Prácticas de seguridad

Khan Academy se compromete a crear un ambiente en línea seguro para ti. Nos tomamos muy en serio los asuntos de privacidad y seguridad, y queremos que confíes en cómo aseguramos y protegemos la información que compartes con nosotros. A continuación encontrarás un resumen de nuestras prácticas de seguridad. Si tienes preguntas, comunícate con nosotros a través de privacy@khanacademy.com y estaremos encantados de responderlas.

Khan Academy pone a prueba y evalúa con regularidad su programa de seguridad. Actualizamos nuestro programa y estas prácticas de seguridad en respuesta a las evaluaciones, así como a las tendencias cambiantes de la industria, con el fin de mejorar la protección que brindan.

¿Qué información recopila Khan Academy?

Khan Academy recopila información de contacto y perfil, información de cuenta y autenticación, información de ubicación, información del navegador o del dispositivo, información de donantes y candidatos, y otra información no personal que puede estar vinculada a las cuentas. Para obtener más información acerca de estas categorías y ejemplos de lo que incluyen, consulta nuestra política de privacidad en https://es.khanacademy.org/about/privacy-policy#what-information-do-we-collect.

Tal y como se detalla en nuestras políticas de privacidad, no vendemos tu información a terceros ni mostramos publicidad en Khan Academy, que además afirmamos como signatario del Compromiso de privacidad del estudiante (en inglés: Student Privacy Pledge). Nuestra misión es la educación, no el lucro.

Alojamiento de datos y servidores

El sitio web y aplicación móvil de Khan Academy están alojados en los Estados Unidos en Google AppEngine como parte de Google Cloud Platform (GCP). Hemos seleccionado este proveedor debido a sus estándares de seguridad de mejores prácticas, y confiamos en ellos para la seguridad y estabilidad del servidor y del centro de datos. Todos los datos en GCP están encriptados en reposo de acuerdo con las prácticas de seguridad de Google, sobre las cuales puedes leer en: https://cloud.google.com/security/.

Agregamos una capa adicional de encriptación a los datos personales de los usuarios almacenados en GCP; de esta forma, los datos solo pueden ser visto por el personal con los permisos adecuados. El acceso a los servidores de Khan Academy en AppEngine está restringido a personal específico para la resolución de problemas necesaria. Los registros relacionados con la seguridad están igual mente restringidos al personal apropiado para su uso en respuesta a incidentes.

Además de nuestro uso de GCP, utilizamos la red de entrega de contenido de Fastly, que contribuye aún más al rendimiento y la confiabilidad de Khan Academy.

Datos en tránsito

Khan Academy admite y fomenta el uso de los últimos protocolos criptográficos para todo el tráfico de red, incluido TLS 1.2, cifrado AES-256 y firmas SHA 256.

Respuesta a incidentes

En caso de un incidente de seguridad de datos (o al investigar un posible incidente), aplicamos nuestro plan de respuesta a incidentes. Este incluye procesos par ala detección inicial y la notificación, comunicación a las partes afectadas, aislamiento, resolución y las lecciones aprendidas post mortem. Este plan de respuesta a incidentes se aplica al menos una vez al año para garantizar que estemos preparados para afrontar lo inesperado.

Gestión de vulnerabilidades

Khan Academy utiliza una variedad de herramientas, prácticas y procedimientos para para monitorear y proteger nuestros datos y sistemas. Nuestro equipo de seguridad revisa los boletines de la industria para ayudar a evaluar el impacto de las tecnologías emergentes y las vulnerabilidades de nuestros sitemas de producción. También mantenemos un programa confidencial de divulgación de vulnerabilidades que recoge reportes de investigadores de seguridad, reportes que son clasificados, priorizados y abordados rápidamente de acuerdo a su gravedad.

Ciclo de desarrollo de sistemas 

(En inglés: Systems Development Life Cycle, abreviado SDLC)

Khan Academy emplea las mejores prácticas de la industria en el desarrollo de nuestro producto, para incluir revisión manual del código, pruebas de ingenieros, pruebas de calidad y pruebas automatizadas para cada cambio de código que se convierte en parte de nuestro servicio. Seguimos las mejores prácticas y recomendaciones de seguridad de NIST, OWASP y similares reconocidas a nivel mundial en el curso del desarrollo de nuestro producto. El acceso a los secretos de producción está restringido al personal que necesita conocerlos.

Prácticas de personal

Todos los empleados de Khan Academy son evaluados con verificaciones de anteecedentes antes de su empleo con nosotros (sujeto a la ley aplicable). Realizamos capacitaciones sobre de seguridad y privacidad con cada empleado al momento de la contratación y anualmente a partir de entonces. Nuestro personal de IT administra las computadoras portátiles de la empresa con capacidades de generación de informes y detección de amenazas en el dispositivo.

Control de acceso de datos

Los empleados de Khan Academy ocasionalmente tienen la necesidad de acceder a los datos del usuario en el curso de sus funciones estándar. Por ejemplo, el personal de soporte puede necesitar aceso a la información del perfil para atender la solicitud de ayuda de esa persona. El acceso a los datos del usuario se controla a través de una política de privilegios mínimos y debe otorgarse afirmativamente cada empleado, y ese acceso se audita y se somete a una revisión trimestral. Todos los empleados deben utilizar la autenticación multifactor para acceder a los recursos de Khan Academy. Además, describimos nuestras prácticas para mantener tus datos seguros en una política de seguridad escrita que todos los empleados afirman.

Terceros

Con el fin de brindarte nuestro servicio, nos relacionamos con varios proveedores, incluido el alojamiento de servidores y datos, servicio al cliente y las herramientas internas de productividad y comunicación. También nos asociamos con organizaciones que creemos que están en el mejor interés de cumplir con nuestro objetivo de brindarte una eduación de clase mundial. Tenemos acuerdos vigentes con estos terceros que siguen nuestros estándares de seguridad de datos para proteger tus datos. Nuestros proveedores críticos se someten a un cribado e investigación de antecedentes por parte del personal de seguridad antes de que le confiemos tus datos, y cada uno de estos proveedores se revisa anualmente a partir de entonces.

Evaluación y pruebas

Khan Academy realiza evaluaciones períodicas de cumplimiento de seguridad y se somete a una prueba de penetración externa anual.