安全聲明

上次更新時間：2021 年 7 月 1 日

本安全聲明適用於 Momentive Inc.、Momentive Europe UC、Momentive Brasil Internet Eireli 以及其附屬企業（統稱為「Momentive」）提供的產品、服務、網站及應用程式；除非另外說明，這些產品、服務、網站及應用程式以「Momentive、SurveyMonkey、Wufoo 和 GetFeedback」為品牌名稱。在本聲明中，我們將這些產品、服務、網站及應用程式統稱為「服務」。本安全聲明也構成 SurveyMonkey 及 Wufoo 客戶的使用者協議一部分。

Momentive 非常重視客戶對於我們的信任，讓我們保護其資料。我們會負責嚴密保護並保障您的個人資訊，亦致力確保下列詳述的安全性措施完全公開透明。我們也在隱私權聲明中詳細說明了我們處理您的資料的方式。

Momentive 的資訊系統及技術基礎架構是由 SOC 2 認可的世界級資料中心所託管。這些資料中心的實體安全控管包括全天候監控、攝影機、訪客記錄、門禁措施，以及您可預期任何高安全性資料處理設施必定會採取的措施。

Momentive 實施的治理、風險管理和合規性作業與最受全球認可的資訊安全框架一致。Momentive 已取得ISO 27001 認證。此外，SurveyMonkey Enterprise 產品符合 HIPAA 標準，而且我們的 SurveyMonkey、Wufoo 和 SurveyMonkey Apply 產品皆通過了支付卡行業的資料安全標準 (PCI DSS 3.2) 認證。

對於 Momentive 技術資源的存取，只能透過安全的連線方式 (如 VPN、SSH) 進行，並且需要多重要素驗證。我們的生產密碼政策有複雜性、期限及帳戶鎖定的規定，且不允許重覆使用舊密碼。Momentive 會根據最小權限原則來授予存取權、每季會審查權限，且會在員工離職時立即撤銷權限。

Momentive 維持、定期審查並更新其資訊安全政策，最少每年一次。員工必須每年確認這些政策並接受與其職務有關的額外訓練。訓練旨在確保員工遵循所有適用於 Momentive 的規範及法規。

Momentive 在雇用員工時會進行背景調查 (在相關法律及國家允許或認可的範圍內)。此外，Momentive 會向所有員工 (必須知悉的人) 傳達其資訊安全政策，要求新員工簽署保密協議，並提供持續的隱私權及安全訓練。

Momentive 有專責的信任與安全性組織；該組織主要掌管應用程式、雲端、網路及系統的安全。該團隊亦負責處理安全性合規、教育及事故回應等事務。

Momentive 設有保存書面紀錄的漏洞管理計畫，包括定期掃描、識別及修復伺服器、工作站、網路設備及應用程式上的安全性漏洞。所有網路 (包括測試及生產環境) 都會透過我們信任的第三方供應商進行定期掃描。我們會依優先順序進行重要的伺服器修補，並視情況進行其他修補。

我們還會定期進行內部及外部滲透測試，並針對發現的任何結果嚴重程度進行修復。

Momentive 使用以 AES 256 為基礎的加密技術對我們資料中心中的所有靜態資料進行加密。此外，Momentive 使用以下方式對所有動態資料進行加密：(i) 透過公有憑證頒發機構所產生的 2048 位元 RSA 憑證，適用於與 Momentive 資料中心以外實體的通訊，以及 (ii) 透過內部憑證頒發機構所產生的 RSA 256 憑證，適用於資料中心內的所有資料。

我們的開發團隊採用安全編碼技術及最佳實務，特別會針對 OWASP 十大 Web 資安漏洞 (OWASP Top Ten)。開發人員入職後，每年都會接受 Web 安全應用程式開發實務的正式培訓。

開發、測試及生產環境是分開進行。在部署到生產環境之前，所有變更均經過同行評審並進行記錄，以達致效能、稽核及司法鑒定之目的。

Momentive 訂有資產管理政策，該政策涵蓋了資訊和資產的識別、分類、保留及棄置。公司發給的裝置都配備有全硬碟加密及最新的防毒軟體。只有公司發給的裝置才可存取公司網路及生產網路。

Momentive 設有安全事故回應流程，包括初始回應、調查、通知客戶 (至少符合相關法律要求)、公開通訊及補救。這些流程會被定期審查，且每半年測試一次。

即便窮盡最大努力，仍然沒有任何透過網際網路的傳輸方法和電子存放方式是絕對安全的。我們無法保證絕對安全性。但是，如果 Momentive 發現安全性漏洞，我們會通知受影響的使用者，以便他們能採取適當的防護措施。我們的漏洞通知程序符合相關國家、州及聯邦法律和法規所規定的義務，並符合適用於我們的任何業界規範或標準。我們致力於讓客戶充分瞭解任何與其帳戶安全性相關的事項，亦致力於向客戶提供所有必要資訊，以協助他們履行自己的法定報告義務。

備份資料會經過加密並儲存在生產環境中，以保持其機密性及完整性。Momentive 運用的備份策略可確保最低的停機時間和資料遺失。業務持續計畫 (BCP) 會定期測試和更新，以確保計畫在災難狀況下的有效性。

保護資料安全也是您的責任，您務必使用足夠複雜的密碼，並將密碼存放在安全的地方，以保障帳戶的安全性。您也應確保自己的系統有足夠的安全性。我們提供 TLS 以確保調查問卷回覆能安全地傳送，但是您必須負責將調查問卷設定為在適當的時候使用該功能。如需更多有關保障調查問卷的資訊，請瀏覽我們的客戶支援中心。

應用程式及基礎架構系統會將資料記錄到集中管理的記錄存放庫中，以便讓獲得授權的 Momentive 工作人員進行故障排除、安全審查及分析。這些記錄將依法規的要求保存。若發生影響客戶帳戶的安全事故，我們會向客戶提供合理的協助及記錄存取權。