Tietoturvalauseke

PÄIVITETTY VIIMEKSI: 1. heinäkuuta 2021

Tätä tietoturvalauseketta sovelletaan tuotteisiin, palveluihin, sivustoihin ja sovelluksiin, jotka tarjoaa Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli ja näiden kumppanit (yhdessä ”Momentive”), joiden tuotemerkkejä ovat "Momentive”, ”SurveyMonkey”, ”Wufoo” ja ”GetFeedback”, ellei muuta ilmoiteta. Tässä lausekkeessa viittaamme näihin tuotteisiin, palveluihin, sivustoihin ja sovelluksiin yhdessä ”palveluina”. Tämä tietoturvalauseke on myös osa SurveyMonkey- ja Wufoo-asiakkaiden käyttösopimuksia.

Momentive arvostaa asiakkaidensa luottamusta näiden antaessa tietonsa meidän hallinnoitaviksi. Suhtaudumme vakavasti vastuuseemme tietojen huolellisesta suojaamisesta ja turvallisuudesta ja pyrimme toimimaan täysin läpinäkyvästi jäljempänä eritellyissä suojaustoimenpiteissämme. Myös yksityisyydensuojailmoituksessamme eritellään tapamme käsitellä tietojasi.

Momentiven tietojärjestelmiä ja teknistä infrastruktuuria isännöidään huippuluokan SOC 2 ‑akkreditoiduissa datakeskuksissa. Näiden datakeskusten fyysiseen suojaukseen sisältyy ympärivuorokautinen valvonta, kamerat, vierailijoiden kirjaaminen, pääsyrajoitukset ja kaikkea, mitä voisi odottaa äärimmäisen turvalliselta tietojenkäsittelylaitokselta.

Momentive on ottanut käyttöön hallinnan, riskienhallinnan ja määräystenmukaisuuden käytäntöjä, jotka ovat linjassa useimpien maailmanlaajuisten tietoturvajärjestelyjen kanssa. Momentive on saanut ISO 27001 ‑sertifikaatin. Lisäksi SurveyMonkey Enterprise ‑tuote on HIPAA-yhteensopiva, ja SurveyMonkey-, Wufoo- ja SurveyMonkey Apply ‑tuotteillamme on maksukorttialan tietosuojastandardin (PCI DSS 3.2) sertifikaatti.

Momentiven teknologisten resurssien käyttö on sallittua vain suojatulla yhteydellä (esim. VPN, SSH) ja vaatii moniosaisen todennuksen. Salasanakäytäntömme vaatii monipuolisuutta, voimassaolon vanhenemista ja uloskirjaamista sekä estää uudelleenkäytön. Momentive antaa pääsyn tarvittaessa pienimmän etuoikeuden periaatteella, tarkastaa luvat neljännesvuosittain ja estää pääsyn välittömästi työntekijän työsuhteen päätyttyä.

Momentive ylläpitää, tarkastaa ja päivittää tietosuojakäytäntöjään säännöllisesti vähintään kerran vuodessa. Työntekijöiden on tutustuttava käytäntöihin vuosittain ja suoritettava työtehtäväkohtaista lisäkoulutusta. Koulutus on laadittu kaikkien Momentivea koskevien lakien ja määräysten mukaisesti.

Momentive tutkii henkilöstön taustat palkkaushetkellä (sovellettavan lain ja maan säädösten sallimissa puitteissa ja laajuudessa). Lisäksi Momentive tiedottaa tietosuojakäytännöistään koko henkilöstölle (jonka on vahvistettava niihin tutustuminen), edellyttää uusilta työntekijöitä salassapitosopimuksen allekirjoittamista ja tarjoaa jatkuvaa tietosuojaa ja turvallisuutta koskevaa koulutusta.

Momentivella on erikoistunut Trust & Security ‑osasto, joka keskittyy sovellus-, pilvi-, verkko- ja järjestelmäturvallisuuteen. Tämä tiimi on myös vastuussa turvallisuusmääräysten noudattamisesta, koulutuksesta ja ongelmatilanteisiin vastaamisesta.

Momentive ylläpitää dokumentoitua haavoittuvuudenhallintaohjelmaa, johon sisältyy palvelimien, työasemien, verkkolaitteistojen ja sovellusten suojauksen haavoittuvuuden säännöllinen tarkastus, tunnistaminen ja korjaustoimenpiteet. Kaikki verkot, mukaan lukien testaus- ja tuotantoympäristöt, tutkitaan säännöllisesti käyttäen luotettavia kolmannen osapuolen toimijoita. Kriittisiä ohjelmakorjauksia tehdään palvelimiin ensisijaisuusperiaatteella ja muita ohjelmakorjauksia tarvittaessa.

Suoritamme myös säännöllisiä sisäisiä ja ulkoisia läpäisytestejä ja ryhdymme tulosten vakavuuden edellyttämiin korjaustoimenpiteisiin.

Momentive salaa kaikki liikkumattomat tiedot datakeskuksissamme käyttämällä AES 256 ‑perusteista salausta. Lisäksi Momentive salaa kaikki tiedot siirron aikana käyttämällä (i) RSA:ta ja 2048 bitin pituisiin salausavaimiin perustuvia sertifikaatteja, jotka ovat julkisen sertifikaattiviranomaisen kautta luotuja, viestintään Momentiven datakeskusten ulkopuolella olevien kokonaisuuksien kanssa, ja (ii) sisäisen sertifikaattiviranomaisen kautta luoduilla RSA 256 ‑sertifikaateilla koskien kaikkea datakeskuksessa olevaa tietoa.

Kehitystiimimme käyttävät OWASP Top Ten -menetelmiin keskittyviä koodaustekniikoita ja -käytäntöjä. Kehittäjät saavat palkattaessa ja vuosittain muodollista koulutusta turvallisten verkkosovellusten kehittämiskäytännöistä.

Kehitys-, testaus- ja tuotantoympäristöt on erotettu toisistaan. Kaikki muutokset vertaisarvioidaan ja ne kirjataan suorituskyvyn, tarkastusten ja lakisääteisten vaatimuksien seurantatarkoituksiin ennen käyttöönottoa tuotantoympäristössä.

Momentive noudattaa varainhoitokäytäntöä, joka sisältää tietojen ja varojen tunnistamisen, luokittelun, pidättämisen ja hävittämisen. Yhtiön laitteet on varustettu täydellisellä kovalevysalauksella ja uusimmilla viruksentorjuntaohjelmistoilla. Vain yhtiön laitteiden käyttö on sallittua käytettäessä yrityksen ja tuotannon verkkoja.

Momentive noudattaa turvahäiriöiden käsittelyprosessia, joka kattaa alkutoimenpiteet, tutkinnan, asiakkaan tiedottamisen (vähintään sovellettavan lain vaativassa laajuudessa), julkisen tiedottamisen ja korjaustoimenpiteet. Tämä prosessi tarkastetaan säännöllisesti ja testataan kahdesti vuodessa.

Parhaista ponnisteluista huolimatta mikään internetin tiedonsiirtomenetelmä tai sähköinen tallennusmuoto ei ole täysin turvallinen. Emme voi taata täyttä turvallisuutta. Jos Momentiven tietoon tulee tietoturvarikkomus, se ilmoittaa siitä asianosaisille käyttäjille, jotta he voivat tehdä tarvittavat suojaustoimenpiteet. Rikkomusten ilmoittamiskäytäntömme ovat sovellettavien maiden, osavaltioiden ja liittovaltion lakien ja säädösten mukaisia ja ne noudattavat meihin sovellettavia alan sääntöjä ja standardeja. Olemme sitoutuneet ilmoittamaan asiakkaillemme kaikista heidän tilinsä turvallisuutta koskevista asioista ja tarjoamaan heille kaikki tarvittavat tiedot, jotta he voisivat täyttää omat lakisääteiset ilmoitusvelvollisuutensa.

Varmuuskopiot salataan ja tallennetaan tuotantoympäristöön niiden luottamuksellisuuden ja eheyden säilyttämiseksi. Momentive ylläpitää varastrategiaa käyttökatkosten ja tietojen häviämisen minimoimiseksi. Liiketoiminnan jatkuvuussuunnitelmaa testataan ja päivitetään säännöllisesti, jotta sen tehosta voidaan olla varmoja katastrofin sattuessa.

Tietojesi turvassa pysyminen edellyttää myös, että varmistat tilisi tietoturvan käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä niitä asianmukaisesti. Sinun on myös varmistettava omien järjestelmiesi riittävä tietoturva. Käytössämme on TLS-salaus kyselytutkimusvastausten lähettämisen suojaamiseksi, mutta sinun vastuulla on varmistaa, että kyselytutkimukset on määritetty käyttämään tätä ominaisuutta. Saat lisätietoja kyselytutkimustesi suojaamisesta tukikeskuksestamme.

Sovellus- ja infrastruktuurijärjestelmät kirjaavat tietoja keskitetysti hallinnoituun lokitietokantaan Momentiven valtuutetun henkilöstön suorittamia vianmäärityksiä, turvatarkastuksia ja analyyseja varten. Lokitietoja säilytetään lakisääteisten vaatimusten mukaisesti. Tarjoamme asiakkaille kohtuullisessa määrin neuvontaa ja pääsyn lokitietoihin heidän tiliinsä vaikuttavan turvallisuushäiriön sattuessa.