Sikkerhetserklæring

SIST OPPDATERT: 1. juli 2021

Denne sikkerhetserklæringen gjelder for produktene, tjenestene, nettstedene og appene som tilbys av Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli og deres tilknyttede selskaper (samlet kalt «Momentive»), som har merkevarenavnet «Momentive», «SurveyMonkey», «Wufoo» og «GetFeedback», bortsett fra når noe annet er oppgitt. Vi henviser til disse produktene, tjenestene, nettstedene og appene samlet som «tjenestene» i denne erklæringen. Denne sikkerhetserklæringen utgjør også en del av brukeravtalene for SurveyMonkey- og Wufoo-kunder.

Momentive verdsetter tilliten kundene våre viser oss ved å la oss forvalte dataene deres. Vi tar ansvaret med å beskytte og sikre informasjonen din, alvorlig, og vi forsøker å være fullstendig åpne rundt sikkerhetspraksisene som er beskrevet nedenfor. Våre personvernregler beskriver dessuten hvordan vi håndterer dataene dine.

Momentives informasjonssystemer og tekniske infrastruktur ligger på SOC 2-akkrediterte datasentre i verdensklasse. Fysiske sikkerhetskontroller i disse datasentrene omfatter døgnkontinuerlig overvåkning, kameraer, besøkslogger, adgangsbegrensninger og alt du forventer av et høysikkerhetsanlegg for databehandling.

Momentive har implementert metoder for styring, risikostyring og overholdelse som er i samsvar med de mest anerkjente globale rammeverkene for informasjonssikkerhet. Momentive har fått ISO 27001-sertifisering. I tillegg overholder SurveyMonkey Enterprise-produktet HIPAA-lovgivning, og SurveyMonkey-, Wufoo- og SurveyMonkey Apply-produktene våre har PCI DSS 3.2-sertifisering (Payment Card Industry’s Data Security Standards).

Tilgang til Momentives teknologiressurser er bare tillatt via sikker tilkobling (f.eks. VPN og SSH), og krever flerfaktorautentisering. Vår passord-policy for produksjonsavdelinger krever at det brukes passord som er komplekse, har utløpsdato, stenger brukeren ute ved feil angivelse og som ikke kan brukes på nytt. Momentive gir tilgang ved behov basert på prinsippet for minste privilegium, gjennomgår tillatelser hvert kvartal og tilbakekaller tilgang umiddelbart etter oppsigelse av ansatte.

Momentive opprettholder og gjennomgår policyene sine for informasjonssikkerhet regelmessig og sørger for at de er oppdatert, minst én gang i året. Ansatte må godta policyene hvert år og gjennomgå opplæring som passer jobbfunksjonen. Opplæringen er utformet for å overholde alle spesifikasjoner og forskrifter som gjelder for Momentive.

Momentive utfører bakgrunnssjekker ved ansettelse (slik det er tillatt eller lagt til rette for av gjeldende lover og land). I tillegg kommuniserer Momentive policyene sine for informasjonssikkerhet til alle ansatte (som må godta disse), krever at nyansatte skal signere konfidensialitetsavtaler og sørger kontinuerlig for personvern- og sikkerhetsopplæring.

Momentive har en egen Trust & Security-organisasjon, som fokuserer på programvare-, sky- nettverks- og systemsikkerhet. Dette teamet er også ansvarlig for overholdelse av sikkerhet, utdanning og respons til uønskede hendelser.

Momentive opprettholder et dokumentert program for sårbarhetshåndtering, som omfatter regelmessig gjennomgang, identifisering og utbedring av sikkerhetssårbarheter på servere, arbeidsstasjoner, nettverksutstyr og programvare. Alle nettverk, inkludert test- og produksjonsmiljøer, gjennomsøkes regelmessig av klarerte tredjepartsleverandører. Viktige oppdateringer installeres på servere som en prioritet, og alle andre oppdateringer installeres ved behov.

Vi utfører også regelmessige interne og eksterne inntrengningstester og retter opp i henhold til alvorlighetsgraden til funnene.

Momentive krypterer alle data under oppbevaring i datasentrene våre med AES 256-basert kryptering. I tillegg krypterer Momentive alle data under overføring med (i) RSA med sertifikater basert på 2048-biters nøkkellengde som genereres av en offentlig sertifiseringsinstans, for kommunikasjoner med instanser utenfor Momentives datasentre, og (ii) RSA 256-sertifikater generert via en intern sertifiseringsinstans for alle data i datasenteret.

Utviklingsteamet vårt bruker teknikker og gode fremgangsmåter for sikker koding, som er fokusert rundt OWASP Top Ten. Utviklere læres formelt opp i sikker webutvikling ved ansettelse og årlig.

Utviklings-, test- og produksjonsmiljøene er adskilt. Alle endringer kvalitetssikres og loggføres til resultats- og revisjonsformål og juridiske formål før distribusjon i produksjonsmiljøet.

Momentive har en policy for ressurshåndtering som omfatter identifisering, klassifisering, oppbevaring og avhending av informasjon og ressurser. Selskapets enheter er utstyrt med fullstendig harddiskkryptering og oppdatert antivirusprogramvare. Bare selskapets enheter gis tilgang til bedrifts- og produksjonsnettverk.

Momentive har en prosess for respons på uønskede hendelser som omfatter første tilbakemelding, undersøkelser, varsling av kunder (ikke mindre enn det som er påkrevd i henhold til lovgivningen), offentlig kommunikasjon og utbedring. Denne prosessen gjennomgås regelmessig og testes annethvert år.

Uansett hvor sikre metoder vi bruker, er ingen metode for overføring over Internett og elektronisk lagring helt sikker. Vi kan ikke garantere absolutt sikkerhet. Hvis Momentive oppdager sikkerhetsbrudd, varsler vi imidlertid berørte brukere, slik at de kan iverksette nødvendige beskyttende tiltak. Prosedyrene våre for varsling av brudd er i samsvar med forpliktelsene våre i henhold til lover og regler i ulike land, statlige og føderale lover og regler samt alle bransjeregler eller -standarder som er relevante for oss. Vi er opptatt av at kundene våre skal være godt informerte om alle relevante sider ved sikkerheten til kontoen deres, og av å gi kundene all nødvendig informasjon for at de skal kunne overholde alle sine rapporteringsforpliktelser i henhold til lovgivningen.

Sikkerhetskopier krypteres og lagres i produksjonsmiljøet for å bevare konfidensialitet og integritet. Momentive benytter en sikkerhetskopieringsstrategi for å sikre minimal nedetid og minimale datatap. Planen for forretningskontinuitet (BCP) testes og oppdateres jevnlig for å sikre at den er effektiv i tilfelle det oppstår en krisesituasjon.

Du har også et ansvar for å ivareta sikkerheten til dataene dine ved at du sikrer kontoen din med tilstrekkelig kompliserte passord og lagrer dem sikkert. Du må også sørge for at sikkerheten på dine egne systemer er tilstrekkelig. Vi tilbyr TLS for å sikre overføring av spørreundersøkelsessvarene, men det er ditt ansvar å sikre at undersøkelsene er konfigurert for å bruke denne funksjonen der det er hensiktsmessig. Hvis du vil ha mer informasjon om hvordan du sikrer spørreundersøkelsene dine, kan du besøke hjelpesenteret vårt.

Applikasjons- og infrastruktursystemer loggfører informasjon til et sentralt administrert loggrepositorium for feilsøking, sikkerhetsvurderinger og analysering av godkjent Momentive-personale. Logger oppbevares i henhold til lovgivningen. Vi sørger for å gi kundene rimelig assistanse og tilgang til logger i tilfelle en sikkerhetshendelse skulle påvirke kontoen deres.