Tietoturvalauseke

PÄIVITETTY VIIMEKSI: 15. helmikuuta 2024

Tätä tietoturvaselostetta sovelletaan tuotteisiin, palveluihin, sivustoihin ja sovelluksiin, jotka tarjoaa SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli ja näiden tytäryhtiöt (yhdessä ”SurveyMonkey”), joiden tuotemerkkejä ovat ”SurveyMonkey”, ”Wufoo” ja ”GetFeedback”, ellei muuta ilmoiteta. Tässä selosteessa viittaamme näihin tuotteisiin, palveluihin, sivustoihin ja sovelluksiin yhdessä ”palveluina”. Tämä tietoturvaseloste on myös osa SurveyMonkey- ja Wufoo-asiakkaiden käyttösopimuksia.

SurveyMonkey arvostaa sitä, että asiakkaamme antavat tietonsa meille hallinnoitaviksi. Suhtaudumme vakavasti vastuuseemme tietojen huolellisesta suojaamisesta ja turvallisuudesta ja pyrimme toimimaan täysin läpinäkyvästi jäljempänä eritellyissä suojaustoimenpiteissämme. Myös tietosuojailmoituksessamme eritellään tapamme käsitellä tietojasi.

SurveyMonkeyn tietojärjestelmiä ja teknistä infrastruktuuria isännöidään huippuluokan SOC 2 ‑akkreditoiduissa datakeskuksissa. Näiden datakeskusten fyysiseen suojaukseen sisältyy ympärivuorokautinen valvonta, kamerat, vierailijoiden kirjaaminen, pääsyrajoitukset ja kaikkea, mitä voisi odottaa äärimmäisen turvalliselta tietojenkäsittelylaitokselta.

SurveyMonkey on ottanut käyttöön hallinnan, riskienhallinnan ja määräystenmukaisuuden käytäntöjä, jotka ovat linjassa useimpien maailmanlaajuisten tietoturvajärjestelyjen kanssa. SurveyMonkey on saanut myös ISO 27001 ‑sertifikaatin. Lisäksi SurveyMonkey Enterprise ‑tuote on HIPAA-yhteensopiva, ja SurveyMonkey-, Wufoo‑ ja SurveyMonkey Apply ‑tuotteillamme on maksukorttialan tietosuojastandardin (PCI DSS 3.2) sertifikaatti.

SurveyMonkeyn teknologisten resurssien käyttö on sallittua vain suojatulla yhteydellä (esim. VPN, SSH) ja vaatii moniosaisen todennuksen. Salasanakäytäntömme vaatii monipuolisuutta, vanhenemista ja uloskirjaamista ja estää uudelleenkäytön. SurveyMonkey antaa pääsyn tarvittaessa pienimmän etuoikeuden periaatteella, tarkastaa luvat neljännesvuosittain ja estää pääsyn välittömästi työntekijän työsuhteen päätyttyä.

SurveyMonkey ylläpitää, tarkastaa ja päivittää tietosuojakäytäntöjään säännöllisesti vähintään kerran vuodessa. Työntekijöiden on tutustuttava käytäntöihin vuosittain ja suoritettava työtehtäväkohtaista lisäkoulutusta. Koulutus on laadittu kaikkien SurveyMonkeya koskevien lakien ja määräysten mukaisesti.

SurveyMonkey tutkii henkilöstön taustat palkkaushetkellä (sovellettavan lain ja maan säädösten sallimissa puitteissa ja laajuudessa). Lisäksi SurveyMonkey tiedottaa tietosuojakäytännöistään koko henkilöstölle (jonka on vahvistettava niihin tutustuminen), edellyttää uusilta työntekijöitä salassapitosopimuksen allekirjoittamista ja tarjoaa jatkuvaa tietosuojaa ja turvallisuutta koskevaa koulutusta.

SurveyMonkeylla on erikoistunut Trust & Security ‑osasto, joka keskittyy sovellus-, pilvi-, verkko- ja järjestelmäturvallisuuteen. Tämä tiimi on myös vastuussa turvallisuusmääräysten noudattamisesta, koulutuksesta ja ongelmatilanteisiin vastaamisesta.

SurveyMonkey ylläpitää dokumentoitua haavoittuvuudenhallintaohjelmaa, johon sisältyy palvelimien, työasemien, verkkolaitteistojen ja sovellusten suojauksen haavoittuvuuden säännöllinen tarkastus, tunnistaminen ja korjaustoimenpiteet. Kaikki verkot, mukaan lukien testaus- ja tuotantoympäristöt, tutkitaan säännöllisesti käyttäen luotettavia kolmannen osapuolen toimijoita. Kriittisiä polkuja sovelletaan kaikkiin palvelimiin ensisijaisuusperiaatteella ja muita polkuja tarvittaessa.

Suoritamme myös säännöllisiä sisäisiä ja ulkoisia läpäisytestejä ja ryhdymme tulosten vakavuuden edellyttämiin korjaustoimenpiteisiin.

SurveyMonkey salaa kaikki liikkumattomat tiedot datakeskuksissamme käyttämällä AES 256 ‑perusteista salausta. Lisäksi SurveyMonkey salaa kaikki tiedot siirron aikana käyttämällä (i) RSA:ta ja 2048 bitin pituisiin salausavaimiin perustuvia sertifikaatteja, jotka ovat julkisen sertifikaattiviranomaisen kautta luotuja, viestintään SurveyMonkeyn datakeskusten ulkopuolella olevien kokonaisuuksien kanssa, ja (ii) sisäisen sertifikaattiviranomaisen kautta luotuja RSA 256 ‑sertifikaatteja kaiken datakeskuksessa olevan tiedon osalta.

Kehitystiimimme käyttävät OWASP Top Ten -menetelmiin keskittyviä koodaustekniikoita ja -käytäntöjä. Kehittäjät saavat palkattaessa ja vuosittain muodollista koulutusta turvallisten verkkosovellusten kehittämiskäytännöistä.

Kehitys-, testaus- ja tuotantoympäristöt on erotettu toisistaan. Kaikki muutokset vertaisarvioidaan ja ne kirjataan suorituskyvyn, tarkastusten ja lakisääteisten vaatimuksien seurantatarkoituksiin ennen käyttöönottoa tuotantoympäristössä.

SurveyMonkey noudattaa varainhoitokäytäntöä, joka sisältää tietojen ja varojen tunnistamisen, luokittelun, pidättämisen ja hävittämisen. Yhtiön laitteet on varustettu täydellisellä kovalevysalauksella ja uusimmilla viruksentorjuntaohjelmistoilla. Vain yhtiön laitteiden käyttö on sallittua käytettäessä yrityksen ja tuotannon verkkoja.

SurveyMonkey noudattaa turvahäiriöiden käsittelyprosessia, joka kattaa alkutoimenpiteet, tutkinnan, asiakkaan tiedottamisen (vähintään sovellettavan lain vaativassa laajuudessa), julkisen tiedottamisen ja korjaustoimenpiteet. Tämä prosessi tarkastetaan säännöllisesti ja testataan kahdesti vuodessa. Tämä prosessi tarkastetaan säännöllisesti ja testataan kahdesti vuodessa.

Parhaista ponnisteluista huolimatta mikään internetin tiedonsiirtomenetelmä tai sähköinen tallennusmuoto ei ole täysin turvallinen. Emme voi taata täyttä turvallisuutta. Jos SurveyMonkeyn tietoon tulee tietoturvarikkomus, se ilmoittaa siitä asianosaisille käyttäjille, jotta he voivat tehdä tarvittavat suojaustoimenpiteet. Rikkomusten ilmoittamiskäytäntömme ovat sovellettavien maiden, osavaltioiden ja liitovaltion lakien ja säädösten mukaisia ja ne noudattavat meihin sovellettavia alan sääntöjä ja standardeja. Olemme sitoutuneet ilmoittamaan asiakkaillemme kaikista heidän tilinsä turvallisuutta koskevista asioista ja tarjoamaan heille kaikki tarvittavat tiedot, jotta he voisivat täyttää omat lakisääteiset ilmoitusvelvollisuutensa.

Varmuuskopiot salataan ja tallennetaan tuotantoympäristöön niiden luottamuksellisuuden ja eheyden säilyttämiseksi. SurveyMonkey ylläpitää varastrategiaa käyttökatkosten ja tietojen häviämisen minimoimiseksi. Liiketoiminnan jatkuvuussuunnitelmaa testataan ja päivitetään säännöllisesti, jotta sen tehosta voidaan olla varmoja katastrofin sattuessa.

Tietojesi turvassa pysyminen edellyttää myös, että ylläpidät tilisi tietoturvaa käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä niitä asianmukaisesti. Sinun on myös varmistettava omien järjestelmiesi riittävä tietoturva. Käytössämme on TLS-salaus kyselytutkimusvastausten lähettämisen suojaamiseksi, mutta sinun vastuullasi on varmistaa, että kyselytutkimukset on tarvittaessa määritetty käyttämään tätä ominaisuutta. Lisätietoja kyselytutkimusten suojaamisesta on ohjekeskuksestamme.

Sovellus- ja infrastruktuurijärjestelmät kirjaavat tietoja keskitetysti hallinnoituun lokitietokantaan SurveyMonkeyn valtuutetun henkilöstön suorittamia vianmäärityksiä, turvatarkastuksia ja analyyseja varten. Lokitietoja säilytetään lakisääteisten vaatimusten mukaisesti. Tarjoamme asiakkaille kohtuullisessa määrin neuvontaa ja pääsyn lokitietoihin heidän tiliinsä vaikuttavan turvallisuushäiriön sattuessa.