Säkerhetspolicy

SENAST UPPDATERAD: 1 JULI 2021

Denna säkerhetspolicy gäller alla produkter, tjänster, webbplatser och appar som erbjuds av Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli och deras dotterbolag (sammantaget ”Momentive”), med beteckningen ”Momentive”, ”SurveyMonkey”, ”Wufoo” och ”GetFeedback”, såvida inget annat anges. Dessa produkter, tjänster, webbplatser och appar kallas tillsammans för ”tjänster” i den här policyn. Denna säkerhetspolicy ingår även i användaravtalen för SurveyMonkey- och Wufoo-kunder.

Momentive värnar om våra kunders förtroende när vi agerar som förvaltare av deras data. Vi tar vårt ansvar att skydda din information på stort allvar och strävar efter fullständig insyn i de säkerhetsrutiner som beskrivs nedan. Vårt sekretessmeddelande beskriver även de olika sätten vi hanterar dina uppgifter.

Momentives informationssystem och tekniska infrastruktur förvaras på SOC 2-ackrediterade datacenter i världsklass. Fysiska säkerhetskontroller på dessa datacenter inkluderar övervakning dygnet runt, kameror, besöksbegränsningar och allt man kan förvänta sig på en datahanteringsanläggning med högsta säkerhet.

Momentive har infört rutiner för styrning, riskhantering och efterlevnad som stämmer överens med de mest globalt erkända ramverken för informationssäkerhet. Momentive har ISO 27001-certifiering. Dessutom är SurveyMonkey Enterprise-produkten HIPAA-kompatibel och våra SurveyMonkey-, Wufoo- och SurveyMonkey Apply-produkter är certifierade enligt betalkortsindustrins datasäkerhetsstandarder (PCI DSS 3.2).

Åtkomst till Momentives teknikresurser tillåts endast via en säker förbindelse (t.ex. VPN, SSH) och kräver flerfaktorsautentisering. Vår lösenordspolicy erfordrar komplexitet, utgångstid och lockout och tillåter inte återanvändning. Momentive ger behörighet när det finns ett behov av att veta baserat på regler om lägsta behörighet, går igenom behörigheten varje kvartal och upphäver omedelbart behörigheten när en persons anställning upphör.

Momentive upprätthåller och granskar och uppdaterar sina informationssäkerhetspolicyer regelbundet, minst varje år. Anställda måste godkänna policyer varje år och genomgå ytterligare utbildning för viktiga jobbfunktioner. Utbildningen är avsedd att följa alla specifikationer och bestämmelser som gäller för Momentive.

Momentive utför bakgrundskontroller vid tiden för anställningen (i den utsträckning det tillåts eller underlättas av tillämpliga lagar och länder). Dessutom kommunicerar Momentive sina informationssäkerhetspolicyer till all personal (som måste vidkännas att de fått den) och kräver att nyanställda undertecknar sekretessavtal, och tillhandahåller fortgående sekretess- och säkerhetsutbildning.

Momentive har en särskild organisation, Trust & Security, som fokuserar på applikations-, moln-, nätverks- och systemsäkerhet. Detta team är också ansvarigt för regelefterlevnad, utbildning och åtgärdande av incidenter.

Momentive upprätthåller ett dokumenterat sårbarhetshanteringsprogram som inbegriper periodvisa skanningar, identifikation och åtgärdande av säkerhetssårbarheter på servrar, arbetsstationer, nätverksutrustning och applikationer. Alla nätverk, inklusive test- och produktionsmiljöer, skannas regelbundet av tredjepartsleverantörer. Nödvändiga uppdateringar appliceras på servrar på prioritetsbasis samt när så är lämpligt för alla andra uppdateringar.

Vi utför även regelbundna interna och externa penetreringstester och åtgärdar problem som resultaten utvisar enligt allvarlighetsgraden.

Momentive krypterar alla vilande data i våra datacenter med hjälp av AES 256-baserad kryptering. Momentive krypterar också alla data i rörelse med hjälp av (i) RSA med certifikat baserade på 2048 bitars nyckellängd genererade via en offentlig certifikatutfärdare, för kommunikation med enheter utanför Momentives datacenter, och (ii) RSA 256-certifikat genererade via intern certifikatutfärdare, för alla data inom datacentret.

Vårt utvecklingsteam använder säkra kodningstekniker och bästa praxis, fokuserat runt OWASP Top Ten. Utvecklare får formell utbildning i säkra webbprogramutvecklingsrutiner i samband med anställningen samt varje år.

Utvecklings-, test- och produktionsmiljöer är separerade. Alla ändringar expertgranskas och loggas för prestandaändamål, granskningsändamål och forensiska ändamål före driftsättning i produktionsmiljön.

Momentive upprätthåller en resursförvaltningspolicy där identifiering, klassificering, bevarande och avyttring av information och resurser ingår. Enheter som är utfärdade av företaget är försedda med hårddiskkryptering och uppdaterade antivirusprogram. Endast enheter som är utfärdade av företaget har behörighet att komma åt företags- och produktionsnätverk.

Momentive upprätthåller en säkerhetsincidentprocess som täcker inledande insatser, utredning, kundunderrättelse (minst i den utsträckning som krävs enligt gällande lag), offentlig kommunikation och åtgärdande. Denna process granskas regelbundet och testas vartannat år.

Trots alla ansträngningar är ingen form av överföring över internet och ingen form av elektronisk lagring fullständigt säker. Vi kan inte garantera absolut säkerhet. Men om Momentive får information om en säkerhetsöverträdelse meddelar vi användarna som påverkas så att de kan vidta lämpliga åtgärder. Vårt förfarande för meddelanden om överträdelser följer våra skyldigheter enligt lagar och bestämmelser på kommunal och statlig nivå, samt eventuella branschregler eller -standarder som gäller oss. Vi strävar efter att hålla våra kunder helt underrättade beträffande frågor som är relevanta för kontosäkerheten och för att ge våra kunder all information som krävs för att de ska uppfylla sina egna förpliktelser beträffande rapportering.

Säkerhetskopior krypteras och lagras i produktionsmiljön för att bevara deras sekretess och integritet. Momentive har en säkerhetskopieringsstrategi för att säkerställa minimal nedtid och dataförlust. Kontinuitetsplanen för verksamheten testas och uppdateras regelbundet för att garantera att den är effektiv om den skulle behöva användas.

För att dina uppgifter ska vara tryggade måste du även se till att ditt konto är säkert genom att använda tillräckligt komplexa lösenord och förvara dem på ett säkert sätt. Du ska även säkerställa att du har tillräcklig säkerhet på dina egna system. Vi erbjuder TLS för att trygga överföringen av enkätsvar, men det är ditt ansvar att se till att konfigurera dina enkäter så att den funktionen är aktiverad vid behov. Mer information om hur du skyddar dina enkäter finns på vårt hjälpcenter.

Applikations- och infrastruktursystem loggar information till ett centralt hanterat loggarkiv för felsökning, säkerhetsgranskning och analys av behörig Momentive-personal. Loggarna bevaras i enlighet med regleringskrav. Vi ger kunder tillbörlig hjälp och åtkomst till loggar i den händelse att deras konto skulle påverkas av en säkerhetsincident.