Miljoonat käyttäjät ovat luovuttaneet SurveyMonkeylle kyselytutkimustietojaan. Me suhtaudumme käyttäjiemme tietoturvaan sekä yksityisyydensuojaan vakavasti. Pyrimme varmistamaan, että käyttäjien tiedot ovat turvassa ja että keräämme vain sen verran henkilökohtaisia tietoja kuin palvelujemme tehokas ja toimiva tarjoaminen edellyttää.

SurveyMonkey käyttää edistyksellisintä tekniikkaa, mitä on tällä hetkellä kaupallisesti saatavana Internetissä olevien tietojen suojaamiseen. Tietoturvalausekkeen tarkoituksena on kertoa tietoturvainfrastruktuuristamme ja -menetelmistämme läpinäkyvällä tavalla, jotta voimme varmistaa käyttäjille heidän tietojensa olevan asianmukaisesti suojattuja.

Sovelluksen ja käyttäjän tietoturva

  • SSL-/TLS-salaus: käyttäjät voivat valita, kerätäänkö kyselytutkimuksen vastaukset suojattua ja salattua SSL-/TLS-yhteyttä käyttämällä. Kaikki muu viestintä surveymonkey.com-sivustolla lähetetään SSL-/TLS-yhteyttä käyttämällä. Secure Sockets Layer (SSL)- ja Transport Layer Security (TLS) -tekniikka (SSL-tekniikan seuraaja) suojaavat yhteyksiä käyttämällä sekä palvelintodennusta että tietojen salausta. Tämä varmistaa, että siirrettävät tiedot ovat turvassa, suojattuna ja vain tarkoitettujen vastaanottajien käytettävissä.
  • Käyttäjän todentaminen: tietokannan käyttäjätiedot on erotettu loogisesti tilikohtaisilla käyttöoikeussäännöillä. Käyttäjätileillä on yksilölliset käyttäjätunnukset ja salasanat, jotka on syötettävä aina sisäänkirjautumisen yhteydessä. SurveyMonkey käyttää istuntokohtaisia evästeitä ainoastaan salattujen todennustietojen tallentamiseen tietyn käyttökerran aikana. Istuntokohtainen eväste ei sisällä käyttäjän salasanaa.
  • Käyttäjän salasanat: käyttäjän salasanojen on täytettävä monimutkaisuusvaatimukset. Salasanat laaditaan ja suojataan yksilöllisesti.
  • Tietojen salaus: tietyt arkaluontoiset käyttäjätiedot, kuten luottokorttitiedot ja tilin salasanat, tallennetaan salatussa muodossa.
  • Tietojen siirrettävyys: tiedot voidaan viedä SurveyMonkeyn järjestelmästä useissa eri muodoissa, joten ne voidaan varmuuskopioida ja niitä voidaan käyttää muissa sovelluksissa.
  • Yksityisyydensuoja: meillä on kattava yksityisyydensuojakäytäntö, joka kertoo läpinäkyvästi tietojen käsittelytavoista, kuten miten käytämme tietoja, kenelle jaamme ne ja miten kauan säilytämme ne.
  • HIPAA: parannetut suojausominaisuudet HIPAA-vaatimukset täyttäville tileille.

Fyysinen turvallisuus

  • Järjestelmäkeskukset: tietojärjestelmäinfrastruktuurimme (palvelimet, verkkolaitteet jne.) sijaitsee kolmannen osapuolen valvomissa SSAE 16 / SOC 2 -järjestelmäkeskuksissa. Me omistamme ja hallitsemme kaikkia kyseisissä järjestelmäkeskuksissa sijaitsevia laitteitamme.
  • Järjestelmäkeskusten turvallisuus: järjestelmäkeskuksiamme miehitetään ja valvotaan vuorokauden ympäri. Niitä suojataan vartijoilla, vierailijalokeilla ja pääsyvaatimuksilla, kuten salasanoilla ja biometrisillä tunnisteilla. Laitteitamme säilytetään lukituissa häkeissä.
  • Ympäristön hallinta: järjestelmäkeskuksien lämpötiloja ja kosteutta hallitaan ja valvotaan jatkuvasti. Savu- ja palovaroittimet sekä sammutusjärjestelmät ovat käytössä.
  • Sijainti: kaikki käyttäjätiedot on tallennettu Yhdysvalloissa ja Luxemburgissa sijaitseville palvelimille.

Käytettävyys

  • Yhdistettävyys: IP-verkkoyhteydet ja useita erillisiä yhteyksiä lukuisiin tason 1 Internet-palveluntarjoajiin.
  • Virta: palvelimissa on ylimääräisiä sisäisiä ja ulkoisia virtalähteitä. Järjestelmäkeskuksissa on varavirtalähteet ja ne pystyvät ottamaan virtaa useista verkon sähkönjakelukeskuksista, dieselgeneraattoreista ja vara-akuista.
  • Toiminta-aika: toiminta-aikaa seurataan jatkuvasti ja SurveyMonkeyn henkilöstö saa välittömästi ilmoituksen kaikista käyttökatkoksista.
  • Vikasieto: tietokanta siirretään valmiustilassa oleville palvelimille, ja tietojen palautus voidaan suorittaa alle tunnissa.

Verkon tietoturva

  • Toiminta-aika: toiminta-aikaa seurataan jatkuvasti ja SurveyMonkeyn henkilöstö saa välittömästi ilmoituksen kaikista käyttökatkoksista.
  • Kolmannen osapuolen tarkastukset: Qualys suorittaa viikoittaiset tietoturvatarkastukset.
  • Testaus: järjestelmän toiminnan ja rakenteen muutokset vahvistetaan eristetyssä testiympäristössä ja niiden toiminta ja turvallisuus testataan ennen niiden käyttöönottoa.
  • Palomuuri: palomuuri rajoittaa pääsyä kaikkiin portteihin, lukuun ottamatta 80 (http) ja 443 (https) -portteja.
  • Päivitykset: uusimpia suojauspäivityksiä käytetään kaikissa käyttöjärjestelmissä ja sovellustiedostoissa uusien tietoturvariskien vähentämiseksi.
  • Käyttöoikeuksien hallinta: valtuutettu henkilöstö on ottanut järjestelmien hallinnassa käyttöön suojatun VPN-yhteyden, monimenetelmäisen todennuksen ja roolipohjaiset käyttöoikeudet.
  • Kirjaus ja valvonta: keskitetyt kirjausjärjestelmät keräävät ja tallentavat kaikki sisäiset järjestelmäkirjaukset, myös kaikki epäonnistuneet todennusyritykset.

Varastointia koskeva tietoturva

  • Varmuuskopioinnin tiheys: varmuuskopiointi tapahtuu kerran tunnissa sisäisesti ja päivittäin keskitetysti useisiin maantieteellisesti erotettuihin varmuuskopiointijärjestelmiin.
  • Vikasietoisuus: tiedot on tallennettu RAID 10 -levyryhmään. Käyttöjärjestelmä on tallennettu RAID 1 -levyryhmään.

Organisatorinen ja hallinnollinen tietoturva

  • Työntekijöiden tarkastus: tarkistamme kaikkien työntekijöiden taustatiedot.
  • Koulutus: tarjoamme työntekijöille tieturva- ja tekniikkakoulutusta.
  • Palveluntarjoajat: tarkastamme palveluntarjoajamme ja velvoitamme heitä asianmukaisilla salassapitosopimuksilla, jos he käsittelevät käyttäjätietoja.
  • Käyttöoikeudet: tietokantojen, järjestelmien ja käyttöympäristöjen arkaluontoisten tietojen käyttöoikeudet on määritetty tarvitsee tietää- / pienimmän tarvittavan valtuuden mukaisesti.
  • Valvontakirjaukset: ylläpidämme ja valvomme palvelujemme ja järjestelmiemme valvontakirjauksia (kirjausjärjestelmämme tuottavat joka päivä useita gigatavuja lokitiedostoja).
  • Tietoturvakäytännöt: ylläpidämme sisäisen tietoturvan periaatteita mukaan lukien tapauskohtaiset toimintasuunnitelmat sekä niiden säännölliset tarkistukset ja päivitykset.

Ohjelmistojen kehityskäytännöt

  • Pino: ohjelmistoa voi koodata Pythonissa ja C#:ssa sekä suorittaa SQL Server 2008 -palvelimella, Ubuntu Linuxissa ja Windows 2008 Serverissä.
  • Koodauskäytännöt: suunnittelussa on käytetty alan parhaita käytäntöjä ja alan standardien mukaista koodausta turvallisen koodauksen varmistamiseksi.

Tietoturvarikkomusten käsittely

Parhaista ponnisteluista huolimatta mikään internetin tiedonsiirtomenetelmä tai sähköinen tallennusmuoto ei ole täysin turvallinen. Emme voi taata täyttä turvallisuutta. Jos SurveyMonkeyn tietoon tulee tietoturvarikkomus, se ilmoittaa siitä asianosaisille käyttäjille, jotta he voivat tehdä tarvittavat suojaustoimenpiteet. Rikkomusten ilmoittamiskäytäntömme ovat useiden osavaltioiden ja liitovaltion lakien ja säädösten mukaisia sekä noudattavat alan sääntöjä ja standardeja. Ilmoittamiskäytäntöihin kuuluu sähköposti-ilmoitusten antaminen tai ilmoituksen julkaiseminen verkkosivustollamme rikkomuksen tapahtumisen jälkeen.

Käyttäjän velvollisuudet

Tietojen turvassa pysyminen edellyttää myös, että käyttäjä varmistaa tilinsä tietoturvan käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä niitä asianmukaisesti. Käyttäjän tulee myös varmistaa oman järjestelmänsä tietoturva ja tallentaa omalle tietokoneelle ladatut kyselytutkimustiedot sivullisten ulottumattomiin. Käytössämme on SSL-salaus vastausten lähettämisen suojaamiseksi, mutta käyttäjän vastuulla on varmistaa, että kyselytutkimukset on määritetty käyttämään tätä ominaisuutta.

Mukautetut pyynnöt

Palvelun suuren asiakasmäärän vuoksi erityisiä turvakysymyksiä ja mukautettavia suojauslomakkeita voidaan tarjota ainoastaan tietyn määrän SurveyMonkey Enterprise -käyttäjätilejä ostaville asiakkaille. Jos yritykselläsi on suuri määrä mahdollisia tai olemassa olevia käyttäjiä ja olet kiinnostunut kyseisistä ominaisuuksista, katso lisätietoja osoitteesta www.surveymonkey.com/mp/enterprise.

Päivitetty viimeksi: 9. syyskuuta 2013