Dichiarazione di sicurezza

ULTIMO AGGIORNAMENTO: 1 luglio 2021

La presente Dichiarazione di sicurezza si applica a tutti i prodotti, servizi, siti web e app offerti da Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli e dalle relative affiliate (collettivamente "Momentive"), con marchio "Momentive", "SurveyMonkey", "Wufoo" e GetFeedback salvo ove diversamente specificato. Nella presente Dichiarazione, tali prodotti, servizi, siti web e app vengono collettivamente chiamati "servizi". La presente Dichiarazione di sicurezza, inoltre, costituisce parte integrante dei contratti con l'utente per i clienti SurveyMonkey e Wufoo.

Momentive apprezza la fiducia accordatale dai suoi clienti che la autorizzano ad agire in qualità di responsabile della tutela dei loro dati. Ci assumiamo la responsabilità di proteggere e tutelare con la massima serietà i vostri dati, impegnandoci a garantire la trasparenza delle pratiche di sicurezza qui di seguito illustrate. Nella nostra Informativa sulla privacy sono descritte in dettaglio le modalità di trattamento dei dati.

Tutti i sistemi informatici e le infrastrutture di Momentive sono ospitati all'interno di data center di altissimo livello accreditati SOC 2. I controlli di sicurezza fisica dei nostri data center comprendono monitoraggio 24×7, videocamere, registro dei visitatori, limitazioni di accesso e tutte le altre misure che ci si aspetta in un centro di elaborazione dati di alta sicurezza.

Momentive ha adottato pratiche di governance, gestione rischi e conformità in linea con i quadri normativi sulla sicurezza delle informazioni maggiormente riconosciuti a livello globale. Momentive ha ottenuto la certificazione ISO 27001. Inoltre, il prodotto SurveyMonkey Enterprise è conforme HIPAA, mentre i nostri prodotti SurveyMonkey, Wufoo e SurveyMonkey Apply hanno la certificazione Payment Card Industry’s Data Security Standards (PCI DSS 3.2).

L'accesso alle risorse tecnologiche di Momentive è consentito soltanto attraverso una connessione sicura (per esempio, VPN, SSH) e richiede l'autenticazione multifattore. La nostra politica sulle password di produzione richiede complessità, scadenza e blocco e non consente il riutilizzo. Momentive concede l'accesso all'occorrenza in base al principio del privilegio minimo, esamina i permessi ogni tre mesi e revoca l'accesso subito dopo l'interruzione del rapporto di lavoro del dipendente.

Momentive conserva ed esamina e aggiorna regolarmente le proprie politiche sulla sicurezza delle informazioni con cadenza almeno annuale. I dipendenti devono accettare ogni anno tali politiche e prendere parte a programmi di formazione supplementari inerenti alla funzione lavorativa. La formazione è strutturata in maniera da rispettare tutte le specifiche e le normative applicabili a Momentive.

Momentive conduce un controllo dei precedenti penali al momento dell'assunzione (nella misura consentita o agevolata dalle leggi vigenti e dai paesi). Inoltre, Momentive comunica le proprie politiche sulla sicurezza delle informazioni a tutto il personale (il quale è tenuto ad accettarle), richiedendo ai nuovi dipendenti di sottoscrivere un contratto di riservatezza e fornendo programmi di formazione continua sulla sicurezza e la privacy.

Momentive dispone di un team Trust & Security dedicato alla sicurezza delle applicazioni, del cloud, delle reti e dei sistemi. Questo team è anche responsabile della conformità e dell'educazione alla sicurezza, nonché della risposta agli eventuali incidenti.

Momentive ha in essere un programma di gestione delle vulnerabilità documentato che comprende scansioni periodiche, identificazione e correzione delle vulnerabilità della sicurezza di server, workstation, apparecchiature di rete e applicazioni. Tutte le reti, ivi compresi gli ambienti di test e produzione, sono sottoposti a scansioni regolari eseguite da fornitori terzi di fiducia. Le patch critiche sono applicate ai server su base prioritaria e ove opportuno per tutte le altre patch.

Conduciamo regolarmente anche test di penetrazione interni ed esterni, provvedendo a correggere eventuali risultati in base alla gravità.

Momentive esegue la crittografia di tutti i dati conservati presso i nostri data centre utilizzando la crittografia basata su AES 256. Inoltre, esegue la crittografia di tutti i dati in movimento utilizzando (i) RSA con certificati basati su chiavi da 2048 bit generati da un'autorità di certificazione pubblica, per comunicazioni con soggetti esterni ai nostri data centre, e (ii) certificati RSA 256 generati dall'autorità di certificazione interna, per tutti i dati all'interno del data centre.

Il nostro team di sviluppo utilizza tecniche di codifica sicura e pratiche migliori, in linea con la OWASP Top Ten. Gli sviluppatori hanno ricevuto una formazione formale in merito alle pratiche di sviluppo di applicazioni web sicure, sia al momento della loro assunzione che in seguito ogni anno.

Gli ambienti di sviluppo, test e produzione rimangono separati tra loro. Prima di essere impiegate negli ambienti di produzione, tutte le modifiche sono riviste da colleghi di pari livello e registrate per scopi di performance e audit e a fini forensi.

Momentive ha in essere una politica di gestione degli asset che comprende l'identificazione, la classificazione, la conservazione e l'eliminazione delle informazioni e degli asset. I dispositivi rilasciati dalla società sono dotati di crittografia completa del disco rigido e software antivirus aggiornati. Solo i dispositivi rilasciati dalla società sono autorizzati ad accedere alle reti aziendali e di produzione.

Momentive ha in essere un processo per la gestione degli incidenti di sicurezza che copre la risposta iniziale, l'investigazione, la notifica al cliente (di livello non inferiore a quello richiesto dalle leggi vigenti), la comunicazione pubblica e le azioni di rimedio. Tale processo viene revisionato regolarmente e testato ogni sei mesi.

Malgrado i migliori sforzi, nessun metodo di trasmissione su Internet e nessun metodo di memorizzazione elettronica è perfettamente sicuro. Non possiamo garantire una sicurezza assoluta. Tuttavia, se Momentive viene a conoscenza di qualche violazione alla sicurezza, avviseremo gli utenti coinvolti in modo che possano intraprendere opportune misure di protezione. Le nostre procedure di notifica di violazione sono coerenti con i nostri obblighi previsti da leggi e regolamenti applicabili a livello nazionale, statale e federale, nonché da qualsiasi regolamento o norma applicabile alla nostra società. Ci impegniamo a tenere pienamente informati i nostri clienti in merito a qualsivoglia questione rilevante per la sicurezza del loro account e a fornire loro tutte le informazioni necessarie affinché possano adempiere ai propri obblighi di segnalazione previsti dalla legge.

I backup vengono crittografati e archiviati all'interno dell'ambiente di produzione per preservarne la riservatezza e l'integrità. Momentive impiega una strategia di backup volta a garantire livelli minimi di tempi di inattività e perdita di dati. Il Piano di continuità del business (BCP) viene testato e aggiornato periodicamente per garantirne l'efficacia in caso di emergenza.

Per conservare i vostri dati in modo sicuro è altresì necessario garantire la sicurezza del vostro account adottando password sufficientemente complesse e conservandole in modo sicuro. Dovrete anche assicurarvi che i vostri sistemi siano sufficientemente sicuri. Offriamo il TLS per proteggere la trasmissione delle risposte alle indagini, ma è vostra responsabilità garantire che le indagini siano configurate per l'eventuale utilizzo di questa funzione. Per maggiori informazioni su come garantire la sicurezza delle vostre indagini, visitate il nostro Centro assistenza.

I sistemi di applicazioni e infrastrutture registrano le informazioni in un apposito archivio gestito centralmente, per la risoluzione dei problemi, la valutazione della sicurezza e l'analisi da parte del personale Momentive autorizzato. I registri vengono conservati in accordo ai requisiti di legge. Forniremo ai clienti tutta la ragionevole assistenza e l'accesso ai registri qualora si verifichi un incidente di sicurezza che interessi i loro account.