Dichiarazione di sicurezza

ULTIMO AGGIORNAMENTO: 7 LUGLIO 2020

La presente dichiarazione di sicurezza si applica a tutti i prodotti, servizi, siti web e app offerti da SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. e le relative consociate (collettivamente "SurveyMonkey"), con marchio "SurveyMonkey" e "Wufoo", salvo ove diversamente specificato. Nella presente Dichiarazione tali prodotti, servizi, siti web e app vengono collettivamente chiamati "servizi". La presente Dichiarazione di sicurezza, inoltre, costituisce parte integrate dei contratti con l'utente per i clienti SurveyMonkey e Wufoo.

SurveyMonkey apprezza la fiducia accordatale dai suoi clienti che la autorizzano ad agire in qualità di responsabile della tutela dei loro dati. Ci assumiamo la responsabilità di proteggere e tutelare con la massima serietà i vostri dati, impegnandoci a garantire la trasparenza delle pratiche di sicurezza qui di seguito illustrate. Nella nostra Politica sulla privacy sono descritte nel dettaglio le modalità di trattamento dei dati.

Tutti i sistemi informatici e le infrastrutture di SurveyMonkey sono ospitati all'interno di data center di altissimo livello accreditati SOC 2. I controlli di sicurezza fisica dei nostri data center comprendono monitoraggio 24×7, videocamere, registro dei visitatori, requisiti di accesso e cage dedicati per l'hardware di SurveyMonkey.

SurveyMonkey, Wufoo e SurveyMonkey Apply sono conformi ai Payment Card Industry Data Security Standard (PCI DSS 3.2), pertanto possono accettare ed elaborare in modo sicuro le informazioni delle carte di credito in accordo a detti standard. SurveyMonkey provvede a ricertificare ogni anno la sua conformità. SurveyMonkey ha ottenuto la certificazione ISO 27001.

L'accesso alle risorse tecnologiche di SurveyMonkey è consentito soltanto attraverso una connessione sicura (per esempio, VPN, SSH) e richiede l'autenticazione multifattore. La nostra politica sulle password di produzione richiede complessità, scadenza e blocco e non consente il riutilizzo. SurveyMonkey concede l'accesso all'occorrenza in base al principio del privilegio minimo, esamina i permessi ogni tre mesi e revoca l'accesso subito dopo l'interruzione del rapporto di lavoro del dipendente.

SurveyMonkey conserva ed esamina e aggiorna regolarmente le proprie politiche sulla sicurezza delle informazioni con cadenza almeno annuale. I dipendenti devono accettare ogni anno tali politiche e prendere parte a programmi di formazione supplementari, come training HIPAA, Secure Coding, PCI, nonché sulla sicurezza specifica del lavoro e sullo sviluppo di competenze, e/o corsi di formazione sulla legislazione in materia di privacy per le funzioni lavorative chiave. Il programma dei corsi di formazione è strutturato in maniera da rispettare tutte le specifiche e le normative applicabili a SurveyMonkey.

SurveyMonkey conduce dei controlli sul background al momento dell'assunzione (nella misura consentita o agevolata dalle leggi vigenti e dai paesi). Inoltre, SurveyMonkey comunica le proprie politiche sulla sicurezza delle informazioni a tutto il personale (il quale è tenuto a darne atto), richiedendo ai nuovi dipendenti di sottoscrivere un contratto di riservatezza e fornendo programmi di formazione continui sulla sicurezza e la privacy.

SurveyMonkey dispone anche di un team Trust & Security dedicato alla sicurezza delle applicazioni, delle reti e dei sistemi. Questo team è anche responsabile della conformità e dell'educazione alla sicurezza, nonché della risposta agli eventuali incidenti.

SurveyMonkey ha in essere un programma di gestione delle vulnerabilità documentato che comprende scansioni periodiche, identificazione e correzione delle vulnerabilità della sicurezza di server, workstation, apparecchiature di rete e applicazioni. Tutte le reti, ivi compresi gli ambienti di test e produzione, sono sottoposti a scansioni regolari eseguite da fornitori terzi di fiducia. Le patch critiche sono applicate ai server su base prioritaria e ove opportuno per tutte le altre patch.

Conduciamo regolarmente anche test di penetrazione interni ed esterni, provvedendo a correggere eventuali risultati in base alla gravità.

I vostri dati in transito vengono crittografati utilizzando i protocolli di crittografia sicura TLS. I dati di SurveyMonkey e Wufoo vengono crittografati anche a riposo.

Il nostro team di sviluppo utilizza tecniche di codifica sicura e pratiche migliori, in linea con la OWASP Top Ten. Gli sviluppatori hanno ricevuto una formazione formale in merito alle pratiche di sviluppo di applicazioni web sicure, sia al momento della loro assunzione che in seguito ogni anno.

Gli ambienti di sviluppo, test e produzione rimangono separati tra loro. Prima di essere impiegate negli ambienti di produzione, tutte le modifiche sono riviste da colleghi di pari livello e registrate per scopi di performance e audit e a fini forensi.

SurveyMonkey ha in essere una politica di gestione degli asset che comprende l'identificazione, la classificazione, la conservazione e l'eliminazione delle informazioni e degli asset. I dispositivi rilasciati dalla società sono dotati di crittografia completa del disco rigido e software antivirus aggiornati. Solo i dispositivi rilasciati dalla società sono autorizzati ad accedere alle reti aziendali e di produzione.

SurveyMonkey ha in essere delle politiche e procedure per la gestione degli incidenti di sicurezza che coprono la risposta iniziale, l'investigazione, la notifica al cliente (di livello non inferiore a quello richiesto dalle leggi vigenti), la comunicazione pubblica e le azioni di rimedio. Tali politiche vengono revisionate regolarmente e testate ogni due anni.

Malgrado i migliori sforzi, nessun metodo di trasmissione su Internet e nessun metodo di memorizzazione elettronica è perfettamente sicuro. Non possiamo garantire una sicurezza assoluta. Tuttavia, se SurveyMonkey viene a conoscenza di qualche violazione alla sicurezza, avviseremo gli utenti coinvolti in modo che possano intraprendere opportune misure di protezione. Le nostre procedure di notifica di violazione sono coerenti con i nostri obblighi previsti da leggi e regolamenti applicabili a livello nazionale, statale e federale, nonché da qualsiasi regolamento o norma applicabile alla nostra società. Ci impegniamo a tenere pienamente informati i nostri clienti in merito a qualsivoglia questione rilevante per la sicurezza del loro account e a fornire loro tutte le informazioni necessarie affinché possano adempiere ai propri obblighi di segnalazione previsti dalla legge.

I database di SurveyMonkey vengono a rotazione sottoposti a backup completi e incrementali e verificati regolarmente. I backup vengono crittografati e archiviati all'interno dell'ambiente di produzione per preservarne la riservatezza e l'integrità, e vengono testati regolarmente per garantirne la disponibilità. Inoltre, SurveyMonkey ha in essere un Piano di continuità del business (BCP), che viene testato e aggiornato periodicamente per garantirne l'efficacia in caso di emergenza.

Per conservare i vostri dati in modo sicuro è altresì necessario garantire la sicurezza del vostro account adottando password sufficientemente complicate e conservandole in modo sicuro. Dovrete anche assicurarvi che i vostri sistemi siano sufficientemente sicuri. Offriamo il TLS per proteggere la trasmissione delle risposte alle indagini, ma è vostra responsabilità garantire che le indagini siano configurate per l'eventuale utilizzo di questa funzione. Per maggiori informazioni su come garantire la sicurezza delle vostre indagini, visitate il nostro Centro assistenza. Il presente articolo è stato scritto per i clienti SurveyMonkey, ma alcune indicazioni si applicano in egual misura ai clienti Wufoo.

I sistemi di applicazioni e infrastrutture registrano le informazioni in un apposito archivio gestito centralmente, per la rilevazione dei problemi, la valutazione della sicurezza e l'analisi da parte del personale SurveyMonkey autorizzato. I registri vengono conservati in accordo ai requisiti di legge. Forniremo ai clienti tutta la ragionevole assistenza e l'accesso ai registri qualora si verifichi un incidente di sicurezza che interessi i loro account.