Jo miljoonat käyttäjät ovat antaneet kyselytutkimustietonsa SurveyMonkeylle, ja me suhtaudumme käyttäjiemme tietoturvaan sekä yksityisyydensuojaan erittäin vakavasti. Pyrimme parhaamme mukaan varmistamaan, että käyttäjätietojen käsittely on turvallista. SurveyMonkey käyttää internetpalveluissa edistyneintä kaupallisesti saatavilla olevaa teknologiaa. Tämän tietoturvalausekkeen tarkoituksena on kertoa tietoturvainfrastruktuuristamme ja -menetelmistämme läpinäkyvällä tavalla, jotta käyttäjä voi luottaa siihen, että hänen tietonsa suojataan asianmukaisesti. Lue lisää tietojen käsittelystä yksityisyydensuojastamme.

Käyttäjän tietoturva

  • Käyttäjän tunnistautuminen Käyttäjätiedot pidetään tietokannassamme loogisesti erillään tiliperusteisilla käyttöoikeussäännöillä. Käyttäjätileihin liittyvät käyttäjänimet ja salasanat ovat yksilöllisiä, ja ne on annettava aina kirjautumisen yhteydessä. SurveyMonkey käyttää istuntoevästeitä vain tallentaakseen salattuja todennustietoja kyseisen istunnon ajaksi. Istuntoeväste ei sisällä käyttäjän salasanaa.
  • Salasanat: Käyttäjätilien salasanoille on asetettu monimutkaisuuden vähimmäisvaatimukset. Salasanat suolataan ja hajautetaan yksilöllisesti.
  • Kertakirjautuminen: Tiimityöhön tarkoitettuja tilejä varten SurveyMonkey tukee SAML 2.0 -integrointia, joka mahdollistaa SurveyMonkey-tilin käyttöoikeuksien hallinnan koko organisaatiossa sekä tunnistautumismenettelyjen määrittelyt turvallisuuden parantamiseksi. Lue lisätietoja SSO-tukisivultamme.
  • Tietojen salaus: Tietyt arkaluontoiset käyttäjätiedot, kuten luottokorttitiedot ja tilien salasanat, tallennetaan salatussa muodossa.
  • Tietojen siirrettävyys; SurveyMonkey sallii käyttäjän viedä tietoja SurveyMonkeyn järjestelmästä eri muodoissa varmuuskopioiden ottamiseksi tai muissa sovelluksissa käytettäväksi.
  • Yksityisyys: Meillä on kattava yksityisyydensuoja, joka antaa hyvin läpinäkyvän kuvan siitä, kuinka käsittelemme käyttäjien tietoja, sekä siitä, miten tietoja käytämme, kenen kanssa niitä jaamme ja kuinka kauan niitä säilytämme.
  • Tietojen sijaintipaikka: Kaikki SurveyMonkeyn, mukaan lukien Wufoo-, TechValidate- sekä SurveyMonkey Intelligence -alustojen, käyttäjätiedot lajitellaan Yhdysvalloissa sijaitsevilla palvelimilla. FluidSurvey- ja FluidReview-palveluiden tiedot on tallennettu Kanadassa.

Fyysinen turvallisuus

Kaikkia SurveyMonkey-tietojärjestelmiä ja koko SurveyMonkey-infrastruktuuria isännöidään kansainvälisen tason palvelinkeskuksista. Näiden palvelinkeskusten toimintaan kuuluvat kaikki välttämättömät fyysiset turvatarkastukset, joita nykyaikaisilta palvelinkeskuksilta voidaan odottaa (esim. ympärivuorokautinen valvonta, kamerat, vierailijalokit, sisäänpääsyvaatimukset). SurveyMonkey käyttää omia häkkejä pitääkseen oman laitteistonsa erillään muiden vuokraajien laitteistoista. Käytettävillä palvelinkeskuksilla on lisäksi SOC 2 -sertifiointi. Lisätietoja saat sivuilta SuperNAP ja InterNAP. Jos haluat lisätietoja FluidSurvey- ja FluidReview-palveluista, ota yhteyttä suoraan meihin.

Saatavuus

  • Yhdistettävyys: Vikasietoiset ja redundantit IP-verkkoyhteydet ja useita itsenäisiä yhteyksiä tason 1 internetpalveluntarjoajiin.
  • Teho: Palvelimilla on ylimääräisiä sisäisiä ja ulkoisia virtalähteitä. Palvelinkeskuksissa on varavirtalähteet, ja ne pystyvät tuomaan sähköä useista sähköverkon sähkönjakelukeskuksista, useista dieselgeneraattoreista sekä vara-akuista.
  • Käytettävyysaika: Jatkuva käytön valvonta ja välitön eskalointi SurveyMonkeyn henkilöstölle kaikissa häiriötilanteissa.
  • Vikasieto: Tietokantamme toisinnetaan reaaliajassa ja voidaan siirtää varajärjestelmiin alle tunnissa.
  • Varmuuskopiointien taajuus: Varmuuskopioinnit tehdään päivittäin useissa eri maantieteellisissä sijainneissa.

Verkkoturvallisuus

  • Testaus: Järjestelmän toimintojen ja ulkoasun muutokset tarkistetaan eristetyssä sandbox-ympäristössä, ja järjestelmän toimivuus sekä turvallisuus testataan, ennen kuin se otetaan aktiiviseen käyttöön.
  • Palomuurit: Palomuurit rajoittavat pääsyä kaikkiin portteihin, lukuun ottamatta portteja 80 (http) ja 443 (https).
  • Käyttöoikeuksien hallinta: Valtuutettu tekninen henkilökunta vastaa järjestelmien hallinnasta käyttämällä suojattua VPN-yhteyttä, kaksivaiheista tunnistautumista sekä roolipohjaisia käyttöoikeuksia.
  • Kirjaaminen ja valvonta: Keskitetyt kirjausjärjestelmät tallentavat ja arkistoivat kaikki sisäiset järjestelmäkirjaukset, mukaan lukien epäonnistuneet tunnistautumiset.
  • Salaus tietojen siirrossa: Kyselytutkimustemme vastaustenkerääjillä on aktivoituna Transport Layer Security (TLS) -salausprotokolla saapuvien vastausten salaamiseksi. Kaikki muu surveymonkey.com-sivuston tietoliikenne lähetetään TLS-yhteydellä, joka suojaa viestintää käyttämällä sekä palvelimen todentamista että tiedonsalausta. Näin varmistetaan, että käyttäjätietojen siirtäminen on turvallista ja että ne päätyvät vain oikeiden vastaanottajien käyttöön. Sovelluksiemme päätepisteet on aina salattu TLS:llä, ja niiden SSL Labs -testeissä saama arvosana on A. Käytössämme on myös Forward Secrec, ja käytämme vahvaa salakirjoitusmenetelmää yksityisyyden ja turvallisuuden lisäämiseksi.

Haavoittuvuuden hallinta

  • Paikkaus: Kaikkiin käyttöjärjestelmiin, sovelluksiin ja verkkoinfrastruktuureihin lisätään uusimmat turvapaikkaukset haavoittuvuuden vähentämiseksi.
  • Kolmansien osapuolien tarkastukset: Käyttöympäristöjämme tarkastetaan jatkuvasti parhaimmilla turvatyökaluilla. Nämä työkalut on määritetty tekemään sovellusten ja verkkojen haavoittuvuusarvioita, joissa tarkastetaan korjausten tila sekä järjestelmien ja sivustojen virheellisiä määrityksiä.
  • Järjestelmiin tunkeutumisen testaaminen: Ulkopuoliset organisaatiot testaavat järjestelmien alttiuden tunkeutumisille vähintään kerran vuodessa.
  • Bug Bounty: Suhtaudumme vakavasti käyttämiemme alustojen turvallisuuteen. SurveyMonkey käyttää yksityistä bug bounty -ohjelmaa sovellustemme haavoittuvuuden jatkuvaan tarkastamiseen.

Organisatorinen ja hallinnollinen tietoturva

  • Tietoturvakäytännöt: Ylläpidämme sisäisen tietoturvan periaatteita, jotka sisältävät suunnitelmat tapauksiin reagoimisesta. Tarkastamme käytäntömme säännöllisesti ja teemme niihin päivityksiä.
  • Työntekijöiden tarkastus: Tarkistamme kaikkien työntekijöidemme taustat niin laajasti kuin paikallisten lakien puitteissa on mahdollista.
  • Koulutus: Tarjoamme työntekijöillemme tietoturva- ja teknologiakoulutusta.
  • Palveluntarjoajat: Valitsemme palveluntarjoajamme karsintamenettelyllä ja sitoutamme heidät sopimuksella noudattamaan asianmukaista luottamuksellisuutta ja tietoturvamääräyksiä käyttäjätietojen käsittelyssä.
  • Käyttöoikeudet: Pääsyä tietokantojemme, järjestelmiemme ja käyttöympäristömme arkaluontoisiin tietoihin kontrolloidaan tosiasiallisen tarpeen / pienimmän etuoikeuden periaatteen perusteella.
  • Valvontaloki: Ylläpidämme ja tarkkailemme palveluidemme ja järjestelmiemme valvontalokeja.

Ohjelmistojen kehityskäytännöt

  • Pino: Käytämme koodaukseen Pythonia ja suoritamme ohjelmistot SQL Serverillä, Windowsilla ja Ubuntulla.
  • Koodauskäytännöt: Teknikkomme noudattavat alan parhaimpia käytäntöjä ja teollisuuden vaatimukset täyttäviä koodausohjeita, jotka ottavat huomioon OWASP Top 10:n suositukset ja vaatimukset.
  • Käyttöönotto: Otamme koodeja käyttöön lukuisia kertoja viikon aikana. Tämä mahdollistaa nopean reagoimisen, mikäli koodissamme havaitaan vika tai haavoittuvuus.

Yhteensopivuus ja sertifikaatit

  • PCI: SurveyMonkey on tällä hetkellä yhteensopiva PCI 3.1 -väylän kanssa.
  • HIPAA SurveyMonkey tarjoaa parannetut suojausominaisuudet, jotka tukevat HIPAA-vaatimuksia. Katso lisätiedot HIPAA-yhteensopivuussivultamme.

Tietoturvaloukkausten käsittely

Kovista ponnisteluista huolimatta mikään internetin kautta tehtävä tiedonsiirto tai mikään sähköisen tallennuksen muoto ei ole aukottoman turvallinen. Emme voi taata absoluuttista turvallisuutta. Joka tapauksessa SurveyMonkey, saadessaan tiedon tietoturvaloukkauksesta, ilmoittaa siitä niille käyttäjille, joita asia koskee. Näin he voivat ryhtyä asianmukaisiin toimiin. Tietoturvaloukkauksista ilmoittamisen käytäntömme ovat yhdenmukaiset Yhdysvaltojen valtion ja liittovaltion eri lakien ja säännösten asettamien velvollisuuksien kanssa samoin kuin kaikkien niiden alan sääntöjen ja standardien kanssa, joita noudatamme. Ilmoittamiskäytäntöömme kuuluu sähköpostitiedotteiden lähettäminen tai ilmoitus verkkosivuillamme mahdollisen tietoturvaloukkauksen ilmetessä.

Käyttäjän velvollisuudet

Käyttäjän tietojen turvassa pysyminen edellyttää myös sitä, että käyttäjä itse varmistaa tilinsä tietoturvan käyttämällä riittävän monimutkaisia salasanoja ja säilyttämällä ne turvallisesti. Käyttäjän tulee myös varmistaa, että hänen oma järjestelmänsä on riittävällä tavalla suojattu, jotta hänen omalle tietokoneelleen siirretty kyselytutkimustieto pysyy turvassa urkinnalta. Käytössämme on SSL-salaus vastausten lähettämisen suojaamiseksi, mutta käyttäjän vastuulla on varmistaa, että kyselytutkimukset on määritetty käyttämään tätä ominaisuutta. Lisätietoja kyselytutkimusten turvaamisesta saat tukikeskuksestamme.

Asiakkaiden toiveet

Palvelun suuren asiakasmäärän vuoksi erityisiä turvakysymyksiä ja mukautettavia suojauslomakkeita voidaan tarjota ainoastaan tietyn määrän SurveyMonkey-käyttäjätilejä ostaville asiakkaille. Jos yritykselläsi on suuri määrä mahdollisia tai olemassa olevia käyttäjiä ja olet kiinnostunut laajentamaan tällaiseen järjestelyyn, tutustu tiimityöosioomme.

Viimeksi päivitetty: 13. heinäkuuta 2016