> ## Documentation Index > Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt > Use this file to discover all available pages before exploring further. # Preguntas frecuentes sobre recopilación de datos y seguridad > Aprenda cómo OneSignal protege sus datos, mantiene el cumplimiento y respalda las regulaciones de privacidad. OneSignal está comprometido a proteger la privacidad y seguridad de todos los datos almacenados en nuestra plataforma. Mantenemos controles de seguridad rigurosos, cumplimos con los principales marcos de cumplimiento y continuamente monitoreamos y mejoramos nuestros sistemas para garantizar que sus datos permanezcan seguros. Esta página responde preguntas comunes sobre el manejo de datos de OneSignal, prácticas de seguridad y certificaciones de cumplimiento. *** ## Protección de datos y cumplimiento ### Ocultar direcciones de correo electrónico y números de teléfono Puede evitar que las direcciones de correo electrónico y los números de teléfono de los usuarios aparezcan en el panel de OneSignal o en las exportaciones de datos. Consulte [manejo de datos personales](./handling-personal-data#mask-personal-identifiable-information) para instrucciones de configuración. ### Certificaciones SOC 2 Type II e ISO OneSignal mantiene las siguientes certificaciones de seguridad independientes: * [SOC 2 Type II](./soc-2-type-ii) * [ISO 27001 e ISO 27701](./iso27001) Estas auditorías validan que los controles internos y los sistemas de gestión de privacidad de OneSignal cumplen con los más altos estándares de seguridad de datos e integridad operativa. ### HIPAA OneSignal cumple con los requisitos HIPAA para clientes que administran información de salud protegida (PHI). Obtenga más información en nuestra [documentación de HIPAA](./hipaa). ### GDPR OneSignal cumple con el Reglamento General de Protección de Datos (GDPR) de la UE y ayuda a los clientes a cumplir con sus responsabilidades de GDPR. Nuestros centros de datos principales están ubicados en la Unión Europea. Consulte [GDPR y derechos individuales](./gdpr-compliance) para más detalles. ### Marco de privacidad de datos OneSignal está certificado bajo el **Marco de privacidad de datos UE-EE. UU.** para transferencias de datos legales entre la UE y EE. UU. *** ## Prácticas de seguridad ### Evaluaciones independientes y escaneos de vulnerabilidad Realizamos una **evaluación de seguridad anual de terceros** y ejecutamos **escaneos de vulnerabilidad y penetración trimestrales**. Todos los hallazgos críticos y de alta gravedad se remedian de inmediato. ### Seguridad de estaciones de trabajo Todas las estaciones de trabajo de los empleados incluyen: * Firewall y protección de puntos finales * Cifrado completo del disco * Gestión automática de parches ### Respuesta a incidentes Mantenemos un **programa robusto de respuesta a incidentes** para detectar, contener y remediar rápidamente los incidentes de seguridad. ### Organización de seguridad dedicada El **equipo de seguridad** de OneSignal monitorea, clasifica y responde continuamente a eventos relacionados con la seguridad. ### Cifrado Todos los datos de los clientes se cifran utilizando **algoritmos estándar de la industria**, tanto **en tránsito** (TLS 1.2+) como **en reposo** (AES-256). ### Inicio de sesión único (SSO) OneSignal admite **SSO** a través de WorkOS, lo que permite la integración con los principales proveedores de identidad. Consulte [inicio de sesión único](./sso). ### Autenticación de dos factores (2FA) Los administradores de la organización pueden hacer cumplir la **autenticación de 2 pasos (2FA)** para todos los miembros del equipo. Consulte [autenticación de 2 pasos](./2-step-authentication). ### Seguridad del personal Todos los empleados se someten a verificaciones de antecedentes y **capacitación regular de concientización sobre seguridad**. *** ## Gobernanza y retención de datos OneSignal actúa como un **procesador de datos**, mientras que los clientes siguen siendo el **controlador de datos**. * **Datos de mensajes** (enviados a través de API o Journeys): retenidos durante 30 días antes de la eliminación. * **Mensajes del panel**: retenidos hasta que se eliminen manualmente. * **Datos de usuario**: * Retenidos indefinidamente en planes pagos hasta que se eliminen. * Retenidos durante 18 meses de inactividad en planes gratuitos. ### Exportación de datos OneSignal proporciona herramientas para exportar fácilmente datos de usuarios y mensajes. Consulte [exportar datos](./exporting-data). *** ## Preguntas frecuentes ### ¿Cómo puedo yo o mis usuarios optar por no recibir notificaciones push? Los usuarios pueden deshabilitar las notificaciones push en la configuración de notificaciones del dispositivo. Para notificaciones push web, consulte [cancelar suscripción de notificaciones](./browser-behavior-and-unsubscribes). Para más detalles, consulte [suscripciones](./subscriptions). ### ¿Qué datos recopila el SDK de OneSignal? Consulte [datos recopilados por el SDK de OneSignal](./data-collected-by-the-onesignal-sdk). ### ¿OneSignal usa cookies? El SDK web de OneSignal **no** usa cookies. Usa **Local Storage** e **IndexedDB** para almacenar datos del cliente. Puede ver una cookie de Cloudflare llamada `__cf_bm`. Esta cookie: * Es establecida por Cloudflare (no OneSignal) * Se usa para proteger contra bots * Se clasifica como una cookie *estrictamente necesaria* que no requiere consentimiento según la Ley de cookies de la UE Para más detalles, consulte la [política de cookies](https://www.cloudflare.com/en-gb/cookie-policy/) de Cloudflare y el [explicador de GDPR](https://gdpr.eu/cookies/). ### ¿Cómo debo manejar los datos de usuario en OneSignal? Siga nuestras mejores prácticas en [manejo de datos personales](./handling-personal-data). ### ¿OneSignal cumple con COPPA? OneSignal está certificado bajo el **programa de anuncios para familias** (a partir del 10 de enero de 2022). Si bien el cumplimiento de COPPA es responsabilidad del editor, OneSignal proporciona herramientas para ayudarlo a recopilar el consentimiento del usuario antes de la recopilación de datos o solicitudes push. Consulte [obtener el consentimiento del usuario](./handling-personal-data#getting-user-consent) y [esta guía de COPPA](https://www.superawesome.com/blog/how-to-implement-coppa-compliant-push-notifications-in-kid-directed-apps/). ### ¿Cómo puedo proteger mi cuenta de OneSignal? Siga estas mejores prácticas de seguridad: 1. Habilite la [autenticación de 2 pasos](./2-step-authentication) y/o el [inicio de sesión único](./sso). 2. Elimine [miembros del equipo](./manage-team-members) innecesarios. 3. Evite inicios de sesión compartidos; cada persona debe tener su propia cuenta de OneSignal. 4. Rote o elimine regularmente las claves API. Consulte [claves e IDs](./keys-and-ids). 5. Restablezca su contraseña según sea necesario. Consulte [gestión de cuentas](./apps-organizations). Nunca exponga sus claves de API REST o claves de aplicación en repositorios públicos o código del lado del cliente. ### ¿Cuáles son las reglas y políticas de contraseñas? * Las contraseñas deben tener un mínimo de 8 caracteres y no pueden aparecer en una base de datos de contraseñas expuestas. * No hay políticas predefinidas de caducidad o rotación de contraseñas. ### ¿Qué pasa si mi clave de API REST está comprometida? Inmediatamente **elimine y rote** su clave API. Consulte [claves e IDs](./keys-and-ids) para obtener instrucciones. ### ¿Qué pasa si mi ID de aplicación está expuesto? Su ID de aplicación es **público** y seguro para compartir: solo se puede usar para crear nuevos registros de usuario. Sin embargo, los usuarios no pueden recibir mensajes a menos que se hayan suscrito a través de medios válidos. Para protección adicional, habilite la [verificación de identidad](./identity-verification). ### ¿Qué pasa si un ID de suscripción está expuesto? El `subscription_id` propio de un usuario es seguro de exponer a ese usuario: solo puede modificar sus propios datos. Sin embargo, **nunca comparta los IDs de suscripción de otros usuarios**, ya que estos se pueden usar para enviar notificaciones a dispositivos específicos. Para prevenir la suplantación, use la [verificación de identidad](./identity-verification). ***