Milioni di utenti hanno scelto di affidare a SurveyMonkey i propri dati di indagine, pertanto è per noi di prioritaria importanza trattare con la massima serietà la loro privacy e sicurezza. Ci impegniamo a garantire che i dati degli utenti vengano trattati in modo sicuro. SurveyMonkey impiega alcune delle tecnologie di sicurezza Internet più avanzate attualmente disponibili sul mercato. Questa Dichiarazione di sicurezza ha lo scopo di presentare la nostra infrastruttura e le nostre pratiche in materia di sicurezza, per rassicurare i nostri utenti che i loro dati sono adeguatamente protetti. Per ulteriori informazioni sulla gestione dei dati, consulta la nostra Politica sulla privacy.

Sicurezza degli utenti

  • Autenticazione utente: i dati degli utenti all’interno del nostro database sono logicamente separati secondo regole di accesso basate sull’account. Gli account utente presentano combinazioni univoche di nome utente e password che devono essere inserite ogni volta che si effettua l’accesso. SurveyMonkey rilascia un cookie di sessione solo per registrare i dati di autenticazione criptati per la durata della specifica sessione. Il cookie di sessione non include la password dell’utente.
  • Password: le password delle applicazioni utente presentano requisiti di complessità minimi. Ogni password viene sottoposta a procedure di hashing e salting.
  • Single Sign-On: per gli account di collaborazione tra team, SurveyMonkey supporta l’integrazione SAML 2.0, che consente di controllare l’accesso a SurveyMonkey all’interno di un’organizzazione e di definire politiche di autenticazione per una maggiore sicurezza. Per ulteriori informazioni, visita la nostra pagina dell’assistenza dedicata all’SSO.
  • Crittografia dei dati: alcuni dati utente riservati, come le informazioni sulla carta di credito e le password degli account, sono memorizzati in formato criptato.
  • Portabilità dei dati: SurveyMonkey consente agli utenti di esportare i loro dati dal nostro sistema in vari formati, per poi eseguirne il backup o utilizzarli con altre applicazioni.
  • Privacy: SurveyMonkey dispone di una politica sulla privacy che spiega in maniera trasparente ed esaustiva come vengono gestiti i dati degli utenti, con chi vengono condivisi e per quanto tempo vengono conservati.
  • Ubicazione dei dati: tutti i dati degli utenti di SurveyMonkey, così come di Wufoo e TechValidate, sono conservati in server ubicati negli Stati Uniti. I dati delle indagini degli utenti di SurveyMonkey canadesi potrebbero essere conservati in Canada. I dati degli utenti di FluidSurveys e FluidReview sono conservati in Canada.

Sicurezza fisica

Tutti i sistemi informatici e le infrastrutture di SurveyMonkey sono ospitati in data center di altissimo livello. Tali data center implementano tutti i controlli di sicurezza fisica necessari che ci si aspetta da un moderno data center (ad esempio, monitoraggio 24×7, videocamere, registro dei visitatori, requisiti di accesso). SurveyMonkey dispone di cage dedicati, per separare le proprie apparecchiature da quelle degli altri occupanti. Inoltre, questi data center sono accreditati SOC 2. Per maggiori informazioni, vedi SuperNAP e InterNAP. Se ti interessa saperne di più su FluidSurvey, FluidReview o sul nostro data center ubicato in Canada, contattaci direttamente.

Disponibilità

  • Connettività: connessioni di rete IP completamente ridondanti con molteplici connessioni indipendenti a una serie di fornitori di accesso a Internet di livello 1.
  • Alimentazione: i server sono provvisti di sistemi di alimentazione interni ed esterni ridondanti. I data center dispongono di alimentatori di riserva e sono in grado di attingere energia dalle molteplici sottostazioni della rete elettrica, da vari generatori diesel e da batterie di emergenza.
  • Tempi di attività: monitoraggio continuo dei tempi di attività, con escalation immediata al personale SurveyMonkey in caso di interruzione dell’attività.
  • Failover: il nostro database viene replicato in tempo reale e il failover è garantito in meno di un’ora.
  • Frequenza dei backup: i backup vengono eseguiti ogni giorno in varie località geograficamente distinte.

Sicurezza della rete

  • Test: funzionalità del sistema e modifiche progettuali vengono verificate in un ambiente “sandbox” isolato e sottoposte a test funzionali e di sicurezza prima dell’implementazione all’interno di sistemi di produzione attivi.
  • Firewall: firewall limitano l’accesso a tutte le porte eccetto la numero 80 (http) e 443 (https).
  • Controllo degli accessi: Secure VPN, 2FA (autenticazione a due fattori) e accesso basato sui ruoli vengono implementati per la gestione dei sistemi da parte di personale tecnico autorizzato.
  • Registrazione e verifica: sistemi di registrazione centrali acquisiscono e archiviano tutti gli accessi ai sistemi interni, inclusi eventuali tentativi di autenticazione non andati a buon fine.
  • Crittografia dei dati in transito: per impostazione predefinita, i nostri raccoglitori di indagini applicano il protocollo TLS (Transport Layer Security) per codificare il traffico dei dati dei rispondenti. Tutte le altre comunicazioni con il sito web surveymonkey.com avvengono attraverso connessioni TLS, che garantiscono la protezione delle comunicazioni mediante l’autenticazione dei server e la codifica dei dati. Ciò assicura che tutti i dati in transito siano protetti e accessibili unicamente agli effettivi destinatari. I nostri endpoint per applicazioni sono esclusivamente TLS e hanno ottenuto una valutazione “A” nei test di SSL Labs. Implementiamo inoltre la Forward Secrecy e supportiamo esclusivamente cifrari sicuri per una maggiore privacy e sicurezza.

Gestione delle vulnerabilità

  • Applicazione di patch: per limitare l’esposizione alle vulnerabilità, applichiamo le più recenti patch di sicurezza a tutti i sistemi operativi, alle applicazioni e all’infrastruttura di rete.
  • Scansioni di terze parti: i nostri ambienti vengono costantemente sottoposti a scansione mediante i migliori strumenti di sicurezza del settore, che verificano le vulnerabilità della rete e delle applicazioni controllando lo stato delle patch e gli errori di configurazione di base dei sistemi e dei siti.
  • Test di penetrazione: organizzazioni esterne effettuano test di penetrazione almeno una volta l’anno.
  • Bug bounty: la sicurezza delle nostre piattaforme è per noi veramente importante. SurveyMonkey promuove un programma bug bounty privato per garantire che le nostre applicazioni siano costantemente controllate al fine di scongiurare qualsiasi vulnerabilità.

Sicurezza amministrativa e aziendale

  • Politiche di sicurezza delle informazioni: ci atteniamo a politiche interne per la sicurezza delle informazioni, compresi piani di risposta agli incidenti, che rivediamo e aggiorniamo regolarmente.
  • Controllo dei dipendenti: eseguiamo controlli in background di tutti i nostri dipendenti, entro i limiti consentiti dalle leggi locali vigenti.
  • Formazione: organizziamo per i nostri dipendenti corsi di formazione sulla sicurezza e l’uso della tecnologia.
  • Fornitori di servizi: sottoponiamo ad attenti controlli i nostri fornitori di servizi e chiediamo loro di sottoscrivere contratti che prevedano adeguati obblighi di riservatezza e sicurezza, qualora debbano trattare dati degli utenti.
  • Accesso: i controlli dell’accesso ai dati riservati archiviati nei nostri database, sistemi e ambienti sono impostati in base al principio di assegnazione dei privilegi minimi necessari per svolgere le attività richieste.
  • Registri di controllo: gestiamo e manteniamo monitorati registri di controllo sui nostri servizi e sistemi.

Pratiche di sviluppo software

  • Stack: programmiamo in Python ed eseguiamo i nostri software su SQL Server, Windows e Ubuntu.
  • Pratiche di programmazione: i nostri tecnici adottano le migliori pratiche e le linee guida di programmazione sicura standard del settore, in linea con la OWASP Top 10.
  • Distribuzione: distribuiamo codice più volte alla settimana, il che ci permette di intervenire tempestivamente nel caso venga rilevato un bug o una vulnerabilità nel nostro codice.

Conformità e certificazioni

  • PCI: SurveyMonkey è attualmente conforme a PCI 3.1.
  • HIPAA: SurveyMonkey offre funzionalità di sicurezza ottimizzate che supportano i requisiti HIPAA. Per ulteriori informazioni, visita la nostra pagina sulla conformità HIPAA.

Gestione delle violazioni di sicurezza

Malgrado i migliori sforzi, nessun metodo di trasmissione via Internet e nessun metodo di archiviazione elettronica è perfettamente sicuro. Pertanto, non siamo in grado di garantire la totale sicurezza. Tuttavia, se SurveyMonkey dovesse venire a conoscenza di una violazione di sicurezza, provvederemo a informare gli utenti interessati con la massima sollecitudine, in modo che possano adottare misure protettive appropriate. Le nostre procedure di notifica delle violazioni sono in linea con gli obblighi sanciti dalle varie legislazioni statali e federali, così come con le regolamentazioni e gli standard di settore a cui aderiamo. Le procedure di notifica includono l’invio di avvisi via e-mail o la pubblicazione di avvisi sul nostro sito web, nel caso si verifichi una violazione.

Responsabilità dell’utente

La sicurezza dei dati dipende anche dall’utente stesso, responsabile di proteggere il proprio account adottando password sufficientemente complesse e conservandole in modo sicuro. L’utente deve inoltre assicurarsi di disporre di sistemi adeguatamente protetti, per mantenere eventuali dati di indagine scaricati sui propri dispositivi lontano da occhi indiscreti. Noi offriamo il protocollo TLS per proteggere la trasmissione delle risposte di indagine, tuttavia è responsabilità dell’utente garantire che le proprie indagini siano configurate per utilizzare tale funzionalità, ove appropriato. Per ulteriori informazioni sulla protezione dei dati di indagine, visita il nostro Centro assistenza.

Richieste dei clienti

A causa dell’elevato numero di clienti che utilizza il nostro servizio, sarà possibile rispondere a specifiche domande sulla sicurezza o gestire moduli di sicurezza personalizzati solo per i clienti che acquistano un determinato volume di account utenti nell’ambito di un abbonamento SurveyMonkey. Se la tua azienda può contare su un elevato numero di utenti esistenti o potenziali ed è interessata a esplorare tali soluzioni, dai un’occhiata alla pagina Collaborazione tra team.

Ultimo aggiornamento: 6 giugno 2017