Milhões de usuários têm confiado à SurveyMonkey seus dados de questionário e nós encaramos como prioridade máxima a segurança e outras perguntas de privacidade de nossos usuários. Fazemos o possível para garantir que os dados dos usuários sejam mantidos em segurança e que coletamos apenas os dados pessoais necessários para tornar a experiência de nossos usuários com a SurveyMonkey o mais eficiente e satisfatória possível.

A SurveyMonkey utiliza algumas das tecnologias mais avançadas para segurança na internet disponíveis hoje no mercado. Esta declaração de segurança tem como objetivo ser transparente quanto às nossas práticas infraestrutura de segurança, de modo a ajudar a tranquilizar o usuário de que seus dados estão suficientemente protegidos.

Segurança de usuários e aplicativos

  • Criptografia SSL/TLS: Os usuários podem determinar se desejam coletar respostas de questionário sobre conexões SSL/TLS seguras e criptografadas. Todas as outras comunicações com o site surveymonkey.com são enviadas por meio de conexões SSL/TLS. A tecnologia Secure Sockets Layer (SSL) e a tecnologia Transport Layer Security (TLS) – sucessora da SSL – protegem as comunicações usando autenticação no servidor e criptografia de dados. Isso garante que os dados em trânsito do usuário estejam seguros e disponíveis apenas para os destinatários pretendidos.
  • Autenticação do usuário: Os dados do usuário em nosso banco de dados estão logicamente segregados por regras de acesso baseadas em contas. As contas de usuários têm nomes de usuários e senhas exclusivos que devem ser inseridos cada vez que um usuário faz login. A SurveyMonkey emite uma cookie de sessão apenas para gravar informações de autenticação criptografadas para a duração de uma sessão específica. O cookie de sessão não inclui a senha do usuário.
  • Senhas do usuário: As senhas de aplicativo do usuário tem requisitos mínimos de complexidade. As senhas são embaralhadas e codificadas individualmente.
  • Criptografia de dados: Alguns dados confidenciais do usuário, tais como informações de cartão de crédito e senhas de contas, são armazenados em formato criptografado.
  • Portabilidade de dados: A SurveyMonkey permite que exporte seus dados do nosso sistema em diversos formatos para que possa guardá-lo ou usá-lo com outros aplicativos.
  • Privacidade: Temos uma política de privacidade abrangente que fornece uma visão bastante transparente de como lidamos com os seus dados, incluindo como usamos seus dados, com quem o compartilhamos e por quanto tempo os mantemos armazenados.
  • HIPAA: Recursos avançados de segurança para contas com HIPAA habilitado.

Segurança física

  • Centrais de dados: A infra-estrutura de nossos sistemas de informações (servidores, equipamentos de rede, etc.) fica alocada em centrais de dados auditados terceirizadas SSAE 16/ SOC 2. Possuímos e gerenciamos todos os nossos equipamentos alocados em tais centrais de dados.
  • Segurança da central de dados: nossas centrais de dados possuem funcionários e vigilância em tempo integral (24/7). O acesso aos dados é protegido por guardas, registros de visitantes e exigências de entrada, tais como senhas e reconhecimento biométrico. Nossos equipamentos são armazenados em uma estrutura trancada.
  • Controles ambientais: Nossa central de dados é mantida em temperaturas e faixas de umidade controladas que são continuamente monitoradas quanto a variações. Sistemas de detecção de fumaça e incêndio e sistemas de resposta estão implementados.
  • Local: todos os dados de usuários são armazenados em servidores localizados nos Estados Unidos e em Luxemburgo.

Disponibilidade

  • Conectividade: Conexões de rede de IP totalmente redundantes com várias conexões independentes para uma gama de provedores de acesso à internet da Camada 1.
  • Energia: Os servidores têm alimentação de energia redundante interna e externa. A central de dados tem fontes de alimentação de backup, e é capaz de extrair energia das várias subestações da rede elétrica, vários geradores a diesel e baterias de backup.
  • Tempo de atividade: monitoramento constante das atividades, com escalonamento imediato para a equipe da SurveyMonkey em caso de inatividade.
  • Failover: O banco de dados é transmitido para servidores reserva e podem efetuar failover em menos de uma hora.

Segurança de rede

  • Tempo de atividade: monitoramento constante das atividades, com escalonamento imediato para a equipe da SurveyMonkey em caso de inatividade.
  • Varreduras de terceiros: varreduras de segurança semanais são realizadas pela Qualys.
  • Teste: Alterações de funcionalidade e design de sistema são verificadas em um ambiente “sandbox” de teste isolado e estão sujeitas a testes funcionais e de segurança antes da implantação de sistemas de produção de ativos.
  • Firewall: O firewall restringe o acesso a todas as portas, exceto às portas 80 (http) e 443 (https).
  • Aplicando correções: Últimas correções de segurança são aplicadas a todos sistemas operacionais e arquivos de aplicativos para mitigar vulnerabilidades recém-descobertas.
  • Controle de acesso: Autenticação multifatorial VPN segura e acesso baseado na função são aplicados para o gerenciamento de sistemas por equipe de engenharia autorizada.
  • Registros e auditoria: Sistemas de registro central capturam e arquivam todos os acessos aos sistemas internos, incluindo eventuais tentativas frustradas de autenticação.

Segurança de armazenamento

  • Frequência de backup: Os backups ocorrem de hora em hora internamente, além de serem feitos diariamente em um sistema de backup centralizado para armazenamento em vários locais fisicamente independentes.
  • Redundância de produção: Os dados são armazenados em uma matriz RAID 10. O SO é armazenado em uma matriz RAID 1.

Segurança organizacional e administrativa

  • Triagem de funcionários: Realizamos triagem em plano de fundo para todos os funcionários.
  • Treinamento: Oferecemos aos funcionários treinamentos para uso de tecnologia e segurança.
  • Provedores de serviços: Nós filtramos nossos provedores de serviços e os vinculamos sob contrato com as obrigações de confidencialidade apropriadas, sempre que lidam com dados de usuário.
  • Acesso: Os controles de acesso a dados confidenciais em nossos bancos de dados, sistemas e ambientes são definidos conforme a necessidade mínima de privilégios necessária.
  • Registros de auditoria: Mantemos e monitoramos registros de auditoria de nossos serviços e sistemas (nossos sistemas de registro geram diversos gigabytes de arquivos de registros todos os dias).
  • Políticas de segurança de informações: Mantemos políticas internas de segurança de informações, incluindo planos de resposta a incidentes, e os analisamos e atualizamos regularmente

Práticas de desenvolvimento de software

  • Pilha: Codificamos em linguagem Python e C# e executamos nossos sistemas em SQL Server 2008, Ubuntu Linux e Windows 2008 Server.
  • Práticas de codificação: Nossos engenheiros usam práticas recomendadas e orientações de codificação seguras padrão do setor para garantir uma codificação segura.

Gerenciamento de falhas de segurança

Apesar dos melhores esforços empenhados, nenhum método de transmissão pela internet e nenhum método de armazenamento eletrônico é totalmente seguro. Não podemos garantir segurança absoluta. No entanto, se a SurveyMonkey toma ciência de uma violação de segurança notificamos os usuários afetados para que eles possam tomar medidas de proteção adequadas. Nossos procedimentos de notificação de violação são compatíveis com nossas obrigações sob várias leis e regulamentos estaduais e federais, bem como quaisquer regras ou padrões da indústria a que tenhamos aderido. Procedimentos de notificação incluem o fornecimento de avisos por email ou a publicação de um aviso em nosso site, caso ocorra alguma violação.

Suas responsabilidades

Manter seus dados seguros também depende da sua colaboração usando senhas suficientemente complicadas e armazenando-as de forma segura. Também é preciso garantir que seus próprios sistemas tenham segurança suficiente para manter todos os dados de questionário baixados em seu computador longe de olhares indiscretos. Oferecemos o SSL para proteger a transmissão de respostas de questionários, mas é sua responsabilidade garantir que seus questionários sejam configurados para usar esse recurso sempre que necessário.

Solicitações personalizadas

Devido ao número de clientes que utilizam nossos serviços, algumas perguntas de segurança ou formulários personalizados de segurança só podem ser abordados por clientes que compram um determinado volume de contas de usuário dentro de uma assinatura da SurveyMonkey Enterprise. Se a sua empresa possui um grande volume de usuários em potencial ou ativos, e está interessado em explorar tais arranjos, confira em www.surveymonkey.com/mp/enterprise.

Última atualização: 9 de setembro de 2013.