Заявление о безопасности
ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ: 11 АПРЕЛЯ 2018 г.
Настоящее Заявление о безопасности относится к продуктам, услугам, веб-сайтам и приложениям, предлагаемым компаниями SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. и их филиалами (в совокупности «SurveyMonkey») с товарными знаками «SurveyMonkey» и «Wufoo», кроме случаев, когда указано иначе. Эти продукты, услуги, веб-сайты и приложения в совокупности именуются в данном Заявлении «сервисами». Настоящее Заявление о безопасности также является частью пользовательских соглашений для клиентов SurveyMonkey и Wufoo.
SurveyMonkey ценит доверие, которое наши клиенты оказывают нам, позволяя сохранять свои данные. Мы серьезно относимся к защите и безопасности Вашей информации и стремимся к полной прозрачности наших методов обеспечения безопасности, описанных ниже. В нашей Политике конфиденциальности также подробно описан порядок обращения с Вашими данными.
Физическая безопасность
Информационные системы и объекты технической инфраструктуры SurveyMonkey размещаются в центрах обработки данных мирового класса с сертификацией SOC 2. В число физических средств контроля безопасности в наших центрах обработки данных входят круглосуточный мониторинг, камеры наблюдения, журналы посетителей, требования к доступу и выделенные клетки для оборудования SurveyMonkey.
Вопросы соблюдения нормативных требований
SurveyMonkey, Wufoo и SurveyMonkey Apply соответствуют требованиям отраслевых стандартов безопасности данных для платежных карт (PCI DSS 3.2) и поэтому могут безопасно принимать и обрабатывать информацию кредитных карт согласно этим стандартам. Ежегодно SurveyMonkey подтверждает это соответствие. Кроме того, SurveyMonkey работает над сертификацией по ISO 27001.
Контроль доступа
Доступ к технологическим ресурсам SurveyMonkey разрешается только при использовании средств безопасного соединения (например, VPN, SSH) и требует многофакторной аутентификации. Наша политика применения паролей предъявляет к паролям требования сложности, срока действия, блокировки и запрещает повторное использование. SurveyMonkey предоставляет доступ по принципу служебной необходимости, руководствуясь принципом минимальных привилегий, пересматривая разрешения ежеквартально и аннулируя доступ немедленно после того, как сотрудник освобожден от занимаемой должности.
Политики безопасности
SurveyMonkey регулярно пересматривает и как минимум ежегодно обновляет свои политики информационной безопасности. Сотрудники должны ежегодно подтверждать принятие данных политик и проходить дополнительное обучение, в частности, по таким темам, как HIPAA, безопасное кодирование, PCI и повышение квалификации по безопасности для своей специальности и (или) подготовка по законам о конфиденциальности для важнейших должностных лиц. Программа обучения составлена с учетном всех спецификаций и нормативных требований, применимых к SurveyMonkey.
Персонал
При найме персонала SurveyMonkey проводит проверку биографии кандидатов (в той степени, в какой это разрешено или рекомендуется применимым законодательством). Кроме того SurveyMonkey доводит свои политики информационной безопасности до сведения всего персонала (с обязательным подтверждением согласия с ними со стороны сотрудников), требует от новых сотрудников подписывать соглашения о неразглашении и проводит непрерывное обучение по конфиденциальности и безопасности.
Специальная служба безопасности
В SurveyMonkey также имеется специальное подразделение доверия и безопасности, которое занимается безопасностью приложений, сетей и систем. Это подразделение также отвечает за соблюдение требований безопасности, просветительскую работу и реагирование на инциденты.
Управление уязвимостью и тесты на проникновение
SurveyMonkey выполняет программу документированного управления уязвимостью, которая предусматривает периодическую проверку, выявление и устранение уязвимостей для безопасности на серверах, рабочих станциях, сетевом оборудовании и в приложениях. Все сети, включая тестовые и производственные среды, регулярно проверяются с использованием доверенных сторонних поставщиков. Критические исправления устанавливаются на серверах в приоритетном порядке, а все прочие исправления — по необходимости.
Мы также проводим регулярные тесты на внутреннее и внешнее проникновение и устраняем найденные недочеты в соответствии с их серьезностью.
Шифрование
Мы шифруем Ваши данные при передаче с использованием защищенных криптографических протоколов TLS. Данные SurveyMonkey и Wufoo также шифруются при хранении.
Разработка
Наши разработчики используют методики безопасного кодирования и передовой опыт с ориентацией на OWASP Top 10. После приема на работу, а также ежегодно разработчики проходят официальное обучение методам безопасной разработки веб-приложений.
Среда разработки, тестовая среда и рабочая среда отделены друг от друга. Все изменения до развертывания в рабочей среде проходят проверку экспертами и регистрируются для целей эксплуатации, аудита и судебной экспертизы.
Управление ресурсами
SurveyMonkey применяет политику управления ресурсами, которая предусматривает идентификацию, классификацию, сохранение и удаление информации и ресурсов. Выдаваемые компанией устройства оснащаются полным шифрованием жесткого диска и современными антивирусными программами. Доступ к корпоративным и производственным сетям разрешается только с выданных компанией устройств.
Контроль нарушений информационной безопасности
SurveyMonkey применяет политики и процедуры реагирования на нарушения безопасности, регулирующие первоочередные меры, расследование, уведомление клиентов (в объеме не менее предусмотренного применимым законодательством), информирование общественности и ликвидацию последствий. Эти политики регулярно пересматриваются и раз в два года тестируются.
Уведомление о нарушении
Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным. Мы не в силах гарантировать стопроцентную безопасность. Однако если SurveyMonkey станет известно о факте нарушения безопасности, мы уведомим пострадавших пользователей, чтобы они могли принять соответствующие защитные меры. Процедуры уведомления о нарушении согласованы с нашими обязательствами в соответствии с национальными и местными законами и нормативными актами, а также отраслевыми правилами и стандартами, применимыми к нам. Мы стремимся постоянно информировать наших клиентов по любым вопросам, связанных с безопасностью их учетных записей, и предоставлять клиентам всю информацию, необходимую для выполнения их нормативных требований.
Аспекты информационной безопасности в управлении непрерывностью бизнеса
Базы данных SurveyMonkey подвергаются резервному копированию путем ротации полных и инкрементных резервных копий и регулярно проверяются. Резервные копии зашифрованы и хранятся в рабочей среде для поддержания их конфиденциальности и целостности и регулярно проверяются для обеспечения доступности.
Ответственность пользователей
Защита ваших данных также требует обеспечения вами защиты вашей учетной записи с использованием достаточно сложных паролей и безопасного их хранения. Кроме того, вы должны убедиться в достаточном уровне безопасности ваших собственных систем. Мы предоставляем функцию TLS для защиты ответов на опросы в процессе их передачи, однако вы обязаны настроить свои опросы таким образом, чтобы эта функция использовалась, когда это необходимо. Для получения дополнительных сведений о защите опросов посетите наш Справочный центр. Данная статья предназначена для клиентов SurveyMonkey, но некоторые рекомендации в ней также относятся к клиентам Wufoo.
Ведение журналов и мониторинг
Системы приложений и инфраструктуры регистрируют информацию в централизованно управляемом репозитории с целью устранения неполадок, проведения проверок безопасности и анализа уполномоченным персоналом SurveyMonkey. Полученные журналы хранятся в соответствии с нормативными требованиями. В случае нарушений безопасности, повлиявших на учетные записи клиентов, мы в разумным пределам предоставим этим клиентам помощь и доступ к журналам.
