Sikkerhedserklæring

SIDST OPDATERET: 7. JULI 2020

Denne sikkerhedserklæring gælder de produkter, tjeneste, websites og apps, som SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. og deres tilknyttede selskaber (samlet “SurveyMonkey”), som er brandede som SurveyMonkey” og “Wufoo” tilbyder, bortset fra hvor andet er angivet. Vi henviser til disse produkter, servicer, websites og apps samlet som ”servicer” i denne erklæring. Denne sikkerhedserklæring udgør også en del af brugeraftalen for kunder hos SurveyMonkey og Wufoo.

SurveyMonkey sætter pris på den tillid, som vores kunder viser os ved at lade os varetage deres data. Vi tager vores ansvar for at beskytte og sikre dine oplysninger alvorligt, og vi stræber efter total gennemsigtighed omkring vores sikkerhedsspraksisser, som er angivet nedenfor. Vores Fortrolighedspolitik giver også yderligere beskrivelse af hvordan vi håndterer dine data.

SurveyMonkeys informationssystemer og tekniske infrastruktur er hostet på SOC 2-akkrediterede datacentre i verdensklasse. Fysisk sikkerhedskontrol på vores datacentre omfatter døgnovervågning, kameraer, logføring over besøgende, adgangskrav og dedikerede rum til SurveyMonkeys hardware.

SurveyMonkey, Wufoo og SurveyMonkey Apply overholder PCI DSS 3.2 (Payment Card Industry’s Data Security Standards, betalingskortbranchens standarder for datasikkerhed) og kan derfor tage imod eller behandle kreditkortoplysninger sikkert i overensstemmelse med disse standarder. SurveyMonkey recertificerer denne overensstemmelse årligt. SurveyMonkey er blevet ISO 27001-certificeret.

Adgang til SurveyMonkeys teknologiressourcer er kun tilladt gennem en sikker forbindelse (dvs. VPN, SSH) og kræver flerfaktorgodkendelse. Vores adgangskodepolitik kræver kompleksitet, udløb, lockout og tillader ikke genbrug. SurveyMonkey giver adgang efter behov på grundlag af regler om mindst mulige forret, gennemgår tilladelser hvert kvartal og ophæver adgang straks efter afskedigelse.

SurveyMonkey opretholder og gennemser og opdaterer regelmæssigt politikker for informationssikkerhed, mindst på årsbasis. Medarbejdere skal anerkende politikker på årlig basis og deltage i yderligere kurser i f.eks. HIPAA, sikker kodning, PCI og jobspecifik udvikling af sikkerhed og kvalifikationer og/eller kurser i lovgivning om beskyttelse af personlige oplysninger for hovedjobfunktioner. Kursusplanen er konstrueret til at overholde alle specifikationer og regler, som gælder for SurveyMonkey.

SurveyMonkey udfører baggrundstjek ved ansættelse (i den grad, som det er tilladt eller muliggjort ved gældende lovgivning og lande) Derudover kommunikerer SurveyMonkey sine informationssikkerhedspolitikker til alt personale (som skal anerkende dette) og kræver at nye medarbejdere underskriver hemmeligholdelsesaftaler og sørger for løbende kurser i beskyttelse af personlige oplysninger og sikkerhed.

SurveyMonkey har også en dedikeret trust- & sikkerhedsorganisation, som fokuserer på sikkerhed for applikationer, netværk og systemer. Dette team er også ansvarligt for sikkerhedsoverholdelse, uddannelse og hændelsesrespons.

SurveyMonkey opretholder et dokumenteret program til sårbarhedshåndtering, som omfatter regelmæssige scanninger, identificering og fejlkorrektion af sikkerhedsproblemer på servere, arbejdsstationer, netværksudstyr og applikationer. Alle netværk, b.la. miljøer til afprøvning og produktion, scannes regelmæssigt af pålidelige tredjepartsleverandører. Kritiske fejlrettelser anvendes på servere på prioritetsbasis og efter behov for alle andre fejlrettelser.

Vi udfører også regelmæssige interne og eksterne penetrationsafprøvninger og fejlretter fundne resultater efter alvorsgrad.

Vi krypterer dine data i transit ved brug af TLS kryptografiske protokoller. Data fra SurveyMonkey og Wufoo er også krypteret, når de er inaktive.

Vores udviklingsteam anvender sikre kodeteknikker og bedste praksis med fokus på OWASPs top 10. Udviklere er formelt uddannede i sikker udvikling af webapplikationer ved ansættelse samt årligt.

Miljøer for udvikling, afprøvning og produktion er adskilte. Alle ændringer er fagfællebedømte og registreres for ydelses-, reviderings- og tekniske formål før anvendelse i produktionsmiljøet.

SurveyMonkey ajourfører en politik om håndtering af aktiver, som omfatter identificering, klassificering, opretholdelse og bortskaffelse af informationer og aktiver. Virksomhedsudstedte enheder er udstyret med fuldstændig kryptering af harddiske og opdateret antivirussoftware. Kun virksomhedsudstedte enheder har adgang til virksomheds- og produktionsnetværk.

SurveyMonkey ajourfører politikker om og procedurer for respons på sikkerhedshændelser, som dækker den første respons, undersøgelse, kundeidentifikation (ikke mindre end påkrævet af relevant lovgivning), offentlig kommunikation og fejlrettelse. Disse politikker gennemgås regelmæssigt og afprøves to gange årligt.

På trods af vores bedste bestræbelser er ingen metoder til transmission over internettet og ingen metoder til elektronisk lagring helt sikre. Vi kan ikke garantere fuldstændig sikkerhed. Hvis SurveyMonkey finder et brud på sikkerheden, vil vi dog underrette de påvirkede brugere om dette, så de kan handle på passende vis for at beskytte deres data. Vores procedurer for underretning ved brud er i overensstemmelse med vores forpligtelser under gældende love og regler på lande-, stats- og føderalt niveau, såvel som alle regler eller standarder for branchen, som gælder os. Vi er forpligtet til at sørge for at vores kunder er fuldt informerede om enhver sag, som er relevante for deres kontos sikkerhed samt til at give kunder alle oplysninger, som er nødvendige for at de kan overholde deres egne regler for rapporteringskrav.

SurveyMonkeys databaser sikkerhedskopieres på rotationsbasis med fuldstændige og trinvise sikkerhedskopieringer og verificeres regelmæssigt. Sikkerhedskopier krypteres og lagres i produktionsmiljøet for at bevare fortrolighed og integritet og afprøves regelmæssigt for at sikre tilgængelighed. SurveyMonkey bevarer desuden en officiel driftskontinuitetsplan. Driftskontinuitetsplanen afprøves og opdateres regelmæssigt for at sikre dens effektivitet i tilfælde af en katastrofe.

Dine datas sikkerhed kræver også, at du sørger for at opretholde sikkerheden for din konto ved at bruge tilstrækkeligt komplicerede adgangskoder og gemme dem på sikker vis. Du skal også sikre, at du har tilstrækkelig sikkerhed på dine egne systemer. Vi tilbyder TLS for at sikre transmissionen af besvarelser til spørgeundersøgelsen, men du er ansvarlig for at sikre, at dine spørgeundersøgelser er konfigureret til at bruge denne funktion, når det er nødvendigt. Besøg vores Supportcenter for flere oplysninger om sikring af dine undersøgelser. Denne artikel er skrevet til kunder hos SurveyMonkey, men dele af vejledningen gælder også for kunder hos Wufoo.

Systemer til applikationer og infrastruktur logger informationer på et centralt styret loglager til fejlfinding, sikkerhedsgennemsyn og analyse af autoriseret SurveyMonkey-personale. Logger opbevares i overensstemmelse med lovkrav. Vi giver kunder rimelig hjælp og adgang til logger i tilfælde af sikkerhedshændelser, som påvirker deres konto.