Milioni di utenti hanno affidato a SurveyMonkey i dati delle proprie indagini; per noi infatti prendere sul serio la sicurezza e la privacy dei nostri utenti è una priorità. Ci impegniamo a garantire che i dati degli utenti siano tenuti al sicuro e che venga raccolta solo la quantità di dati personali necessaria a fornire i nostri servizi agli utenti in modo efficiente ed efficace.SurveyMonkey impiega alcune delle più avanzate tecnologie per la sicurezza su Internet oggi disponibili in commercio. Questa Dichiarazione di sicurezza ha lo scopo di essere trasparente circa la nostra infrastruttura e le nostre pratiche in materia di sicurezza, per contribuire a garantire che i tuoi dati siano protetti in modo adeguato.

Sicurezza delle applicazioni e degli utenti

  • Codifica SSL/TLS: Gli utenti possono determinare se raccogliere risposte alle indagini su connessioni sicure, con codifica SSL/TLS. Tutte le altre comunicazioni con il sito web surveymonkey.com avvengono tramite connessioni SSL/TLS. Le tecnologie Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (tecnologia successiva a SSL) proteggono le comunicazioni utilizzando sia l’autenticazione del server sia la codifica dei dati. Ciò garantisce che i dati degli utenti in transito siano sicuri, protetti e disponibili solo per i destinatari previsti.
  • Autenticazione utente: I dati utente sul nostro database sono racchiusi logicamente da regole di accesso basate sull’account. Gli account utente hanno nome utente e password unici i quali devono essere inseriti ad ogni accesso dell’utente. SurveyMonkey emette un cookie di sessione solo per registrare informazioni di autenticazione codificata per la durata di una sessione specifica. Il cookie di sessione non comprende la password dell’utente.
  • Password degli utenti: Le password delle applicazioni utente hanno requisiti di complessità minimi. Le password vengono salate ed esaminate individualmente.
  • Codifica dei dati: Alcuni dati sensibili degli utenti, ad esempio i dati relativi alle carte di credito e le password degli account, vengono memorizzati in formato codificato.
  • Portabilità dei dati: SurveyMonkey permette di esportare i dati dal nostro sistema in una varietà di formati, in modo da poter eseguire il backup o da poterli utilizzare con altre applicazioni.
  • Privacy: Disponiamo di una politica sulla privacy completa che fornisce una visione molto trasparente di come trattiamo i tuoi dati, compreso il modo in cui li utilizziamo, le utenze con cui li condividiamo e il tempo per cui li conserviamo.
  • HIPAA: Funzioni di sicurezza avanzate per gli account abilitati HIPAA.

Sicurezza fisica

  • Centri di elaborazione dati: Le infrastrutture dei nostri sistemi informatici (server, attrezzature di rete, ecc.) sono collocate presso centri di elaborazione dati controllati da enti indipendenti in conformità alle norme SSAE 16/SOC 2. Possediamo e gestiamo tutte le attrezzature situate in questi centri di elaborazione dati.
  • Sicurezza dei centri di elaborazione dati: I nostri centri di elaborazione dati sono presidiati e sorvegliati 24 ore su 24, 7 giorni su 7. L’accesso è protetto da guardie di sicurezza, registri dei visitatori e requisiti di accesso quali tessere di accesso e riconoscimento biometrico. Le nostre attrezzature sono collocate in cabine chiuse.
  • Controlli ambientali: Il nostro centro di elaborazione dati è mantenuto a temperature e intervalli di umidità controllati che vengono continuamente monitorati per rilevare eventuali variazioni. Sono inoltre predisposti sistemi di rilevamento del fumo e degli incendi e di risposta alle emergenze.
  • Ubicazione: Tutti i dati dei nostri utenti sono memorizzati su server situati negli Stati Uniti e in Lussemburgo.

Disponibilità

  • Connettività: Collegamenti di rete IP completamente ridondanti con connessioni indipendenti multiple a una serie di fornitori di accesso Internet di primo livello.
  • Alimentazione: I server dispongono di alimentazioni elettriche interne ed esterne ridondanti. Il centro di elaborazione dati dispone di alimentazioni di backup ed è in grado di ricavare energia da molteplici sottostazioni sulla rete di distribuzione, da diversi generatori diesel e batterie di backup.
  • Tempo di funzionamento: Monitoraggio costante del tempo di funzionamento, con intensificazione immediata del personale di SurveyMonkey in caso di eventuali periodi di interruzione.
  • Recupero: Il database viene trasmesso con log-shipping a server di riserva e può venire recuperato in meno di un’ora.

Sicurezza di rete

  • Tempo di funzionamento: Monitoraggio costante del tempo di funzionamento, con intensificazione immediata del personale di SurveyMonkey in caso di eventuali periodi di interruzione.
  • Scansioni da parte di terzi: Le scansioni di sicurezza settimanali vengono eseguite da Qualys.
  • Test: Le funzionalità di sistema e le modifiche di progetto sono verificate in un ambiente di test isolato di tipo “sandbox” e sono soggette a test funzionali e di sicurezza prima della distribuzione ai sistemi di produzione attivi.
  • Firewall: Un firewall limita l’accesso a tutte le porte ad eccezione delle porte 80 (http) e 443 (https).
  • Applicazione di aggiornamenti: A tutti i sistemi operativi e ai file delle applicazioni vengono applicati i più recenti aggiornamenti di sicurezza per mitigare le vulnerabilità appena scoperte.
  • Controllo degli accessi: VPN sicuro, autenticazione a più fattori e accesso basato sui ruoli vengono applicati per la gestione dei sistemi da parte del personale tecnico autorizzato.
  • Registrazione e controllo: I sistemi di registrazione centrali catturano e archiviano tutti gli accessi ai sistemi interni, compresi eventuali tentativi di autenticazione non riuscita.

Sicurezza di memorizzazione

  • Frequenza di backup: Vengono eseguiti internamente dei backup ogni ora e ogni giorno verso un sistema di backup centralizzato per la memorizzazione in più siti geograficamente distinti.
  • Ridondanza di produzione: I dati vengono memorizzati in un array RAID 10. Il sistema operativo è memorizzato in un array RAID 1.

Sicurezza organizzativa e amministrativa

  • Screening dei dipendenti: Eseguiamo in background uno screening su tutti i dipendenti.
  • Formazione: Forniamo ai dipendenti una formazione sulla sicurezza e sull’utilizzo della tecnologia.
  • Fornitori di servizi: controlliamo continuamente i nostri fornitori di servizi e, se si occupano di dati degli utenti, li vincoliamo con un contratto a obblighi di riservatezza adeguati.
  • Accesso: i controlli di accesso a dati riservati nei nostri database, sistemi e ambienti, sono impostati in base a principi di assegnazione dei privilegi minimi necessari per svolgere le operazioni.
  • Registrazione controlli: manteniamo e monitoriamo registri controllo sui nostri servizi e sistemi (i nostri sistemi di registrazione producono gigabyte di file di registro ogni giorno).
  • Politiche di sicurezza delle informazioni: manteniamo politiche interne di sicurezza delle informazioni, compresi piani di risposta agli incidenti e li rivediamo e aggiorniamo regolarmente.

Pratiche di sviluppo software

  • Stack: programmiamo in Python e C# ed eseguiamo su SQL Server 2008, Ubuntu Linux e Windows 2008 Server.
  • Pratiche di programmazione: i nostri tecnici adottano le migliori pratiche e linee guida di stesura sicura del codice conformi agli standard di settore per garantire una stesura sicura del codice.

Gestione delle violazioni di sicurezza

Malgrado i migliori sforzi, nessun metodo di trasmissione su Internet e nessun metodo di memorizzazione elettronica è perfettamente sicuro. Non possiamo garantire una sicurezza assoluta. Tuttavia, se SurveyMonkey viene a conoscenza di qualche violazione alla sicurezza, avviseremo gli utenti coinvolti in modo che possano intraprendere opportune misure di protezione. Le nostre procedure di avviso di violazione sono coerenti con i nostri obblighi di conformità alle leggi e ai regolamenti di vari stati e federali, nonché a qualsiasi regolamento o norma del settore a cui aderiamo. Le procedure di notifica comprende la fornitura di avvisi via e-mail o la pubblicazione di un avviso sul nostro sito Web se si verifica una violazione.

Le tue responsabilità

Le tue responsabilità Il mantenimento della sicurezza dei tuoi dati dipende anche dal fatto che tu garantisca la sicurezza del tuo account adottando password sufficientemente complicate e conservandole in modo sicuro. Dovresti inoltre accertarti di avere sufficiente sicurezza nei tuoi propri sistemi, per mantenere qualsiasi dato che scarichi sul tuo computer lontano da occhi indiscreti. Offriamo l’SSL per proteggere la trasmissione delle risposte alle indagini, ma è tua responsabilità garantire che le tue indagini siano configurate per l’eventuale utilizzo di questa funzione.

Richieste personalizzate

A causa dell’elevato numero di clienti che utilizzano il nostro servizio, i problemi specifici relativi alla sicurezza o l’utilizzo di moduli di sicurezza personalizzati possono essere presi in considerazione solo per i clienti che acquistano un determinato numero di account utente nell’ambito di un unico abbonamento SurveyMonkey Enterprise. Se la tua azienda può contare su numero elevato di utenti potenziali o esistenti ed è interessata a conoscere meglio queste soluzioni, visita il sito www.surveymonkey.com/mp/enterprise.

Ultimo aggiornamento: 9 settembre, 2013