Sicherheitsrichtlinien

LETZTE ÄNDERUNG: 1. Juli 2021

Sofern nicht anders angegeben, gelten diese Sicherheitsrichtlinien für die von Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli und deren Tochter- und Partnerunternehmen (gemeinsam „Momentive“), unter den Namen „Momentive“, „SurveyMonkey“ und „Wufoo“ und „GetFeedback“ bereitgestellten Produkte, Dienstleistungen, Websites und Apps. Diese Produkte, Dienstleistungen, Websites und Apps sind in der vorliegenden Richtlinie unter dem Begriff „Services“ zusammengefasst. Diese Sicherheitsrichtlinien sind zudem Bestandteil der Nutzervereinbarungen für Kunden von SurveyMonkey und Wufoo.

Momentive schätzt das Vertrauen seiner Kunden bei der Verwahrung ihrer Daten. Wir nehmen unsere Verantwortung ernst, Ihre Informationen zu schützen und zu sichern, und wir bemühen uns stets um die vollständige Transparenz unserer unten beschriebenen Sicherheitspraktiken. Unsere Datenschutzerklärung beschreibt außerdem im Detail, wie wir mit Ihren Daten umgehen.

Die Informationssysteme und technische Infrastruktur von Momentive werden in erstklassigen, SOC 2-akkreditierten Rechenzentren gehostet. Die physische Sicherheit in diesen Rechenzentren wird mithilfe von 24x7-Überwachung, Kameras, Besucherprotokollen, Zutrittsbeschränkungen und allem für Hochsicherheits-Datenverarbeitungseinrichtungen erwarteten Maßnahmen gewährleistet.

Momentive hat Governance-, Risikomanagement- und Konformitätspraktiken implementiert, die mit den meisten weltweit anerkannten Rahmenwerken für Informationssicherheit übereinstimmen. Momentive hat die ISO 27001-Zertifizierung erhalten. Darüber hinaus ist das Produkt SurveyMonkey Enterprise HIPAA-konform, und unsere Produkte SurveyMonkey, Wufoo und SurveyMonkey Apply sind nach den Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS 3.2) zertifiziert.

Zugriff auf die Technologieressourcen von Momentive ist nur über eine sichere Verbindung zulässig (z. B. VPN, SSH) und erfordert eine Multi-Faktor-Authentifizierung. Unsere Passwortrichtlinien fordern Komplexität, zeitliche Begrenzung und Sperrung. Passwörter dürfen nicht wiederverwendet werden. Momentive gewährt Zugriff nach Wissensbedarf auf der Basis des Prinzips minimaler Rechte, prüft die Berechtigungen vierteljährlich und widerruft den Zugriff unmittelbar nach dem Ausscheiden des betreffenden Mitarbeiters.

Momentive pflegt, prüft und aktualisiert seine Informationssicherheitsrichtlinien mindestens jährlich. Die Richtlinien müssen jährlich von den Mitarbeitern zur Kenntnis genommen werden. Darüber hinaus absolvieren die Mitarbeiter je nach ihren beruflichen Aufgaben Schulungen. Die Schulungen wurden konzipiert, um alle für Momentive geltenden Spezifikationen und Richtlinien zu erfüllen.

Momentive führt zum Zeitpunkt der Einstellung ein Background Screening durch (sofern durch geltende Gesetze und im entsprechenden Land erlaubt und ermöglicht). Darüber hinaus informiert Momentive alle Mitarbeiter (die dies ausdrücklich zur Kenntnis nehmen müssen) über seine Richtlinien zur Informationssicherheit, verpflichtet neue Mitarbeiter, Geheimhaltungsvereinbarungen zu unterzeichnen und stellt laufend Schulungen zu Datenschutz und Sicherheit bereit.

Momentive verfügt über eine dedizierte Trust & Security-Organisation, die sich mit der Anwendungs-, Cloud-, Netzwerk- und Systemsicherheit befasst. Das Team ist u. a. für die Sicherheitscompliance, Fortbildung und Eingriffe bei Sicherheitsvorfällen verantwortlich.

Momentive arbeitet mit einem dokumentierten Programm für Schwachstellenmanagement. Im Rahmen dieses Programms werden regelmäßig Scans durchgeführt; dabei werden Sicherheitsschwachstellen auf Servern, Workstations, Netzwerkgeräten und in Anwendungen identifiziert und behoben. Alle Netzwerke einschließlich Test- und Produktionsumgebungen werden mithilfe von vertrauenswürdigen externen Anbietern regelmäßig gescannt. Wichtige Patches werden ihrer Priorität entsprechend auf Server aufgespielt und alle anderen Patches werden ihrem Bedarf entsprechend gehandhabt.

Wir führen regelmäßig interne und externe Penetrationstests durch und nehmen je nach Schweregrad des Ergebnisses ggf. entsprechende Korrekturen vor.

Momentive verschlüsselt alle Daten in unseren Rechenzentren mithilfe von Verschlüsselung auf AES 256-Basis. Darüber hinaus verschlüsselt Momentive alle Daten bei der Übertragung mittels (i) RSA mit von einer öffentlichen Zertifizierungsstelle generierten Zertifikaten mit einer Schlüssellänge von 2048 Bits für die Kommunikation mit Entitäten außerhalb der Rechenzentren von Momentive, und (ii) von einer internen Zertifizierungsstelle generierten RSA 256-Zertifikaten für alle Daten im Rechenzentrum.

Unser Entwicklungsteam arbeitet mit sicheren Codierungstechniken und Best Practices, welche auf die OWASP Top Ten fokussiert sind. Die Entwickler werden bei ihrem Eintritt ins Unternehmen sowie anschließend jährlich speziell bezüglich sicherer Anwendungspraktiken für Webanwendungen geschult.

Entwicklungs-, Test- und Produktionsumgebungen sind getrennt. Alle Änderungen werden begutachtet und zu Performance-, Prüf- und forensischen Zwecken protokolliert, bevor sie in der Produktionsumgebung bereitgestellt werden.

Momentive verfügt über eine Asset-Management-Richtlinie zur Identifikation, Klassifizierung, Beibehaltung und Entsorgung von Informationen und Assets. Die vom Unternehmen ausgegebenen Geräte sind mit einer umfassenden Verschlüsselungssoftware für Festplatten sowie mit aktueller Virenschutzsoftware ausgestattet. Nur vom Unternehmen ausgegebene Geräte haben Zugang zu den Produktionsnetzwerken des Unternehmens.

Momentive verfügt über einen Prozess für Maßnahmen bei Sicherheitszwischenfällen, der die erste Reaktion, Untersuchung, Kundenbenachrichtigung (nicht weniger als gesetzlich vorgeschrieben), öffentliche Kommunikation und Behebung abdeckt. Dieser Prozess wird regelmäßig überprüft und jährlich zweimal getestet.

Trotz größter Bemühungen kann keine Internetübertragungsmethode und keine elektronische Speichermethode absolut sicher sein. Daher können wir auch keine absolute Sicherheit garantieren. Wenn Momentive von einem Versagen der Sicherheitssysteme erfährt, werden wir die betroffenen Benutzer benachrichtigen, sodass sie entsprechende Maßnahmen zu ihrem Schutz vornehmen können. Unsere Maßnahmen zur Benachrichtigung über ein Versagen der Sicherheitssysteme entsprechen unseren Verpflichtungen gemäß entsprechender staatlicher und bundesstaatlicher Gesetze und Vorgaben sowie Branchenregelungen oder -standards, die auf uns zutreffen. Wir haben uns verpflichtet, unsere Kunden bezüglich jeglicher Angelegenheiten, welche die Sicherheit ihrer Konten betreffen, vollständig auf dem Laufenden zu halten und ihnen sämtliche Informationen bereitzustellen, die sie für die Erfüllung ihrer eigenen regulatorischen Verpflichtungen benötigen.

Sicherungskopien werden verschlüsselt und in der Produktionsumgebung gespeichert, um die Vertraulichkeit und Integrität zu wahren. Momentive setzt eine Sicherungsstrategie ein, um minimale Ausfallzeiten und Datenverluste sicherzustellen. Der Geschäftskontinuitätsplan (Business Continuity Plan, BCP) wird regelmäßig getestet und aktualisiert, um seine Wirksamkeit im Katastrophenfall sicherzustellen.

Um die Sicherheit Ihrer Daten zu gewährleisten, müssen Sie für die Sicherheit Ihres Kontos sorgen, indem Sie ausreichend komplexe Passwörter verwenden und diese auch sicher speichern. Darüber hinaus sollten Sie sicherstellen, dass Ihre eigenen Systeme ausreichend gesichert sind. Für die sichere Übertragung von Umfrageantworten bieten wir TLS. Sie müssen jedoch bei der Konfiguration Ihrer Umfragen dafür sorgen, dass diese Funktion bei Bedarf verwendet wird. Weitere Informationen zur Absicherung Ihrer Umfragen finden Sie im Hilfecenter.

Anwendungs- und Infrastruktursysteme protokollieren Informationen in einem zentral verwalteten Log Repository. Hier werden von autorisierten Momentive-Mitarbeitern Fehlerdiagnosen, Sicherheitsprüfungen und Analysen durchgeführt. Die Protokolle werden im Einklang mit behördlichen Anforderungen aufbewahrt. Im Fall von Sicherheitszwischenfällen, die Kundenkonten betreffen, bieten wir unseren Kunden angemessene Hilfe und Zugang zu Protokollen.