Заявление о безопасности

ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ: 1 ИЮЛЯ 2021 г.

Настоящее Заявление о безопасности относится к продуктам, услугам, веб-сайтам и приложениям, предлагаемым компаниями Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli и их филиалами (в совокупности «Momentive») с товарными знаками «Momentive», «SurveyMonkey» и «Wufoo» и «GetFeedback», кроме случаев, когда указано иначе. Эти продукты, услуги, веб-сайты и приложения в совокупности именуются в данном Заявлении «услугами». Настоящее Заявление о безопасности также является частью пользовательских соглашений для клиентов SurveyMonkey и Wufoo.

Momentive ценит доверие, которое наши клиенты оказывают нам, позволяя сохранять свои данные. Мы серьезно относимся к защите и безопасности вашей информации и стремимся к полной прозрачности наших методов обеспечения безопасности, описанных ниже. В нашем Уведомлении о конфиденциальности также подробно описан порядок обращения с вашими данными.

Информационные системы и техническая инфраструктура Momentive размещены в центрах обработки данных мирового класса с аккредитацией SOC 2. В этих центрах обработки данных применяются такие меры физической безопасности, как круглосуточное наблюдение, камеры, журналы посетителей, ограничения доступа и все, чего следует ожидать на объекте обработки данных с высоким уровнем безопасности.

В Momentive внедрены процессы и процедуры управления, предупреждения рисков и соблюдения нормативных требований, которые соответствуют признанным во всем мире принципам информационной безопасности. Компания Momentive получила сертификацию ISO 27001. Кроме того, продукт SurveyMonkey Enterprise соответствует требованиям HIPAA, а наши продукты SurveyMonkey, Wufoo и SurveyMonkey Apply сертифицированы по стандартам безопасности платежных карт (PCI DSS 3.2).

Доступ к технологическим ресурсам Momentive разрешается только при использовании средств безопасного соединения (например, VPN, SSH) и требует многофакторной аутентификации. Наша политика применения паролей предъявляет к паролям требования сложности, срока действия, блокировки и запрещает повторное использование. Momentive предоставляет доступ по принципу служебной необходимости, руководствуясь принципом минимальных привилегий, пересматривая разрешения ежеквартально и аннулируя доступ немедленно после того, как сотрудник освобожден от занимаемой должности.

Momentive регулярно пересматривает и как минимум ежегодно обновляет свои политики информационной безопасности. Сотрудники должны ежегодно подтверждать принятие данных политик и проходить дополнительное обучение по своим должностным обязанностям. Программа обучения составлена с учетом всех спецификаций и нормативных требований, применимых к Momentive.

При найме персонала Momentive проводит проверку биографии кандидатов (в той степени, в какой это разрешено или рекомендуется применимым законодательством). Кроме того Momentive доводит свои политики информационной безопасности до сведения всего персонала (с обязательным подтверждением согласия с ними со стороны сотрудников), требует от новых сотрудников подписывать соглашения о неразглашении и проводит непрерывное обучение по конфиденциальности и безопасности.

В Momentive имеется специальное подразделение доверия и безопасности, которое занимается безопасностью приложений, облака, сетей и систем. Это подразделение также отвечает за соблюдение требований безопасности, просветительскую работу и реагирование на инциденты.

Momentive выполняет программу документированного управления уязвимостью, которая предусматривает периодическую проверку, выявление и устранение уязвимостей для безопасности на серверах, рабочих станциях, сетевом оборудовании и в приложениях. Все сети, включая тестовые и производственные среды, регулярно проверяются с использованием доверенных сторонних поставщиков. Критические исправления устанавливаются на серверах в приоритетном порядке, а все прочие исправления — по необходимости.

Мы также проводим регулярные тесты на внутреннее и внешнее проникновение и устраняем найденные недочеты в соответствии с их серьезностью.

Все данные шифруются в состоянии покоя в центрах обработки данных Momentive с использованием шифрования на основе AES 256. Кроме того, Momentive шифрует все данные при передаче: (i) с помощью алгоритма RSA с 2048-битными сертификатами на основе ключа, создаваемыми через общедоступный центр сертификации, для связи с объектами за пределами центров обработки данных Momentive, и (ii) с помощью сертификатов RSA 256, создаваемых во внутреннем центре сертификации, — для всех данных в центре обработки данных.

Наши разработчики используют методики безопасного кодирования и передовой опыт с ориентацией на OWASP Top 10. После приема на работу, а также ежегодно разработчики проходят официальное обучение методам безопасной разработки веб-приложений.

Среда разработки, тестовая среда и рабочая среда отделены друг от друга. Все изменения до развертывания в рабочей среде проходят проверку экспертами и регистрируются для целей эксплуатации, аудита и судебной экспертизы.

Momentive применяет политику управления ресурсами, которая предусматривает идентификацию, классификацию, сохранение и удаление информации и ресурсов. Выдаваемые компанией устройства оснащаются полным шифрованием жесткого диска и современными антивирусными программами. Доступ к корпоративным и производственным сетям разрешается только с выданных компанией устройств.

Momentive применяет процесс реагирования на нарушения безопасности, регулирующий первоочередные меры, расследование, уведомление клиентов (в объеме не менее предусмотренного применимым законодательством), информирование общественности и ликвидацию последствий. Этот процесс регулярно пересматривается и раз в два года тестируется.

Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным. Мы не в силах гарантировать стопроцентную безопасность. Однако если компании Momentive станет известно о факте нарушения безопасности, мы уведомим пострадавших пользователей, чтобы они могли принять соответствующие защитные меры. Процедуры уведомления о нарушении согласованы с нашими обязательствами в соответствии с национальными и местными законами и нормативными актами, а также отраслевыми правилами и стандартами, применимыми к нам. Мы стремимся постоянно информировать наших клиентов по любым вопросам, связанным с безопасностью их учетных записей, и предоставлять клиентам всю информацию, необходимую для выполнения их нормативных требований.

Резервные копии шифруются и хранятся в рабочей среде для поддержания их конфиденциальности и целостности. В Momentive принята стратегия резервного копирования, которая сводит к минимуму простои и потерю данных. План обеспечения непрерывности бизнеса (Business Continuity Plan — BCP) регулярно подвергается тестированию и обновлению для обеспечения его эффективности в случае чрезвычайной ситуации.

Защита ваших данных также требует обеспечения вами защиты вашей учетной записи с использованием достаточно сложных паролей и их безопасного хранения. Кроме того, вы должны убедиться в достаточном уровне безопасности ваших собственных систем. Мы предоставляем функцию TLS для защиты ответов на опросы в процессе их передачи, однако вы обязаны настроить свои опросы таким образом, чтобы эта функция использовалась, когда это необходимо. Для получения дополнительных сведений о защите опросов посетите наш Справочный центр.

Системы приложений и инфраструктуры регистрируют информацию в централизованно управляемом репозитории с целью устранения неполадок, проведения проверок безопасности и анализа уполномоченным персоналом SurveyMonkey. Полученные журналы хранятся в соответствии с нормативными требованиями. В случае нарушений безопасности, повлиявших на учетные записи клиентов, мы в разумных пределах предоставим этим клиентам помощь и доступ к журналам.