Заявление о безопасности

ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ: 7 ИЮЛЯ 2020 Г.

Настоящее Заявление о безопасности относится к продуктам, услугам, веб-сайтам и приложениям, предлагаемым компаниями SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. и их филиалами (в совокупности «SurveyMonkey») с товарными знаками «SurveyMonkey» и «Wufoo», кроме случаев, когда указано иначе. Эти продукты, услуги, веб-сайты и приложения в совокупности именуются в данном Заявлении «сервисами». Настоящее Заявление о безопасности также является частью пользовательских соглашений для клиентов SurveyMonkey и Wufoo.

SurveyMonkey ценит доверие, которое наши клиенты оказывают нам, позволяя сохранять свои данные. Мы серьезно относимся к защите и безопасности Вашей информации и стремимся к полной прозрачности наших методов обеспечения безопасности, описанных ниже. В нашей Политике конфиденциальности также подробно описан порядок обращения с Вашими данными.

Информационные системы и объекты технической инфраструктуры SurveyMonkey размещаются в центрах обработки данных мирового класса с сертификацией SOC 2. В число физических средств контроля безопасности в наших центрах обработки данных входят круглосуточный мониторинг, камеры наблюдения, журналы посетителей, требования к доступу и выделенные клетки для оборудования SurveyMonkey.

SurveyMonkey, Wufoo и SurveyMonkey Apply соответствуют требованиям отраслевых стандартов безопасности данных для платежных карт (PCI DSS 3.2) и поэтому могут безопасно принимать и обрабатывать информацию кредитных карт согласно этим стандартам. Ежегодно SurveyMonkey подтверждает это соответствие. SurveyMonkey имеет сертификацию на соответствие стандарту ISO 27001.

Доступ к технологическим ресурсам SurveyMonkey разрешается только при использовании средств безопасного соединения (например, VPN, SSH) и требует многофакторной аутентификации. Наша политика применения паролей предъявляет к паролям требования сложности, срока действия, блокировки и запрещает повторное использование. SurveyMonkey предоставляет доступ по принципу служебной необходимости, руководствуясь принципом минимальных привилегий, пересматривая разрешения ежеквартально и аннулируя доступ немедленно после того, как сотрудник освобожден от занимаемой должности.

SurveyMonkey регулярно пересматривает и как минимум ежегодно обновляет свои политики информационной безопасности. Сотрудники должны ежегодно подтверждать принятие данных политик и проходить дополнительное обучение, в частности, по таким темам, как HIPAA, безопасное кодирование, PCI и повышение квалификации по безопасности для своей специальности и (или) подготовка по законам о конфиденциальности для важнейших должностных лиц. Программа обучения составлена с учетном всех спецификаций и нормативных требований, применимых к SurveyMonkey.

При найме персонала SurveyMonkey проводит проверку биографии кандидатов (в той степени, в какой это разрешено или рекомендуется применимым законодательством). Кроме того SurveyMonkey доводит свои политики информационной безопасности до сведения всего персонала (с обязательным подтверждением согласия с ними со стороны сотрудников), требует от новых сотрудников подписывать соглашения о неразглашении и проводит непрерывное обучение по конфиденциальности и безопасности.

В SurveyMonkey также имеется специальное подразделение доверия и безопасности, которое занимается безопасностью приложений, сетей и систем. Это подразделение также отвечает за соблюдение требований безопасности, просветительскую работу и реагирование на инциденты.

SurveyMonkey выполняет программу документированного управления уязвимостью, которая предусматривает периодическую проверку, выявление и устранение уязвимостей для безопасности на серверах, рабочих станциях, сетевом оборудовании и в приложениях. Все сети, включая тестовые и производственные среды, регулярно проверяются с использованием доверенных сторонних поставщиков. Критические исправления устанавливаются на серверах в приоритетном порядке, а все прочие исправления — по необходимости.

Мы также проводим регулярные тесты на внутреннее и внешнее проникновение и устраняем найденные недочеты в соответствии с их серьезностью.

Мы шифруем Ваши данные при передаче с использованием защищенных криптографических протоколов TLS. Данные SurveyMonkey и Wufoo также шифруются при хранении.

Наши разработчики используют методики безопасного кодирования и передовой опыт с ориентацией на OWASP Top 10. После приема на работу, а также ежегодно разработчики проходят официальное обучение методам безопасной разработки веб-приложений.

Среда разработки, тестовая среда и рабочая среда отделены друг от друга. Все изменения до развертывания в рабочей среде проходят проверку экспертами и регистрируются для целей эксплуатации, аудита и судебной экспертизы.

SurveyMonkey применяет политику управления ресурсами, которая предусматривает идентификацию, классификацию, сохранение и удаление информации и ресурсов. Выдаваемые компанией устройства оснащаются полным шифрованием жесткого диска и современными антивирусными программами. Доступ к корпоративным и производственным сетям разрешается только с выданных компанией устройств.

SurveyMonkey применяет политики и процедуры реагирования на нарушения безопасности, регулирующие первоочередные меры, расследование, уведомление клиентов (в объеме не менее предусмотренного применимым законодательством), информирование общественности и ликвидацию последствий. Эти политики регулярно пересматриваются и раз в два года тестируются.

Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным. Мы не в силах гарантировать стопроцентную безопасность. Однако если SurveyMonkey станет известно о факте нарушения безопасности, мы уведомим пострадавших пользователей, чтобы они могли принять соответствующие защитные меры. Процедуры уведомления о нарушении согласованы с нашими обязательствами в соответствии с национальными и местными законами и нормативными актами, а также отраслевыми правилами и стандартами, применимыми к нам. Мы стремимся постоянно информировать наших клиентов по любым вопросам, связанных с безопасностью их учетных записей, и предоставлять клиентам всю информацию, необходимую для выполнения их нормативных требований.

Базы данных SurveyMonkey подвергаются резервному копированию путем ротации полных и фрагментарных резервных копий и регулярно проверяются. Резервные копии зашифрованы и хранятся в рабочей среде для поддержания их конфиденциальности и целостности и регулярно проверяются для обеспечения доступности. Кроме того, в SurveyMonkey имеется официальный План обеспечения непрерывности бизнеса (Business Continuity Plan — BCP). Регулярно проводится тестирование и обновление BCP для обеспечения его эффективности в случае чрезвычайной ситуации.

Защита Ваших данных также требует обеспечения Вами защиты Вашей учетной записи с использованием достаточно сложных паролей и безопасного их хранения. Кроме того, Вы должны убедиться в достаточном уровне безопасности Ваших собственных систем. Мы предоставляем функцию TLS для защиты ответов на опросы в процессе их передачи, однако Вы обязаны настроить свои опросы таким образом, чтобы эта функция использовалась, когда это необходимо. Для получения дополнительных сведений о защите опросов посетите наш Справочный центр. Данная статья предназначена для клиентов SurveyMonkey, но некоторые рекомендации в ней также относятся к клиентам Wufoo.

Системы приложений и инфраструктуры регистрируют информацию в централизованно управляемом репозитории с целью устранения неполадок, проведения проверок безопасности и анализа уполномоченным персоналом SurveyMonkey. Полученные журналы хранятся в соответствии с нормативными требованиями. В случае нарушений безопасности, повлиявших на учетные записи клиентов, мы в разумным пределам предоставим этим клиентам помощь и доступ к журналам.