Sikkerhetserklæring

SIST OPPDATERT: 7. JULI 2020

Denne sikkerhetserklæringen gjelder for produktene, tjenestene, nettstedene og appene som tilbys av SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. og deres tilknyttede selskaper (samlet kalt «SurveyMonkey»), som har merkevarenavnet «SurveyMonkey» og «Wufoo», bortsett fra når noe annet er oppgitt. Vi henviser til disse produktene, tjenestene, nettstedene og appene samlet som «tjenestene» i denne erklæringen. Denne sikkerhetserklæringen utgjør også en del av brukeravtalene for SurveyMonkey- og Wufoo-kunder.

SurveyMonkey verdsetter tilliten kundene våre viser oss ved å la oss forvalte dataene deres. Vi tar ansvaret med å beskytte og sikre informasjonen din, alvorlig, og vi forsøker å være fullstendig åpne rundt sikkerhetspraksisene som er beskrevet nedenfor. Vår personvernpolicy beskriver dessuten hvordan vi håndterer dataene dine.

SurveyMonkeys informasjonssystemer og tekniske infrastruktur ligger på SOC 2-akkrediterte datasentre i verdensklasse. Fysiske sikkerhetskontroller i datasentrene våre omfatter døgnkontinuerlig overvåkning, kameraer, besøkslogger, adgangskrav og dedikerte rammeverk for SurveyMonkey-maskinvare.

SurveyMonkey, Wufoo og SurveyMonkey Apply overholder PCI DSS 3.2 (Payment Card Industry’s Data Security Standards) og kan derfor godta og behandle kredittkortopplysninger i henhold til disse standardene. SurveyMonkey sertifiseres for denne overholdelsen hvert år. SurveyMonkey har oppnådd ISO 27001-sertifisering.

Tilgang til SurveyMonkeys teknologiressurser er bare tillatt via sikker tilkobling (f.eks. VPN og SSH), og krever flerfaktorautentisering. Vår passordpolicy for produksjonsavdelinger krever at det brukes passord som er komplekse, har utløpsdato, stenger brukeren ute ved feil angivelse, og som ikke kan brukes på nytt. SurveyMonkey gir tilgang ved behov på grunnlag av minste privilegieregler, gjennomgår tillatelser hvert kvartal og tilbakekaller tilgang umiddelbart etter oppsigelse av ansatte.

SurveyMonkey opprettholder og gjennomgår informasjonssikkerhetspolicyene sine regelmessig og sørger for at de er oppdatert, minst én gang i året. Ansatte må godta policyene hvert år og gjennomgå opplæring, som HIPAA-opplæring, Secure Coding og PCI, og jobbspesifikk opplæring innen sikkerhet og ferdighetsutvikling og/eller opplæring innen personvernlovgivning for sentrale stillingsfunksjoner. Tidsplanen for opplæring er utformet for å overholde alle spesifikasjoner og forskrifter som gjelder for SurveyMonkey.

SurveyMonkey utfører bakgrunnssjekker ved ansettelse (slik det er tillatt eller lagt til rette for av gjeldende lover og land). I tillegg kommuniserer SurveyMonkey informasjonssikkerhetspolicyene sine til alle ansatte (som må godta disse), krever at nyansatte skal signere konfidensialitetsavtaler og sørger kontinuerlig for personvern- og sikkerhetsopplæring.

SurveyMonkey har også en dedikert Trust & Security-organisasjon, som fokuserer på programvare-, nettverks- og systemsikkerhet. Dette teamet er også ansvarlig for overholdelse av sikkerhet, utdanning og hendelsesrespons.

SurveyMonkey opprettholder et dokumentert program for sårbarhetsadministrasjon, som omfatter regelmessig gjennomgang, identifisering og utbedring av sikkerhetssårbarheter på servere, arbeidsstasjoner, nettverksutstyr og programvare. Alle nettverk, inkludert test- og produksjonsmiljøer, gjennomsøkes regelmessig av klarerte tredjepartsleverandører. Viktige oppdateringer installeres på servere som en prioritet, og alle andre oppdateringer installeres ved behov.

Vi utfører også regelmessige interne og eksterne inntrengningstester og retter opp i henhold til alvorlighetsgraden til funnene.

Vi krypterer dataene dine ved overføring med TLS-kryptografiske protokoller. SurveyMonkey- og Wufoo-data krypteres også når de er inaktive.

Utviklingsteamet vårt bruker teknikker og gode fremgangsmåter for sikker koding, som er fokusert rundt OWASP Top Ten. Utviklere læres formelt opp i sikker webutvikling ved ansettelse og årlig.

Utviklings-, test- og produksjonsmiljøene er adskilt. Alle endringer kvalitetssikres og loggføres til resultats- og revisjonsformål og juridiske formål før distribusjon i produksjonsmiljøet.

SurveyMonkey opprettholder en policy for ressurshåndtering, som omfatter identifisering, klassifisering, oppbevaring og avhending av informasjon og ressurser. Selskapets enheter er utstyrt med fullstendig harddiskkryptering og oppdatert antivirusprogramvare. Bare selskapets enheter gis tilgang til bedrifts- og produksjonsnettverk.

SurveyMonkey opprettholder hendelsesresponspolicyer og -prosedyrer som omfatter første tilbakemelding, undersøkelser, varsling av kunder (ikke mindre enn det som er tillatt i henhold til lovgivningen), offentlig kommunikasjon og utbedring. Disse policyene gjennomgås regelmessig og testes annethvert år.

Uansett hvor sikre metoder vi bruker, er ingen metode for overføring over Internett og elektronisk lagring helt sikker. Vi kan ikke garantere absolutt sikkerhet. Hvis SurveyMonkey oppdager sikkerhetsbrudd, varsler vi imidlertid berørte brukere, slik at de kan iverksette nødvendige beskyttende tiltak. Prosedyrene våre for varsling av brudd er i samsvar med forpliktelsene våre i henhold til lover og regler i ulike land, statlige og føderale lover og regler samt alle bransjeregler eller -standarder som er relevante for oss. Vi er opptatt av at kundene våre skal være godt informerte om alle relevante sider ved sikkerheten til kontoen deres, og av å gi kundene all nødvendig informasjon for at de skal kunne overholde alle sine rapporteringsforpliktelser i henhold til lovgivningen.

SurveyMonkeys databaser sikkerhetskopieres inkrementelt og fullstendig vekselvis og verifiseres regelmessig. Sikkerhetskopier krypteres og lagres i produksjonsmiljøet for å oppfylle kravene til konfidensialitet og integritet, og testes regelmessig for å sørge for tilgjengelighet. Videre har SurveyMonkey en formell plan for forretningskontinuitet (BCP). BCP-en testes og oppdateres jevnlig for å sikre at den er effektiv i tilfelle det oppstår en krisesituasjon.

Du har også et ansvar for å ivareta sikkerheten til dataene dine ved at du sikrer kontoen din med tilstrekkelig kompliserte passord og lagrer dem sikkert. Du må også sørge for at sikkerheten på dine egne systemer er tilstrekkelig. Vi tilbyr TLS for å sikre overføring av spørreundersøkelsessvarene, men det er ditt ansvar å sikre at undersøkelsene er konfigurert for å bruke denne funksjonen der det er hensiktsmessig. Hvis du vil ha mer informasjon om hvordan du sikrer spørreundersøkelsene dine, kan du besøke hjelpesenteret vårt. Denne artikkelen er skrevet for SurveyMonkey-kunder, men noen av rådene gjelder også for våre Wufoo-kunder.

Applikasjons- og infrastruktursystemer loggfører informasjon til et sentralt administrert loggrepositorium for feilsøking, sikkerhetsvurderinger og analysering av godkjent SurveyMonkey-personale. Logger oppbevares i henhold til lovgivningen. Vi sørger for å gi kundene rimelig assistanse og tilgang til logger i tilfelle en sikkerhetshendelse skulle påvirke kontoen deres.