Miljoenen gebruikers vertrouwen hun enquêtegegevens toe aan SurveyMonkey, en wij maken het tot een prioriteit om de zorgen van onze gebruikers over veiligheid en privacy serieus te nemen. Wij streven ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden bewaard. SurveyMonkey gebruikt de meest geavanceerde internetbeveiligingstechnologie die momenteel verkrijgbaar is. Deze beveiligingsverklaring heeft tot doel openheid te bieden over onze beveiligingsinfrastructuur en -procedures, zodat u erop kunt vertrouwen dat uw gegevens naar behoren worden beschermd. Lees ons privacybeleid voor meer informatie over hoe wij omgaan met gegevens.

Gebruikersbeveiliging

  • Gebruikersverificatie: Gebruikersgegevens worden in onze database logisch gescheiden aan de hand van op accounts gebaseerde toegangsregels. Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die telkens als een gebruiker zich aanmeldt, moeten worden ingevoerd. SurveyMonkey verstrekt uitsluitend een sessiecookie voor het registreren van versleutelde verificatie-informatie gedurende de duur van een specifieke sessie. Het wachtwoord van de gebruiker is niet opgenomen in het sessiecookie.
  • Wachtwoorden: Voor wachtwoorden voor gebruikerstoepassingen gelden minimumvereisten ten aanzien van de complexiteit. Wachtwoorden worden apart van een salt en hash voorzien.
  • Eenmalige aanmelding: Bij accounts voor teamsamenwerking biedt SurveyMonkey ondersteuning voor SAML 2.0-integraties. Hierdoor is het mogelijk om de toegang tot SurveyMonkey binnen uw organisatie te beheren en om verificatiebeleid te definiëren voor extra beveiliging. Bezoek voor meer informatie onze Help-pagina over SSO.
  • Gegevensversleuteling: Bepaalde vertrouwelijke gebruikersgegevens, zoals creditcardgegevens en accountwachtwoorden, worden versleuteld opgeslagen.
  • Portabiliteit van gegevens: SurveyMonkey stelt u in staat uw gegevens vanaf ons systeem te exporteren in een verscheidenheid aan indelingen, zodat u een back-up kunt maken of uw gegevens kunt gebruiken met andere toepassingen.
  • Privacy: We hebben een uitgebreid privacybeleid dat op een transparante wijze inzicht biedt in hoe we omgaan met uw gegevens, waaronder hoe we deze gebruiken, met wie we deze delen en hoelang we deze bewaren.
  • Opslaglocatie voor gegevens: Alle SurveyMonkey-gebruikersgegevens, met inbegrip van Wufoo en TechValidate, worden opgeslagen op servers in de Verenigde Staten. Voor SurveyMonkey-gebruikers in Canada worden enquêtegegevens mogelijk opgeslagen in Canada. FluidSurveys- en FluidReview-gegevens worden opgeslagen in Canada.

Fysieke beveiliging

Alle SurveyMonkey-informatiesystemen en infrastructuur worden gehost in datacenters van wereldniveau. Deze datacenters zijn uitgerust met alle benodigde fysieke beveiligingsmechanismen die u op dit moment van een datacenter mag verwachten (o.a. 24×7 bewaking, camera’s, bezoekersregistratie, toegangsvereisten) SurveyMonkey heeft eigen kooien om apparatuur gescheiden te houden van andere bedrijven. Bovendien zijn deze datacenters SOC 2-geaccrediteerd. Ga voor meer informatie naar SuperNAP en InterNAP. Als u op zoek bent naar FluidSurvey of FluidReview, of informatie over ons datacenter in Canada, neem dan rechtstreeks met ons contact op.

Beschikbaarheid

  • Connectiviteit: Volledige redundante IP-netwerkverbindingen met meerdere onafhankelijke verbindingen met een reeks internetproviders van het hoogste niveau.
  • Voeding: Servers hebben redundante interne en externe voedingen. Datacenters hebben back-upvoedingen en kunnen stroom afnemen van meerdere substations op het stroomnet, verscheidene dieselgeneratoren en back-upaccu’s.
  • Uptime: Continue uptimebewaking met onmiddellijke escalatie naar SurveyMonkey-personeel bij eventuele downtime.
  • Overname: Onze database wordt in realtime gerepliceerd en er kan binnen een uur worden overgeschakeld op een overname-eenheid.
  • Back-upfrequentie: Back-ups worden dagelijks uitgevoerd op verscheidene geografisch verspreide locaties.

Netwerkbeveiliging

  • Testen: Wijzigingen in de systeemfunctionaliteit en het systeemontwerp worden gecontroleerd in een geïsoleerde testomgeving (sandboxomgeving) en worden onderworpen aan functie- en beveiligingstesten voordat deze worden gedistribueerd naar actieve productiesystemen.
  • Firewalls: Firewalls beperken de toegang tot alle poorten, behalve poort 80 (http) en poort 443 (https).
  • Toegangsbeheer: Veilige VPN, 2FA (tweeledige verificatie) en op rollen gebaseerde toegang worden door bevoegd technisch personeel afgedwongen voor systeembeheerdoeleinden.
  • Logboekregistratie en controle: Centrale logboekregistratiesystemen leggen alle gevallen van toegang tot interne systemen vast en archiveren deze, waaronder mislukte verificatiepogingen.
  • Versleuteling bij overdracht: Standaard is bij onze verzamelprogramma’s voor enquêtes TLS (Transport Layer Security) ingeschakeld voor het versleutelen van respondentverkeer. Alle overige communicatie met de surveymonkey.com-website verloopt via TLS-verbindingen, waarbij communicatie wordt beschermd via serververificatie en gegevensversleuteling. Dit garandeert dat gebruikersgegevens tijdens overdrachten veilig zijn en beveiligd zijn, en dat deze alleen beschikbaar zijn voor beoogde ontvangers. Onze toepassingseindpunten maken uitsluitend gebruik van TLS en behalen de score A bij tests van SSL Labs. We maken verder gebruik van PFS (Perfect Forward Secrecy) en ondersteunen uitsluitend sterke versleutelingen voor extra privacy en beveiliging.

Beheer van beveiligingsproblemen

  • Patches: De recentste beveiligingspatches worden toegepast op alle besturingssystemen, toepassingen en de netwerkinfrastructuur om blootstelling aan beveiligingsproblemen tot een minimum te beperken.
  • Scanbewerkingen door derde partijen: Onze omgevingen worden voortdurend gescand met de allerbeste beveiligingshulpmiddelen. Deze hulpmiddelen zijn geconfigureerd om beveiligingsproblemen van toepassingen en het netwerk te beoordelen, waarbij er wordt gecontroleerd op de status van patches en foutieve basisconfiguraties van systemen en sites.
  • Testen op binnendringen van buitenaf: Externe organisaties voeren minimaal jaarlijks testen op binnendringen van buitenaf uit.
  • Bugpremies: We nemen de beveiliging van onze platforms zeer serieus. SurveyMonkey heeft een eigen bugpremieprogramma om ervoor te zorgen dat onze toepassingen voortdurend worden gecontroleerd op beveiligingsproblemen.

Beveiliging van de organisatie en administratie

  • Informatiebeveiligingsbeleid: We hanteren een intern informatiebeveiligingsbeleid met responsplannen voor incidenten. Deze plannen worden regelmatig gecontroleerd en bijgewerkt.
  • Screenen van werknemers: We voeren antecedentenonderzoek uit met betrekking tot al onze werknemers voor zover binnen de plaatselijke wetgeving is toegestaan.
  • Training: We bieden onze werknemers training met betrekking tot beveiliging en het gebruik van technologie.
  • Serviceproviders: We screenen onze serviceproviders en verplichten ze contractueel de toepasselijke vertrouwelijkheids- en beveiligingsverplichtingen in acht te nemen als ze eventuele gebruikersgegevens hanteren.
  • Toegang: Toegangsbeheer met betrekking tot vertrouwelijke gegevens in onze databases, systemen en omgevingen op basis van noodzakelijkheid/minimaal vereiste bevoegdheden.
  • Auditlogboekregistratie: We houden auditlogboeken bij voor onze services en systemen en bewaken deze.

Ontwikkelingsprocedures voor software

  • Stapelen: We programmeren in Python en voeren uit op SQL Server, Windows en Ubuntu.
  • Programmeringsprocedures: Onze technici hanteren aanbevolen procedures en op bedrijfstaknormen gebaseerde richtlijnen voor veilig programmeren die overeenkomen met de OWASP Top 10.
  • Distributie: We distribueren onze code tientallen keren per week, zodat we snel kunnen reageren als er een bug of beveiligingsprobleem wordt ontdekt in onze code.

Naleving en certificeringen

  • PCI: SurveyMonkey voldoet momenteel aan PCI 3.1.
  • HIPAA: SurveyMonkey biedt uitgebreide beveiligingsfuncties die HIPAA-vereisten ondersteunen. Bezoek voor meer informatie onze pagina over HIPAA-naleving.

Afhandeling van inbreuken op de beveiliging

Ondanks optimale inspanningen is geen enkele methode van overdracht via internet en geen enkele methode van elektronisch opslag volkomen veilig. Absolute veiligheid kan nooit worden gegarandeerd. Als SurveyMonkey echter kennis krijgt van een inbreuk op de beveiliging, worden getroffen gebruikers hiervan in kennis gesteld, zodat zij toepasselijke beschermingsmaatregelen kunnen treffen. Onze meldingsprocedures voor inbreuken voldoen aan onze verplichtingen onder verschillende staatgebonden en federale wetten en voorschriften in de Verenigde Staten en aan eventuele bedrijfstakregels en -normen die we in acht nemen. Meldingsprocedures bestaan onder meer uit meldingen via e-mail en plaatsing van berichten op onze website wanneer er sprake is van een inbreuk.

Uw verantwoordelijkheid

De veiligheid van uw gegevens is ook afhankelijk van de wijze waarop u zorgt voor de beveiliging van uw account door wachtwoorden te gebruiken die voldoende sterk zijn en deze op een veilige wijze op te slaan. U moet er bovendien voor zorgen dat uw eigen systemen voldoende beveiligd zijn, zodat enquêtegegevens die u downloadt naar uw eigen computer niet toegankelijk zijn voor onbevoegden. We bieden TLS om de overdracht van enquêtereacties te beveiligen, maar het is uw verantwoordelijkheid om ervoor te zorgen dat uw enquêtes zo zijn geconfigureerd dat ze deze functie gebruiken waar dat toepasselijk is. Bezoek ons Helpcenter voor meer informatie over het beveiligen van uw enquêtes.

Aanvragen van klanten

Gezien het aantal klanten dat gebruikmaakt van onze service, kan er met specifieke beveiligingsvragen of aangepaste vormen van beveiliging uitsluitend rekening worden gehouden bij klanten die binnen een SurveyMonkey-abonnement een bepaald volume aan gebruikersaccounts aanschaffen. Als uw bedrijf een groot aantal potentiële of bestaande gebruikers heeft en geïnteresseerd is in het verkennen van dergelijke regelingen, is het de moeite waard om de informatie over teamsamenwerking door te nemen.

Laatst bijgewerkt: 6 juni 2017.