Miljontals användare har anförtrott SurveyMonkey sina enkätdata och vi prioriterar våra användares säkerhet och integritet. Vi anstränger oss för att se till att alla användardata hanteras på ett säkert sätt. SurveyMonkey använder den senaste och mest avancerade teknologin för internetsäkerhet. Syftet med den här säkerhetspolicyn är att genomlysa vår infrastruktur och våra metoder när det gäller säkerhet för att försäkra dig om att dina data skyddas på bästa sätt. Läs vår sekretesspolicy om du vill ha mer information om datahantering.

Säkerhet för användare

  • Användarautentisering: Användardata i vår databas är logiskt avskiljda med hjälp av kontobaserade åtkomstregler. Alla användarkonton har unika användarnamn och lösenord, som måste uppges varje gång en användare loggar in. SurveyMonkey utfärdar en sessionscookie enbart i syfte att registrera krypterad autentiseringsinformation för en viss session. Sessionscookien innehåller inte användarens lösenord.
  • Lösenord: Användarlösenord har vissa grundläggande krav på komplexitet. Lösenord saltas och hashas individuellt.
  • Enkel inloggning: För våra teamsamarbetskonton har SurveyMonkey stöd för SAML 2.0-integrering, vilket innebär att företaget kan styra vem som har tillgång till SurveyMonkey i organisationen och definiera autentiseringsregler för ännu bättre säkerhet. Du hittar mer information på vår hjälpsida om enkel inloggning.
  • Datakryptering: Vissa känsliga användaruppgifter, som kreditkortsinformation och kontolösenord, lagras i krypterad form.
  • Dataportabilitet: Hos SurveyMonkey kan du exportera data från vårt system i flera olika format, så att du kan säkerhetskopiera dem eller använda dem med andra program.
  • Sekretess: Vi har en omfattande sekretesspolicy som ger dig en mycket tydlig bild av hur vi hanterar data, till exempel hur vi använder dina data, med vem vi delar dem och hur länge vi sparar dem.
  • Datahemvist: Alla användardata hos SurveyMonkey, inklusive Wufoo, TechValidate och SurveyMonkey Intelligence, sorteras på servrar som finns i USA. För FluidSurveys och FluidReview lagras alla data i Kanada.

Fysisk säkerhet

Alla SurveyMonkeys informationssystem och vår infrastruktur finns hos datacenter som håller världsklass. I dessa datacenter finns alla nödvändiga fysiska säkerhetskontroller som man förväntar sig hos dagens moderna datacenter (bland annat dygnet runt-övervakning, kameror, besöksregistrering och besökskrav). SurveyMonkey har egna dedikerade sektioner som separerar vår utrustning från andras. Dessa datacenter är dessutom SOC 2-auktoriserade. Du hittar mer information hos SuperNAP och InterNAP. Om du vill ha information om FluidSurvey eller FluidReview kontaktar du oss direkt.

Tillgänglighet

  • Anslutning: Helt redundant IP-nätverk med flera oberoende anslutningar till ett antal Tier 1-internetleverantörer.
  • Strömförsörjning: Servrarna har redundant intern och extern strömförsörjning. Datacentren har reservkraftverk och kan försörjas via flera transformatorstationer i elnätet, ett antal dieselgeneratorer och reservbatterier.
  • Drifttid: Kontinuerlig övervakning av drifttid, med omedelbar vidarerapportering till SurveyMonkeys personal vid eventuellt driftavbrott.
  • Driftsäkerhet: Vår databas replikeras i realtid och kan driftsäkras på mindre än en timme.
  • Intervall för säkerhetskopiering: Säkerhetskopiering utförs dagligen vid flera olika geografiska platser.

Nätverkssäkerhet

  • Testning: Systemfunktioner och designändringar verifieras i en isolerad testmiljö (s.k. ”sandlåda”) och testas med avseende på både funktion och säkerhet innan de distribueras till aktiva produktionssystem.
  • Brandväggar: Brandväggar begränsar åtkomsten till alla portar utom 80 (http) och 443 (https).
  • Åtkomstkontroll: Skyddat virtuellt privat nätverk (VPN), 2FA (tvåfaktorsautentisering) och rollbaserad åtkomst används för systemhantering av auktoriserad personal.
  • Loggning och revision: Centrala loggningssystem registrerar och arkiverar all intern systemåtkomst, inklusive alla misslyckade autentiseringsförsök.
  • Kryptering vid överföring: Som standard har våra enkätinsamlare TLS (Transport Layer Security) aktiverat för att kryptera trafik från svarande. All övrig kommunikation med surveymonkey.com-webbplatsen skickas via TLS-anslutningar, vilket skyddar kommunikationen med hjälp av både serverautentisering och datakryptering. Detta garanterar att de användardata som överförs är skyddade och bara tillgängliga för avsedda mottagare. Våra programslutpunkter har enbart TLS och får betyget A i SSL Labs:s tester. Vi använder också framåtsekretess och stöder bara starka chiffer för ökad sekretess och säkerhet.

Sårbarhetshantering

  • Korrigeringar: De senaste säkerhetskorrigeringarna används för alla operativsystem, program och nätverksinfrastrukturer för att minska riskerna.
  • Externa kontroller: Våra miljöer genomsöks kontinuerligt med branschens bästa säkerhetsverktyg. De här verktygen är konfigurerade för att utvärdera sårbarheten hos nätverk och programvara, genom att testa korrigeringsstatus och grundläggande felkonfigurationer av system och webbplatser.
  • Penetrationstestning: Externa organisationer utför penetrationstester minst varje år.
  • Hittelön för buggar: Vi tar säkerheten hos våra plattformar på största allvar! SurveyMonkey har ett eget program med hittelön för buggar för att försäkra oss om att våra program hela tiden granskas för att eliminera sårbarheter.

Säkerhet inom organisation & administration

  • Policyer om informationsskydd: Vi har interna policyer om skydd av information, bland annat planer för incidenthantering, och dessa revideras och uppdateras regelbundet.
  • Medarbetarkontroller: Vi utför bakgrundskontroller av alla medarbetare i den mån gällande lokal lagstiftning tillåter detta.
  • Vidareutbildning: Vi vidareutbildar våra medarbetare inom både säkerhet och teknologi.
  • Tjänsteleverantörer: Vi granskar våra tjänsteleverantörer och förbinder dem kontraktuellt att vidta nödvändiga åtgärder vad gäller säkerhet och konfidentialitet om de hanterar användardata.
  • Åtkomst: Åtkomstkontroll till känsliga data i våra databaser, system och miljöer anges på behovsbasis och enligt principen om begränsad behörighet (s.k. ”principle of least privilege”).
  • Revisionsloggning: Vi upprätthåller och övervakar revisionsloggar för våra tjänster och system.

Programvaruutveckling

  • Stack: Vi kodar i Python och kör på SQL Server, Windows och Ubuntu.
  • Kodningsmetoder: Våra ingenjörer använder vedertagna metoder och branschriktlinjer för säker kodning, som följer OWASP Top 10.
  • Distribution: Vi distribuerar kod dussintals gånger i veckan, vilket innebär att vi kan reagera snabbt om några buggar eller sårbarheter identifieras i koden.

Regelefterlevnad och certifiering

  • PCI: SurveyMonkey är just nu PCI 3.1-kompatibelt.
  • HIPAA: SurveyMonkey erbjuder utökade säkerhetsfunktioner som uppfyller HIPAA-kraven. Du hittar mer information på vår sida om HIPAA-efterlevnad.

Hantering av säkerhetsintrång

Oavsett alla ansträngningar är ingen överföringsteknik för internettrafik eller metod för elektronisk lagring hundraprocentigt säker. Vi kan inte garantera total säkerhet. Men vi garanterar att så fort SurveyMonkey får vetskap om något säkerhetsintrång meddelar vi de användare som påverkas så att de kan vidta nödvändiga åtgärder. Våra processer för hur vi meddelar kunder vid intrång uppfyller kraven i olika delstaters lagstiftning såväl som kraven i den federala lagstiftningen, liksom alla branschregler och -standarder vi följer. Processerna omfattar utskick av e-postaviseringar eller meddelanden på vår webbplats vid ett eventuellt intrång.

Ditt ansvar

Säkerheten för dina data är också beroende av att du skyddar ditt konto genom att använda tillräckligt komplexa lösenord och att du förvarar dessa lösenord på ett säkert ställe. Du bör också försäkra dig om att säkerheten för dina egna system är tillräcklig så att du kan skydda enkätdata du laddar ned till din egen dator från obehöriga. Vi erbjuder TLS för att skydda överföringen av enkätsvar, men du ansvarar för att dina enkäter är konfigurerade att använda funktionen när så är lämpligt. Mer information om hur du skyddar dina enkäter finns i vårt hjälpcenter.

Kundförfrågningar

På grund av det stora antal kunder som använder vår tjänst kan specifika säkerhetsfrågor eller anpassade säkerhetsformulär bara hanteras för kunder som köper ett visst antal användarkonton i en SurveyMonkey-prenumeration. Om ditt företag har ett stort antal potentiella eller befintliga användare och ni är intresserade av ett sådant avtal kan du läsa avsnittet om teamsamarbete.

Senast uppdaterad: 13 juli 2016