Declaração de segurança
ÚLTIMA ATUALIZAÇÃO: 11 DE ABRIL DE 2018
Esta Declaração de segurança se aplica aos produtos, serviços, sites e aplicativos oferecidos pela SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. e suas afiliadas (coletivamente, "SurveyMonkey"), cuja marca é "SurveyMonkey" e "Wufoo", exceto indicação em contrário. Nós nos referimos a esses produtos, serviços, sites e aplicativos coletivamente como os "serviços" nesta política. A Declaração de segurança faz parte dos contratos do usuário para clientes da SurveyMonkey e da Wufoo.
A SurveyMonkey valoriza a confiança de nossos clientes quanto a seus dados. Assumimos nossa responsabilidade em proteger suas informações e buscar a total transparência quanto a nossas práticas de segurança detalhadas abaixo. Nossa Política de Privacidade também contém outros detalhes sobre as formas como tratamos seus dados.
Segurança física
Os sistemas de informações e a infraestrutura técnica da SurveyMonkey são hospedados em centros mundiais de dados credenciados pelo SOC 2. Os controles físicos de segurança de nossos centros de dados incluem monitoramento 24 horas, câmeras, registro de visitantes, requisitos de entrada e compartimentos dedicados para os produtos de hardware da SurveyMonkey.
Conformidade
A SurveyMonkey, a Wufoo e o SurveyMonkey Apply estão em conformidade com o PCI-DSS (Payment Card Industry Data Security Standards, Padrões de segurança de dados do Payment Card Industry) 3.2. Portanto, podem aceitar ou processar informações de cartões de crédito de forma segura de acordo com esses padrões. A SurveyMonkey renova sua certificação anualmente. Além disso, ela está buscando obter a certificação ISO 27001.
Controle de acesso
O acesso aos recursos de tecnologia da SurveyMonkey só é permitido por meio de conectividade segura (por exemplo, VPN, SSH) e exige autenticação multifator. Nossa política de senha exige complexidade, validade e bloqueio, e não permite a reutilização. A SurveyMonkey concede acesso com base nas regras do menor privilégio e conforme a necessidade, revisa as permissões trimestralmente e revoga imediatamente o acesso após o desligamento de funcionário.
Políticas de segurança
A SurveyMonkey mantém, analisa e atualiza suas políticas de segurança de informações no mínimo anualmente. Os funcionários devem aceitar anualmente as políticas e passar por treinamento adicional, como em norma HIPAA, de codificação segura, PCI, de legislação de privacidade e/ou de desenvolvimento específico de segurança e de habilidades para os cargos mais importantes. O cronograma de treinamento é desenvolvido para aderir a todas as especificações e regulamentos aplicáveis à SurveyMonkey.
Funcionários
A SurveyMonkey realiza a verificação de antecedentes no momento da contratação (na medida do permitido ou facilitado pela legislação aplicável ou pelo país). Além disso, comunica suas políticas de segurança de informações a todos os funcionários (que devem confirmar seu entendimento delas), exige que os novos funcionários assinem contratos de confidencialidade e fornece treinamento contínuo de privacidade e segurança.
Funcionários dedicados de segurança
A SurveyMonkey também tem uma organização dedicada de Confiança & e segurança concentrada na segurança dos aplicativos, da rede e do sistema. Essa equipe também é responsável por conformidade, instrução e resposta a incidentes de segurança.
Testes de penetração e gerenciamento de vulnerabilidades
A SurveyMonkey mantém um programa documentado de gerenciamento de vulnerabilidades que inclui verificações periódicas, identificação e remediação de vulnerabilidades de segurança em servidores, estações de trabalho, equipamentos de rede e aplicativos. Todas as redes, inclusive os ambientes de teste e produção, são verificadas regularmente usando fornecedores externos de confiança. Correções críticas são aplicadas nos servidores com base na prioridade e conforme apropriado a todas as demais correções.
Também realizamos regularmente testes de penetração interna e externa, e corrigimos de acordo com a severidade dos resultados encontrados.
Criptografia
Criptografamos seus dados em trânsito usando protocolos criptográficos seguros de TLS. Os dados da SurveyMonkey e da Wufoo também são criptografados em repouso.
Desenvolvimento
Nossa equipe de desenvolvimento emprega técnicas de codificação segura e práticas recomendadas baseadas no OWASP Top Ten. Os desenvolvedores são treinados formalmente em práticas seguras de desenvolvimento de aplicativos da Web após a contratação e anualmente.
Os ambientes de desenvolvimento, teste e produção são separados. Todas as alterações são revisadas por colegas e registradas para fins forenses, de desempenho e de auditoria antes da implementação no ambiente de produção.
Gerenciamento de ativos
A SurveyMonkey mantém uma política de gerenciamento de ativos que inclui identificação, classificação, retenção e descarte de informações e ativos. Os dispositivos emitidos pela empresa são equipados com criptografia total do disco rígido e software antivírus atualizado. Somente dispositivos emitidos pela empresa podem acessar redes corporativas e de produção.
Gerenciamento de incidentes de segurança de informações
A SurveyMonkey mantém políticas e procedimentos de resposta a incidentes de segurança que abrangem resposta inicial, investigação, notificação do cliente (no mínimo conforme o exigido por lei), comunicação pública e remediação. Essas políticas são revisadas regularmente e testadas duas vezes por ano.
Notificação de violação
Apesar dos melhores esforços empenhados, nenhum método de transmissão pela internet e nenhum método de armazenamento eletrônico é totalmente seguro. Não podemos garantir segurança absoluta. No entanto, se a SurveyMonkey toma ciência de uma violação de segurança notificamos os usuários afetados para que eles possam tomar medidas de proteção adequadas. Nossos procedimentos de notificação de violação são compatíveis com nossas obrigações nos termos de várias leis e regulamentos estaduais e federais, bem como de quaisquer regras ou padrões do setor aplicáveis a nós. Temos o compromisso de manter nossos clientes totalmente informados sobre qualquer questão relevante à segurança de sua conta e de fornecer a eles todas as informações necessárias para cumprirem suas próprias obrigações regulamentares de comunicação.
Aspectos de segurança de informações do gerenciamento de continuidade dos negócios
O backup dos bancos de dados da SurveyMonkey é realizado de forma rotativa em backups totais e incrementais, e os bancos de dados são verificados regularmente. Os backups são criptografados e armazenados no ambiente de produção para preservar sua confidencialidade e integridade. Além disso, são testados regularmente para garantir a disponibilidade.
Suas responsabilidades
A manutenção da segurança de seus dados também requer a manutenção da segurança de sua conta pelo uso de senhas suficientemente complicadas e do armazenamento delas de forma segura. Você também deve garantir que tenha segurança suficiente em seus próprios sistemas. Oferecemos o TLS para proteger a transmissão de respostas de questionários, mas é sua responsabilidade garantir que seus questionários sejam configurados para usar esse recurso sempre que necessário. Para obter mais informações sobre como proteger seus questionários, acesse nossa Central de ajuda. Este artigo foi elaborado para clientes da SurveyMonkey, mas algumas orientações se aplicam igualmente a nossos clientes Wufoo.
Registro e monitoramento
Os sistemas de aplicativos e de infraestrutura registram informações em um repositório central para fins de solução de problemas, revisão de segurança e análise de funcionários autorizados da SurveyMonkey. Os registros são mantidos de acordo com os requisitos regulamentares. Caso ocorra algum incidente de segurança que afete sua conta, forneceremos aos clientes assistência razoável e acesso aos registros.
