Sikkerhetserklæring

SIST OPPDATERT: 15. februar 2024

Denne sikkerhetserklæringen gjelder for produktene, tjenestene, nettstedene og appene som tilbys av SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli og deres tilknyttede selskaper (samlet kalt «SurveyMonkey»), som har merkevarenavnene «SurveyMonkey», «Wufoo» og «GetFeedback» bortsett fra når noe annet er oppgitt. Vi henviser til disse produktene, tjenestene, nettstedene og appene samlet som «tjenestene» i denne erklæringen. Denne sikkerhetserklæringen utgjør også en del av brukeravtalene for SurveyMonkey- og Wufoo-kunder.

SurveyMonkey verdsetter tilliten kundene våre viser oss ved å la oss forvalte dataene deres. Vi tar ansvaret med å beskytte og sikre informasjonen din på alvor, og vi forsøker å være fullstendig åpne rundt sikkerhetspraksisene som er beskrevet nedenfor. Våre personvernregler beskriver dessuten hvordan vi håndterer dataene dine.

SurveyMonkeys informasjonssystemer og tekniske infrastruktur ligger på SOC 2-akkrediterte datasentre i verdensklasse. Fysiske sikkerhetskontroller i disse datasentrene omfatter døgnkontinuerlig overvåkning, kameraer, besøkslogger, adgangsbegrensninger og alt du forventer av et høysikkerhetsanlegg for databehandling.

SurveyMonkey har implementert metoder for styring, risikostyring og overholdelse som er i samsvar med de mest anerkjente globale rammeverkene for informasjonssikkerhet. SurveyMonkey har oppnådd ISO 27001-sertifisering. I tillegg overholder SurveyMonkey Enterprise-produktet HIPAA-lovgivning, og SurveyMonkey-, Wufoo- og SurveyMonkey Apply-produktene våre har PCI DSS 3.2-sertifisering (Payment Card Industry’s Data Security Standards).

Tilgang til SurveyMonkeys teknologiressurser er bare tillatt via sikker tilkobling (f.eks. VPN og SSH), og krever flerfaktorautentisering. Vår passordpolicy for produksjonsavdelinger krever at det brukes passord som er komplekse, har utløpsdato, stenger brukeren ute ved feil angivelse, og som ikke kan brukes på nytt. SurveyMonkey gir tilgang ved behov på grunnlag av minste privilegieregler, gjennomgår tillatelser hvert kvartal og tilbakekaller tilgang umiddelbart etter oppsigelse av ansatte.

SurveyMonkey opprettholder og gjennomgår policyene sine for informasjonssikkerhet regelmessig og sørger for at de er oppdatert, minst én gang i året. Ansatte må godta policyene hvert år og gjennomgå opplæring som passer jobbfunksjonen. Opplæringen er utformet for å overholde alle spesifikasjoner og forskrifter som gjelder for SurveyMonkey.

SurveyMonkey utfører bakgrunnssjekker ved ansettelse (slik det er tillatt eller lagt til rette for av gjeldende lover og land). I tillegg kommuniserer SurveyMonkey informasjonssikkerhetspolicyene sine til alle ansatte (som må godta disse), krever at nyansatte skal signere konfidensialitetsavtaler og sørger kontinuerlig for personvern- og sikkerhetsopplæring.

SurveyMonkey har også en dedikert Trust & Security-organisasjon, som fokuserer på programvare-, nettverks- og systemsikkerhet. Dette teamet er også ansvarlig for overholdelse av sikkerhet, utdanning og hendelsesrespons.

SurveyMonkey opprettholder et dokumentert program for sårbarhetsadministrasjon, som omfatter regelmessig gjennomgang, identifisering og utbedring av sikkerhetssårbarheter på servere, arbeidsstasjoner, nettverksutstyr og programvare. Alle nettverk, inkludert test- og produksjonsmiljøer, gjennomsøkes regelmessig av klarerte tredjepartsleverandører. Viktige oppdateringer installeres på servere som en prioritet, og alle andre oppdateringer installeres ved behov.

Vi utfører også regelmessige interne og eksterne inntrengningstester og retter opp i henhold til alvorlighetsgraden til funnene.

SurveyMonkey krypterer alle data under oppbevaring i våre datasentre ved hjelp av AES 256-basert kryptering. I tillegg krypterer SurveyMonkey alle data under overføring med (i) RSA med sertifikater basert på 2048-biters nøkkellengde som genereres av en offentlig sertifiseringsinstans, for kommunikasjon med instanser utenfor SurveyMonkeys datasentre, og (ii) RSA 256-sertifikater generert via en intern sertifiseringsinstans for alle data i datasenteret.

Utviklingsteamet vårt bruker teknikker og gode fremgangsmåter for sikker koding, som er fokusert rundt OWASP Top Ten. Utviklere læres formelt opp i sikker webutvikling ved ansettelse og årlig.

Utviklings-, test- og produksjonsmiljøene er adskilt. Alle endringer kvalitetssikres og loggføres til resultats- og revisjonsformål og juridiske formål før distribusjon i produksjonsmiljøet.

SurveyMonkey opprettholder en policy for ressurshåndtering, som omfatter identifisering, klassifisering, oppbevaring og avhending av informasjon og ressurser. Selskapets enheter er utstyrt med fullstendig harddiskkryptering og oppdatert antivirusprogramvare. Bare selskapets enheter gis tilgang til bedrifts- og produksjonsnettverk.

SurveyMonkey har en prosess for respons på uønskede hendelser som omfatter første tilbakemelding, undersøkelser, varsling av kunder (ikke mindre enn det som er påkrevd i henhold til lovgivningen), offentlig kommunikasjon og utbedring. Denne prosessen gjennomgås regelmessig og testes annethvert år.

Uansett hvor sikre metoder vi bruker, er ingen metode for overføring over Internett og elektronisk lagring helt sikker. Vi kan ikke garantere absolutt sikkerhet. Hvis SurveyMonkey oppdager sikkerhetsbrudd, varsler vi imidlertid berørte brukere, slik at de kan iverksette nødvendige beskyttende tiltak. Prosedyrene våre for varsling av brudd er i samsvar med forpliktelsene våre i henhold til lover og regler i ulike land, statlige og føderale lover og regler samt alle bransjeregler eller -standarder som er relevante for oss. Vi er opptatt av at kundene våre skal være godt informerte om alle relevante sider ved sikkerheten til kontoen deres, og av å gi kundene all nødvendig informasjon for at de skal kunne overholde alle sine rapporteringsforpliktelser i henhold til lovgivningen.

Sikkerhetskopier krypteres og lagres i produksjonsmiljøet for å bevare konfidensialitet og integritet. SurveyMonkey benytter en sikkerhetskopieringsstrategi for å sikre minimal nedetid og minimale datatap. Planen for forretningskontinuitet (BCP) testes og oppdateres jevnlig for å sikre at den er effektiv i tilfelle det oppstår en krisesituasjon.

Du har også et ansvar for å ivareta sikkerheten til dataene dine ved at du sikrer kontoen din med tilstrekkelig kompliserte passord og lagrer dem sikkert. Du må også sørge for at sikkerheten på dine egne systemer er tilstrekkelig. Vi tilbyr TLS for å sikre overføring av spørreundersøkelsessvar, men det er ditt ansvar å sikre at undersøkelsene er konfigurert for å bruke denne funksjonen der det er hensiktsmessig. Hvis du vil ha mer informasjon om hvordan du sikrer spørreundersøkelsene dine, kan du besøke hjelpesenteret vårt.

Applikasjons- og infrastruktursystemer loggfører informasjon til et sentralt administrert loggrepositorium for feilsøking, sikkerhetsvurderinger og analysering av godkjent SurveyMonkey-personale. Logger oppbevares i henhold til lovgivningen. Vi sørger for å gi kundene rimelig assistanse og tilgang til logger i tilfelle en sikkerhetshendelse skulle påvirke kontoen deres.