Sikkerhedserklæring

SIDST OPDATERET: 15. februar 2024

Denne sikkerhedserklæring gælder de produkter, tjenester, websites og apps, som tilbydes af SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli og deres tilknyttede selskaber (samlet "SurveyMonkey"), der er branded som "SurveyMonkey", "Wufoo" og "GetFeedback", bortset fra hvor andet er angivet. I nærværende erklæring henviser vi under ét til disse produkter, tjenester, websites og apps som “tjenester”. Denne sikkerhedserklæring udgør også en del af brugeraftalerne for SurveyMonkey- og Wufoo-kunder.

SurveyMonkey sætter pris på den tillid, som vores kunder viser os ved at lade os varetage deres data. Vi tager vores ansvar for at beskytte og sikre dine oplysninger alvorligt, og vi stræber efter total gennemsigtighed omkring vores sikkerhedsspraksisser, som er angivet nedenfor. Vores Meddelelse om beskyttelse af personlige oplysninger giver også yderligere beskrivelse af, hvordan vi håndterer dine data.

SurveyMonkeys informationssystemer og tekniske infrastruktur er hostet på SOC 2-akkrediterede datacentre i verdensklasse. Fysisk sikkerhedskontrol på disse datacentre omfatter døgnovervågning, kameraer, logføring over besøgende, adgangsbegrænsninger, og alt, hvad du ellers ville forvente i en højsikret databehandlingsfacilitet.

SurveyMonkey har implementeret forvaltning, risikostyring og overholdelsesmetoder, som er på linje med de mest globalt anerkendte rammer for it-sikkerhed SurveyMonkey er ISO 27001-certificeret. Endvidere overholder SurveyMonkey Enterprise-produktet HIPAA-kravene, og vores SurveyMonkey-, Wufoo- og SurveyMonkey Apply-produkter er PCI DSS 3.2-certificerede (Payment Card Industry’s Data Security Standards).

Adgang til SurveyMonkeys teknologiressourcer er kun tilladt gennem en sikker forbindelse (dvs. VPN, SSH) og kræver flerfaktorgodkendelse. Vores adgangskodepolitik kræver kompleksitet, udløb, lockout og tillader ikke genbrug. SurveyMonkey giver adgang efter behov på grundlag af regler om mindst mulige forret, gennemgår tilladelser hvert kvartal og ophæver adgang straks efter afskedigelse.

SurveyMonkey opretholder og gennemser og opdaterer regelmæssigt politikker for informationssikkerhed, mindst på årsbasis. Medarbejdere skal anerkende politikker på årlig basis og deltage i yderligere kurser vedrørende jobfunktion. Kurser er konstrueret til at overholde alle specifikationer og regler, som gælder for SurveyMonkey.

SurveyMonkey udfører baggrundstjek ved ansættelse (i den grad, som det er tilladt eller muliggjort ved gældende lovgivning og lande) Derudover kommunikerer SurveyMonkey sine informationssikkerhedspolitikker til alt personale (som skal anerkende dette) og kræver at nye medarbejdere underskriver hemmeligholdelsesaftaler og sørger for løbende kurser i beskyttelse af personlige oplysninger og sikkerhed.

SurveyMonkey har en dedikeret trust- & sikkerhedsorganisation, som fokuserer på program-, sky-, netværks- og systemsikkerhed. Dette team er også ansvarligt for sikkerhedsoverholdelse, uddannelse og hændelsesrespons.

SurveyMonkey opretholder et dokumenteret program til sårbarhedshåndtering, som omfatter regelmæssige scanninger, identificering og fejlkorrektion af sikkerhedsproblemer på servere, arbejdsstationer, netværksudstyr og applikationer. Alle netværk, b.la. miljøer til afprøvning og produktion, scannes regelmæssigt af pålidelige tredjepartsleverandører. Kritiske fejlrettelser anvendes på servere på prioritetsbasis og efter behov for alle andre fejlrettelser.

Vi udfører også regelmæssige interne og eksterne penetrationsafprøvninger og fejlretter fundne resultater efter alvorsgrad.

SurveyMonkey krypterer alle data, som gemmes i vores datacentre, ved hjælp af AES 256-baseret kryptering. Desuden krypterer SurveyMonkey alle data under overførsel ved hjælp af (i) certifikater baseret på en RSA-nøglelængde på 2048 bit, som er genereret via en offentlig certifikatautoritet, til kommunikation med entiteter uden for SurveyMonkeys datacentre, (ii) RSA 256-certifikater, som genereres via intern certifikatautoritet, for alle dataene i datacenteret.

Vores udviklingsteam anvender sikre kodeteknikker og bedste praksis med fokus på OWASPs top 10. Udviklere er formelt uddannede i sikker udvikling af webapplikationer ved ansættelse samt årligt.

Miljøer for udvikling, afprøvning og produktion er adskilte. Alle ændringer er fagfællebedømte og registreres for ydelses-, reviderings- og tekniske formål før anvendelse i produktionsmiljøet.

SurveyMonkey ajourfører en politik om håndtering af aktiver, som omfatter identificering, klassificering, opretholdelse og bortskaffelse af informationer og aktiver. Virksomhedsudstedte enheder er udstyret med fuldstændig kryptering af harddiske og opdateret antivirussoftware. Kun virksomhedsudstedte enheder har adgang til virksomheds- og produktionsnetværk.

SurveyMonkey ajourfører en procedure for respons på sikkerhedshændelser, som dækker den første respons, undersøgelse, kundeidentifikation (ikke mindre end påkrævet af relevant lovgivning), offentlig kommunikation og fejlrettelse. Denne procedure gennemgås regelmæssigt og afprøves to gange årligt.

På trods af vores bedste bestræbelser er ingen metoder til transmission over internettet og ingen metoder til elektronisk lagring helt sikre. Vi kan ikke garantere fuldstændig sikkerhed. Hvis SurveyMonkey finder et brud på sikkerheden, vil vi dog underrette de påvirkede brugere om dette, så de kan handle på passende vis for at beskytte deres data. Vores procedurer for underretning ved brud er i overensstemmelse med vores forpligtelser under gældende love og regler på lande-, stats- og føderalt niveau, såvel som alle regler eller standarder for branchen, som gælder os. Vi er forpligtet til at sørge for at vores kunder er fuldt informerede om enhver sag, som er relevante for deres kontos sikkerhed samt til at give kunder alle oplysninger, som er nødvendige for at de kan overholde deres egne regler for rapporteringskrav.

Sikkerhedskopier krypteres og lagres i produktionsmiljøet for at bevare fortrolighed og integritet. SurveyMonkey benytter en strategi til sikkerhedskopiering for at sikre minimal nedetid og datatab. Driftskontinuitetsplanen afprøves og opdateres regelmæssigt for at sikre dens effektivitet i tilfælde af en katastrofe.

Dine datas sikkerhed kræver også, at du sørger for at opretholde sikkerheden for din konto ved at bruge tilstrækkeligt indviklede adgangskoder og gemme dem på sikker vis. Du skal også sikre, at du har tilstrækkelig sikkerhed på dine egne systemer. Vi tilbyder TLS for at sikre transmissionen af besvarelser til spørgeundersøgelsen, men du er ansvarlig for at sikre, at dine spørgeundersøgelser er konfigureret til at bruge denne funktion, når det er nødvendigt. Du kan få yderligere oplysninger om sikring af dine spørgeundersøgelser i vores Supportcenter.

Systemer til applikationer og infrastruktur logger informationer på et centralt styret loglager til fejlfinding, sikkerhedsgennemsyn og analyse af autoriseret SurveyMonkey-personale. Logger opbevares i overensstemmelse med lovkrav. Vi giver kunder rimelig hjælp og adgang til logger i tilfælde af sikkerhedshændelser, som påvirker deres konto.