Säkerhetspolicy

SENASTE UPPDATERING: 15 februari 2024

Denna Säkerhetspolicy gäller alla produkter, tjänster, webbplatser och program som erbjuds av SurveyMonkey Inc., SurveyMonkey UC, SurveyMonkey Brasil Internet Eireli och deras dotterbolag (sammantaget ”SurveyMonkey”), under varumärkena ”SurveyMonkey”, “Wufoo” och “GetFeedback”, såvida inget annat anges. Dessa produkter, tjänster, webbplatser och program kallas tillsammans för ”tjänster” i denna Policy. Denna Säkerhetspolicy ingår även i användaravtalen för SurveyMonkey- och Wufoo-kunder.

SurveyMonkey värnar om våra kunders förtroende när vi agerar som förvaltare av deras data. Vi tar vårt ansvar att skydda din information på stort allvar och strävar efter fullständig insyn i de säkerhetsrutiner som beskrivs nedan. Vårt Sekretessmeddelande beskriver även de olika sätten vi hanterar dina uppgifter.

SurveyMonkeys informationssystem och tekniska infrastruktur förvaras på SOC 2-ackrediterade datacenter i världsklass. Fysiska säkerhetskontroller på dessa datacenter inkluderar övervakning dygnet runt, kameror, besöksbegränsningar och allt man kan förvänta sig på en datahanteringsanläggning med högsta säkerhet.

SurveyMonkey har infört rutiner för styrning, riskhantering och efterlevnad som stämmer överens med de mest globalt erkända ramverken för informationssäkerhet. SurveyMonkey har ISO 27001-certifiering. Dessutom är SurveyMonkey Enterprise-produkten HIPAA-kompatibel och våra SurveyMonkey-, Wufoo- och SurveyMonkey Apply-produkter är certifierade enligt betalkortsindustrins datasäkerhetsstandarder (PCI DSS 3.2).

Åtkomst till SurveyMonkeys teknikresurser tillåts endast via en säker förbindelse (t.ex. VPN, SSH) och kräver flerfaktorsautentisering. Vår lösenordspolicy erfordrar komplexitet, utgångstid och lockout och tillåter inte återanvändning. SurveyMonkey ger behörighet vid behov av att veta baserat på regler om lägsta behörighet, går igenom behörigheten varje kvartal och upphäver omedelbart behörigheten när en persons anställning upphör.

SurveyMonkey upprätthåller och granskar och uppdaterar sina informationssäkerhetspolicyer regelbundet, minst varje år. Anställda måste godkänna policyer varje år och genomgå ytterligare utbildning för viktiga jobbfunktioner. Utbildningen är avsedd att följa alla specifikationer och bestämmelser som gäller för SurveyMonkey.

SurveyMonkey utför bakgrundskontroller vid tiden för anställningen (i den utsträckning det tillåts eller underlättas av tillämpliga lagar och länder). Dessutom kommunicerar SurveyMonkey sina informationssäkerhetspolicyer till all personal (som måste vidkännas att de fått den) och kräver att nyanställda undertecknar sekretessavtal, och tillhandahåller fortgående sekretess- och säkerhetsutbildning.

SurveyMonkey har en särskild organisation, Trust & Security, som fokuserar på applikations-, moln-, nätverks- och systemsäkerhet. Detta team är också ansvarigt för regelefterlevnad, utbildning och åtgärdande av incidenter.

SurveyMonkey upprätthåller ett dokumenterat sårbarhetshanteringsprogram som inbegriper periodvisa skanningar, identifikation och åtgärdande av säkerhetssårbarheter på servrar, arbetsstationer, nätverksutrustning och applikationer. Alla nätverk, inklusive test- och produktionsmiljöer, skannas regelbundet av tredjepartsleverantörer. Nödvändiga uppdateringar appliceras på servrar på prioritetsbasis samt när så är lämpligt för alla andra uppdateringar.

Vi utför även regelbundna interna och externa penetreringstester och åtgärdar problem som resultaten utvisar enligt allvarlighetsgraden.

SurveyMonkey krypterar alla vilande data i våra datacenter med hjälp av AES 256-baserad kryptering. SurveyMonkey krypterar också alla data i rörelse med hjälp av (i) RSA med certifikat baserade på 2048 bitars nyckellängd genererade via en offentlig certifikatutfärdare, för kommunikation med enheter utanför SurveyMonkeys datacenter, och (ii) RSA 256-certifikat genererade via intern certifikatutfärdare, för alla data inom datacentret.

Vårt utvecklingsteam använder säkra kodningstekniker och bästa praxis, fokuserat runt OWASP Top Ten. Utvecklare får formell utbildning i säkra webbprogramutvecklingsrutiner i samband med anställningen samt varje år.

Utvecklings-, test- och produktionsmiljöer är separerade. Alla ändringar expertgranskas och loggas för prestanda-, revisions- och forensiska ändamål före driftsättning i produktionsmiljön.

SurveyMonkey upprätthåller en resursförvaltningspolicy där det ingår identifiering, klassificering, bevarande och avyttring av information och resurser. Enheter som är utfärdade av företaget är försedda med hårddiskkryptering och uppdaterade antivirusprogram. Endast enheter som är utfärdade av företaget har behörighet att komma åt företags- och produktionsnätverk.

SurveyMonkey upprätthåller en säkerhetsincidentprocess som täcker inledande insatser, utredning, kundunderrättelse (minst i den utsträckning som krävs enligt gällande lag), offentlig kommunikation och åtgärdande. Denna process granskas regelbundet och testas vartannat år.

Trots alla ansträngningar är ingen form av överföring över internet och ingen form av elektronisk lagring fullständigt säker. Vi kan inte garantera absolut säkerhet. Men om SurveyMonkey får information om en säkerhetsöverträdelse meddelar vi användarna som påverkas så att de kan vidta lämpliga åtgärder. Vårt förfarande för meddelanden om överträdelser följer våra skyldigheter enligt lagar och bestämmelser på kommunal och statlig nivå, samt eventuella branschregler eller -standarder som gäller oss. Vi strävar efter att hålla våra kunder helt underrättade beträffande frågor som är relevanta för kontosäkerheten och för att ge våra kunder all information som krävs för att de ska uppfylla sina egna förpliktelser beträffande rapportering.

Säkerhetskopior krypteras och lagras i produktionsmiljön för att bevara deras konfidentialitet och integritet. SurveyMonkey har en säkerhetskopieringsstrategi för att säkerställa minimal nedtid och dataförlust. Kontinuitetsplanen för verksamheten testas och uppdateras regelbundet för att garantera att den är effektiv om den skulle behöva användas.

För att dina uppgifter ska vara skyddade måste du även se till att ditt konto skyddas genom att använda tillräckligt komplexa lösenord som förvaras på ett säkert sätt. Du ska även säkerställa att säkerheten på dina egna system är tillräcklig. Vi erbjuder TLS för att trygga överföringen av enkätsvar, men det är ditt ansvar att konfigurera enkäterna så att den funktionen är aktiverad vid behov. Mer information om hur du skyddar dina enkäter finns i vårt hjälpcenter.

Applikations- och infrastruktursystem loggar information till ett centralt hanterat loggarkiv för felsökning, säkerhetsgranskning och analys av behörig SurveyMonkey-personal. Loggarna bevaras i enlighet med regleringskrav. Vi ger kunder med tillbörlig hjälp och åtkomst till loggar i den händelse att deras konto skulle påverkas av en säkerhetsincident.