Миллионы респондентов доверили SurveyMonkey данные своих опросов, и вопросы конфиденциальности и безопасности пользователей — приоритетное направление нашей работы. Мы прилагаем максимум усилий, чтобы обеспечивать надежное хранение данных пользователей, а также собирать личные сведения лишь в объеме, необходимом для высококачественного и эффективного обслуживания.

В SurveyMonkey используются самые передовые технологии интернет-безопасности, доступные на рынке на сегодняшний день. Настоящее Заявление о безопасности призвано обеспечить прозрачность инфраструктуры и методов нашей системы безопасности, чтобы заверить пользователей, что их данные полностью защищены.

Защищенность пользователя и приложения

  • SSL/TLS-шифрование. Пользователи могут выбирать вариант сбора ответов опроса посредством защищенных соединений с SSL/TLS-шифрованием. Остальной информационный обмен с веб-сайтом surveymonkey.com происходит с использованием SSL/TLS-соединений. Технология протокола безопасных соединений (SSL) и следующая за ней технология безопасности на транспортном уровне (TLS) защищают соединения благодаря как аутентификации сервера, так и шифрованию данных. Это гарантирует безопасность, защищенность данных пользователя в процессе передачи, а также их доступность исключительно для назначенных получателей.
  • Аутентификация пользователя. Данные пользователей в нашей базе данных логично разделены на основе правил доступа к учетной записи. Учетная запись предполагает создание уникального имени пользователя и пароля, которые необходимо вводить при каждом входе пользователя. SurveyMonkey создает cookie-файл сеанса только для записи зашифрованной информации о проверке подлинности на протяжении конкретного сеанса. Сookie-файл сеанса не содержит пароль пользователя.
  • Пароли пользователей. Пароли пользователей для работы с приложением обладают минимальными требованиями сложности. Пароли консервируются и хешируются в индивидуальном порядке.
  • Шифрование данных. Уязвимые данные пользователей, такие как сведения кредитных карт и пароли к учетным записям, хранятся в зашифрованном формате.
  • Переносимость данных. SurveyMonkey позволяет экспортировать данные из нашей системы, используя ряд форматов, таким образом можно выполнить их резервное копирование или оперировать ими в других приложениях.
  • Конфиденциальность. Наша комплексная политика конфиденциальности обеспечивает прозрачность процесса обработки данных, в том числе их использования, предоставления доступа и хранения.
  • HIPAA. Расширенные функции безопасности для учетных записей с активированной поддержкой HIPAA.

Физическая безопасность

  • Центры обработки данных. Наша система информационной инфраструктуры (серверы, сетевое оборудование и т. д.) размещена в сторонних проверенных по стандартам SSAE 16/SOC 2 центрах обработки данных. Все оборудование в этих центрах находится в нашей собственности и под нашим управлением.
  • Защищенность центров обработки данных. Работа и мониторинг в наших центрах обработки данных проходит круглосуточно. Для контроля доступа существует охрана, журнал посетителей и ограничение на вход посредством идентификационных карточек и биометрического опознавания. Наше оборудование располагается в огражденной секции.
  • Контроль параметров окружающей среды. В нашем центре обработки данных поддерживаются стабильные показатели температуры и влажности, изменение которых постоянно отслеживается. Также здание оснащено детекторами дыма и огня и системой реагирования.
  • Размещение. Все данные клиентов хранятся на серверах, расположенных в США и Люксембурге.

Обеспечение эксплуатационной готовности

  • Возможность подключения. Полностью избыточные сетевые IP-соединения с несколькими независимыми соединениями для ряда поставщиков доступа в Интернет уровня 1.
  • Электропитание. Серверы оснащены избыточными внутренними и внешними блоками питания. В центре обработки данных есть резервные источники электропитания и существует возможность получения электроэнергии от ряда подстанций в энергосистеме, нескольких дизельных генераторов и запасных аккумуляторов.
  • Время безотказной работы. Постоянный контроль времени безотказной работы с передачей запросов персоналу SurveyMonkey в случае простоев.
  • Отказоустойчивость. Копии журналов операций с базой данных передаются на резервные серверы, что позволяет в случае отказа переключаться на резервный ресурс менее чем за час.

Сетевая безопасность

  • Время безотказной работы. Постоянный контроль времени безотказной работы с передачей запросов персоналу SurveyMonkey в случае простоев.
  • Стороннее сканирование. Еженедельное сканирование с целью обеспечения безопасности выполняется компанией Qualys.
  • Тестирование. Изменения, вносимые в набор функций и проект системы, проверяются в изолированной тестовой среде, так называемой «песочнице», на предмет функциональности и безопасности перед их реализацией в активных производственных системах.
  • Брандмауэр. Брандмауэр запрещает доступ ко всем портам, кроме 80 (http) и 443 (https).
  • Корректировка. Ко всем файлам операционной системы и приложений применяются самые последние обновления для системы безопасности, чтобы минимизировать выявляемые уязвимости.
  • Контроль доступа. Уполномоченный технический персонал обеспечивает в управлении системой функционирование защищенной сети VPN, многофакторной проверки подлинности и ролевого доступа.
  • Протоколирование и аудит. Центральные системы протоколирования фиксируют и архивируют все случаи доступа во внутренние системы, включая неудачные попытки аутентификации.

Безопасность хранения

  • Частота резервного копирования. Резервное копирование выполняется ежечасно внутри хранилища и ежедневно — в централизованную резервную систему хранения в нескольких географически разрозненных местах.
  • Производственный резерв. Данные хранятся в массиве RAID 10. Сведения по эксплуатации и техническому обслуживанию — в массиве RAID 1.

Организационная и административная безопасность

  • Проверка сотрудников. Мы проверяем благонадежность всех сотрудников.
  • Обучение. Мы проводим обучение в области безопасности и использования технологий для всех сотрудников.
  • Поставщики услуг. Мы проверяем наших поставщиков услуг и связываем их договорными обязательствами на предмет соблюдения конфиденциальности, если им приходится работать с данными пользователей.
  • Доступ. Средства контроля доступа к уязвимым данным в наших базах данных, системах и средах устанавливаются в соответствии с принципами обоснованной необходимости и ограничения полномочий на доступ.
  • Протоколирование проверок. Мы ведем и контролируем журналы проверки наших служб и систем (ежедневно создаются файлы журналов объемом в гигабайты)
  • Политики безопасности информации. Мы применяем политики безопасности внутренней информации, включая планы реагирования на происшествия, и регулярно их пересматриваем и обновляем

Практика разработки программного обеспечения

  • Стековая память. Мы кодируем, используя Python и C#, и работаем под управлением SQL Server 2008, Ubuntu Linux или Windows 2008 Server.
  • Методика кодирования. Наши инженеры используют передовые методы и стандартные для отрасли принципы защитного кодирования для обеспечения безопасного кодирования

Работа с нарушениями требований безопасности

Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным. Мы не в силах гарантировать стопроцентную безопасность. Однако если SurveyMonkey станет известно о факте нарушение безопасности, мы уведомим пострадавших пользователей, чтобы они могли принять соответствующие защитные меры. Процедуры уведомления о нарушении согласованы с нашими обязательствами в соответствии с федеральными и региональными законами и нормативными актами, а также отраслевыми правилами и стандартами, которых мы придерживаемся. В случае нарушения безопасности процедура уведомления подразумевает оповещение по электронной почте или размещение публикации на нашем веб-сайте.

Ответственность пользователей

Защита Ваших данных также зависит от обеспечения Вами защиты Вашей учетной записи с использованием достаточно сложных паролей и безопасного их хранения. Также Вы должны следить за достаточным уровнем безопасности собственной системы и хранить данные отчетов, загружаемые на Ваш компьютер, вдали от посторонних глаз. Мы предоставляем SSL-шифрование для защиты передачи ответов на опросы, однако на Вас лежит ответственность за надлежащую настройку этой функции по мере необходимости.

Пользовательские запросы

В связи с количеством пользователей, которые пользуются нашей службой, конкретные вопросы безопасности или пользовательские формы безопасности могут адресоваться только пользователям, которые покупают определенное количество учетных записей пользователей в рамках подписки на SurveyMonkey Enterprise. Если у Вашей компании есть большое количество потенциальных или нынешних пользователей и Вы заинтересованы в изучении таких соглашений, ознакомьтесь с информацией на веб-странице www.surveymonkey.com/mp/enterprise.

Последнее обновление: 9 сентября 2013 г.