Beveiligingsverklaring

Laatst bijgewerkt op 15 februari 2024

Deze Beveiligingsverklaring is van toepassing op de producten, services, websites en apps die worden aangeboden door SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli en zijn partners (samen SurveyMonkey), met SurveyMonkey, Wufoo en GetFeedback als merknaam, behalve waar anderszins aangegeven. Wij duiden deze producten, services, websites en apps in deze Verklaring aan met het woord 'services'. Deze Beveiligingsverklaring is ook onderdeel van de gebruikersovereenkomsten voor klanten van SurveyMonkey en Wufoo.

SurveyMonkey stelt het vertrouwen op prijs dat onze klanten in ons als gegevensbeheerder hebben. We nemen onze verantwoordelijkheid om uw informatie te beschermen en beveiligen serieus, en streven naar volledig transparante beveiligingsprocedures. Deze worden hieronder beschreven. Ook in onze Privacymelding vindt u meer informatie over hoe we met uw gegevens omgaan.

De informatiesystemen en technische infrastructuur van SurveyMonkey worden gehost door toonaangevende, erkende SOC 2-datacenters. Enkele fysieke beveiligingsmaatregelen die we treffen in onze datacenters, zijn dag en nacht toezicht, camera's, logboeken voor bezoekers, toegangsvereisten en alles wat u mag verwachten voor een zeer beveiligde faciliteit voor gegevensverwerking.

SurveyMonkey heeft beheer-, risicobeheer- en nalevingsprocedures geïmplementeerd die aansluiten bij de meeste wereldwijd erkende kaders voor informatiebeveiliging. SurveyMonkey beschikt over een ISO 27001-certificering. Bovendien is het SurveyMonkey Enterprise-product compatibel met HIPAA en zijn onze SurveyMonkey-, Wufoo- en SurveyMonkey Apply-producten gecertificeerd volgens de certificering van de Payment Card Industry's Data Security Standards (PCI DSS 3.2).

Alleen met een beveiligde verbinding (bijvoorbeeld VPN, SSH) is toegang mogelijk tot de technologische resources van SurveyMonkey. Hiervoor is tweestapsverificatie een vereiste. Het is ons beleid dat wachtwoorden voor productie complex moeten zijn, een vervaldatum hebben en kunnen worden geblokkeerd. Deze wachtwoorden mogen niet opnieuw worden gebruikt. SurveyMonkey biedt alleen toegang als dat absoluut vereist is en kent de laagst mogelijke machtigingen toe. Ook herziet het bedrijf elk kwartaal de machtigingen en trekt het onmiddellijk toegangsrechten in zodra het dienstverband van een medewerker wordt beëindigd.

SurveyMonkey onderhoudt, controleert en herziet regelmatig het informatiebeveiligingsbeleid. Dit is ten minste één keer per jaar het geval. Werknemers moeten jaarlijks het beleid onderschrijven en aanvullende training volgen met betrekking tot hun functie. De training is ontworpen om te voldoen aan alle specificaties en voorschriften die van toepassing zijn op SurveyMonkey.

SurveyMonkey voert een antecedentenonderzoek uit wanneer nieuwe medewerkers worden aangenomen (in zoverre dit door toepasselijke wetgeving en in landen is toegestaan). Bovendien stelt SurveyMonkey alle medewerkers op de hoogte van zijn beleid voor gegevensbeveiliging (ze moeten dit erkennen), moeten nieuwe medewerkers geheimhoudingsverklaringen ondertekenen, en biedt het bedrijf doorlopende privacy- en beveiligingstraining.

SurveyMonkey heeft een speciaal team voor vertrouwen en beveiliging, dat zich bezighoudt met de beveiliging van toepassingen, clouds, netwerken en systemen. Dit team is ook verantwoordelijk voor de naleving van beveiligingsbeleid, trainingen en de afhandeling van incidenten.

SurveyMonkey werkt met een gedocumenteerd programma voor het beheer van kwetsbaarheden. Dit programma scant, identificeert en verhelpt kwetsbaarheden in de beveiliging van servers, werkstations, netwerkapparaten en toepassingen. Alle netwerken, waaronder de test- en productievoorzieningen, worden met regelmaat gescand door vertrouwde externe providers. Servers ontvangen essentiële patches met een hoge prioriteit. Andere patches worden toegepast wanneer die nodig zijn.

Verder voeren we geregeld interne en externe penetratietests uit en lossen we problemen op basis van de ernst van de resultaten op.

SurveyMonkey versleutelt alle gegevens in rust in onze datacenters met behulp van op AES 256 gebaseerde versleuteling. Bovendien versleutelt SurveyMonkey alle gegevens in beweging via (i) RSA met certificaten op basis van een sleutellengte van 2048 bits die zijn gegenereerd via een openbare certificeringsinstantie, voor communicatie met rechtspersonen buiten de datacenters van SurveyMonkey, en via (ii) RSA 256-certificaten die zijn gegenereerd via de interne certificeringsinstantie, voor alle gegevens binnen het datacenter.

Ons ontwikkelingsteam maakt gebruik van veilige technieken en best practices op het gebied van programmering. OWASP Top Ten vormt hierbij het uitgangspunt. Ontwikkelaars nemen, nadat ze zijn aangenomen en verder elk jaar, deel aan formele training in veilige werkwijzen voor het ontwikkelen van webtoepassingen.

De ontwikkelings-, test- en productieomgevingen zijn gescheiden. Alle wijzigingen worden door experts getoetst en gedocumenteerd met het oog op prestaties, audits en onderzoek, voordat ze in de productieomgeving worden ingezet.

SurveyMonkey werkt met beleid voor het beheren van zijn bedrijfsmiddelen. In dit beleid is vastgelegd hoe bedrijfsmiddelen moeten worden geïdentificeerd, geclassificeerd, bewaard en verwijderd. Apparaten van het bedrijf zijn uitgerust met volledige versleuteling van harde schijven en beschikken over actuele antivirussoftware. Alleen door het bedrijf verstrekte apparaten hebben toegang tot bedrijfs- en productienetwerken.

SurveyMonkey werkt met beleidsregels en procedures voor beveiligingsincidenten. Deze hebben betrekking op de eerste reacties, het onderzoek, kennisgevingen aan klanten (waarbij minimaal toepasselijke wetgeving wordt nageleefd), openbare kennisgevingen en herstelmaatregelen. Dit beleid wordt regelmatig geëvalueerd en twee keer per jaar getest.

Ondanks alle inspanningen, is geen enkele methode van transmissie via internet en geen enkele methode van elektronische opslag volkomen veilig. Wij kunnen geen absolute veiligheid garanderen. Als SurveyMonkey echter kennis neemt van een inbreuk op de beveiliging, stellen wij getroffen gebruikers op de hoogte, zodat zij passende beschermende maatregelen kunnen nemen. Onze procedures voor kennisgevingen bij inbreuk volgen de richtlijnen uit toepasselijke landelijke, staats- en federale wet- en regelgeving, evenals alle industrieregels of -normen die op ons van toepassing zijn. We doen er alles aan om onze klanten volledig op de hoogte te houden van kwesties die van invloed zijn op de beveiliging van hun account. Verder zetten we ons in om klanten alle informatie te geven die ze nodig hebben om aan hun eigen wettelijke rapportageverplichtingen te voldoen.

Back-ups worden versleuteld en opgeslagen in de productieomgeving om hun vertrouwelijkheid en integriteit te behouden. SurveyMonkey hanteert een back-upstrategie om downtime en gegevensverlies tot een minimum te beperken. Het bedrijfscontinuïteitsplan (BCP) wordt regelmatig getest en bijgewerkt om de doeltreffendheid ervan in geval van een calamiteit te waarborgen.

Als u uw gegevens veilig wilt houden, moet u de beveiliging van uw account op peil houden door complexe wachtwoorden te gebruiken en deze veilig te bewaren. Kies bovendien voor een efficiënte beveiliging van uw eigen systemen. U kunt de overdracht van enquêtereacties beveiligen met TLS, maar u moet deze functie zelf instellen voor uw enquêtes. In ons Helpcenter vindt u meer informatie over hoe u uw enquêtes kunt beveiligen.

In toepassings- en infrastructuursystemen wordt informatie bijgehouden via een centraal beheerd logboek. Gemachtigde medewerkers van SurveyMonkey lossen hiermee problemen op, controleren de beveiliging en voeren analyses uit. De logboeken worden op basis van wettelijke richtlijnen bijgehouden. Als er sprake is van beveiligingsincidenten die gevolgen hebben voor klantenaccounts, bieden we klanten hulp en toegang tot onze logboeken voor zover dat redelijk mogelijk is.