Миллионы пользователей доверяют компании SurveyMonkey данные своих опросов, поэтому вопросы обеспечения конфиденциальности и безопасности для наших клиентов мы считаем самыми приоритетными. Мы стремимся обеспечить полную безопасность при обработке данных пользователей. Для обеспечения безопасной работы в Интернете компания SurveyMonkey использует самые передовые технологии, доступные на сегодняшний день. В настоящем заявлении приведено описание нашей инфраструктуры и практических методов обеспечения безопасности, чтобы ясно показать, что Ваши данные защищены надлежащим образом. Для получения дополнительной информации об обработке данных ознакомьтесь с нашей политикой конфиденциальности.

Безопасность пользователей

  • Аутентификация пользователей. Данные пользователей в нашей базе данных логически разделены на основе правил доступа к учетным записям. Все учетные записи имеют уникальные имена пользователей и пароли, которые необходимо вводить при каждом входе в систему. Cookie-файл сеанса в системе SurveyMonkey создается только для записи зашифрованной информации о проверке подлинности на протяжении данного сеанса. Сookie-файл сеанса не содержит пароль пользователя.
  • Пароли. Для паролей, с помощью которых пользователи получают доступ к приложениям, установлены минимальные требования к сложности. Пароли сохраняются и хешируются в индивидуальном порядке.
  • Единый вход в систему. Для учетных записей, предназначенных для групповой работы, SurveyMonkey поддерживает интеграцию SAML 2.0, которая позволяет контролировать доступ в систему SurveyMonkey для всех членов Вашей организации и задавать политику аутентификации для повышения уровня безопасности. Более подробную информацию можно получить на странице справки по единому входу в систему.
  • Шифрование данных. Некоторые персональные данные пользователей, такие как сведения о кредитных картах и пароли к учетным записям, хранятся в зашифрованном формате.
  • Возможность переноса данных. Вы можете экспортировать данные из системы SurveyMonkey в различных форматах, чтобы создавать резервные копии этих данных или использовать их в других приложениях.
  • Конфиденциальность. Наша комплексная политика конфиденциальности дает ясное представление о том, как обрабатываются данные, кто получает доступ к ним, и как долго они хранятся у нас.
  • Место хранения данных. Все данные пользователей в системе SurveyMonkey, включая Wufoo, TechValidate и SurveyMonkey Intelligence, хранятся на серверах, расположенных в США. Все данные FluidSurveys и FluidReview хранятся в Канаде.

Обеспечение безопасности на физическом уровне

Все информационные системы и объекты инфраструктуры SurveyMonkey размещаются в центрах обработки данных мирового класса. Эти центры обработки данных включают все необходимые элементы обеспечения безопасности на физическом уровне, доступные в настоящее время (круглосуточный мониторинг, камеры, журналы посещений, требования к входу). SurveyMonkey имеет специальные секции, позволяющие отделить наше оборудование от оборудования других арендаторов. Кроме того, эти центры обработки данных имеют сертификацию SOC 2. Для получения дополнительной информации см. SuperNAP и InterNAP. Для получения информации о FluidSurvey или FluidReview свяжитесь с нами напрямую.

Эксплуатационная готовность

  • Подключения. Мы предоставляем многоканальные независимые IP-подключения с полным резервированием от ряда поставщиков доступа в Интернет уровня 1.
  • Электропитание. Серверы оснащены внутренними и внешними блоками питания с резервированием. Центры обработки данных оборудованы резервными источниками электропитания. Они могут получать электроэнергию от различных подстанций в энергосистеме, от нескольких дизельных генераторов и от резервных аккумуляторов.
  • Период безотказной работы. Работа оборудования постоянно контролируется. В случае простоя персоналу SurveyMonkey немедленно отправляется запрос.
  • Отказоустойчивость. Наша база данных реплицируется в режиме реального времени и может быть восстановлена после отказа менее чем за час.
  • Частота резервного копирования. Резервное копирование производится раз в день в нескольких географически разнесенных хранилищах.

Сетевая безопасность

  • Тестирование. Все функциональные и проектные изменения перед их реализацией в активных производственных системах проверяются в изолированной тестовой среде, так называемой «песочнице», на предмет работоспособности и безопасности.
  • Брандмауэры. Доступ ко всем портам, кроме 80 (http) и 443 (https), защищен брандмауэрами.
  • Контроль доступа. Уполномоченный технический персонал обеспечивает функционирование защищенной сети VPN, двухуровневой аутентификации (2FA) и ролевого доступа.
  • Протоколирование и аудит. Центральные системы протоколирования регистрируют и архивируют все случаи доступа во внутренние системы, включая неудачные попытки аутентификации.
  • Транзитное шифрование. Для шифрования трафика данных респондентов наши коллекторы опросов по умолчанию используют протокол TLS (безопасность на транспортном уровне). Остальной информационный обмен с веб-сайтом surveymonkey.com также осуществляется с использованием TLS-подключений, которые обеспечивают безопасность как за счет аутентификации сервера, так и за счет шифрования данных. Это гарантирует защиту пользовательских данных в процессе передачи, а также их доставку строго но назначению. Наши конечные точки приложений используют только протокол TLS и имеют рейтинг «A» в тестах SSL Labs. Мы также используем технологию Forward Secrecy и поддерживаем только криптостойкие шифры для повышения уровня конфиденциальности и безопасности.

Контроль уязвимости

  • Исправления. Чтобы свести к минимуму уязвимости, для всех операционных систем, приложений и элементов сетевой инфраструктуры применяются самые последние исправления, связанные с безопасностью.
  • Стороннее сканирование. Наше окружение постоянно сканируется с использованием самых лучших инструментов обеспечения безопасности. Эти инструменты настраиваются для проведения оценки уязвимости приложений и сети, включая проверку обновлений и выявление простых ошибок в конфигурациях систем и веб-сайтов.
  • Тестирование на проникновение. Сторонние организации выполняют тесты на проникновение по меньшей мере раз в год.
  • Премия за обнаруженные уязвимости в программном обеспечении. Мы очень серьезно относимся к безопасности наших платформ! Компания SurveyMonkey имеет собственную программу поощрения за обнаруженные уязвимости ПО, чтобы стимулировать постоянный анализ наших приложений для выявления ошибок.

Организационная и административная безопасность

  • Политика информационной безопасности. Мы применяем внутреннюю политику информационной безопасности, включая планы реагирования на инциденты, которые регулярно пересматриваются и обновляются.
  • Проверка сотрудников. Мы проверяем благонадежность всех сотрудников в той степени, в которой это допустимо местным законодательством.
  • Обучение персонала. Мы проводим обучение всех сотрудников, чтобы повысить их компетентность в вопросах безопасности и использования новых технологий.
  • Поставщики услуг. Мы проверяем наших поставщиков услуг и заключаем с ними договоры, которые обязывают их соблюдать требования к безопасности и конфиденциальности при работе с пользовательскими данными.
  • Доступ. Контроль доступа к конфиденциальным данным в наших базах данных, системах и средах обеспечивается в соответствии с принципами обоснованной необходимости и наименьших возможных полномочий.
  • Ведение журналов проверок. Мы ведем и контролируем журналы проверок наших служб и систем.

Методы разработки программного обеспечения

  • Стек. Мы составляем программы на Python и работаем с SQL Server, Windows и Ubuntu.
  • Методы кодирования. Наши инженеры используют передовые методы и стандартные принципы безопасного программирования в соответствии с OWASP Top 10 (проект по обеспечению безопасности открытых веб-приложений).
  • Развертывание. Мы развертываем программный код десятки раз в течение недели, что дает нам возможность быстро реагировать в случае обнаружения ошибки или уязвимости.

Соответствие стандартам и сертификация

  • PCI. Система SurveyMonkey в настоящее время соответствует требованиям PCI 3.1.
  • HIPAA. SurveyMonkey предлагает расширенные функции защиты, соответствующие требованиям HIPAA. Более подробную информацию можно получить на странице Соответствие требованиям HIPAA.

Работа по устранению уязвимостей в системе безопасности

Несмотря на все усилия, ни один метод передачи информации через Интернет или электронного хранения данных не является абсолютно безопасным. Мы не можем гарантировать полную безопасность. Однако если SurveyMonkey станет известно о факте уязвимости в системе безопасности, мы обязательно уведомим пользователей, которые могут быть подвержены этой угрозе, чтобы они могли принять соответствующие меры защиты. Процедуры уведомлений об уязвимости соответствуют нашим обязательствам в рамках законов и нормативных актов США, а также отраслевым правилам и стандартам, которых мы придерживаемся. В случае обнаружения угрозы для безопасности процедура уведомления подразумевает оповещение по электронной почте или размещение публикации на нашем веб-сайте.

Обязанности пользователей

Защита Ваших данных также зависит от обеспечения Вами защиты своей учетной записи путем использования достаточно сложных паролей и безопасного хранения этих паролей. Вы также должны следить за уровнем безопасности собственной системы и хранить данные опросов, загружаемые на Ваш компьютер, вдали от посторонних глаз. Мы предоставляем функцию SSL-шифрования для защиты ответов на опросы в процессе их передачи, однако Вы обязаны настроить свои опросы таким образом, чтобы эта функция использовалась, когда это необходимо. Для получения дополнительных сведений о защите опросов посетите наш Справочный центр.

Запросы клиентов

В связи с большим количеством клиентов, пользующихся нашей службой, рассмотрение конкретных вопросов безопасности или пользовательских форм безопасности доступно только для клиентов, которые приобрели определенное количество учетных записей в рамках подписки на услуги SurveyMonkey. Если у Вашей компании большое количество потенциальных или нынешних пользователей и Вы заинтересованы в получении дополнительных сведений о таких формах обслуживания, посетите страницу Групповая работа.

Последнее обновление: 13 июля 2016 г.