OneSignal está comprometido a proteger la privacidad y seguridad de todos los datos almacenados en nuestra plataforma. Mantenemos controles de seguridad rigurosos, cumplimos con los principales marcos de cumplimiento y continuamente monitoreamos y mejoramos nuestros sistemas para garantizar que sus datos permanezcan seguros.
Esta página responde preguntas comunes sobre el manejo de datos de OneSignal, prácticas de seguridad y certificaciones de cumplimiento.
Protección de datos y cumplimiento
Ocultar direcciones de correo electrónico y números de teléfono
Puede evitar que las direcciones de correo electrónico y los números de teléfono de los usuarios aparezcan en el panel de OneSignal o en las exportaciones de datos.
Consulte manejo de datos personales para instrucciones de configuración.
Certificaciones SOC 2 Type II e ISO
OneSignal mantiene las siguientes certificaciones de seguridad independientes:
Estas auditorías validan que los controles internos y los sistemas de gestión de privacidad de OneSignal cumplen con los más altos estándares de seguridad de datos e integridad operativa.
HIPAA
OneSignal cumple con los requisitos HIPAA para clientes que administran información de salud protegida (PHI).
Obtenga más información en nuestra documentación de HIPAA.
GDPR
OneSignal cumple con el Reglamento General de Protección de Datos (GDPR) de la UE y ayuda a los clientes a cumplir con sus responsabilidades de GDPR. Nuestros centros de datos principales están ubicados en la Unión Europea.
Consulte GDPR y derechos individuales para más detalles.
Marco de privacidad de datos
OneSignal está certificado bajo el Marco de privacidad de datos UE-EE. UU. para transferencias de datos legales entre la UE y EE. UU.
Prácticas de seguridad
Evaluaciones independientes y escaneos de vulnerabilidad
Realizamos una evaluación de seguridad anual de terceros y ejecutamos escaneos de vulnerabilidad y penetración trimestrales.
Todos los hallazgos críticos y de alta gravedad se remedian de inmediato.
Seguridad de estaciones de trabajo
Todas las estaciones de trabajo de los empleados incluyen:
- Firewall y protección de puntos finales
- Cifrado completo del disco
- Gestión automática de parches
Respuesta a incidentes
Mantenemos un programa robusto de respuesta a incidentes para detectar, contener y remediar rápidamente los incidentes de seguridad.
Organización de seguridad dedicada
El equipo de seguridad de OneSignal monitorea, clasifica y responde continuamente a eventos relacionados con la seguridad.
Cifrado
Todos los datos de los clientes se cifran utilizando algoritmos estándar de la industria, tanto en tránsito (TLS 1.2+) como en reposo (AES-256).
Inicio de sesión único (SSO)
OneSignal admite SSO a través de WorkOS, lo que permite la integración con los principales proveedores de identidad.
Consulte inicio de sesión único.
Autenticación de dos factores (2FA)
Los administradores de la organización pueden hacer cumplir la autenticación de 2 pasos (2FA) para todos los miembros del equipo.
Consulte autenticación de 2 pasos.
Seguridad del personal
Todos los empleados se someten a verificaciones de antecedentes y capacitación regular de concientización sobre seguridad.
Gobernanza y retención de datos
OneSignal actúa como un procesador de datos, mientras que los clientes siguen siendo el controlador de datos.
- Datos de mensajes (enviados a través de API o Journeys): retenidos durante 30 días antes de la eliminación.
- Mensajes del panel: retenidos hasta que se eliminen manualmente.
- Datos de usuario:
- Retenidos indefinidamente en planes pagos hasta que se eliminen.
- Retenidos durante 18 meses de inactividad en planes gratuitos.
Exportación de datos
OneSignal proporciona herramientas para exportar fácilmente datos de usuarios y mensajes.
Consulte exportar datos.
Preguntas frecuentes
¿Cómo puedo yo o mis usuarios optar por no recibir notificaciones push?
Los usuarios pueden deshabilitar las notificaciones push en la configuración de notificaciones del dispositivo. Para notificaciones push web, consulte cancelar suscripción de notificaciones. Para más detalles, consulte suscripciones.
¿Qué datos recopila el SDK de OneSignal?
Consulte datos recopilados por el SDK de OneSignal.
¿OneSignal usa cookies?
El SDK web de OneSignal no usa cookies. Usa Local Storage e IndexedDB para almacenar datos del cliente.
Puede ver una cookie de Cloudflare llamada __cf_bm. Esta cookie:
- Es establecida por Cloudflare (no OneSignal)
- Se usa para proteger contra bots
- Se clasifica como una cookie estrictamente necesaria que no requiere consentimiento según la Ley de cookies de la UE
Para más detalles, consulte la política de cookies de Cloudflare y el explicador de GDPR.
¿Cómo debo manejar los datos de usuario en OneSignal?
Siga nuestras mejores prácticas en manejo de datos personales.
¿OneSignal cumple con COPPA?
OneSignal está certificado bajo el programa de anuncios para familias (a partir del 10 de enero de 2022).
Si bien el cumplimiento de COPPA es responsabilidad del editor, OneSignal proporciona herramientas para ayudarlo a recopilar el consentimiento del usuario antes de la recopilación de datos o solicitudes push.
Consulte obtener el consentimiento del usuario y esta guía de COPPA.
¿Cómo puedo proteger mi cuenta de OneSignal?
Siga estas mejores prácticas de seguridad:
- Habilite la autenticación de 2 pasos y/o el inicio de sesión único.
- Elimine miembros del equipo innecesarios.
- Evite inicios de sesión compartidos; cada persona debe tener su propia cuenta de OneSignal.
- Rote o elimine regularmente las claves API. Consulte claves e IDs.
- Restablezca su contraseña según sea necesario. Consulte gestión de cuentas.
Nunca exponga sus claves de API REST o claves de aplicación en repositorios públicos o código del lado del cliente.
¿Qué pasa si mi clave de API REST está comprometida?
Inmediatamente elimine y rote su clave API.
Consulte claves e IDs para obtener instrucciones.
¿Qué pasa si mi ID de aplicación está expuesto?
Su ID de aplicación es público y seguro para compartir: solo se puede usar para crear nuevos registros de usuario.
Sin embargo, los usuarios no pueden recibir mensajes a menos que se hayan suscrito a través de medios válidos.
Para protección adicional, habilite la verificación de identidad.
¿Qué pasa si un ID de suscripción está expuesto?
El subscription_id propio de un usuario es seguro de exponer a ese usuario: solo puede modificar sus propios datos.
Sin embargo, nunca comparta los IDs de suscripción de otros usuarios, ya que estos se pueden usar para enviar notificaciones a dispositivos específicos.
Para prevenir la suplantación, use la verificación de identidad.
