數百萬名使用者都委託 SurveyMonkey 處理他們的調查問卷資料,而且我們將認真看待使用者的安全性及隱私權考量,視其為首要之務。 我們致力於確保使用者資料安全無虞,而且我們會以高效且有效方式收集使用者僅提供服務所需的個人資料。

SurveyMonkey 使用目前商業上已有的最先進的網際網路安全技術。本「隱私權聲明」目的是維持安全基礎架構和作法透明化,以協助您瞭解資料已受到充分的保護。

應用程式及使用者安全性

  • SSL/TLS 加密:使用者可決定是否要透過安全、加密的 SSL/TLS 連線來收集調查問卷回覆。 與 surveymonkey.com 網站的所有通訊內容 都會透過 SSL/TLS 連線傳送。 安全通訊端層 (SSL) 及傳輸層安全 (TLS) 技術 (SSL 的後繼技術) 會使用伺服器驗證及資料加密來保護通訊內容。 這可確保傳輸中的使用者資料安全無虞,而且僅可供指定的收件者使用。
  • 使用者驗證:會依據以帳戶為基礎的存取規則,以合乎邏輯的方式隔離資料庫上的使用者資料。使用者帳戶擁有唯一的使用者名稱及密碼,且每次登入時都必須輸入。 SurveyMonkey 發出的階段作業cookie僅用於記錄特定階段作業持續期間的加密鑑別資訊。階段作業 cookie 並不會包含使用者的密碼。
  • 使用者密碼:使用者應用程式密碼擁有最低的複雜性需求。密碼會個別進行雜湊編碼 (hash) 及加碼 (salt) 的加密保護。
  • 資料加密:特定的敏感性使用者資料 (例如信用卡詳細資料和帳戶密碼) 會以加密格式存放。
  • 資料可攜性:SurveyMonkey 可讓您從系統以各種格式匯出資料,這樣您就能備份資料或是與其他應用程式搭配使用。
  • 隱私權:我們擁有完善的 隱私權政策,提供非常透明公開的檢視,可讓您查看我們如何處理資料,其中包含我們如何使用資料、與我們共用資料的人員,以及保留資料的期限。
  • HIPAA:適用於已啟用 HIPAA 功能之帳戶的 增強型安全性功能

實體安全

  • 資料中心:會在第三方 SSAE 16/SOC 2 稽核的資料中心內擺放資訊系統基礎架構 (伺服器、網路設備等)。 我們擁有且管理位於那些資料中心內的所有設備。
  • 資料中心安全性:我們的資料中心 24 小時全天候均配置人力且嚴格監控。 存取權限受到安全官、訪客記錄檔和門禁要求 (例如門禁卡和生物識別技術)。設備會存放在上鎖的機櫃中。
  • 環境控制:我們的資料中心會維持在受控制的溫度和濕度範圍,而且會持續監控以調節變化。設有煙霧和火災偵測及反應系統。
  • 地點:所有使用者資料都存放在美國和盧森堡境內的伺服器中。

可用性

  • 連線能力:完全備援的 IP 網路連線,擁有可連向許多第 1 層網際網路存取提供者的多個獨立連線。
  • 電源:伺服器擁有備援的內部及外部電源供應器。資料中心有備份的電源供應器,而且可從網格上的子站、數個柴油發電機和備份電池來取用電源。
  • 執行時間:如發生停機,立即向 SurveyMonkey 員工呈報,以便持續監控執行時間。
  • 容錯移轉:資料庫已備份至待命伺服器,容錯移轉可在一小時以內完成。

網路安全

  • 執行時間:如發生停機,立即向 SurveyMonkey 員工呈報,以便持續監控執行時間。
  • 第三方掃描:Qualys 每週會執行安全性掃描。
  • 測試:系統功能及設計變更會在隔離的測試「沙箱」(sandbox) 環境中進行驗證,而且在生產系統部署之前,會進行功能及安全性測試。
  • 防火牆:防火牆嚴格限制除 80 (http) 和 443 (https) 之外的所有連接埠存取權限。
  • 修補:最新安全性修補程式適用於所有作業系統和應用程式檔案,可緩解新發現的弱點。
  • 存取控制:安全 VPN、複合因素驗證和以角色為基礎的存取權限會由授權的工程設計員工執行,以進行系統管理。
  • 記錄及稽核:中心記錄系統會擷取及記錄所有內部系統存取活動,包含任何失敗的驗證嘗試。

儲存安全

  • 備份頻率:會針對多個分散在不同地理位置的站點,每天、每小時在集中式備份系統進行內部備份。
  • 生產備援:RAID 10 陣列上存放的資料。RAID 1 陣列上存放的 O/S。

組織及管理安全性

  • 員工過濾:我們會針對所有員工執行背景過濾。
  • 訓練:我們會為員工提供安全性及技術使用訓練。
  • 服務提供者:我們會過濾服務提供者,如果他們會處理任何使用者資料,則會規定他們遵循合約的適當保密義務。
  • 存取權限:會依據「必須知道/最小必須權限」,來設定資料庫、系統及環境中敏感性資料的存取控制項。
  • 稽核記錄:我們維護和監控服務及系統上的稽核記錄 (我們每日產生數 GB 的記錄檔)。
  • 資訊安全性政策:我們維護內部資訊安全性政策,包括突發狀況因應方案,並且定期查核和更新政策。

軟體開發作法

  • 堆疊:以 Python 及 C# 撰寫程式碼,適用於 SQL Server 2008、Ubuntu Linux 及 Windows 2008 Server。
  • 編碼作法:我們的工程人員運用最佳實務作法和業界標準安全程式碼,撰寫準則確保程式碼安全無虞。

處理安全性漏洞

雖然已盡最大努力,但沒有任何透過網際網路的傳輸方法和電子存放方式是絕對安全的。我們無法保證絕對安全性。但是,如果 SurveyMonkey 發現安全性漏洞,我們會通知受影響的使用者,以便他們能採取適當的預防步驟。我們的漏洞通知程序會與許多州/省和聯邦法律及法規的義務一致,而且也與我們遵循的任何產業規定或標準相符合。如果發生漏洞,通知程序包含提供電子郵件通知或是在網站上張貼通知。

您的責任

使用足夠複雜的密碼並妥善保管該密碼可確保您的帳戶不受侵擾,進而維護您的資料安全無虞。您也應該確保您系統的安全防護充分有效,以防下載至電腦的任何調查問卷資料遭受窺探。我們提供 SSL 防護調查問卷回覆的傳輸,不過在適當情況下,您要負責確保自己的調查問卷已設定為使用該功能。

自訂要求

鑒於使用服務的客戶數目,我們只能為在 SurveyMonkey Enterprise 訂閱中,購買特定數量之使用者帳戶的客戶解決特定安全問題或提供自訂安全表格。如果您的公司有大量潛在或現任使用者且有意探索此類安排,請造訪 www.surveymonkey.com/mp/enterprise

最後更新:2013 年 9 月 9 日。