Millioner av brukere har betrodd SurveyMonkey med sine spørreundersøkelsesdata, og brukernes sikkerhet og personvern er vår aller høyeste prioritet. Vi bestreber oss på å sikre at brukernes data oppbevares på en forsvarlig måte, og at vi bare samler inn de personopplysningene som er nødvendig for å tilby våre tjenester til brukere på en effektiv måte.

SurveyMonkey bruker noen av de mest avanserte teknologiene for Internett-sikkerhet som er kommersielt tilgjengelige i dag. Hensikten med denne sikkerhetserklæringen er åpenhet rundt vår sikkerhetsinfrastruktur og -praksis, slik at du kan være trygg på at dataene dine ivaretas på best mulig måte.

Bruk og brukersikkerhet

  • SSL/TLS-kryptering: Brukerne kan bestemme om det skal samles inn spørreundersøkelsessvar via sikrede, krypterte SSL/TLS-koblinger. All annen kommunikasjon med surveymonkey.com sitt nettsted sendes via SSL/TLS-koblinger. Teknologien Secure Sockets Layer (SSL) og Transport Layer Security (TLS) (etterfølgeren til SSL) beskytter kommunikasjon ved å bruke både serverautentisering og kryptering av data. Dette sikrer at brukerdata overføres på en trygg og sikker måte, og bare er tilgjengelig for mottakerne.
  • Brukerautentisering: Brukerdata i databasen vår er logisk atskilt ut fra kontobaserte tilgangskontrollregler. Brukerkontoer har unike brukernavn og passord som må legges inn hver gang en bruker logger seg på. SurveyMonkey utsteder en øktinformasjonskapsel bare for å registrere kryptert autentiseringsinformasjon, og denne informasjonskapselen avsluttes når økten er over. Øktinformasjonskapselen inkluderer ikke passordet til brukeren.
  • Brukerpassord: Brukerens programpassord er underlagt minimum kompleksitetskrav. Passordene er individuelt saltet og hashet.
  • Datakryptering: Enkelte sensitive brukerdata, for eksempel kredittkortnummer og kontopassord, er lagret i kryptert format.
  • Dataportabilitet: SurveyMonkey gjør det mulig å eksportere data fra systemet i en rekke formater, slik at du kan sikkerhetskopiere dem eller bruke dem med andre programmer.
  • Personvern: Vi har en omfattende personvernpolicy som gir et svært gjennomsiktig innsyn i hvordan vi håndterer dataene, inkludert hvordan vi bruker dataene, hvordan vi deler dem og hvor lenge vi beholder dem.
  • HIPAA: Forbedrede sikkerhetsfunksjoner for HIPAA-aktiverte kontoer.

Fysisk sikkerhet

  • Datasentre: Vår infrastruktur for informasjonssystemer (servere, nettverksutstyr, osv.) er samlokalisert på tredjeparts SSAE 16/ SOC 2 reviderte datasentre. Vi eier og administrerer alt utstyret vårt i disse datasentrene.
  • Datasentersikkerhet: Våre datasentre er bemannet og overvåket 24 timer i døgnet, sju dager i uken. Datasenteret beskyttes av sikkerhetsvakter, logger over besøkende og inngangskrav, som for eksempel kodekort og biometrisk gjenkjennelse. Utstyret vårt er innelåst i bur.
  • Miljømessige kontroller: Vårt datasenter driftes under kontrollerte temperaturer og fuktighetsnivåer som kontinuerlig overvåkes for variasjoner. Systemer for røyk- og branndeteksjon og respons er på plass.
  • Plassering: Alle brukerdataene lagres på serverne i USA og Luxembourg.

Tilgjengelighet

  • Tilkobling: Fullt redundante IP-nettverkstilkoblinger med flere uavhengige forbindelser til en rekke av Nivå 1 Internett-leverandører.
  • Strøm: Serverne har redundant intern og ekstern strømtilgang. Datasenteret har reservestrømforsyning, og er i stand til å trekke strøm fra flere transformatorstasjoner på rutenettet, flere dieselgeneratorer og backup-batterier.
  • Oppetid: Oppetiden overvåkes konstant, med umiddelbar eskalering til SurveyMonkeys medarbeidere i tilfelle nedetid.
  • Failover: Databasen loggføres og sendes til reserveservere og kan tas i bruk innen én time.

Nettverkssikkerhet

  • Oppetid: Oppetiden overvåkes konstant, med umiddelbar eskalering til SurveyMonkeys medarbeidere i tilfelle nedetid.
  • Tredjepartsskanner: Ukentlig sikkerhetsskanninger utføres av Qualys.
  • Testing: Endringer i systemfunksjonalitet og -design er verifisert i et isolert testmiljø (såkalt “sandbox”) og underlagt funksjonell testing og sikkerhetstesting før distribusjon til aktive produksjonssystemer.
  • Brannmur: Brannmuren begrenser tilgangen til alle porter unntatt 80 (http) og 443 (https).
  • Patching: De nyeste sikkerhetsoppdateringene brukes på alle operativsystemer og programfiler for å minimere nylig oppdagede sårbarheter.
  • Tilgangskontroll: Sikker VPN, multifaktorautentisering og rollebasert tilgangskontroll håndheves for systemadministrasjon av autoriserte ingeniører.
  • Logging og revisjon: Sentrale loggingssystemer fanger og arkiverer all intern systemtilgang, inkludert eventuelle mislykkede autentiseringsforsøk.

Lagringssikkerhet

  • Sikkerhetskopieringsfrekvens: Sikkerhetskopiering utføres internt hver time, og daglig til et sentralisert sikkerhetskopisystem for lagring på flere separate geografiske steder.
  • Beskyttelsesredundans: Data lagres på en RAID 10-matrise. O/S lagres på en RAID 1-matrise.

Organisasjons- og administrasjonssikkerhet

  • Medarbeiderscreening: Vi utfører bakgrunnsscreening av alle medarbeidere.
  • Opplæring: Vi gir opplæring i sikkerhet og teknologibruk for medarbeidere.
  • Tjenesteleverandører: Vi gransker våre tjenesteleverandører og forplikter dem i henhold til kontrakter til å overholde taushetsplikt hvis de håndterer eventuelle brukerdata.
  • Tilgang: Tilgangskontroller for sensitive data i våre databaser, systemer og miljøer angis etter behov for tilgang og etter minste nødvendige rettigheter.
  • Revisjonslogging: Vi opprettholder og overvåker revisjonslogger på våre tjenester og systemer (vi genererer flere gigabyte med loggfiler hver dag)
  • Policyer for informasjonssikkerhet: Vi opprettholder sikkerhetsretningslinjer for intern informasjon, inkludert planer for hendelsesreaksjoner, og vi går jevnlig gjennom og oppdaterer dem.

Programvareutvikling og praksis

  • Stack: Vi koder i Python og C# og kjører på SQL Server 2008, Ubuntu Linux og Windows 2008 Server
  • Kodingspraksis: Våre ingeniører bruker beste praksis og bransjestandardretningslinjer for sikker koding, for å sørge for sikrest mulig koding.

Håndtering av sikkerhetsbrudd

Uansett hvor sikre metoder vi bruker, er ingen metode for overføring over Internett og elektronisk lagring helt sikker. Vi kan ikke garantere absolutt sikkerhet. Hvis SurveyMonkey oppdager sikkerhetsbrudd, varsler vi imidlertid berørte brukere, slik at de kan iverksette nødvendige beskyttende tiltak. Våre prosedyrer for varsling av brudd er i samsvar med våre forpliktelser i henhold til ulike statlige og føderale lover og regler, samt alle bransjeregler eller -standarder som vi benytter. Varslingsrutiner omfatter e-postmeldinger eller meldinger på vårt nettsted dersom et brudd oppstår.

Ditt ansvar

Du har også et ansvar for å ivareta sikkerheten til dine data, ved at du sikrer kontoen din med tilstrekkelig kompliserte passord og lagrer dem sikkert. Du bør også sørge for at du har tilstrekkelig sikkerhet på egne systemer, for å holde eventuelle spørreundersøkelsesdata du laster ned til din egen datamaskin borte fra nysgjerrige øyne. Vi tilbyr SSL for å sikre overføring av svarene på undersøkelsen, men det er ditt ansvar å sikre at undersøkelsene er konfigurert for å bruke denne funksjonen der det er hensiktsmessig.

Forespørsler om egendefinerte sikkerhetsmetoder

Grunnet det høye antallet kunder som bruker våre tjenester, kan vi bare tilby spesifikke sikkerhetsspørsmål eller egendefinerte sikkerhetsskjemaer til kunder som kjøper et visst antall brukerkontoer i et SurveyMonkey Enterprise-abonnement. Hvis selskapet ditt har mange potensielle eller eksisterende brukere, og er interessert i å utforske disse mulighetene, går du tilwww.surveymonkey.com/mp/enterprise.

Sist oppdatert: 9. september 2013.