Milhões de usuários já forneceram dados de questionários à SurveyMonkey. Portanto, levamos as preocupações de segurança e de privacidade de nossos usuários a sério. Nós nos esforçamos para que os dados dos usuários sejam tratados com segurança. A SurveyMonkey usa as tecnologias mais avançadas em segurança na internet disponíveis comercialmente nos dias de hoje. A Declaração de segurança visa ser transparente quanto à nossa infraestrutura e às nossas práticas de segurança para assegurar você de que seus dados são protegidos adequadamente. Consulte nossa Política de Privacidade para obter mais informações sobre como o tratamento de dados.

Segurança do usuário

  • Autenticação do usuário: os dados dos usuários em nosso banco de dados são separados logicamente por regras de acesso para cada conta. As contas de usuário têm nomes de usuário e senhas únicos que devem ser inseridos sempre que o usuário faz login. A SurveyMonkey emite um cookie de sessão para registrar informações criptografadas de autenticação somente durante a sessão. O cookie de sessão não inclui a senha do usuário.
  • Senhas: as senhas do aplicativo do usuário têm requisitos mínimos de complexidade. Sais e hashes são gerados individualmente para cada senha.
  • Login unificado: para nossas contas de Colaboração em equipe, a SurveyMonkey oferece suporte à integração com SAML 2.0, que permite controlar o acesso à SurveyMonkey em toda a sua organização e definir políticas de autenticação para mais segurança. Para obter mais detalhes, acesse nossa página de ajuda de login unificado .
  • Criptografia de dados: certos dados confidenciais de usuário, como informações de cartão de crédito e senhas de conta, são armazenados em um formato criptografado.
  • Portabilidade de dados: a SurveyMonkey permite exportar seus dados de nosso sistema em vários formatos para que você possa fazer backup ou usá-los com outros aplicativos.
  • Privacidade: temos uma Política de Privacidade abrangente que oferece uma visão transparente de como lidamos com seus dados, inclusive forma de uso, tempo de retenção e compartilhamento.
  • Residência dos dados: todos os dados de usuários da SurveyMonkey, a incluir a Wufoo, a TechValidate e o SurveyMonkey Intelligence, são armazenados em servidores localizados nos Estados Unidos. Todos os dados do FluidSurveys e do FluidReview são armazenados no Canadá.

Segurança física

Todos os sistemas e infraestruturas de informação da SurveyMonkey são hospedados nos melhores centros de dados. Esses centros de dados incluem todos os controles físicos de segurança necessários esperados de um centro de dados moderno (por exemplo, monitoramento 24 horas por dia, câmeras, logs de visitantes, requisitos de entrada). A SurveyMonkey tem gaiolas dedicadas para separar nossos equipamentos de outros locatários. Além disso, esses centros de dados têm certificação SOC 2. Para obter mais informações, acesse SuperNAP e InterNAP. Se você estiver procurando informações sobre o FluidSurvey ou o FluidReview, entre em contato conosco diretamente.

Disponibilidade

  • Conectividade: conexões de rede IP totalmente redundantes com várias conexões independentes a um intervalo de provedores de acesso à internet de camada 1.
  • Alimentação: os servidores têm fontes de alimentação internas e externas redundantes. Os centros de dados têm fontes de alimentação reserva e podem obter energia das várias subestações da grade, de vários geradores a diesel e de baterias reserva.
  • Tempo de atividade: monitoramento contínuo do tempo de atividade com notificação imediata da equipe da SurveyMonkey em caso de queda do serviço.
  • Failover: nosso banco de dados é replicado em tempo real e pode tolerar falhas em até uma hora.
  • Frequência de backup: os backups são realizados diariamente em várias localizações geográficas diferentes.

Segurança de rede

  • Teste: as mudanças na funcionalidade e no design do sistema são verificadas em um ambiente de teste isolado e sujeitas a testes funcionais e de segurança antes da implantação em sistemas de produção ativa.
  • Firewalls: os firewalls restringem o acesso a todas as portas, exceto a 80 (http) e a 443 (https).
  • Controle de acesso: VPN seguro, 2FA (autenticação de dois fatores) e acesso com base em função para gerenciamento dos sistemas por uma equipe técnica autorizada.
  • Registro e auditoria: os sistemas centrais de log capturam e arquivam todos os acessos aos sistemas internos, inclusive falhas em tentativas de autenticação.
  • Criptografia em trânsito: por padrão, nossos coletores de questionários têm o protocolo TLS (segurança da camada de transporte) habilitado para criptografar o tráfego dos respondentes. Todas as demais comunicações com o site da surveymonkey.com são enviadas por conexões TLS, que as protegem usando a autenticação do servidor e a criptografia de dados. Isso permite que os dados do usuário em trânsito fiquem protegidos e sejam disponibilizados somente para os destinatários desejados. Nossos terminais de aplicativos são exclusivamente para TLS e foram avaliados com nota “A” nos testes da SSL Labs. Nós também empregamos PFS e aceitamos somente criptografias fortes, para maior privacidade e segurança.

Administração de vulnerabilidades

  • Aplicação de patch: as correções de segurança mais recentes são aplicadas a todos os sistemas operacionais, aplicativos e infraestruturas de rede para mitigar a exposição a vulnerabilidades.
  • Varreduras de terceiros: nossos ambientes são constantemente verificados usando as melhores ferramentas de segurança. Essas ferramentas são configuradas para executar avaliações de vulnerabilidade de aplicativos e da rede, que testam o status do patch e erros básicos de configuração dos sistemas e dos sites.
  • Testes de penetração: organizações externas realizam testes de penetração pelo menos uma vez ao ano.
  • Programa Bug Bounty: nós levamos a segurança de nossas plataformas a sério! A SurveyMonkey tem um programa de recompensa por descobertas de bugs para garantir que as vulnerabilidades dos nossos aplicativos sejam constantemente identificadas.

Segurança organizacional e administrativa

  • Políticas de segurança de informações: temos políticas internas de segurança de informações, inclusive planos de resposta a incidentes, e as revisamos e atualizamos regularmente.
  • Triagem de funcionários: nós fazemos uma triagem de antecedentes de todos os funcionários de acordo com o permitido pelas leis locais.
  • Treinamento: fornecemos treinamento em segurança e uso de tecnologia para nossos funcionários.
  • Prestadores de serviços: fazemos uma triagem de nossos prestadores de serviços e, casos eles usem dados dos usuários, assinamos um contrato de obrigações de confidencialidade e segurança.
  • Acesso: os controles de acesso a dados confidenciais em nossos bancos de dados, sistemas e ambientes são definidos conforme o necessário e de acordo com os privilégios mínimos exigidos.
  • Registro de auditoria: mantemos e monitoramos logs de auditoria em nossos serviços e sistemas.

Práticas de desenvolvimento de software

  • Pilha: codificamos em linguagem Python e executamos nossos sistemas em SQL Server, Windows e Ubuntu.
  • Práticas de codificação: nossos técnicos usam as práticas recomendadas e as diretrizes de segurança padrão do setor condizentes com o OWASP Top 10.
  • Implantação: implantamos códigos dezenas de vezes durante a semana, possibilitando reagirmos rapidamente caso um erro ou uma vulnerabilidade seja descoberta no nosso código.

Certificados e conformidades

  • PCI: a SurveyMonkey está em conformidade com o PCI 3.1.
  • HIPAA: a SurveyMonkey oferece recursos avançados de segurança em conformidade com as normas HIPAA. Para mais detalhes, acesse nossa página de conformidade com a norma HIPAA.

Resolução de violações de segurança

Apesar de nossos esforços, nenhum método de transmissão online ou de armazenamento eletrônico é perfeitamente seguro. Não podemos garantir segurança absoluta. No entanto, quando a SurveyMonkey descobre uma falha de segurança, notifica os usuários afetados para que eles possam tomar as devidas medidas de proteção. Nossos procedimentos de notificação de falha de segurança são coerentes com nossas obrigações legais e regulamentares no âmbito nacional e estadual, bem como com regras e padrões do setor a que nós aderimos. Os procedimentos de notificação em caso de violação incluem avisos por email ou publicados em nosso site.

Suas responsabilidades

A proteção dos seus dados também depende de você. Mantenha sua conta em segurança usando senhas suficientemente complicadas e guardando-as em segurança. Você também precisa ter segurança suficiente em seus próprios sistemas para manter os dados dos questionários que você baixar em seu computador longe de invasores. Nós oferecemos TLS para proteger a transmissão das respostas dos questionários, mas é sua responsabilidade garantir que eles sejam configurados para usar esse recurso quando adequado. Para obter mais informações sobre como proteger seus questionários, acesse nossa Central de ajuda.

Solicitações de clientes

Devido à quantidade de clientes que usa nosso serviço, perguntas específicas ou formulários personalizados de segurança podem ser enviados somente por clientes que adquirirem um número específico de contas de usuário em uma assinatura da SurveyMonkey. Se sua empresa tiver uma grande quantidade de usuários existentes ou potenciais e estiver interessada em explorar essas possibilidades, consulte a Colaboração em equipe.

Última atualização: 13 de julho de 2016.