Beveiligingsverklaring

LAATST BIJGEWERKT: 7 JULI 2020

Deze Beveiligingsverklaring is van toepassing op de producten, services, websites en apps die worden aangeboden door SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. en zijn partners (samen SurveyMonkey), met SurveyMonkey en Wufoo als merknaam, behalve daar waar anderszins aangegeven. Wij duiden deze producten, services, websites en apps in deze Verklaring aan met het woord 'services'. Deze Beveiligingsverklaring is ook onderdeel van de gebruikersovereenkomsten voor klanten van SurveyMonkey en Wufoo.

SurveyMonkey stelt het vertrouwen op prijs dat onze klanten in ons als gegevensbeheerder hebben. We nemen onze verantwoordelijkheid om uw informatie te beschermen en beveiligen serieus, en streven naar volledig transparante beveiligingsprocedures. Deze worden hieronder beschreven. Ook in ons Privacybeleid vindt u meer informatie over hoe we met uw gegevens omgaan.

De informatiesystemen en technische infrastructuur van SurveyMonkey worden gehost door toonaangevende, erkende SOC 2-datacenters. Enkele fysieke beveiligingsmaatregelen die we treffen in onze datacenters zijn dag en nacht toezicht, camera's, logboeken voor bezoekers, beperkte toegankelijkheid en speciale afgebakende ruimtes voor de hardware van SurveyMonkey.

SurveyMonkey, Wufoo en SurveyMonkey Apply leven de Data Security Standards-normen (PCI DSS 3.2) voor gegevensbeveiliging van de Payment Card Industry (bedrijfstak voor betaalpassen) na en kunnen dus veilig creditcardgegevens verwerken in overeenstemming met deze normen. Deze naleving door SurveyMonkey wordt jaarlijks opnieuw gecertificeerd. SurveyMonkey beschikt over een ISO 27001-certificering.

Alleen met een beveiligde verbinding (bijvoorbeeld VPN, SSH) is toegang mogelijk tot de technologische resources van SurveyMonkey. Hiervoor is tweestapsverificatie een vereiste. Het is ons beleid dat wachtwoorden voor productie complex moeten zijn, een vervaldatum hebben en kunnen worden geblokkeerd. Deze wachtwoorden mogen niet opnieuw worden gebruikt. SurveyMonkey biedt alleen toegang als dat absoluut vereist is en kent de laagst mogelijke machtigingen toe. Ook herziet het bedrijf elk kwartaal de machtigingen en trekt het onmiddellijk toegangsrechten in zodra het dienstverband van een medewerker wordt beëindigd.

SurveyMonkey onderhoudt, controleert en herziet minimaal één keer per jaar zijn beleid voor de beveiliging van gegevens. Medewerkers moeten elk jaar het beleid bevestigen en aanvullende training volgen, waaronder HIPAA-training, veilig programmeren, PCI, functiespecifieke ontwikkeling van beveiliging en vaardigheden, en/of training in privacywetgeving voor belangrijke posities. Bij het opstellen van het trainingsschema worden alle richtlijnen en regels nageleefd die voor SurveyMonkey gelden.

SurveyMonkey voert een antecedentenonderzoek uit wanneer nieuwe medewerkers worden aangenomen (in zoverre dit door toepasselijke wetgeving en in landen is toegestaan). Bovendien stelt SurveyMonkey alle medewerkers op de hoogte van zijn beleid voor gegevensbeveiliging (ze moeten dit erkennen), moeten nieuwe medewerkers geheimhoudingsverklaringen ondertekenen, en biedt het bedrijf doorlopende privacy- en beveiligingstraining.

Verder heeft SurveyMonkey een speciaal team voor vertrouwen en beveiliging, dat zich bezighoudt met de beveiliging van toepassingen, netwerken en systemen. Dit team is ook verantwoordelijk voor de naleving van beveiligingsbeleid, trainingen en de afhandeling van incidenten.

SurveyMonkey werkt met een gedocumenteerd programma voor het beheer van kwetsbaarheden. Dit programma scant, identificeert en verhelpt kwetsbaarheden in de beveiliging van servers, werkstations, netwerkapparaten en toepassingen. Alle netwerken, waaronder de test- en productievoorzieningen, worden met regelmaat gescand door vertrouwde externe providers. Servers ontvangen essentiële patches met een hoge prioriteit. Andere patches worden toegepast wanneer die nodig zijn.

Verder voeren we geregeld interne en externe penetratietests uit en lossen we problemen op basis van de ernst van de resultaten op.

We versleutelen de gegevens die we verzenden met onze veilige cryptografische TLS-protocollen. De gegevens van SurveyMonkey en Wufoo worden ook beveiligd zolang ze zijn opgeslagen.

Ons ontwikkelingsteam maakt gebruik van veilige technieken en best practices op het gebied van programmering. OWASP Top Ten vormt hierbij het uitgangspunt. Ontwikkelaars nemen, nadat ze zijn aangenomen en verder elk jaar, deel aan formele training in veilige werkwijzen voor het ontwikkelen van webtoepassingen.

De ontwikkelings-, test- en productieomgevingen zijn gescheiden. Alle wijzigingen worden door experts getoetst en gedocumenteerd met het oog op prestaties, audits en onderzoek, voordat ze in de productieomgeving worden ingezet.

SurveyMonkey werkt met beleid voor het beheren van zijn bedrijfsmiddelen. In dit beleid is vastgelegd hoe bedrijfsmiddelen moeten worden geïdentificeerd, geclassificeerd, bewaard en verwijderd. Apparaten van het bedrijf zijn uitgerust met volledige versleuteling van harde schijven en beschikken over actuele antivirussoftware. Alleen door het bedrijf verstrekte apparaten hebben toegang tot bedrijfs- en productienetwerken.

SurveyMonkey werkt met beleidsregels en procedures voor beveiligingsincidenten. Hierin zijn vastgelegd de eerste reacties, het onderzoek, kennisgevingen aan klanten (waarbij minimaal toepasselijke wetgeving wordt nageleefd), openbare kennisgevingen en herstelmaatregelen. Dit beleid wordt regelmatig geëvalueerd en twee keer per jaar getest.

Ondanks alle inspanningen, is geen enkele methode van transmissie via internet en geen enkele methode van elektronische opslag volkomen veilig. Wij kunnen geen absolute veiligheid garanderen. Als SurveyMonkey echter kennis neemt van een inbreuk op de beveiliging, stellen wij getroffen gebruikers op de hoogte, zodat zij passende beschermende maatregelen kunnen nemen. Onze procedures voor kennisgevingen bij inbreuk volgen de richtlijnen uit toepasselijke landelijke, staats- en federale wet- en regelgeving, evenals alle industrieregels of -normen die op ons van toepassing zijn. We doen er alles aan om onze klanten volledig op de hoogte te houden van kwesties die van invloed zijn op de beveiliging van hun account. Verder zetten we ons in om klanten alle informatie te geven die ze nodig hebben om aan hun eigen wettelijke rapportageverplichtingen te voldoen.

Van de databases van SurveyMonkey worden op rotatiebasis volledige en gedeeltelijke back-ups gemaakt, die geregeld worden geverifieerd. Back-ups worden versleuteld en bewaard in de productieomgeving, zodat ze vertrouwelijk blijven en de integriteit ervan behouden blijft. We controleren met regelmaat of de back-ups beschikbaar zijn. Daarnaast onderhoudt SurveyMonkey een formeel Bedrijfscontinuïteitsplan (BCP). Het BCP wordt regelmatig getest en bijgewerkt om de doeltreffendheid ervan in een noodgeval te kunnen waarborgen.

Als u uw gegevens veilig wilt houden, moet u de beveiliging van uw account op peil houden door complexe wachtwoorden te gebruiken en deze veilig te bewaren. Kies bovendien voor een efficiënte beveiliging van uw eigen systemen. U kunt de overdracht van enquêtereacties beveiligen met TLS, maar u moet deze functie zelf instellen voor uw enquêtes. In ons Helpcenter vindt u meer informatie over hoe u uw enquêtes kunt beveiligen. Dit artikel is bedoeld voor klanten van SurveyMonkey. Een deel van de tips is ook voor klanten van Wufoo bruikbaar.

In toepassings- en infrastructuursystemen wordt informatie bijgehouden via een centraal beheerd logboek. Gemachtigde medewerkers van SurveyMonkey lossen hiermee problemen op, controleren de beveiliging en voeren analyses uit. De logboeken worden op basis van wettelijke richtlijnen bijgehouden. Als er sprake is van beveiligingsincidenten die gevolgen hebben voor klantenaccounts, bieden we klanten hulp en toegang tot onze logboeken voor zover dat redelijk mogelijk is.