Millionen von Benutzern vertrauen SurveyMonkey ihre Umfragedaten an, und Sicherheit und Schutz der Daten unserer Benutzer genießen bei uns höchste Priorität. Wir tun alles, um sicherzustellen, dass Benutzerdaten sicher verwaltet werden. SurveyMonkey nutzt einige der modernsten Technologien für Internetsicherheit, die heute im Handel erhältlich sind. Die vorliegenden Sicherheitsrichtlinien sollen unsere Sicherheitsinfrastruktur und unsere Sicherheitspraktiken darlegen, damit Sie sich davon überzeugen können, dass Ihre Daten angemessen geschützt werden. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzrichtlinie.

Benutzersicherheit

  • Benutzerauthentifizierung: Die Benutzerdaten in unserer Datenbank werden anhand von kontobasierten Zugriffsregeln logisch getrennt. Die Benutzerkonten haben eindeutige Benutzernamen und Passwörter, die bei jeder Anmeldung eines Benutzers eingegeben werden müssen. SurveyMonkey generiert ein Sitzungscookie lediglich deswegen, um für die Dauer der aktuellen Sitzung verschlüsselte Authentifizierungsinformationen aufzuzeichnen. Das Benutzerpasswort wird nicht im Sitzungscookie abgelegt.
  • Passwörter: Für Passwörter von Benutzeranwendungen gelten Mindestanforderungen an die Komplexität. Salting und Hashing erfolgen jeweils individuell für jedes Passwort.
  • Single Sign-On: Für die Konten zur Zusammenarbeit im Team unterstützt SurveyMonkey die SAML 2.0-Integration. So kontrollieren Sie den Zugriff auf SurveyMonkey unternehmensweit und können zur Verbesserung der Sicherheit Authentifizierungsrichtlinien festlegen. Weitere Informationen hierzu finden Sie auf der SSO-Hilfeseite.
  • Datenverschlüsselung: Bestimmte sensible Benutzerdaten wie Kreditkartendaten und Kontopasswörter werden verschlüsselt gespeichert.
  • Datenportabilität: SurveyMonkey ermöglicht es Ihnen, Ihre Daten in einer Vielzahl von Formaten aus unserem System zu exportieren, damit Sie sie sichern oder in anderen Anwendungen verwenden können.
  • Datenschutz: Wir haben eine umfangreiche Datenschutzrichtlinie, die transparent darlegt, wie wir unsere Daten verwalten. Dies betrifft die Nutzung Ihrer Daten, die Personen, für die wir sie freigeben, und die Speicherungsdauer.
  • Datenspeicherung: Alle SurveyMonkey-Benutzerdaten einschließlich solcher aus Wufoo, TechValidate und SurveyMonkey Intelligence werden auf Servern in den Vereinigten Staaten von Amerika gespeichert. Für FluidSurveys und FluidReview werden sämtliche Daten in Kanada gespeichert.

Physische Sicherheit

Sämtliche Informationssysteme und die gesamte Infrastruktur von SurveyMonkey werden in Rechenzentren von Weltrang gehostet. Diese Rechenzentren verfügen über alle nötigen physischen Sicherheitskontrollen, die heute von einem Rechenzentrum verlangt werden (z. B. Überwachung rund um die Uhr, Videoüberwachung, Besucherprotokollierung und Zugangsbeschränkungen). Die Geräte von SurveyMonkey sind in eigenen Cages getrennt von den Geräten anderer Nutzer aufgestellt. Ferner sind diese Rechenzentren nach SOC 2 akkreditiert. Weitere Informationen hierzu finden Sie unter SuperNAP und InterNAP. Wenn Sie Informationen zu FluidSurvey oder FluidReview benötigen, wenden Sie sich bitte direkt an uns.

Verfügbarkeit

  • Konnektivität: Vollständig redundante IP-Netzwerkverbindungen mit jeweils separater Anbindung an mehrere Tier-1-Internetprovider.
  • Stromversorgung: Die Server sind mit redundanten internen und externen Netzversorgungsgeräten ausgestattet. Die Rechenzentren verfügen über Reserveversorgungsgeräte und können bei Bedarf Strom von mehreren Netzverteilerstationen, Dieselgeneratoren und Pufferbatterien beziehen.
  • Betriebsdauer: Kontinuierliche Betriebsüberwachung mit sofortiger Eskalation an SurveyMonkey-Mitarbeiter bei Ausfällen.
  • Failover : Unsere Datenbank wird in Echtzeit repliziert. Ein Failover ist in weniger als einer Stunde möglich.
  • Sicherungshäufigkeit: Sicherungen erfolgen täglich an mehreren geografisch verteilten Standorten.

Netzwerksicherheit

  • Tests: Systemfunktionalität und Änderungen an der Struktur werden in einer isolierten Sandbox-Umgebung getestet. Zudem werden vor der Bereitstellung in aktiven Produktionssystemen Funktions- und Sicherheitstests durchgeführt.
  • Firewalls: Firewalls beschränken den Zugriff auf die Ports 80 (HTTP) und 443 (HTTPS).
  • Zugriffssteuerung: Das gesamte Systemmanagement erfolgt mithilfe von Secure VPN, 2FA (Zwei-Faktor-Authentifizierung) und rollenbasiertem Zugriff. Die Maßnahmen werden durch autorisierte technische Mitarbeiter durchgesetzt.
  • Logging und Auditing: Zentrale Logsysteme erfassen und archivieren alle internen Systemzugriffe einschließlich fehlgeschlagener Authentifizierungsversuche.
  • Verschlüsselung bei der Übertragung: Standardmäßig nutzen unsere Umfrage-Collectors zur Verschlüsselung des von Befragten verursachten Traffics TLS (Transport Layer Security). Die gesamte übrige Kommunikation mit der Website von surveymonkey.com wird über TLS-Verbindungen gesendet, bei denen die Kommunikation sowohl durch Serverauthentifizierung als auch durch Datenverschlüsselung geschützt wird. Hierdurch wird gewährleistet, dass die übertragenen Benutzerdaten sicher, geschützt und nur den vorgesehenen Empfängern zugänglich sind. Auch unsere Anwendungsendpunkte nutzen ausschließlich TLS und wurden beim Test durch SSL Labs mit der Note „A“ („Ausgezeichnet“) bewertet. Ferner nutzen wir Forward Secrecy und unterstützen nur starke Schlüssel, um Datenschutz und Sicherheit zu erhöhen.

Management von Sicherheitslücken

  • Patching: Aktuelle Sicherheitspatches werden grundsätzlich für Betriebssysteme, Anwendungen und die Netzwerkinfrastruktur aufgespielt, um das Risiko von Sicherheitslücken möglichst gering zu halten.
  • Tests durch Drittanbieter: Unsere Umgebungen werden fortlaufend mit den besten Sicherheitstools geprüft. Diese Tools sind so konfiguriert, dass sie die Anfälligkeit von Anwendungen und Netzwerk bewerten. Prüfungen des Patchstatus erfolgen dabei ebenso wie Tests auf grundlegende Fehlkonfiguration von Systemen und Websites.
  • Penetrationstests: Externe Organisationen führen mindestens einmal im Jahr Penetrationstests durch.
  • Bug Bounty: Wir nehmen die Sicherheit unserer Plattformen sehr ernst! SurveyMonkey betreibt ein privates Bug-Bounty-Programm, um zu gewährleisten, dass unsere Anwendungen kontinuierlich auf Sicherheitslücken geprüft werden.

Organisatorische und administrative Sicherheit

  • Datensicherheitsrichtlinien: Wir setzen interne Datensicherheitsrichtlinien ein, zu denen auch Incident-Response-Pläne gehören. Diese Richtlinien werden von uns regelmäßig geprüft und aktualisiert.
  • Mitarbeiterprüfung: Wir überprüfen den Hintergrund sämtlicher Mitarbeiter im Rahmen der einschlägigen Gesetze.
  • Schulungen: Wir schulen unsere Mitarbeiter in den Bereichen Sicherheit und Technologieeinsatz.
  • Dienstanbieter: Wir überprüfen unsere Dienstanbieter und verpflichten sie im Falle eines Umgangs mit den Daten unserer Benutzer vertraglich zu angemessener Vertraulichkeit und Sicherheit.
  • Zugriff: Maßnahmen zur Steuerung des Zugriffs auf sensible Daten in unseren Datenbanken, Systemen und Umgebungen sorgen dafür, dass dieser Zugriff auf das maximal notwendige Maß beschränkt wird.
  • Audit-Logs: Wir pflegen und überwachen Audit-Logs zu unseren Services und Systemen.

Softwareentwicklungspraktiken

  • Stack: Wir entwickeln unsere Projekte in Python und nutzen SQL Server, Windows und Ubuntu.
  • Entwicklungspraktiken: Unsere Entwickler orientieren sich an Best Practices und Branchenempfehlungen für sicheres Programmieren entsprechend den OWASP Top 10.
  • Bereitstellung: Die Codebereitstellung erfolgt mehrmals pro Woche. Hierdurch können wir zeitnah auf Bugs oder Sicherheitslücken reagieren, die in unserem Code gefunden wurden.

Konformität und Zertifizierungen

  • PCI: SurveyMonkey ist derzeit PCI 3.1-konform.
  • HIPAA: SurveyMonkey bietet erweiterte Sicherheitsfunktionen, die HIPAA-Anforderungen unterstützen. Weitere Informationen hierzu finden Sie auf der Seite zur HIPAA-Konformität.

Umgang mit Sicherheitsverstößen

Trotz größter Bemühungen ist kein Übertragungsverfahren im Internet und kein Verfahren zur elektronischen Speicherung von Daten hundertprozentig sicher. Wir können absolute Sicherheit nicht garantieren. Sobald jedoch SurveyMonkey von einem Sicherheitsverstoß Kenntnis erlangt, benachrichtigen wir die betroffenen Benutzer, sodass sie entsprechende Schritte zu ihrem Schutz einleiten können. Unsere Benachrichtigungsverfahren bei Sicherheitsverstößen entsprechen unseren Verpflichtungen gemäß einschlägiger Bundes- und Staatsgesetze in den Vereinigten Staaten von Amerika wie auch Branchenregelungen – und -standards, die von uns eingehalten werden. Zu den Benachrichtigungsverfahren gehören im Fall von Sicherheitsverstößen die Benachrichtigung per E-Mail sowie die Bekanntgabe auf unserer Website.

Wofür Sie verantwortlich sind

Die Sicherheit Ihrer Daten ist auch von Ihnen abhängig. Sie sind selbst für die Sicherheit Ihres Kontos zuständig, indem Sie ausreichend komplexe Passwörter verwenden und diese sicher verwahren. Ferner sollten Sie dafür Sorge tragen, dass Ihre eigenen Systeme ausreichend gesichert sind, damit sämtliche Umfragedaten, die Sie auf Ihren Computer herunterladen, vor neugierigen Augen geschützt sind. Wir schützen die Übertragung von Umfragebeantwortungen mit TLS, doch es liegt in Ihrer Zuständigkeit, die Verwendung dieser Funktionalität in Ihren Umfragen erforderlichenfalls zu konfigurieren. Weitere Informationen dazu, wie Sie Ihre Umfragen sichern, finden Sie in unserem Hilfecenter.

Kundenanfragen

Aufgrund der großen Zahl von Kunden, die unseren Service nutzen, können konkrete Fragen zur Sicherheit oder benutzerspezifische Sicherheitsformulare nur für solche Kunden bearbeitet werden, die im Rahmen eines SurveyMonkey-Abonnements eine bestimmte Anzahl von Benutzerkonten erwerben. Wenn Ihr Unternehmen über eine große Anzahl möglicher oder bestehender Benutzer verfügt und Interesse an einer solchen Vereinbarung hat, informieren Sie sich bitte über die Zusammenarbeit im Team.

Letzte Aktualisierung: 13. Juli 2016.