Millionen von Benutzern haben SurveyMonkey bereits ihre Umfragedaten anvertraut und ihre Bedenken in Bezug auf die Sicherheit und den Schutz der Daten ernstzunehmen, hat für uns oberste Priorität. Unser Ziel ist es, die Benutzerdaten sicher aufzubewahren. Zudem erfassen wir nur so viele persönliche Daten, wie erforderlich sind, um unseren Benutzern in effizienter und effektiver Weise unsere Dienste zur Verfügung zu stellen.

SurveyMonkey nutzt einige der fortschrittlichsten Technologien im Bereich der Internetsicherheit, die heutzutage kommerziell erhältlich sind. Diese Sicherheitsrichtlinie ist darauf ausgerichtet, Transparenz im Hinblick auf unsere Sicherheitsinfrastruktur und -verfahren zu gewährleisten, um Ihnen zu versichern, dass Ihre Daten angemessen geschützt sind.

Anwendungs- und Benutzersicherheit

  • SSL/TLS-Verschlüsselung: Benutzer können auswählen, ob sie ihre Umfragebeantwortungen über sichere, SSL/TLS-verschlüsselte Verbindungen erfassen möchten. Die gesamte restliche Kommunikation mit der Website surveymonkey.com erfolgt über SSL/TLS-Verbindungen. Durch die beiden Technologien Secure Sockets Layer (SSL) und Transport Layer Security (TLS, die Nachfolgertechnologie für SSL) ist die Kommunikation durch Serverauthentifizierung und Datenverschlüsselung geschützt. Auf diese Weise wird die Sicherheit der Benutzerdaten bei der Übermittlung gewährleistet. Zudem sind die Daten nur für die vorgesehenen Empfänger zugänglich.
  • Benutzerauthentifizierung: Die Benutzerdaten in unserer Datenbank sind logisch getrennt durch kontobasierte Zugriffsregeln. Benutzerkonten müssen einen eindeutigen Benutzernamen und ein Passwort aufweisen, die bei jedem Anmelden des Benutzers eingegeben werden müssen. SurveyMonkey stellt ein Sitzungscookie aus, um verschlüsselte Authentifizierungsinformationen nur für die Dauer der jeweiligen Sitzung aufzuzeichnen. Benutzername oder Passwort des Benutzers sind im Cookie nicht enthalten.
  • Benutzerpasswörter: Passwörter für Benutzeranwendungen weisen minimale Komplexitätsanforderungen auf. Die Passwörter verfügen über einen individuellen Hash- und Salt-Wert.
  • Datenverschlüsselung: Bestimmte sensible Benutzerdaten, z. B. Kreditkartendetails oder Kontopasswörter, werden im verschlüsselten Format gespeichert.
  • Datenportabilität: SurveyMonkey ermöglicht Ihnen den Export Ihrer Daten aus unserem System in eine Vielzahl von Formaten, so dass Sie Ihre Daten sichern, oder in anderen Anwendungen nutzen können.
  • Datenschutz: Wir verfügen über eine umfassende Datenschutzrichtlinie, die einen absolut transparenten Einblick bietet, wie wir die Daten unserer Kunden behandeln, einschließlich der Verwendung, der Freigabe und der Aufbewahrungsdauer dieser Daten.
  • HIPAA: Verbesserte Sicherheitsfunktionen für HIPAA-fähige Konten.

Physische Sicherheit

  • Rechenzentren: Unsere Informationssysteminfrastruktur (Server, Netzwerkgeräte usw.) wird in SSAE 16/SOC 2-zertifizierten Drittanbieterrechenzentren betrieben. Wir besitzen und verwalten alle diese in den Rechenzentren befindlichen Geräte selbst.
  • Sicherheit von Rechenzentren: Unsere Rechenzentren werden rund um die Uhr (24/7) betreut und überwacht. Der Zugang wird durch Sicherheitspersonal, Besucherprotokolle und Eintrittskontrollen (z. B. Besucherkartenkontrolle und biometrische Kontrolle) gesichert. Die Server und Geräte befinden sich in einem verschlossenen Gehäuse.
  • Umgebungskontrollen: In unseren Rechenzentren herrschen kontrollierte Temperatur- und Feuchtigkeitsverhältnisse, die kontinuierlich auf mögliche Veränderungen überwacht werden. Darüber hinaus sind Rauch-/Branderkennungs- und Brandbekämpfungssysteme installiert.
  • Speicherort: Alle Benutzerdaten werden auf Servern gespeichert, die sich in den Vereinigten Staaten und Luxemburg befinden.

Verfügbarkeit

  • Konnektivität: Vollständig redundante IP-Netzwerkverbindungen mit mehreren unabhängigen Verbindungen zu verschiedenen Tier-1-Internetprovidern.
  • Stromversorgung: Die Server verfügen über redundante interne und externe Stromversorgung. Das Rechenzentrum verfügt über eine Sicherungsstromversorgung und ist in der Lage, aus verschiedenen Quellen (Netzstationen, Dieselgeneratoren, Ersatzbatterien) Strom zu beziehen.
  • Betriebszeit: Kontinuierliche Betriebskontrolle mit unmittelbarer Eskalation von Ausfällen an das SurveyMonkey-Personal.
  • Failover: Die Datenbank wird auf Standby-Servern gesichert und kann in weniger als einer Stunde zur Ausfallsicherung eingesetzt werden.

Netzwerksicherheit

  • Betriebszeit: Kontinuierliche Betriebskontrolle mit unmittelbarer Eskalation von Ausfällen an das SurveyMonkey-Personal.
  • Drittanbieterprüfungen: Es werden von Qualys wöchentliche Sicherheitsprüfungen durchgeführt.
  • Tests: Systemfunktionalität und Änderungen am Systemdesign werden in einer isolierten „Sandbox“-Testumgebung geprüft und unterliegen einer Funktions- und Sicherheitsprüfung, bevor die Bereitstellung im aktiven Produktionssystem erfolgt.
  • Firewall: Die Firewall beschränkt den Zugriff auf alle Ports, ausgenommen die Ports 80 (http) und 443 (https).
  • Patching: Es werden die neuesten Sicherheits-Patches auf alle Betriebssysteme und Anwendungsdateien angewendet, um neu entdeckte Schwachstellen und Sicherheitsrisiken einzudämmen.
  • Zugriffskontrolle: Sicheres VPN, mehrstufige Authentifizierung und ein rollenbasierter Zugriff werden für die Systemverwaltung durch autorisiertes Technikpersonal erzwungen.
  • Protokollierung und Audit-Prüfung: Zentrale Protokollierungssysteme erfassen und archivieren alle internen Systemzugriffe, einschließlich fehlgeschlagener Authentifizierungsversuche.

Speichersicherheit

  • Sicherungshäufigkeit: Interne Sicherungen werden stündlich durchgeführt. Täglich erfolgt zur Speicherung an mehreren geografisch getrennten Standorten eine Sicherung auf einem zentralen Sicherungssystem.
  • Produktionsredundanz: Die Daten werden in einem RAID-10-Array gespeichert. Das Betriebssystem ist in einem RAID-1-Array gespeichert.

Unternehmens- und Verwaltungssicherheit

  • Mitarbeiterprüfung: Wir führen für alle Mitarbeiter eine Hintergrundüberprüfung durch.
  • Schulung: Wir bieten Mitarbeiterschulungen zum Einsatz von Sicherheits- und Technologieverfahren durch.
  • Dienstanbieter: Wir prüfen unsere Dienstanbieter und verpflichten sie im Rahmen eines Vertrags zu angemessenen Vertraulichkeitsverpflichtungen beim Umgang mit unseren Benutzerdaten.
  • Zugriff: Die Zugriffskontrolle auf sensible Daten in unseren Datenbanken, Systemen und Umgebungen erfolgt nach Bedarf/nach dem Prinzip der minimalen Rechte.
  • Auditprotokolle: Wir pflegen und überwachen die Auditprotokolle zu unseren Services und Systemen (täglich werden mehrere Gigabyte an Protokolldateien generiert).
  • Datensicherheitsrichtlinien: Wir pflegen interne Datensicherheitsrichtlinien, z. B. zu Katastrophenreaktionsplänen, die regelmäßig überprüft und aktualisiert werden.

Softwareentwicklungsrichtlinien

  • Stack: Die Programmierung erfolgt in Python und C#, der Code läuft unter SQL Server 2008, Ubuntu Linux und Windows 2008 Server.
  • Codierungsrichtlinien: Unsere Ingenieure verwenden die besten Codierungsrichtlinien, deren Sicherheit Industriestandard entspricht, um die sichere Codierung zu gewährleisten.

Behandlung von Sicherheitslücken

Trotz größter Bemühungen kann keine Internetübertragungsmethode und keine elektronische Speichermethode absolut sicher sein. Daher können wir auch keine absolute Sicherheit garantieren. Wenn SurveyMonkey von einem Versagen der Sicherheitssysteme erfährt, werden wir die betroffenen Benutzer benachrichtigen, sodass sie entsprechende Maßnahmen zu ihrem Schutz vornehmen können. Unsere Maßnahmen zur Benachrichtigung über ein Versagen der Sicherheitssysteme entsprechen unseren Verpflichtungen gemäß verschiedener regionaler und bundesstaatlicher Gesetze und Vorgaben sowie Branchenregelungen oder -standards, die wir einhalten. Die Benachrichtigungsmaßnahmen umfassen die Bereitstellung von E-Mail-Benachrichtigungen oder die Veröffentlichung eines entsprechenden Hinweises auf unserer Website im Fall eines Versagens der Sicherheitssysteme.

Ihre Verantwortlichkeit

Die Sicherheit Ihrer Daten hängt auch von Ihnen ab, denn Sie müssen für die Sicherheit Ihres Kontos sorgen, indem Sie ausreichend komplizierte Passwörter verwenden und diese auch sicher speichern. Außerdem sollten Sie ausreichend Sicherheit auf Ihrem System sicherstellen, indem Sie die Umfragedaten, die Sie auf Ihren Computer herunterladen, vor der Neugier Fremder schützen. Wir bieten SSL für die sichere Übertragung von Umfrageantworten. Sie müssen jedoch dafür sorgen, dass gewährleistet ist, dass die Umfragen so konfiguriert sind, dass das Feature bei Bedarf verwendet wird.

Kundenanforderungen

Aufgrund der hohen Anzahl von Kunden, die unseren Service nutzen, können spezifische Sicherheitsfragen oder benutzerdefinierte Sicherheitsformulare nur für Kunden gelten, die eine bestimmte Menge an Benutzerkonten in einem SurveyMonkey Enterprise-Abonnement erwerben. Wenn Ihr Unternehmen über eine große Anzahl potenzieller oder vorhandener Benutzer verfügt und daran interessiert ist, derartige Vereinbarungen kennenzulernen, dann besuchen Sie bitte www.surveymonkey.com/mp/enterprise.

Zuletzt aktualisiert am: 9. September 2013.