Tu sitio y los datos de tus usuarios están seguros con Hotjar. Tomamos una serie de medidas para garantizar que usted es la única persona que puede acceder a los datos de su sitio y que se respeta la privacidad de sus usuarios.
- Almacenamiento de datos
- Privacidad del usuario
- Recogida y transmisión de datos
- Acceso y autorización de datos
- Acceso a los datos y copias de seguridad
- Conformidad, certificados y auditorías
- Arquitectura y seguridad de Hotjar
Almacenamiento de datos
Los datos de usuario y de uso que Hotjar recopila a través de su software se almacenan en Irlanda, Unión Europea (UE) en la infraestructura de Amazon Web Services, centros de datos eu-west-1. Nuestros servidores de aplicaciones y bases de datos se ejecutan dentro de una Amazon Virtual Private Cloud (VPC). El acceso a la VPC está limitado a los miembros del equipo de Hotjar en función de la necesidad de conocimiento. Los almacenes de datos dentro de la VPC no están expuestos directamente a Internet. Sólo los sistemas con una necesidad técnica directa están expuestos (por ejemplo, servidores web frontales, equilibradores de carga y otros sistemas que sirven directamente al tráfico de clientes).
Para el registro basado en excepciones, Hotjar ha designado subprocesadores con sede fuera de la UE. Hotjar utiliza estos subprocesadores designados para proporcionar un servicio fiable a sus usuarios para la monitorización de infraestructuras y aplicaciones. Los datos que procesan son utilizados exclusivamente por el equipo de ingeniería de Hotjar para operar y mejorar la fiabilidad del software. No se consultan ni se utilizan para otros fines.
Privacidad del usuario
- A los usuarios del sitio se les asigna un identificador de usuario único, UUID, para que Hotjar pueda realizar un seguimiento de los usuarios que regresan sin depender de ninguna información personal, como la dirección IP.
- No se almacenan direcciones IP de usuarios finales en reposo.
Las direcciones IP pueden pasarse opcionalmente a Hotjar como un atributo de usuario.
En el caso de direcciones IP pasadas a Hotjar a través de la API Identify, las direcciones IP serán almacenadas. Están sujetas a los mismos requisitos de privacidad que cualquier otra información personal transmitida a Hotjar. Esto incluye requerir el consentimiento del usuario, y que haya aceptado nuestro Acuerdo de Procesamiento de Datos.
- Al recopilar datos con Recordings, Hotjar suprime automáticamente los datos de pulsación de teclas en todos los campos de entrada. En todos los casos, los datos se suprimen del lado del cliente, el navegador del usuario, lo que significa que nunca llegan a nuestros servidores.
Recogida y transmisión de datos
- Existen cortafuegos que sólo dejan al descubierto los puertos necesarios a través de Internet y entre los distintos servidores. Como segunda capa de seguridad, existe un software de protección contra intrusiones (IPS) que bloquea el acceso en cuanto detecta cualquier actividad sospechosa de inicio de sesión.
- Hotjar transmite datos desde el navegador del usuario a nuestro sistema utilizando HTTPS.
- Los protocolos y el conjunto de cifrados utilizados para cifrar los datos en tránsito están disponibles al final de este artículo.
Acceso a los datos y autenticación
Sólo los ingenieros de Hotjar que necesitan dicho acceso para realizar su trabajo eficientemente reciben este tipo de acceso. Los diferentes ingenieros tienen diferentes derechos de acceso a los diferentes componentes del sistema en función de lo que requiera su trabajo. Los ingenieros que tienen acceso, tienen sus propias credenciales y éstas sólo son válidas cuando se utilizan desde IPs específicas. La autenticación basada en claves SSH se utiliza para el acceso al servidor.
Los datos recogidos a través de Hotjar están reservados exclusivamente para el uso de nuestros usuarios y clientes. Hotjar no hace uso de los datos recogidos de ninguna forma o manera a menos que el consentimiento sea dado oficialmente por un administrador de la cuenta Hotjar, indicando claramente para qué se utilizarán los datos.
Acceso a los datos y copias de seguridad
En Hotjar utilizamos la replicación de bases de datos para mantener sus datos seguros en caso de fallo del sistema. Todos los días se realizan copias de seguridad completas de la base de datos, que se almacenan en Amazon Cloud Storage (AWS S3) y se conservan durante tres días como copia electrónica. En caso de que dos o más nodos de la base de datos fallaran simultáneamente, tendríamos que recurrir a una copia de seguridad.
La copia de seguridad de los datos no se aplica a las Recordings de los usuarios
Actualmente no se realizan copias de seguridad de los datos de las Recordings.
Conformidad, certificados y auditorías
Hotjar utiliza Amazon Web Services (AWS) donde residen los datos de nuestros clientes. Las certificaciones e informes de auditoría para AWS son:
- Certificación ISO-27001 para AWS: https://aws.amazon.com/compliance/iso-27001-faqs/
- Informes de auditoría de terceros SOC2 para AWS: https: //aws.amazon.com/compliance/soc-faqs/
Hotjar ha completado un proceso de autoevaluación (SAQ-A) que nos permite aceptar pagos con tarjeta no presente mediante la externalización completa de todas las funciones de datos de titulares de tarjetas a nuestro proveedor externo compatible con PCI-DSS, Braintree, sin almacenamiento electrónico, procesamiento o transmisión de ningún dato de titulares de tarjetas en la infraestructura de Hotjar.
- Conformidad PCI con los campos alojados de Braintree: https://www.braintreepayments.com/features/hosted-fields.
- SAQ-A de Hotjar
Arquitectura y seguridad de Hotjar
Los datos en tránsito se cifran utilizando los siguientes protocolos y cifrados:
Protocolos SSL
TLSv1.2
Cifrados SSL
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
Actualización de su política de privacidad para su uso con Hotjar
Como empresa con sede en la Unión Europea, nuestra tecnología y procesos cumplen los requisitos legales de privacidad más estrictos. De hecho, hemos contratado a un bufete de abogados especializado para que nos ayude en el proceso de redacción de una política que sea adecuada para nosotros, así como para los usuarios de Hotjar de todo el mundo.
Aunque siempre recomendamos que busque asesoramiento legal en su territorio, le sugerimos que revise las disposiciones de nuestra Política de privacidad y se asegure de que su propia política refleja los mismos principios que hemos incluido en https://www.hotjar.com/legal/policies/privacy.