Miljontals användare har anförtott sina enkätdata åt SurveyMonkey och vi prioriterar att ta våra användares säkerhets- och sekretessfrågor på allvar. Vi strävar efter att säkerställa att användardata lagras säkert och att vi endast samlar in så mycket personlig information som krävs för att tillhandahålla våra tjänster till användarna på ett effektivt sätt.

SurveyMonkey använder en av de mest avancerade, kommersiellt tillgängliga teknikerna för internetsäkerhet. Målsättningen med det här säkerhetsutlåtandet är att på ett tydligt sätt redovisa för vår säkerhetsinfrastruktur och -praxis för att försäkra dig om att dina data skyddas på lämpligt sätt.

Program- och användarsäkerhet

  • SSL-/TLS-kryptering: Användare kan välja att samla in enkätsvar via säkra, krypterade SSL-/TLS-förbindelser. All annan kommunikation med webbplatsen surveymonkey.com skickas via SSL-/TLS-förbindelser. Tekniken Secure Sockets Layer (SSL) och Transport Layer Security (TLS) (efterföljaren till SSL) skyddar kommunikationen genom att tillämpa både serverautentisering och datakryptering. Detta säkerställer att användardata överförs säkert och skyddat och endast görs tillgängliga för de avsedda mottagarna.
  • Användarautentisering: Alla användardata i vår databas särskiljs på ett logiskt sätt med hjälp av kontobaserade åtkomstregler. Användarkontona har unika användarnamn och lösenord som måste anges varje gång användarna loggar in. SurveyMonkey utfärdar en sessionscookie endast för att registrera krypterad autentiseringsinformation under en viss session. Sessionscookien innehåller inte användarens lösenord.
  • Användarlösenord: Användarnas lösenord omfattas av minimikrav för komplexitet. Lösenorden saltas och hash-behandlas enskilt.
  • Datakryptering: Vissa känsliga användardata, som kreditkortsuppgifter och lösenord till konton, lagras i krypterad form.
  • Dataportabilitet: SurveyMonkey låter dig exportera dina data från vårt system i en mängd olika format så att du kan säkerhetskopiera dem eller använda dem i andra program.
  • Sekretess: Vi tillämpar en omfattande integritetspolicy som ger dig stor insyn i hur vi hanterar dina data, inklusive hur vi använder dem, med vem vi delar dem och hur länge vi sparar dem.
  • HIPAA: Avancerade säkerhetsfunktioner för konton som uppfyller HIPAA-kraven.

Fysisk säkerhet

  • Datacenter: Infrastrukturen för vårt informationssystem (servrar, nätverksutrustning osv.) finns samlad i datacenter som granskas av tredje parter enligt SSAE 16/SOC 2. Vi äger och hanterar all vår utrustning som finns i dessa center.
  • Datacentersäkerhet: Våra datacenter är bemannade och övervakas dygnet runt alla dagar i veckan. Tillträde regleras av säkerhetsvakter, besöksloggar och inträdeskrav som passerkort och biometrisk igenkänning. Vår utrustning förvaras i låsta burar.
  • Miljökontroller: Temperaturen och luftfuktigheten i våra datacenter kontrolleras och övervakas ständigt för variationer. De har även rök- och brandsystem samt nödsystem.
  • Plats: Alla användardata lagras på servrar som finns i USA eller Luxemburg.

Tillgänglighet

  • Anslutning: Fullständigt redundanta IP-nätverksanslutningar med flera oberoende förbindelser till en rad tjänsteleverantörer av Tier 1 Internet.
  • Elförsörjning: Servrarna har intern och extern reservförsörjning. Datacentren har reservförsörjning och kan även drivas med el från de många understationerna i nätet, flera dieselgeneratorer och reservbatterier.
  • Drifttid: Ständig övervakning av drifttid med omedelbar ökning av personalstyrkan på SurveyMonkey vid avbrott.
  • Växling vid fel: Vår databas loggöverförs till reservservrar och kan flyttas över på mindre än en timme vid fel.

Nätverkssäkerhet

  • Drifttid: Ständig övervakning av drifttid med omedelbar ökning av personalstyrkan på SurveyMonkey vid avbrott.
  • Tredje partsgranskning: Säkerhetsgranskningar genomförs varje vecka av Qualys.
  • Testning: Systemets funktioner och designändringar verifieras i en isolerad testmiljö, ”sandbox”, och genomgår funktions- och säkerhetstester innan de används i aktiva produktionssystem.
  • Brandvägg: En brandvägg begränsar åtkomsten till alla portar förutom 80 (http) och 443 (https).
  • Korrigeringar: De senaste säkerhetskorrigeringarna tillämpas på alla operativsystem och programfiler för att åtgärda nyupptäckta säkerhetsrisker.
  • Åtkomstkontroll: Säker VPN, autentisering via flera faktorer och rollbaserad åtkomst tillämpas för systemhanteringen som utförs av auktoriserad teknikpersonal.
  • Loggar och granskning: Centrala loggsystem registrerar och arkiverar all åtkomst till interna system, inklusive misslyckade autentiseringsförsök.

Lagringssäkerhet

  • Säkerhetskopiering: Säkerhetskopiering utförs internt varje timme och varje dag till ett centralt säkerhetskopieringssystem för lagring på flera geografiskt åtskilda platser.
  • Produktionsredundans: Data lagras på en RAID 10-matris. Operativsystem lagras på en RAID 1-matris.

Organisatorisk och administrativ säkerhet

  • Personalgranskning: Vi gör bakgrundskontroller på alla anställda.
  • Utbildning: Vi tillhandahåller utbildning i säkerhet och teknikanvändning för våra anställda.
  • Tjänsteleverantörer: Vi granskar våra tjänsteleverantörer och skriver avtal med dem om lämplig sekretessnivå om de hanterar användardata.
  • Åtkomst: Kontrollerna för åtkomst till känsliga data i våra databaser, system och miljöer regleras efter vad användaren behöver känna till eller vilken lägsta behörighet som krävs.
  • Granskningsloggar: Vi upprätthåller och övervakar granskningsloggar för våra tjänster och system (våra loggsystem skapar flera gigabyte med loggfiler varje dag).
  • Policyer för informationssäkerhet: Vi tillämpar interna policyer för informationssäkerhet, inklusive handlingsplaner för incidenter, och granskar och uppdaterar dessa regelbundet.

Praxis för programvaruutveckling

  • Stack: Vi kodar i Python och C# och kör SQL Server 2008, Ubuntu Linux och Windows 2008 Server.
  • Kodpraxis: Våra tekniker tillämpar bästa praxis och branschstandardiserade riktlinjer för säker kodning för att säkerställa säker kodning.

Hantering av säkerhetsöverträdelser

Trots alla ansträngningar är ingen form av överföring över internet och ingen form av elektronisk lagring fullständigt säker. Vi kan inte garantera absolut säkerhet. Men om SurveyMonkey får information om en säkerhetsöverträdelse meddelar vi användarna som påverkas så att de kan vidta lämpliga åtgärder. Vårt förfarande för meddelanden om överträdelser följer våra skyldigheter enligt olika statliga och federala lagar och bestämmelser samt eventuella branschregler eller -standarder som vi följer. Meddelandeförfarandet omfattar bland annat e-postmeddelanden eller meddelanden på vår webbplats om en överträdelse inträffar.

Ditt ansvar

För att dina uppgifter ska vara tryggade är det även viktigt att du ser till att ditt konto är säkert genom att använda tillräckligt komplicerade lösenord och förvara dem på ett säkert sätt. Du bör också se till att dina egna system är tillräckligt säkra så att någon annan inte kan komma åt enkätdata som du kanske laddar ned till din egen dator. Vi använder SSL för att trygga överföringen av enkätsvar, men det är ditt ansvar att se till att konfigurera dina enkäter så att den funktionen är aktiverad vid behov.

Särskilda förfrågningar

På grund av det stora antal kunder som använder vår tjänst kan särskilda säkerhetsfrågor eller anpassade säkerhetsformulär endast komma ifråga för kunder som köper ett visst antal användarkonton inom en SurveyMonkey Enterprise-prenumeration. Om ditt företag har ett stort antal potentiella eller befintliga användare och är intresserat av sådana arrangemang kan du besöka www.surveymonkey.com/mp/enterprise för mer information.

Senast uppdaterat: 9 september 2013.