Tietoturvalauseke

PÄIVITETTY VIIMEKSI: 7. HEINÄKUUTA 2020

Tätä tietoturvalauseketta sovelletaan tuotteisiin, palveluihin, sivustoihin ja sovelluksiin, jotka tarjoaa SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. ja näiden kumppanit (yhdessä "SurveyMonkey"), joiden tuotemerkkejä ovat "SurveyMonkey" ja "Wufoo", ellei muuta ilmoiteta. Tässä lausekkeessa viittaamme näihin tuotteisiin, palveluihin, sivustoihin ja sovelluksiin yhdessä "palveluina". Tämä tietoturvalauseke on myös osa SurveyMonkey- ja Wufoo-asiakkaiden käyttösopimuksia.

SurveyMonkey arvostaa asiakkaidensa luottamusta näiden antaessa tietonsa meidän hallinnoitaviksi. Me olemme vastuussa tietojen huolellisesta suojaamisesta ja turvallisuudesta ja pyrimme toimimaan täysin läpinäkyvästi jäljempänä eritellyissä suojaustoimenpiteissämme. Myös tietosuojakäytännössämme eritellään tapamme käsitellä tietojasi.

SurveyMonkeyn tietojärjestelmiä ja teknistä infrastruktuuria isännöidään maailmanlaajuisesti SOC 2 -akkreditoiduissa tietokeskuksissa. Tietokeskustemme fyysiseen suojaukseen sisältyy ympärivuorokautinen valvonta, vierailijoiden kirjaaminen, pääsyvaatimukset ja nimetyt häkit SurveyMonkeyn laitteistoille.

SurveyMonkey, Wufoo ja SurveyMonkey Apply noudattavat maksukorttialan tietosuojastandardeja (PCI DSS 3.2) ja voivat siksi hyväksyä ja käsitellä luottokorttitietoja turvallisesti näiden standardien mukaisesti. SurveyMonkey sertifioi näiden standardien noudattamisen vuosittain. SurveyMonkey on saanut myös ISO 27001 ‑sertifikaatin.

SurveyMonkeyn teknologisten resurssien käyttö on sallittua vain suojatulla yhteydellä (esim. VPN, SSH) ja vaatii moniosaisen todennuksen. Salasanakäytäntömme vaatii monipuolisuutta, vanhenemista ja uloskirjaamista ja estää uudelleenkäytön. SurveyMonkey antaa pääsyn tarvittaessa pienimmän etuoikeuden periaatteella, tarkastaa luvat neljännesvuosittain ja estää pääsyn välittömästi työntekijän työsuhteen päätyttyä.

SurveyMonkey ylläpitää, tarkastaa ja päivittää tietosuojakäytäntöjään säännöllisesti vähintään kerran vuodessa. Työntekijöiden on tutustuttava käytäntöihin vuosittain ja suoritettava lisäkoulutuksia, kuten HIPAA-koulutus, Secure Coding -koulutus, PCI-koulutus ja tärkeimpien työkohtaisten toimintojen turvallisuus- ja kehityskoulutukset ja/tai tietosuojalakikoulutukset. Tämä koulutussuunnitelma on laadittu kaikkien SurveyMonkeya koskevien lakien ja määräysten mukaisesti.

SurveyMonkey tutkii henkilöstön taustat palkkaushetkellä (sovellettavan lain ja maan säädösten sallimissa puitteissa ja laajuudessa). Lisäksi SurveyMonkey tiedottaa tietosuojakäytännöistään koko henkilöstölle (jonka on vahvistettava niihin tutustuminen), edellyttää uusilta työntekijöitä salassapitosopimuksen allekirjoittamista ja tarjoaa jatkuvaa tietosuojaa ja turvallisuutta koskevaa koulutusta.

SurveyMonkeylla on myös erikoistunut Trust & Security -osasto, joka keskittyy sovellus-, verkko- ja järjestelmäturvallisuuteen. Tämä tiimi on myös vastuussa turvallisuusmääräysten noudattamisesta, koulutuksesta ja ongelmatilanteisiin vastaamisesta.

SurveyMonkey ylläpitää dokumentoitua haavoittuvuudenhallintaohjelmaa, johon sisältyy palvelimien, työasemien, verkkolaitteistojen ja sovellusten suojauksen haavoittuvuuden säännöllinen tarkastus, tunnistaminen ja korjaustoimenpiteet. Kaikki verkot, mukaan lukien testaus- ja tuotantoympäristöt, tutkitaan säännöllisesti käyttäen luotettavia kolmannen osapuolen toimijoita. Kriittisiä polkuja sovelletaan kaikkiin palvelimiin ensisijaisuusperiaatteella ja muita polkuja tarvittaessa.

Suoritamme myös säännöllisiä sisäisiä ja ulkoisia läpäisytestejä ja ryhdymme tulosten vakavuuden edellyttämiin korjaustoimenpiteisiin.

Salaamme siirrettävät tietosi kryptografisella TLS-suojausprotokollalla. Myös SurveyMonkeyn ja Wufoon tiedot salataan.

Kehitystiimimme käyttävät OWASP Top Ten -menetelmiin keskittyviä koodaustekniikoita ja -käytäntöjä. Kehittäjät saavat palkattaessa ja vuosittain muodollista koulutusta turvallisten verkkosovellusten kehittämiskäytännöistä.

Kehitys-, testaus- ja tuotantoympäristöt on erotettu toisistaan. Kaikki muutokset vertaisarvioidaan ja ne kirjataan suorituskyvyn, tarkastusten ja lakisääteisten vaatimuksien seurantatarkoituksiin ennen käyttöönottoa tuotantoympäristössä.

SurveyMonkey noudattaa varainhoitokäytäntöä, joka sisältää tietojen ja varojen tunnistamisen, luokittelun, pidättämisen ja hävittämisen. Yhtiön laitteet on varustettu täydellisellä kovalevysalauksella ja uusimmilla viruksentorjuntaohjelmistoilla. Vain yhtiön laitteiden käyttö on sallittua käytettäessä yrityksen ja tuotannon verkkoja.

SurveyMonkey noudattaa turvahäiriöiden käsittelykäytäntöjä ja -toimenpiteitä, jotka kattavat alkutoimenpiteet, tutkinnan, asiakkaan tiedottamisen (vähintään sovellettavan lain vaativassa laajuudessa), julkisen tiedottamisen ja korjaustoimenpiteet. Nämä käytännöt tarkastetaan säännöllisesti ja testataan kahdesti vuodessa.

Parhaista ponnisteluista huolimatta mikään internetin tiedonsiirtomenetelmä tai sähköinen tallennusmuoto ei ole täysin turvallinen. Emme voi taata täyttä turvallisuutta. Jos SurveyMonkeyn tietoon tulee tietoturvarikkomus, se ilmoittaa siitä asianosaisille käyttäjille, jotta he voivat tehdä tarvittavat suojaustoimenpiteet. Rikkomusten ilmoittamiskäytäntömme ovat sovellettavien maiden, osavaltioiden ja liitovaltion lakien ja säädösten mukaisia ja ne noudattavat meihin sovellettavia alan sääntöjä ja standardeja. Olemme sitoutuneet ilmoittamaan asiakkaillemme kaikista heidän tilinsä turvallisuutta koskevista asioista ja tarjoamaan heille kaikki tarvittavat tiedot, jotta he voisivat täyttää omat lakisääteiset ilmoitusvelvollisuutensa.

SurveyMonkeyn tietokannat varmuuskopioidaan kiertävällä täydellisen kopioinnin ja lisäkopioinnin periaatteella ja varmennetaan säännöllisesti. Varmuuskopiot salataan ja tallennetaan tuotantoympäristöön niiden luottamuksellisuuden ja eheyden säilyttämiseksi, ja niitä testataan säännöllisesti käytettävyyden varmistamiseksi. Tämän lisäksi SurveyMonkey ylläpitää muodollista liiketoiminnan jatkuvuussuunnitelmaa (BCP). BCP:tä testataan ja päivitetään säännöllisesti, jotta sen tehosta voidaan olla varmoja katastrofin sattuessa.

Tietojesi turvassa pysyminen edellyttää myös, että varmistat tilisi tietoturvan käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä niitä asianmukaisesti. Sinun on myös varmistettava omien järjestelmiesi riittävä tietoturva. Käytössämme on TLS-salaus vastausten lähettämisen suojaamiseksi, mutta sinun vastuulla on varmistaa, että kyselytutkimukset on määritetty käyttämään tätä ominaisuutta. Saat lisätietoja kyselytutkimustesi suojaamisesta tukikeskuksestamme. Tämä asiakirja on kirjoitettu SurveyMonkeyn asiakkaille, mutta jotkut ohjeista koskevat myös Wufoo-asiakkaitamme.

Sovellus- ja infrastruktuurijärjestelmät kirjaavat tietoja keskitetysti hallinnoituun lokitietokantaan SurveyMonkeyn valtuutetun henkilöstön suorittamia vianmäärityksiä, turvatarkastuksia ja analyyseja varten. Lokitietoja säilytetään lakisääteisten vaatimusten mukaisesti. Tarjoamme asiakkaille kohtuullisessa määrin neuvontaa ja pääsyn lokitietoihin heidän tiliinsä vaikuttavan turvallisuushäiriön sattuessa.