Millioner av mennesker bruker SurveyMonkey, og de stoler på at SurveyMonkey ivaretar informasjonen fra spørreundersøkelser på en sikker måte. Det gjør de fordi SurveyMonkey tar brukernes sikkerhet og personvern på alvor. Vi jobber hardt for å sikre at brukerdata behandles sikkert. SurveyMonkey benytter seg av den mest avanserte teknologien for Internett-sikkerhet som finnes på dagens kommersielle marked. Hensikten med denne sikkerhetserklæringen er åpenhet rundt vår sikkerhetsinfrastruktur og -praksis, slik at du kan være trygg på at dataene dine ivaretas på best mulig måte. Du får mer informasjon om hvordan vi praktiserer databehandling ved å lese personvernpolicyen vår.

Brukersikkerhet

  • Brukerautentisering: Brukerdata i databasen vår er atskilt på en logisk måte med kontobaserte tilgangsregler. Brukerkontoer har unike brukernavn og passord som må legges inn hver gang en bruker logger seg på. SurveyMonkey sender en øktinformasjonskapsel bare for å registrere kryptert autentiseringsinformasjon, og denne informasjonskapselen avsluttes når økten er over. Øktinformasjonskapselen inkluderer ikke brukerens passord.
  • Passord: Brukerens programpassord er underlagt minimum kompleksitetskrav. Passordene er individuelt saltet og hashet.
  • Enkel pålogging: SurveyMonkey støtter SAML 2.0-integrasjon for dem som har konto for lagsamarbeid. Dette lar deg kontrollere tilgang til SurveyMonkey på tvers av organisasjonen din. I tillegg gir denne integrasjonen mulighet til å definere retningslinjer for autentisering, noe som øker sikkerheten. Du finner mer informasjon ved å gå til SSO-hjelpesiden.
  • Datakryptering: Enkelte sensitive brukerdata, som f.eks. kredittkortinformasjon og kontopassord, lagres i et kryptert format.
  • Muligheter for å flytte data: SurveyMonkey gjør det mulig å eksportere data fra systemet i en rekke formater, slik at du kan sikkerhetskopiere dem eller bruke dem med andre programmer.
  • Personvern: Vi har en omfattende personvernpolicy som gir en svært åpen oversikt over hvordan vi håndterer dataene, inkludert hvordan vi bruker dataene, hvordan vi deler dem og hvor lenge vi beholder dem.
  • Dataenes oppbevaringssted: Alle brukerdata på SurveyMonkey, som inkluderer Wufoo, TechValidate og SurveyMonkey Intelligence, lagres på servere i USA. Data fra FluidSurveys og FluidReview oppbevares i Canada.

Fysisk sikkerhet

Alle SurveyMonkeys informasjonssystemer og infrastruktur driftes fra datasentre i verdensklasse. Disse dataene inkluderer nødvendige, fysiske sikkerhetskontroller som man forventer fra moderne datasentre (f.eks. kontinuerlig overvåking, kameraer, besøkslogger og inngangskrav). SurveyMonkey har egne bur som skiller utstyret fra andre leietakere. I tillegg er datasentrene SOC 2-godkjente. Du kan få mer informasjon ved å gå til SuperNAP og InterNAP. Du kan få mer informasjon om FluidSurvey og FluidReview ved å kontakte oss direkte.

Tilgjengelighet

  • Tilkobling: Fullt redundante IP-nettverkstilkoblinger med flere uavhengige forbindelser til en rekke av Nivå 1 Internett-leverandører.
  • Strømkilder: Servere har redundante interne og eksterne strømforsyningkilder. Datasentre har reservekraftforsyninger, og kan benytte seg av flere understasjoner fra strømnettet, flere dieselgeneratorer og reservebatterier.
  • Oppetid: Kontinuerlig oppetidsovervåking varsler SurveyMonkey-ansette umiddelbart om eventuelle nedetider.
  • Failover: Databasen loggføres og sendes til reserveservere og kan tas i bruk innen én time.
  • Sikkerhetskopieringsfrekvens: Sikkerhetskopiering utføres daglig på flere separate geografiske steder.

Nettverkssikkerhet

  • Testing: Endring av systemets funksjonalitet og design bekreftes i et isolert testmiljø («sandkasse»), og gjennomgår testing av funksjoner og sikkerhet før det blir brukt i aktive produksjonssystemer.
  • Brannmurer: Brannmurer begrenser tilgangen til alle porter med unntak av 80 (http) og 443 (https).
  • Tilgangskontroll: Sikker VPN, 2FA (godkjenning med to faktorer) og rollebasert tilgang benyttes i systemadministrasjon av godkjent teknisk personell.
  • Loggføring og gjennomgang: Sentrale loggsystemer registrerer og arkiverer intern systemtilgang, inkludert mislykkede autentiseringsforsøk.
  • Kryptering ved overføringer: Våre spørreundersøkelsesinngangspunkt bruker som standard Transport Layer Security (TLS), som er aktivert for å kryptere respondenttrafikk. All annen kommunikasjon med surveymonkey.com-nettstedet sendes via TLS-tilkoblinger, som beskytter kommunikasjonen ved å bruke både serverautentisering og datakryptering. Dette sikrer at brukerdata som er i transitt holdes trygg, sikker og tilgjengelig utelukkende for de tiltenkte mottakerne. Programmenes endepunkter er bare TLS og har en «A»-vurdering på SSL Labs sine tester. Vi bruker også Forward Secrecy og støtter bare sterk chiffrering for å gi bedre personvern og sikkerhet.

Sårbarhetstiltak

  • Patching: Vi bruker de nyeste oppdateringene for alle operativsystemer, programvare og nettverksinfrastruktur for å minimere sårbarhetsfarer.
  • Tredjepartsskanning: Miljøene våre skannes kontinuerlig av de beste sikkerhetsverktøyene. Disse verktøyene stilles inn til å gjennomføre vurderinger av sårbarheten i programmer og nettverk, der det kontrolleres for oppdateringsstatus og grunnleggende feilkonfigurasjon av systemer og nettsteder.
  • Testing av inntrengning: Eksterne organisasjoner gjennomfører inntrengningstester minst én gang årlig.
  • Feilrettelseprogammer: Vi tar sikkerheten på plattformene våre på det største alvor! SurveyMonkey bruker et privat feilrettelseprogram for å sikre at programmene våre kontrolleres kontinuerlig for sårbarhet.

Organisasjonssikkerhet og administrativ sikkerhet

  • Retningslinjer for informasjonssikkerhet: Vi har interne retningslinjer for informasjonssikkerhet, inkludert planer for hendelsesreaksjoner, som vi gjennomgår og oppdaterer regelmessig.
  • Bakgrunnssjekker av ansatte: Vi sjekker alle ansattes bakgrunn i den grad det er mulig etter det lokale lovverket.
  • Opplæring: Vi gir ansatte opplæring innen sikkerhet og teknologi.
  • Tjenestetilbydere: Vi sjekker alle tjenestetilbydere våre og signerer kontrakter med dem for å sikre konfidensialitet og sikkerhetsforpliktelser ved behandling av brukerdata.
  • Tilgang: Tilgangskontroll til sensitive data i databasene, systemene og miljøet vårt er begrenset til en behovsprøvd informasjonsstrøm / rettigheter etter behov.
  • Gjennomgang av logger: Vi vedlikeholder og overvåker gjennomgangslogger for alle tjenester og systemer.

Programvareutviklingpraksis

  • Stack: Vi koder i Pyhton og bruker SQL Server, Windows og Ubuntu.
  • Kodepraksis: Teknikerne våre bruker beste praksis og bransjeledene retningslinjer for sikker koding, som er i tråd med OWASP Top 10.
  • Distribuering: Vi distribuerer koder flere ganger i uken, noe som gir oss muligheten til å reagere hvis vi oppdager feil eller sårbarheter i koden.

Overholdelse og sertifiseringer

  • PCI: SurveyMonkey overholder PCI 3.1.
  • HIPAA: SurveyMonkey tilbyr forbedrede funksjoner som støtter HIPAA-krav. Du finner mer informasjon ved å gå til HIPAA-overholdelsesiden.

Håndtering av sikkerhetsbrudd

Til tross for alle tiltakene vi gjør, finnes det ingen overføringsmetoder over Internett eller metoder for elektronisk lagring som er helt sikre. Vi kan ikke garantere fullstendig sikkerhet. Men dersom SurveyMonkey oppdager et sikkerhetsbrudd, kommer vi til å varsle alle brukere som er omfattet, slik at de kan igangsette tiltak for å beskytte seg. Prosedyrene ved varsling av brudd er i tråd med forpliktelsene i lovverket til forskjellige stater, føderale lover og reguleringer, samt andre bransjeregler som vi overholder. Varslingsprosedyrer ved brudd inkluderer varsel via e-post eller publisering på nettstedet vårt.

Dine forpliktelser

Det å holde dataene dine sikre, krever også at du holder kontoen din sikker ved å bruke et sterkt nok passord, og at du oppbevarer passordet på en forsvarlig måte. Du bør også sørge for at du har tilstrekkelig sikkerhet på dine egne systemer, slik at uvedkommende ikke kan få innsyn i informasjon som du laster ned i forbindelse med spørreundersøkelser. Vi tilbyr TLS for å sikre overføring av svar ved spørreundersøkelser, men det er ditt ansvar å konfigurere spørreundersøkelsene på en måte som gjør at denne funksjonen blir brukt når det er nødvendig. Du får mer informasjon om hva du kan gjøre for å sikre spørreundersøkelsene dine ved å gå til hjelpesenteret.

Kundehenvendelser

På grunn av antallet kunder som bruker tjenesten, kan vi bare svare på konkrete sikkerhetsspørsmål eller tilpassede sikkerhetsskjema for kunder som har kjøpt et visst antall brukerkontoer i et SurveyMonkey-abonnement. Dersom selskapet har et stor potensiale for eller mange eksisterende brukere, og er interessert i å finne ut mer om dette, anbefaler vi å lese mer om lagsamarbeid.

Sist oppdatert: 13. juli 2016.