Miljoenen gebruikers vertrouwen hun enquêtegegevens toe aan SurveyMonkey, en wij maken het tot een prioriteit om de zorgen van onze gebruikers over veiligheid en privacy serieus te nemen. Wij streven ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden bewaard en dat we uitsluitend de persoonlijke gegevens verzamelen die nodig zijn om op een efficiënte en effectieve wijze onze diensten aan gebruikers te kunnen leveren.

SurveyMonkey maakt gebruik van enkele van de meest geavanceerde technologieën voor internetbeveiliging die momenteel op de markt zijn. Deze beveiligingsverklaring is erop gericht om duidelijkheid te bieden over onze beveiligingsinfrastructuur en -praktijken, zodat u er zeker van kunt zijn dat uw gegevens voldoende beschermd worden.

Beveiliging van toepassingen en gebruikers

  • SSL/TLS-encryptie: Gebruikers kunnen bepalen of zij enquêtereacties willen verzamelen via beveiligde, versleutelde SSL/TLS-verbindingen. Alle andere communicatie met de website surveymonkey.com wordt via SSL/TLS-verbindingen verzonden SSL- (Secure Sockets Layer) en TLS-technologie (Transport Layer Security – de opvolger van SSL-technologie) beschermen communicatie met behulp van zowel serververificatie als gegevensencryptie. Dit zorgt ervoor dat de verzending van gebruikersgegevens veilig is en alleen beschikbaar voor beoogde ontvangers.
  • Gebruikersverificatie: Gebruikersgegevens in onze database zijn logisch gescheiden door op accounts gebaseerde toegangsregels. Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die telkens wanneer een gebruiker zich aanmeldt moeten worden ingevoerd. SurveyMonkey verstuurt alleen een sessie-cookie om gecodeerde verificatiegegevens voor de duur van een bepaalde sessie vast te leggen. De sessie-cookie bevat niet het wachtwoord van de gebruiker.
  • Gebruikerswachtwoorden: Wachtwoorden voor gebruikerstoepassingen moeten aan minimale complexiteitseisen voldoen. Wachtwoorden worden individueel gegenereerd en gehashtd
  • Gegevenscodering: Bepaalde gevoelige gebruikersgegevens, zoals creditcardgegevens en wachtwoorden, worden opgeslagen in gecodeerde vorm.
  • Overdraagbaarheid van gegevens: SurveyMonkey stelt u in staat om uw gegevens in een verscheidenheid van formaten te exporteren vanuit ons systeem, zodat u een back-up kunt maken of ze kunt gebruiken met andere toepassingen.
  • Privacy: We beschikken over een uitgebreid privacybeleid dat een heel transparant beeld biedt van hoe wij omgaan met uw gegevens, met inbegrip van hoe wij uw gegevens gebruiken, met wie wij ze delen en hoe lang wij deze bewaren.
  • HIPAA: Verbeterde beveiligingsfuncties voor accounts met HIPAA-ondersteuning.

Fysieke beveiliging

  • Datacenters: Onze infrastructuur van informatiesystemen (servers, netwerkapparatuur, enz.) is geïmplementeerd in externe datacenters die worden ge-audit conform SSAE 16/SOC 2. Wij zijn eigenaar en beheerder van al onze apparatuur in deze datacenters.
  • Beveiliging van datacenters: Onze datacenters zijn 24 uur per dag en 7 dagen per week bemand en worden continu bewaakt. De toegang wordt beveiligd via bewakers, bezoekerslogboeken en toegangsvereisten zoals toegangspasjes en biometrische herkenning. Onze apparatuur is opgeborgen in afgesloten kooien.
  • Omgevingsbeheersing: In onze datacenters worden temperatuur en luchtvochtigheid geregeld en wordt continu gecontroleerd op afwijkingen. Er zijn rook- en branddetectie- en responssystemen geïnstalleerd.
  • Locatie: Alle gebruikersgegevens zijn opgeslagen op servers die zich in de Verenigde Staten en in Luxemburg bevinden.

Beschikbaarheid

  • Connectiviteit: Volledig redundante IP-netwerkverbindingen met meerdere onafhankelijke aansluitingen op een reeks van internetproviders uit de topcategorie.
  • Stroomvoorziening: Servers beschikken over redundante interne en externe voedingen. De datacenters hebben back-upvoedingen en zijn in staat om stroom te betrekken van de verschillende substations in het net, verschillende dieselgeneratoren en reservebatterijen.
  • Uptime: De beschikbaarheid wordt voortdurend bewaakt, met onmiddellijke escalatie naar SurveyMonkey-personeel bij eventuele uitvaltijd.
  • Failover: Er vindt log-shipping van onze database naar stand-byservers plaats en failover is mogelijk in minder dan een uur.

Netwerkbeveiliging

  • Uptime: De beschikbaarheid wordt voortdurend bewaakt, met onmiddellijke escalatie naar SurveyMonkey-personeel bij eventuele uitvaltijd.
  • Scans door derden: Er worden wekelijkse beveiligingsscans uitgevoerd door Qualys.
  • Testen: Veranderingen in systeemfunctionaliteit en -ontwerp worden geverifieerd in een geïsoleerde “sandbox”-testomgeving en worden onderworpen aan functionele en beveiligingstesten voordat zij op actieve productiesystemen worden geïmplementeerd.
  • Firewall: Een firewall beperkt de toegang tot alle poorten, behalve 80 (http) en 443 (https).
  • Patching: De allernieuwste beveiligingspatches worden toegepast op alle besturingssysteem- en toepassingsbestanden om nieuw ontdekte kwetsbaarheden te verhelpen.
  • Toegangscontrole: Beveiligde VPN, multifactorverificatie en op rollen gebaseerde toegang wordt afgedwongen voor systeembeheer door bevoegd technisch personeel.
  • Logboekregistratie en controle: Centrale registratiesystemen leggen de toegang tot alle interne systemen, met inbegrip van eventuele mislukte verificatiepogingen, vast en archiveren deze.

Opslagbeveiliging

  • Back-upfrequentie: Intern worden elk uur back-ups gemaakt, en dagelijks naar een gecentraliseerd back-upsysteem voor opslag op meerdere, geografisch verspreide locaties.
  • Productieredundantie: De gegevens worden opgeslagen op een RAID 10-array. Het besturingssysteem wordt opgeslagen op een RAID 1-array.

Organisatorische en administratieve beveiliging

  • Screening van werknemers: Wij voeren antecedentenonderzoeken uit voor alle medewerkers.
  • Training: Wij bieden gebruikstraining voor beveiliging en technologie aan onze medewerkers.
  • Serviceproviders: Wij screenen onze serviceproviders en leggen hen contractueel passende vertrouwelijkheidsverplichtingen op als zij toegang hebben tot gebruikersgegevens.
  • Toegang: De toegangscontrole voor gevoelige gegevens in onze databases, systemen en omgevingen is zodanig ingesteld dat gebruikers alleen toegang hebben tot gegevens die zij daadwerkelijk nodig hebben (“need-to-know”) en waarvoor zij gemachtigd zijn.
  • Auditlogs: Wij onderhouden en controleren auditlogs over onze services en systemen (onze registratiesystemen genereren gigabytes aan logbestanden per dag).
  • Informatiebeveiligingsbeleid: Wij onderhouden beveiligingsrichtlijnen voor interne informatie, met inbegrip van incidentresponsplannen, en herzien en actualiseren deze regelmatig

Softwareontwikkeling

  • Stack: Wij coderen in Python en C# en maken gebruik van SQL Server 2008, Ubuntu Linux en Windows 2008 Server.
  • Codering: Onze technici gebruiken de beste praktijken en de industriestandaard richtlijnen voor veilig coderen om te zorgen voor veilige codering.

Omgang met inbreuken op de beveiliging

Ondanks alle inspanningen, is geen enkele methode van transmissie via het internet en geen enkele methode van elektronische opslag volkomen veilig. Wij kunnen geen absolute veiligheid garanderen. Als SurveyMonkey echter kennisneemt van een inbreuk op de beveiliging, zullen wij getroffen gebruikers op de hoogte stellen, zodat zij passende beschermende maatregelen kunnen nemen. Onze procedures voor kennisgeving bij inbreuk zijn in overeenstemming met onze verplichtingen onder verschillende staats- en federale wetten en regelgeving, evenals eventuele industrieregels of -normen waaraan wij ons houden. Meldingsprocedures omvatten kennisgeving per e-mail of publicatie van een melding op onze website als een inbreuk plaatsvindt.

Uw verantwoordelijkheden

Het veilig houden van uw gegevens hangt tevens af van de mate waarin uzelf de beveiliging van uw account op peil houdt door gebruik te maken van voldoende ingewikkelde wachtwoorden en deze veilig op te slaan. U moet er tevens voor zorgen dat uw systeem voldoende beveiligd is zodat eventuele enquêtegegevens die u downloadt naar uw eigen computer tegen nieuwsgierige blikken beschermd zijn. Wij bieden SSL om de overdracht van enquêtereacties te beveiligen, maar het is uw verantwoordelijkheid om ervoor te zorgen dat deze functie waar passend is geconfigureerd voor uw enquêtes.

Verzoeken op maat

Vanwege het aantal klanten dat van onze service gebruikmaakt, kunnen specifieke beveiligingsvragen of aangepaste beveiligingsformulieren alleen worden gehonoreerd voor klanten die een bepaald aantal gebruikersaccounts aanschaffen binnen een SurveyMonkey Enterprise-abonnement. Als uw bedrijf een groot aantal potentiële of bestaande gebruikers heeft en is geïnteresseerd in het onderzoeken van dergelijke regelingen, kijk dan op www.surveymonkey.com/mp/enterprise.

Laatst bijgewerkt: 9 september 2013