Declaração de segurança

ÚLTIMA ATUALIZAÇÃO: 1 de julho de 2021

Esta Declaração de segurança se aplica aos produtos, serviços, sites e aplicativos oferecidos pela Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli e suas afiliadas (coletivamente, “Momentive”), cujas marcas são “Momentive”, “SurveyMonkey”, “Wufoo” e “GetFeedback”, exceto indicação em contrário. Nós nos referimos a esses produtos, serviços, sites e aplicativos coletivamente como os “serviços” nesta política. A Declaração de segurança faz parte dos contratos do usuário para clientes da SurveyMonkey e da Wufoo.

A Momentive valoriza a confiança de nossos clientes quanto a seus dados. Assumimos nossa responsabilidade de proteger suas informações e buscar a total transparência quanto a nossas práticas de segurança detalhadas abaixo. Nosso Aviso de privacidade também contém outros detalhes sobre as formas de tratarmos seus dados.

Os sistemas de informações e a infraestrutura técnica da Momentive são hospedados em centros mundiais de dados credenciados pelo SOC 2. Os controles físicos de segurança desses centros de dados incluem monitoramento 24 horas, câmeras, registro de visitantes, restrições de entrada e qualquer outro requisito esperado de instalações de processamento de dados com alto nível de segurança.

A Momentive implementou práticas de governança, gerenciamento de riscos e conformidade alinhadas às estruturas de segurança da informação reconhecidas mundialmente. A empresa também conquistou a certificação ISO 27001. Além disso, o produto SurveyMonkey Enterprise cumpre com os requisitos da norma HIPAA, e os produtos SurveyMonkey, Wufoo e SurveyMonkey Apply têm a certificação PCI DSS 3.2 (Padrão de Segurança de Dados do Setor de Cartões de Pagamento).

O acesso aos recursos de tecnologia da Momentive só é permitido por meio de conectividade segura (por exemplo, VPN, SSH) e exige autenticação multifator. Nossa política de criação de senha exige complexidade, expiração e bloqueio, e não permite a reutilização. A Momentive concede acesso com base nas regras do menor privilégio e conforme a necessidade, revisa as permissões trimestralmente e revoga imediatamente o acesso após o desligamento de funcionários.

A Momentive mantém, analisa e atualiza suas políticas de segurança de informações no mínimo uma vez por ano. Os funcionários devem indicar aceitação dessas políticas anualmente e passar por treinamento adicional específico do cargo. O treinamento é desenvolvido para aderir a todas as especificações e regulamentos aplicáveis à Momentive.

A Momentive realiza a verificação de antecedentes no momento da contratação (na medida do permitido ou facilitado pela legislação aplicável ou pelo país). Além disso, comunica suas políticas de segurança de informações a todos os funcionários (que devem confirmar seu entendimento delas), exige que os novos funcionários assinem contratos de confidencialidade e fornece treinamento contínuo de privacidade e segurança.

A Momentive tem uma organização dedicada de Confiança e Segurança que é focada na segurança dos aplicativos, da nuvem, da rede e do sistema. Essa equipe também é responsável pela conformidade, orientação e resposta a incidentes de segurança.

A Momentive mantém um programa documentado de gerenciamento de vulnerabilidades que inclui verificações periódicas, identificação e remediação de vulnerabilidades de segurança em servidores, estações de trabalho, equipamentos de rede e aplicativos. Todas as redes, inclusive os ambientes de teste e produção, são verificadas regularmente usando fornecedores externos de confiança. Correções críticas são aplicadas nos servidores com base na prioridade e conforme apropriado a todas as demais correções.

Também realizamos regularmente testes de penetração interna e externa, e corrigimos de acordo com a severidade dos resultados encontrados.

A Momentive criptografa todos os dados inativos em nossos centros de dados usando criptografia AES-256. Ela também criptografa todos os dados ativos com: (i) certificados RSA-2048 gerados por uma Autoridade de Certificação pública em comunicações com entidades de fora de seus centros de dados; e (ii) certificados RSA-256 gerados pela Autoridade de Certificação Interna com todos os dados do centro de dados.

Nossa equipe de desenvolvimento emprega técnicas de codificação segura e práticas recomendadas baseadas no OWASP Top Ten. Os desenvolvedores são treinados formalmente em práticas seguras de desenvolvimento de aplicativos da Web após a contratação e anualmente.

Os ambientes de desenvolvimento, teste e produção são separados. Todas as alterações são revisadas por colegas e registradas para fins forenses, de desempenho e de auditoria antes da implementação no ambiente de produção.

A Momentive tem uma política de gerenciamento de ativos que inclui identificação, classificação, retenção e descarte de informações e ativos. Os aparelhos emitidos pela empresa são equipados com criptografia total do disco rígido e software antivírus atualizado. Somente aparelhos emitidos pela empresa podem acessar redes corporativas e de produção.

A Momentive segue um processo de resposta a incidentes de segurança que abrange resposta inicial, investigação, notificação do cliente (no mínimo conforme o exigido por lei), comunicação pública e remediação. Esse processo é revisado regularmente e testado duas vezes por ano.

Apesar dos melhores esforços envidados, nenhum método de transmissão pela internet e nenhum método de armazenamento eletrônico é totalmente seguro. Não podemos garantir segurança absoluta. No entanto, se a Momentive tomar ciência de uma violação de segurança, notificaremos aos usuários afetados para que eles possam tomar medidas de proteção adequadas. Nossos procedimentos de notificação de violação são compatíveis com nossas obrigações nos termos de várias leis e regulamentos estaduais e federais, bem como de quaisquer regras ou padrões do setor aplicáveis a nós. Temos o compromisso de manter nossos clientes totalmente informados sobre qualquer questão relevante à segurança de sua conta e de fornecer a eles todas as informações necessárias para cumprirem suas próprias obrigações regulamentares de comunicação.

Os backups são criptografados e armazenados no ambiente de produção para preservar sua confidencialidade e integridade. A Momentive emprega uma estratégia de backup para minimizar o tempo de inatividade e a perda de dados. O Plano de Continuidade dos Negócios (PCN) é testado e atualizado regularmente para garantir sua eficácia em caso de desastre.

A manutenção da segurança de seus dados também requer o cuidado com a segurança de sua conta através do uso de senhas suficientemente complexas e do armazenamento delas de forma segura. Você também deve garantir que tenha segurança suficiente em seus próprios sistemas. Oferecemos o TLS para proteger a transmissão de respostas de questionários, mas é sua responsabilidade garantir que seus questionários sejam configurados para usar esse recurso sempre que necessário. Para obter mais informações sobre como proteger seus questionários, acesse nossa Central de ajuda.

Os sistemas de aplicativos e de infraestrutura registram informações em um repositório central para fins de solução de problemas, revisão de segurança e análise de funcionários autorizados da Momentive. Os registros são mantidos de acordo com os requisitos regulamentares. Caso ocorra algum incidente de segurança que afete sua conta, forneceremos aos clientes assistência razoável e acesso aos registros.