數百萬名使用者信任 SurveyMonkey 保管他們的調查問卷資料;我們非常重視使用者的安全性及隱私權,這也是我們的首要任務。我們致力以最安全方式處理使用者資料。SurveyMonkey 採用目前商業中最先進的網際網路安全性技術。本「安全聲明」目的是維持安全性基礎架構與規範透明化,協助確保您的資料受到妥善保護。瀏覽我們的隱私權政策,取得資料處理的更多資訊。

使用者安全性

  • 使用者驗證: 在我們的資料庫中,使用者資料是使用以帳戶為主的存取規則來進行邏輯分隔。使用者帳戶具備唯一的使用者名稱及密碼,使用者每次登入時都要輸入。只有為了在特定工作階段期間記錄加密的驗證資訊,SurveyMonkey 才會核發工作階段 Cookie。工作階段 Cookie 不包括使用者密碼。
  • 密碼: 使用者應用程式的密碼必須符合最低複雜性要求。密碼必須個別加碼和加雜湊值。
  • 單一登入: 對於我們的團隊協作帳戶,SurveyMonkey 可支援 SAML 2.0 整合,讓您控管整個組織對 SurveyMonkey 的存取權,並定義驗證原則以加強安全性。如需更多詳細資料,請瀏覽我們的SSO 說明頁面
  • 資料加密: 某些敏感的使用者資料 (例如信用卡詳細資料及帳戶密碼) 都會以加密格式儲存。
  • 資料可攜性: SurveyMonkey 可讓您從我們的系統匯出各類格式資料,以供備份或在其他應用程式中使用。
  • 隱私權: 我們有完善的隱私權政策,可讓您以透明方式瞭解我們如何處理資料,包括如何使用您的資料、與誰分享您的資料,以及保留資料的期限。
  • 資料儲存地點: 所有 SurveyMonkey 使用者資料,包括 Wufoo、TechValidate、SurveyMonkey Intelligence 等,都儲存在位於美國的伺服器中。FluidSurveys 和 FluidReview 的所有資料都儲存在加拿大。

實體安全性

所有 SurveyMonkey 資訊系統及基礎架構都託管在世界級的資料中心。這些資料中心具備了現代資料中心能提供的所有必要實體安全控管 (例如全天候監控、攝相機、訪客記錄及門禁要求)。SurveyMonkey 備有專屬的鎖櫃,可區隔我們及其他租用戶的設備。此外,這些資料中心都經過 SOC 2 認可。如需更多資訊,請瀏覽SuperNAPInterNAP。如果需要 FluidSurvey 或 FluidReview 資訊,請直接與我們聯絡。

可用性

  • 連線能力: 完整備援 IP 網路連有第 1 級網際網路存取提供商組成的多重獨立連線。
  • 電源: 伺服器具有備援的內部及外部供電。資料中心擁有備用供電,而且可以從電力網多個變電站、數個柴油發電機及備用電池中取得電力。
  • 運行時間: 持續監控運行時間,且會在停機時立即通報 SurveyMonkey 工作人員。
  • 容錯移轉: 我們的資料庫可即時複製,能在一小時內進行容錯移轉。
  • 備份頻率: 各地不同網站每天都會進行備份。

網路安全性

  • 測試: 系統功能及設計變更會在隔離的「沙箱」環境中進行驗證,並在現有生產系統部署以前,會進行功能及安全性測試。
  • 防火牆: 防火牆會限制所有連接埠存取權限,但 80 (http) 和 443 (https) 除外。
  • 存取控制: 為了進行系統管理,授權工程人員會強制進行安全的 VPN、2FA (雙因素驗證),以及角色式存取。
  • 記錄與稽核: 集中記錄系統會擷取並封存所有內部系統存取,包括所有失敗的驗證嘗試。
  • 傳輸加密: 依預設,我們的調查問卷收集器採用傳輸層安全性 (TLS),為受訪者流量加密。與surveymonkey.com網站的其他所有通訊都會透過 TLS 連線傳送;這類連線可使用伺服器驗證及資料加密來保護通訊。如此可確保使用者傳輸的資料安全無虞,且只有特定收件人才能接收。我們的應用程式端點只能使用 TLS,而且在 SSL Labs的測試中得到「A 級」評等。我們也使用「轉寄密碼」,並僅支援新增隱私權與安全性的加密。

漏洞管理

  • 修補程式: 所有作業系統、應用程式以及網路基礎架構都採用最新安全性修補程式,以降低資料外洩的可能。
  • 第三方掃描: 我們會持續使用最好的安全性工具來掃描環境。設定些工具是為了執行應用程式和網路漏洞評估,以便測試系統與網站的修補程式狀態及基本的不正確設定。
  • 滲透測試: 外部組織每年至少執行一次滲透測試。
  • 錯誤通報獎勵: 我們十分重視平台的安全性。SurveyMonkey 設有不公開的錯誤通報獎勵計劃,確保我們的應用程式會持續地受到安全性漏洞審查。

組織&管理安全性

  • 資訊安全性原則: 我們會維護內部資訊安全性原則 (包括事故回應計劃),並且會定期審查和更新。
  • 員工背景調查: 在地方法律許可程度內,我們會對所有員工進行背景調查。
  • 培訓: 我們會為員工提供安全性及技術使用的培訓。
  • 服務提供商: 如果服務提供商會處理任何使用者資料,我們會對他們做背景調查,並與他們簽訂相關的保密及安全性義務合約。
  • 存取: 對於資料庫、系統及環境中敏感資料的存取控制,都以需要知道/最小權限為必要基礎來設定。
  • 稽核記錄: 我們會維護並監控服務及系統的稽核記錄。

軟體開發規範

  • 堆疊: 我們會以 Python 編寫程式碼,並在 SQL Server、Windows 及 Ubuntu 中執行。
  • 程式編碼規範: 我們的工程師會使用最佳做法及業界標準的安全編碼準則;這些準則都是配合OWASP 十大 Web 資安漏洞 (OWASP Top 10)設定。
  • 部署: 我們每週會部署數十次程式碼,因此能在程式碼發生錯誤或有漏洞時及時反應並加以解決。

合規性與憑證

  • PCI: SurveyMonkey 目前符合 PCI 3.1。
  • HIPAA: SurveyMonkey 提供增強的安全性功能,支援 HIPAA 要求。如需更多詳細資料,請瀏覽我們的HIPAA 合規性頁面

處理違反安全性問題

儘管我們致力於維護安全性,但沒有一種網際網路傳輸方法及電子儲存方式是絕對安全的。我們無法保證絕對安全。但是,如果 SurveyMonkey 得知任何違反安全性的問題,會通知受影響的使用者,讓他們可以採取適當的步驟。我們的違反通知程序遵守任何州及聯邦法律和法規所規定的義務,並符合我們遵守的所有業界規範或標準。通知程序包括在發生違反情事時,提供電子郵件通知或在我們的網站上張貼通知。

您的責任

您也有責任保護資料安全,包括使用非常複雜的密碼確保帳戶的安全性,並將密碼儲存在安全的地方。您也應該確保自己的系統有足夠的安全性,讓您下載到電腦中的任何調查問卷資料都不會外洩。我們提供 TLS 以安全傳送調查問卷的回覆,但您必須確保您的調查問卷有設定為使用該項功能。如需更多保護調查問卷的資訊,請瀏覽我們的客戶支援中心

客戶要求

由於有許多客戶使用我們的服務,因此有些安全性問題或自訂安全性表格,只能提供給在 SurveyMonkey 訂閱中購買一定數量的使用者帳戶的客戶使用。如果貴公司擁有許多潛在或現有客戶,且有興趣瞭解更多類似的方案,請查看我們的團隊協作

上次更新:2016 年 7 月 13 日。