar una alta resiliencia. Seguimos los principios de seguridad desde el diseño para proteger los sistemas de información y la información del cliente para que pueda experimentar y crear la mejor experiencia del cliente utilizando la plataforma en la que realmente confía.

¿Qué datos de visitantes recopila VWO?

La totalidad de los datos recopilados por VWO se clasifican en las dos categorías siguientes:

• Datos del cliente : Estos son los datos del cliente de VWO, asociados con su compra y uso de la plataforma y los servicios de VWO Experimentation. Estos datos incluyen información de contacto e inicio de sesión de los clientes, configuraciones de campañas, configuraciones de cuentas, configuraciones de facturación y otros datos similares necesarios para usar y ejecutar la aplicación VWO.
• Datos del visitante : Estos son los datos de los visitantes o usuarios finales (que llegan al sitio web/aplicaciones de los clientes) recopilados como parte de las campañas ejecutadas a través de VWO. Estos datos potencian todas las funciones de la aplicación VWO, a saber, grabaciones de sesiones, mapas de calor, encuestas, pruebas A/B, MVT, etc.

Los servidores VWO recopilan y almacenan información UUID (Identificador único de usuario) en formato seudónimo. Un UUID es un número de 128 bits que se utiliza para identificar información en los sistemas informáticos. Dado que VWO seudonimiza el UUID antes de almacenarlo mediante una función de hashing unidireccional, la información que puede apuntar a la identidad de un visitante se reemplaza por "seudónimos" y se protege la identidad.

Los servidores de VWO almacenan datos de agentes de usuario, incluida la siguiente información para los clientes que utilizan la segmentación de informes en la plataforma de experimentación de VWO:

• Dirección IP del visitante en formato anónimo.
• URL de referencia para saber desde dónde llegó el visitante a su sitio web.
• Tipo de visitante: nuevo o recurrente.
• Una ubicación como país, ciudad y región. Puede seleccionar qué nivel de información de ubicación desea almacenar aquí.
• Información sobre el dispositivo utilizado para acceder al sitio web, incluido el sistema operativo, el agente de usuario, el dispositivo móvil/tableta/escritorio y el navegador.
• La hora de la acción del visitante o los datos de los objetivos incluyen clics, desplazamientos, ingresos, etc.

Estos datos se recopilan cuando el usuario final o visitante interactúa con su sitio web.

Los servidores VWO procesan tipos de datos adicionales para mapas de calor, grabaciones de sesiones, encuestas y otras características que brindan información sobre el comportamiento de los visitantes:

• Grabaciones de las acciones de los visitantes en el sitio web para analizar el comportamiento de los visitantes en formato de video.
• Desplácese por los datos para comprender la profundidad de la interacción del usuario en el contenido de su sitio web.
• Movimientos del mouse para analizar el comportamiento de los visitantes en una página.
• Mutaciones.
• Orientación del dispositivo y cambio de comportamiento para dispositivos móviles.
• Contenido HTML de la página web.

VWO almacena la información necesaria para fines de seguridad y enjuiciamiento sobre la base de un interés legítimo y la información necesaria para el producto, el marketing y el análisis (interés legítimo o, cuando sea necesario, mediante la obtención de su consentimiento previo). Puede leer más sobre esto en nuestra política de privacidad.

¿Dónde almacena datos VWO?

VWO siempre ha sido totalmente compatible con GDPR. Históricamente, tanto los datos de los clientes de VWO como los de sus visitantes se han almacenado y procesado en el centro de datos con sede en los EE. UU., de conformidad con la ley GDPR. Este centro de datos atiende a más de 2500 clientes satisfechos en todo el mundo, con más de mil en la Unión Europea.

Dimos el siguiente paso natural con un compromiso continuo con la privacidad y la seguridad. Recientemente lanzamos un centro de datos de la Unión Europea (UE) para garantizar que los datos de los visitantes no salgan de las fronteras internacionales de la UE. Alojado en Bélgica (Europa-oeste1 de GCP), este centro de datos atiende a aquellos que prefieren almacenar y administrar los datos de sus usuarios finales/visitantes dentro de la UE. Los datos de los visitantes procesados ​​por VWO se rigen por el Acuerdo de protección de datos (DPA) para las entidades que eligen configurar sus cuentas con este centro de datos.

¿Qué tan seguros están sus datos con VWO? ¿Se puede filtrar, distribuir o acceder?

La plataforma de nivel empresarial de VWO ha sido diseñada teniendo en cuenta el alto nivel de seguridad que esperan las empresas de clase mundial. Con VWO, puede estar seguro de que todos los datos almacenados por nosotros permanecerán seguros, confidenciales y accesibles. Por 'seguro', queremos decir que los datos estarán protegidos contra cualquier tipo de pérdida o corrupción. 'Confidencial' significa que el acceso a los datos se otorga solo al personal autorizado, y por 'accesible', queremos decir que los datos están disponibles solo para usuarios autorizados cuando sea necesario.

Esta garantía de protección de datos proviene de una combinación de seguridad física y de código, acceso a aplicaciones configurables, escaneos regulares de vulnerabilidades y disponibilidad constante de datos. Puede leer más sobre esto en nuestro artículo de la base de conocimientos.

Sus datos personales pueden compartirse con socios comerciales, proveedores de servicios, pasarelas de pago, asesores profesionales, organismos encargados de hacer cumplir la ley, autoridades reguladoras, usuarios de sitios web o terceros en circunstancias especiales, tal como se describe en nuestra política de privacidad.

¿Cómo gestiona VWO la eliminación y el acceso a los datos?

De forma predeterminada, VWO identifica y anonimiza cualquier información de identificación personal (PII) o datos confidenciales de los usuarios antes de almacenarlos en sus servidores. La PII incluye contraseñas, números de seguro social, teléfono, información de tarjetas y otros datos personales.

Para las cuentas eliminadas o vencidas, los datos se eliminan dentro de los 45 a 90 días a partir de la fecha de vencimiento. Como cliente de VWO, puede escribir al soporte de VWO solicitando la eliminación inmediata de cuentas o datos de usuarios específicos si desea priorizar esto.
VWO ha establecido políticas y procedimientos para desechar medios electrónicos y físicos que contengan PII, datos de cuentas e información sensible y confidencial para garantizar la seguridad de los datos de sus servidores. Puede obtener más información al respecto en nuestro artículo de la base de conocimientos.

¿Cómo se alinea la estrategia de productos de VWO con nuestro enfoque de privacidad primero?

En VWO, nos respaldamos con sólidas prácticas de privacidad y seguridad de datos que forman parte integral de la ingeniería y el desarrollo de nuestros productos. Estos principios tienen un marco sólido para construir sistemas seguros que aborden todos los vectores de amenazas por defecto y por diseño.

De acuerdo con esto, las siguientes configuraciones son parte de nuestro conjunto de productos:

1. Puede excluir a sus visitantes del seguimiento de VWO sin obstaculizar su experiencia en su sitio web.

Aunque VWO nunca rastrea los datos personales del usuario final, sus visitantes tienen la opción de optar por no ser rastreados por VWO.

Como propietario de un sitio web, puede hacer que sus visitantes se excluyan de VWO generando un enlace de exclusión voluntaria y compartiéndolo con los visitantes de su sitio web o utilizando la API de exclusión voluntaria de VWO.

La API de exclusión voluntaria tiene dos versiones. Cuando activa esta API en la primera versión, todas las cookies de VWO se eliminan y VWO detiene el seguimiento de visitantes de inmediato. Si el visitante en cuestión regresa a la página, aún no será considerado para el seguimiento de VWO. Por lo tanto, no verán ningún cambio de campaña en las visitas posteriores.

En la segunda versión, puede excluir a un visitante del seguimiento de VWO pero aún mostrar la experiencia (cambios de campaña) que han visto anteriormente. Por ejemplo, supongamos que un visitante ha visto la variación A de una campaña específica y ahora desea excluirlo del seguimiento de VWO mientras muestra la misma variación al visitante en sus visitas posteriores. Cuando activa esta API, VWO detiene el seguimiento de visitantes de inmediato. Sin embargo, los visitantes continúan viendo la misma variación de la que formaban parte anteriormente.

2. Puede solicitar fácilmente el consentimiento antes de recopilar datos de los visitantes, y puede hacerlo de manera más responsable que antes.

En vista de las políticas de protección de datos, es necesario mostrar un banner de cookies que informe a los visitantes sobre las cookies u obtener el consentimiento antes de rastrear sus datos. Esto garantiza que solo pueda hacerlo con su permiso si utiliza herramientas/secuencias de comandos en su sitio web para identificar a las personas y su información personal.

VWO le brinda la opción de configurar activadores para VWO Insights para que pueda rastrear los datos de los visitantes de manera más cuidadosa, responsable y con consentimiento. Cualquier acción del visitante se puede utilizar para activar la recopilación de datos de Insights. Puede escribir un código JavaScript personalizado que pueda escuchar las acciones de los visitantes y decidir en función del tipo de páginas visitadas o cualquier escenario que desee validar antes de recopilar datos de Insights. Este artículo de la base de conocimientos describe el proceso de configuración de un activador personalizado en VWO.

¿Cómo garantizamos el cumplimiento de las cookies?

VWO utiliza cookies y almacenamiento local para comprender el comportamiento de los visitantes y rastrear los viajes de los visitantes en su sitio web para brindar las mejores experiencias. Las cookies identifican la variación en un experimento que el visitante ve y ayudan a mostrar la misma variación al visitante de manera consistente. Estas cookies también rastrean las acciones de los visitantes, determinan si forman parte de una campaña, etc. Sin embargo, la única información que VWO recopila sobre una cookie es una identificación de visitante, es decir, un UUID explicado anteriormente que no contiene ningún dato personal. Este UUID ayuda a distinguir a un visitante de otro, pero VWO no puede rastrear ni identificar a ningún individuo o consumidor.

Como parte de las políticas de protección de datos como GDPR, es necesario obtener el consentimiento informado de los visitantes antes de implementar cookies o rastreadores para procesar sus datos. VWO no recopila ninguna información confidencial. Sin embargo, como usuario, la decisión de implementar VWO con consentimiento de cookies o no depende completamente de usted. Consulte siempre a su asesor legal para determinar qué implementación es adecuada para usted. Pueden ayudarlo a tomar una decisión informada considerando las reglas de privacidad de datos de los países en los que opera.

VWO SmartCode es un fragmento de código generado automáticamente que debe agregar para habilitar VWO en su sitio web. Puede optar por ejecutar el SmartCode sin el consentimiento del visitante, es decir, no necesita ningún permiso antes de implementar cookies o rastreadores para procesar los datos de los visitantes. También puede optar por ejecutar el SmartCode después de obtener el consentimiento de los visitantes (esto es para VWO Insights y Engage; las campañas de prueba se ejecutan sin el permiso de los visitantes). También puede optar por la ejecución condicional: aquí, el SmartCode se ejecuta solo después de obtener el consentimiento de los visitantes, independientemente del producto que esté utilizando. Además, VWO se comunica con los administradores de consentimiento de cookies a través de una devolución de llamada cuando el visitante acepta o rechaza la cookie, lo que le permite ejecutar SmartCode en función de un consentimiento válido.

Dependiendo de las reglas de privacidad de datos en los países en los que opera, puede tomar una decisión informada. Este artículo de la base de conocimientos analiza la elección del método correcto para implementar el SmartCode.

¿Cómo garantiza VWO la seguridad?

Más de 2500 clientes confían sus datos en VWO Experience Optimization Platform, y esta responsabilidad es algo que nos tomamos muy en serio. Todos los datos que llegan a los servidores VWO desde grabaciones, respuestas a encuestas o la dimensión personalizada se cifran mediante el algoritmo de cifrado AES-256 estándar de la industria. Puede leer este artículo de la base de conocimientos para obtener más detalles.

También hemos incorporado fundamentos de seguridad en los siguientes aspectos de nuestras operaciones diarias:

Estructura organizativa y gobernanza

Wingify (creadores de VWO) ha establecido un Equipo de Cumplimiento y Seguridad Corporativa (CSC) compuesto por personal clave cuya responsabilidad es identificar los problemas de seguridad y cumplimiento en toda la empresa. Este equipo actúa como la primera línea de defensa para mejorar la postura adecuada de seguridad y cumplimiento. Este equipo reporta al CEO.

Gestión de riesgos – ISO

ISO/IEC 27701:2019 (ISO 27701) es un estándar de privacidad global reconocido internacionalmente que se centra en la recopilación y el procesamiento de información de identificación personal (PII). Cualquier auditoría ISO/IEC 27701 requiere que la organización declare las leyes/regulaciones aplicables en sus criterios para la auditoría. Esto significa que el estándar se puede asignar a muchos de los requisitos del RGPD, la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes. Una vez mapeados, los profesionales de la privacidad implementan los controles operativos ISO/IEC 27701 y son auditados por auditores internos o externos, lo que da como resultado la certificación y evidencia integral de conformidad.

VWO recibió una certificación acreditada ISO/IEC 27701:2019 como procesador y controlador de PII después de someterse a una auditoría por parte de un tercero independiente.

ISO/IEC 27001:2013 (ISO 27001) es un marco reconocido internacionalmente que especifica los requisitos para establecer, implementar, mantener y mejorar la gestión de seguridad de la información dentro de una organización. VWO ha recibido la certificación ISO 27001:2013 de la British Standards Institution (BSI), la empresa de estándares internacionales. La certificación ISO 27001:2013 demuestra nuestro compromiso con la seguridad de la información en todos los niveles. El cumplimiento de este estándar reconocido internacionalmente y validado por una auditoría externa independiente confirma que nuestro programa de administración de seguridad es integral y sigue las prácticas líderes de la industria.

Gestión de Acceso

A todos los usuarios de una cuenta VWO se les asigna un nivel de acceso que determina las acciones que los usuarios pueden realizar en la cuenta VWO. Si es propietario o administrador de una cuenta, puede cambiar el nivel de acceso en cualquier momento.

Autenticación y gestión de contraseñas

Para garantizar la santidad de su cuenta VWO, hemos agregado una capa adicional de seguridad en forma de autenticación de dos factores (2FA) que evita que los malhechores accedan a sus datos, incluso si conocen su contraseña.

La autenticación de dos factores (2FA) se basa en dos medidas de seguridad para evitar que los intrusos obtengan acceso a su cuenta VWO. Una vez que 2FA esté habilitado, para iniciar sesión en su cuenta, deberá proporcionar algo que sepa, es decir, su contraseña, y algo que tenga, es decir, un código único de seis dígitos enviado a su correo electrónico en el momento del inicio de sesión. (o usando aplicaciones populares basadas en TOTP para generar el código).

Con 2FA, puede asegurarse de que su cuenta no se vea comprometida incluso si un virus malicioso expone su contraseña o los piratas informáticos obtienen acceso a su contraseña por la fuerza bruta.

Gestión de sesiones

Cada vez que un usuario de VWO inicia sesión en la cuenta de VWO, el sistema asigna un nuevo identificador de sesión para el usuario. El identificador de sesión es un valor generado aleatoriamente de 64 bytes para proteger la cuenta contra ataques de fuerza bruta. Después de siete días, se agota el tiempo de todas las sesiones, lo que requiere que los usuarios vuelvan a iniciar sesión en su cuenta. Además, todas las sesiones activas están configuradas para expirar después de 4 horas de inactividad.

Seguridad de red y transmisión

VWO está alojado en servidores seguros administrados por GCP. Cualquier acceso físico a los centros de datos de GCP está restringido a todos. Los cortafuegos se configuran utilizando las mejores prácticas de la industria y se bloquean todos los puertos innecesarios.

Como usuario de VWO, siempre está conectado a la aplicación web de VWO a través de HTTPS utilizando Transport Layer Security (TLS) versión 1.2 y superior, un protocolo criptográfico diseñado para proteger contra escuchas ilegales, manipulación y falsificación de mensajes.

Control de acceso

Puede asignar funciones y permisos a cada usuario que agregue a su cuenta para garantizar un nivel adecuado de acceso a su cuenta VWO. Puede restringir el acceso a su cuenta VWO a direcciones IP específicas. También puede habilitar alertas para enviarle un correo electrónico cada vez que ocurran actividades particulares en su cuenta.

Acceso interno a los datos

Los datos almacenados en los servidores de producción de VWO solo son accesibles para el vicepresidente sénior de ingeniería y los ingenieros principales. Ningún otro miembro de VWO tiene acceso a los datos del cliente a menos que el director ejecutivo y el vicepresidente sénior de ingeniería otorguen un permiso de acceso específico para resolver problemas técnicos.

La seguridad en la ingeniería como parte del desarrollo de productos

Los controles de calidad exhaustivos son una parte integral de nuestro proceso de desarrollo. Ningún código se activa a menos que el equipo de control de calidad lo revise y apruebe. El entorno de ensayo o de prueba está totalmente separado de la producción y no utiliza ningún dato de producción. Cualquier característica nueva pasa por una revisión de seguridad antes de implementarse en producción. Además, se realizan auditorías externas VAPT (Evaluación de vulnerabilidades y pruebas de penetración) a nivel del sistema para evaluar posibles vulnerabilidades.

Filtración de datos

En caso de una brecha en la seguridad de los datos, notificamos a nuestros clientes dentro de las cuarenta y ocho horas posteriores a la detección del incidente. Tenemos políticas y procedimientos de gestión de incidentes para manejar tales eventos o emergencias.

¿Qué significa todo esto para los clientes de VWO?

Como cliente de VWO, lo que esto significa para usted en pocas palabras es lo siguiente:

• VWO recopila solo los datos necesarios para la seguridad y para fines de mejora del producto, marketing y análisis, y con el consentimiento de sus visitantes. Cualquier información personal, si se recopila, se anonimiza.
• Estos datos se almacenan de forma segura y de acuerdo con la ley GDPR.
• Estos datos permanecen seguros, confidenciales y accesibles para usted en todo momento.
• Los procesos sólidos y seguros rigen la eliminación de datos si su cuenta con nosotros se elimina o vence.
• La privacidad forma parte integral de nuestra estrategia de producto, y cualquier mejora del producto está diseñada según los principios de privacidad primero.
• Garantizamos el cumplimiento de las cookies como parte de las políticas de protección de datos como GDPR.
• Garantizamos la seguridad de sus datos con la ayuda de nuestro Equipo de Cumplimiento y Seguridad Corporativa mediante la obtención y el mantenimiento de la certificación de seguridad de la información a través de una sólida gestión de acceso, contraseñas y sesiones, y políticas de gestión de desastres relevantes.

Nuestro Equipo de Cumplimiento y Seguridad Corporativa, junto con miembros de nuestro liderazgo sénior, han tomado las siguientes medidas:

• Hemos creado conciencia en toda la organización a través de discusiones frecuentes en nuestros canales internos y capacitado a los empleados para manejar los datos de manera adecuada.
• Hemos evaluado todos nuestros productos individualmente según los requisitos del RGPD. Hemos implementado nuevas funciones que le darán más control sobre sus datos y aliviarán la carga de lograr el cumplimiento de GDPR.
• Hemos designado campeones internos de confianza en privacidad para todos nuestros equipos. También hemos establecido un Oficial de Protección de Datos (DPO).
• Nuestros equipos de aplicaciones han adoptado el concepto de privacidad por diseño y le han brindado más control sobre los datos que almacena en nuestros sistemas. Nos esforzamos constantemente para brindarle más mejoras, implementadas en fases. Hemos implementado medidas de seguridad organizativas, técnicas, administrativas y físicas apropiadas para proteger la seguridad, confidencialidad, integridad y privacidad de la información personal y los datos de los clientes de nuestra organización.

Con estas medidas implementadas, como cliente de VWO, usted cumple con las leyes de privacidad, sus datos están seguros con nosotros y la privacidad de los visitantes de su sitio web se respeta y protege en todo momento.

Como propietario de un experimento que no usa VWO , no es suficiente si simplemente está consciente de la privacidad. Deberá priorizar la privacidad de los datos e integrarla en su pila de experimentación, así como en su hoja de ruta. Puede ponerse en contacto con nuestros expertos en productos si desea obtener más información sobre cómo VWO puede ayudarlo a hacerlo.