Dichiarazione di sicurezza

ULTIMO AGGIORNAMENTO: 1 agosto 2023

La presente Dichiarazione di sicurezza si applica ai prodotti, servizi, siti web e app offerti da SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli e dalle relative affiliate (collettivamente "SurveyMonkey"), con marchio "Momentive", "SurveyMonkey", "Wufoo" e "GetFeedback ", salvo ove diversamente specificato. Nella presente Dichiarazione i citati prodotti, servizi, siti web e app vengono collettivamente chiamati "servizi". La presente Dichiarazione di sicurezza, inoltre, costituisce parte integrante dei contratti con l'utente per i clienti SurveyMonkey e Wufoo.

SurveyMonkey apprezza la fiducia accordatale dai suoi clienti che la autorizzano ad agire in qualità di responsabile della tutela dei loro dati. Ci assumiamo la responsabilità di proteggere e tutelare con la massima serietà i vostri dati, impegnandoci a garantire la trasparenza delle pratiche di sicurezza qui di seguito illustrate. Nella nostra Informativa sulla privacy sono descritte nel dettaglio le modalità di trattamento dei dati.

Tutti i sistemi informatici e le infrastrutture di SurveyMonkey sono ospitati all'interno di data center di altissimo livello accreditati SOC 2. I controlli di sicurezza fisica dei nostri data center comprendono monitoraggio 24×7, videocamere, registro dei visitatori, limitazioni di accesso e tutte le altre misure che ci si aspetta in un centro di elaborazione dati di alta sicurezza.

SurveyMonkey ha adottato pratiche di governance, gestione rischi e conformità in linea con i quadri normativi sulla sicurezza delle informazioni maggiormente riconosciuti a livello globale. SurveyMonkey ha ottenuto la certificazione ISO 27001. Inoltre, il prodotto SurveyMonkey Enterprise è conforme HIPAA, mentre i nostri prodotti SurveyMonkey, Wufoo e SurveyMonkey Apply hanno ottenuto la certificazione Payment Card Industry’s Data Security Standards (PCI DSS 3.2).

L'accesso alle risorse tecnologiche di SurveyMonkey è consentito soltanto attraverso una connessione sicura (per esempio, VPN, SSH) e richiede l'autenticazione multifattore. La nostra politica sulle password di produzione richiede complessità, scadenza e blocco e non consente il riutilizzo. SurveyMonkey concede l'accesso all'occorrenza in base al principio del privilegio minimo, esamina i permessi ogni tre mesi e revoca l'accesso subito dopo l'interruzione del rapporto di lavoro del dipendente.

SurveyMonkey conserva ed esamina e aggiorna regolarmente le proprie politiche sulla sicurezza delle informazioni con cadenza almeno annuale. I dipendenti devono accettare ogni anno tali politiche e prendere parte a programmi di formazione supplementari inerenti alla funzione lavorativa. La formazione è strutturata in maniera da rispettare tutte le specifiche e le normative applicabili a SurveyMonkey.

SurveyMonkey conduce dei controlli sul background al momento dell'assunzione (nella misura consentita o agevolata dalle leggi vigenti e dai paesi). Inoltre, SurveyMonkey comunica le proprie politiche sulla sicurezza delle informazioni a tutto il personale (il quale è tenuto a darne atto), richiedendo ai nuovi dipendenti di sottoscrivere un contratto di riservatezza e fornendo programmi di formazione continui sulla sicurezza e la privacy.

SurveyMonkey dispone di un team Trust & Security dedicato alla sicurezza delle applicazioni, del cloud, delle reti e dei sistemi. Questo team è anche responsabile della conformità e dell'educazione alla sicurezza, nonché della risposta agli eventuali incidenti.

SurveyMonkey ha in essere un programma di gestione delle vulnerabilità documentato che comprende scansioni periodiche, identificazione e correzione delle vulnerabilità della sicurezza di server, workstation, apparecchiature di rete e applicazioni. Tutte le reti, ivi compresi gli ambienti di test e produzione, sono sottoposti a scansioni regolari eseguite da fornitori terzi di fiducia. Le patch critiche sono applicate ai server su base prioritaria e ove opportuno per tutte le altre patch.

Conduciamo regolarmente anche test di penetrazione interni ed esterni, provvedendo a correggere eventuali risultati in base alla gravità.

SurveyMonkey esegue la crittografia di tutti i dati conservati presso i nostri data centre utilizzando la crittografia basata su AES 256. Inoltre, esegue la crittografia di tutti i dati in movimento utilizzando (i) RSA con certificati basati su chiavi da 2048 bit generati da un'autorità di certificazione pubblica, per comunicazioni con soggetti esterni ai nostri data centre, e (ii) certificati RSA 256 generati dall'autorità di certificazione interna, per tutti i dati all'interno del data centre.

Il nostro team di sviluppo utilizza tecniche di codifica sicura e pratiche migliori, in linea con la OWASP Top Ten. Gli sviluppatori hanno ricevuto una formazione formale in merito alle pratiche di sviluppo di applicazioni web sicure, sia al momento della loro assunzione che in seguito ogni anno.

Gli ambienti di sviluppo, test e produzione rimangono separati tra loro. Prima di essere impiegate negli ambienti di produzione, tutte le modifiche sono riviste da colleghi di pari livello e registrate per scopi di performance e audit e a fini forensi.

SurveyMonkey ha in essere una politica di gestione degli asset che comprende l'identificazione, la classificazione, la conservazione e l'eliminazione delle informazioni e degli asset. I dispositivi rilasciati dalla società sono dotati di crittografia completa del disco rigido e software antivirus aggiornati. Solo i dispositivi rilasciati dalla società sono autorizzati ad accedere alle reti aziendali e di produzione.

SurveyMonkey ha in essere un processo per la gestione degli incidenti di sicurezza che copre la risposta iniziale, l'investigazione, la notifica al cliente (di livello non inferiore a quello richiesto dalle leggi vigenti), la comunicazione pubblica e le azioni di rimedio. Tale processo viene revisionato regolarmente e testato ogni sei mesi.

Malgrado i migliori sforzi, nessun metodo di trasmissione su Internet e nessun metodo di memorizzazione elettronica è perfettamente sicuro. Non possiamo garantire una sicurezza assoluta. Tuttavia, se SurveyMonkey viene a conoscenza di qualche violazione alla sicurezza, avviseremo gli utenti coinvolti in modo che possano intraprendere opportune misure di protezione. Le nostre procedure di notifica di violazione sono coerenti con i nostri obblighi previsti da leggi e regolamenti applicabili a livello nazionale, statale e federale, nonché da qualsiasi regolamento o norma applicabile alla nostra società. Ci impegniamo a tenere pienamente informati i nostri clienti in merito a qualsivoglia questione rilevante per la sicurezza del loro account e a fornire loro tutte le informazioni necessarie affinché possano adempiere ai propri obblighi di segnalazione previsti dalla legge.

I backup vengono crittografati e archiviati all'interno dell'ambiente di produzione per preservarne la riservatezza e l'integrità. SurveyMonkey impiega una strategia di backup volta a garantire livelli minimi di tempi di inattività e perdita di dati. Il Piano di continuità del business (BCP) viene testato e aggiornato periodicamente per garantirne l'efficacia in caso di emergenza.

Per conservare i vostri dati in modo sicuro è altresì necessario garantire la sicurezza del vostro account adottando password sufficientemente complesse e conservandole in modo sicuro. Dovrete anche assicurarvi che i vostri sistemi siano sufficientemente sicuri. Offriamo il TLS per proteggere la trasmissione delle risposte alle indagini, ma è vostra responsabilità garantire che le indagini siano configurate per l'eventuale utilizzo di questa funzione. Per maggiori informazioni su come garantire la sicurezza delle indagini, visitate il nostro Centro assistenza.

I sistemi di applicazioni e infrastrutture registrano le informazioni in un apposito archivio gestito centralmente, per la rilevazione dei problemi, la valutazione della sicurezza e l'analisi da parte del personale SurveyMonkey autorizzato. I registri vengono conservati in accordo ai requisiti di legge. Forniremo ai clienti tutta la ragionevole assistenza e l'accesso ai registri qualora si verifichi un incidente di sicurezza che interessi i loro account.