Säkerhetspolicy
SENASTE UPPDATERING: 11 APRIL 2018
Denna säkerhetspolicy gäller alla produkter, tjänster, webbplatser och appar som erbjuds av SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda och deras dotterbolag (sammantaget ”SurveyMonkey”), med beteckningen ”SurveyMonkey” samt ”Wufoo”, såvida inget annat anges. Dessa produkter, tjänster, webbplatser och appar kallas tillsammans för ”tjänster” i den här policyn. Denna säkerhetspolicy ingår även i användaravtalen för SurveyMonkey- och Wufoo-kunder.
SurveyMonkey värnar om våra kunders förtroende när vi agerar som förvaltare av deras data. Vi tar vårt ansvar att skydda din information på stort allvar och strävar efter fullständig insyn i de säkerhetsrutiner som beskrivs nedan. Vår sekretesspolicy beskriver även de olika sätten vi hanterar dina uppgifter.
Fysisk säkerhet
SurveyMonkeys informationssystem och tekniska infrastruktur förvaras på SOC 2-ackrediterade datacenter i världsklass. Fysiska säkerhetskontroller på våra datacenter inkluderar övervakning dygnet runt, kameror, besöksloggar, inträdeskrav och särskilda skyddsburar för SurveyMonkey-hårdvara.
Efterlevnad
SurveyMonkey, Wufoo och SurveyMonkey Apply följer standarden i Payment Card Industry Data Security Standard (PCI DSS 3.2) och kan därför acceptera eller bearbeta kreditkortsinformation på ett säkert sätt i enlighet med dessa standarder. SurveyMonkey styrker att standarden efterlevs varje år. SurveyMonkey arbetar mot ISO 27001-certifiering.
Åtkomstkontroll
Åtkomst till SurveyMonkeys teknikresurser tillåts endast via en säker förbindelse (t.ex. VPN, SSH) och kräver flerfaktorsautentisering. Vår lösenordspolicy erfordrar komplexitet, utgångstid och lockout och tillåter inte återanvändning. SurveyMonkey ger behörighet vid behov av att veta baserat på regler om lägsta behörighet, går igenom behörigheten varje kvartal och upphäver omedelbart behörigheten när en persons anställning upphör.
Säkerhetspolicyer
SurveyMonkey upprätthåller och granskar och uppdaterar sina informationssäkerhetspolicyer minst varje år. Anställda måste godkänna policyer varje år och genomgå ytterligare utbildning, exempelvis HIPAA-utbildning, säker kodning, PCI och jobbspecifik säkerhets- och färdighetsutveckling och/eller utbildning i sekretesslagstiftning för viktiga jobbfunktioner. Utbildningsschemat är avsett att följa alla specifikationer och bestämmelser som gäller för SurveyMonkey.
Personal
SurveyMonkey utför bakgrundskontroller vid tiden för anställningen (i den utsträckning det tillåts eller underlättas av tillämpliga lagar och länder). Dessutom kommunicerar SurveyMonkey sina informationssäkerhetspolicyer till all personal (som måste vidkännas att de fått den) och kräver att nyanställda undertecknar sekretessavtal, och tillhandahåller fortgående sekretess- och säkerhetsutbildning.
Särskild säkerhetspersonal
SurveyMonkey har en särskild organisation, Trust & Security, som fokuserar på applikations-, nätverks- och systemsäkerhet. Detta team är också ansvarigt för regelefterlevnad, utbildning och åtgärdande av incidenter.
Sårbarhetshantering och penetreringstester
SurveyMonkey upprätthåller ett dokumenterat sårbarhetshanteringsprogram som inbegriper periodvisa skanningar, identifikation och åtgärdande av säkerhetssårbarheter på servrar, arbetsstationer, nätverksutrustning och applikationer. Alla nätverk, inklusive test- och produktionsmiljöer, skannas regelbundet av tredjepartsleverantörer. Nödvändiga uppdateringar appliceras på servrar på prioritetsbasis samt när så är lämpligt för alla andra uppdateringar.
Vi utför även regelbundna interna och externa penetreringstester och åtgärdar problem som resultaten utvisar enligt allvarlighetsgraden.
Kryptering
Vi krypterar de data som skickas med användning av säkra TLS-krypteringsprotokoll. SurveyMonkey- och Wufoo-data krypteras även när de ligger still.
Utveckling
Vårt utvecklingsteam använder säkra kodningstekniker och bästa praxis, fokuserat runt OWASP Top Ten. Utvecklare får formell utbildning i säkra webbprogramutvecklingsrutiner i samband med anställningen samt varje år.
Utvecklings-, test- och produktionsmiljöer är separerade. Alla ändringar expertgranskas och loggas för prestanda-, revisions- och forensiska ändamål före driftsättning i produktionsmiljön.
Resursförvaltning
SurveyMonkey upprätthåller en resursförvaltningspolicy där det ingår identifiering, klassificering, bevarande och avyttring av information och resurser. Enheter som är utfärdade av företaget är försedda med hårddiskkryptering och uppdaterade antivirusprogram. Endast enheter som är utfärdade av företaget har behörighet att komma åt företags- och produktionsnätverk.
Incidenthantering för informationssäkerhet
SurveyMonkey upprätthåller policyer och rutiner för säkerhetsincidentrespons; dessa täcker inledande insatser, utredning, kundunderrättelse (minst i den utsträckning som krävs enligt gällande lag), offentlig kommunikation och åtgärdande. Dessa policyer granskas regelbundet och testas vartannat år.
Meddelanden om överträdelser
Trots alla ansträngningar är ingen form av överföring över internet och ingen form av elektronisk lagring fullständigt säker. Vi kan inte garantera absolut säkerhet. Men om SurveyMonkey får information om en säkerhetsöverträdelse meddelar vi användarna som påverkas så att de kan vidta lämpliga åtgärder. Vårt förfarande för meddelanden om överträdelser följer våra skyldigheter enligt lagar och bestämmelser på kommunal och statlig nivå, samt eventuella branschregler eller -standarder som gäller oss. Vi strävar efter att hålla våra kunder helt underrättade beträffande frågor som är relevanta för kontosäkerheten och för att ge våra kunder all information som krävs för att de ska uppfylla sina egna förpliktelser beträffande rapportering.
Informationssäkerhetsrelaterade aspekter av driftskontinuitet
SurveyMonkeys databaser säkerhetskopieras på roterande basis med fullständiga och stegvisa säkerhetskopieringar och verifieras regelbundet. Säkerhetskopior krypteras och lagras inom produktionsmiljön för att bevara deras konfidentialitet och integritet och testas regelbundet för att säkerställa tillgänglighet.
Ditt ansvar
För att dina uppgifter ska vara tryggade måste du även se till att ditt konto är säkert genom att använda tillräckligt komplicerade lösenord och förvara dem på ett säkert sätt. Du ska även säkerställa att du har tillräcklig säkerhet på dina egna system. Vi erbjuder TLS för att trygga överföringen av enkätsvar, men det är ditt ansvar att se till att konfigurera dina enkäter så att den funktionen är aktiverad vid behov. Mer information om hur du tryggar överföringen av dina enkäter finns på vårt hjälpcenter. Den här artikeln är avsedd för SurveyMonkey-kunder men en del av vägledningen gäller även våra Wufoo-kunder.
Loggning och övervakning
Applikations- och infrastruktursystem loggar information till ett centralt hanterat loggarkiv för felsökning, säkerhetsgranskning och analys av behörig SurveyMonkey-personal. Loggarna bevaras i enlighet med regleringskrav. Vi ger kunder med tillbörlig hjälp och åtkomst till loggar i den händelse att deras konto skulle påverkas av en säkerhetsincident.
