1. Produkte

    Starke Tools für Neugierige – dank unserer Datenplattform

    Integrationen und Plugins hinzufügen
    Alle Produkte anzeigen
  2. Lösungen

    Bringen Sie Ihr Unternehmen voran – mit Daten von Menschen für Menschen

    Mehr anzeigen
  3. Ressourcen

    Finden Sie Inspiration und erforderliches Fachwissen

  4. Angebote & Preise
SurveyMonkey Logo

Sicherheitsrichtlinien

LETZTE ÄNDERUNG: 11. APRIL 2018

Diese Sicherheitsrichtlinien gelten für die von SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. und deren Tochter- und Partnerunternehmen (gemeinsam „SurveyMonkey“), unter den Namen „SurveyMonkey“ und „Wufoo“ bereitgestellten Produkte, Dienstleistungen, Websites und Apps, sofern nicht anders angegeben. Diese Produkte, Dienstleistungen, Websites und Apps sind in der vorliegenden Richtlinie unter dem Begriff „Services“ zusammengefasst. Diese Sicherheitsrichtlinien sind zudem Bestandteil der Nutzervereinbarungen für Kunden von SurveyMonkey und Wufoo.

SurveyMonkey schätzt das Vertrauen seiner Kunden bei der Verwahrung ihrer Daten. Wir nehmen unsere Verantwortung ernst, Ihre Informationen zu schützen und zu sichern, und wir bemühen uns stets um die vollständige Transparenz unserer unten beschriebenen Sicherheitspraktiken. Unsere Datenschutzrichtlinie beschreibt zudem im Detail, wie wir mit Ihren Daten umgehen.

Physische Sicherheit

Die Informationssysteme und technische Infrastruktur von SurveyMonkey werden in erstklassigen, SOC 2-akkreditierten Rechenzentren gehostet. Die physische Sicherheit in unseren Rechenzentren wird mithilfe von 24x7-Überwachung, Kameras, Besucherprotokollen, Zutrittsanforderungen und dedizierten Cages für SurveyMonkey-Hardware gewährleistet.

Normen

SurveyMonkey, Wufoo und SurveyMonkey Apply erfüllen die Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS 3.2) und können daher Kreditkartendaten sicher und im Einklang mit diesen Standards akzeptieren und verarbeiten. Die Compliance wird von SurveyMonkey jährlich neu zertifiziert. SurveyMonkey arbeitet darüber hinaus auf eine ISO 27001-Zertifizierung hin.

Zugriffskontrolle

Zugriff auf die Technologieressourcen von SurveyMonkey ist nur über eine sichere Verbindung zulässig (z. B. VPN, SSH) und erfordert eine Multi-Faktor-Authentifizierung. Unsere Passwortrichtlinien fordern Komplexität, zeitliche Begrenzung und Sperrung. Passwörter dürfen nicht wiederverwendet werden. SurveyMonkey gewährt Zugriff nach Wissensbedarf auf der Basis des Prinzips minimaler Rechte, prüft die Berechtigungen vierteljährlich und widerruft den Zugriff unmittelbar nach dem Ausscheiden des betreffenden Mitarbeiters.

Sicherheitsrichtlinien

SurveyMonkey pflegt, prüft und aktualisiert seine Informationssicherheitsrichtlinien mindestens jährlich. Die Richtlinien müssen jährlich von den Mitarbeitern zur Kenntnis genommen werden. Darüber hinaus absolvieren die Mitarbeiter Schulungen in den Bereichen HIPAA, sichere Codierung, PCI und in aufgabenspezifischer Sicherheit und der Entwicklung von spezifischen Fertigkeiten und/oder zur Datenschutzgesetzgebung für bestimmte Aufgabenbereiche. Der Schulungszeitplan wurde konzipiert, um alle für SurveyMonkey geltenden Spezifikationen und Richtlinien zu erfüllen.

Mitarbeiter

SurveyMonkey führt zum Zeitpunkt der Einstellung ein Background Screening durch (sofern durch geltende Gesetze und im entsprechenden Land erlaubt und ermöglicht). Darüber hinaus informiert SurveyMonkey alle Mitarbeiter (die dies ausdrücklich zur Kenntnis nehmen müssen) über seine Richtlinien zur Informationssicherheit, verpflichtet neue Mitarbeiter, Geheimhaltungsvereinbarungen zu unterzeichnen und stellt laufend Schulungen zu Datenschutz und Sicherheit bereit.

Dediziertes Sicherheitspersonal

SurveyMonkey verfügt darüber hinaus über eine dedizierte Trust & Security-Organisation, die sich mit Anwendungen, dem Netzwerk und der Systemsicherheit befasst. Das Team ist u. a. für die Sicherheitscompliance, Fortbildung und Eingriffe bei Sicherheitsvorfällen verantwortlich.

Schwachstellenmanagement und Penetrationstests

SurveyMonkey arbeitet mit einem dokumentierten Programm für Schwachstellenmanagement. Im Rahmen dieses Programms werden regelmäßig Scans durchgeführt; dabei werden Sicherheitsschwachstellen auf Servern, Workstations, Netzwerkgeräten und in Anwendungen identifiziert und behoben. Alle Netzwerke einschließlich Test- und Produktionsumgebungen werden mithilfe von vertrauenswürdigen externen Anbietern regelmäßig gescannt. Wichtige Patches werden ihrer Priorität entsprechend auf Server aufgespielt und alle anderen Patches werden ihrem Bedarf entsprechend gehandhabt.

Wir führen regelmäßig interne und externe Penetrationstests durch und nehmen je nach Schweregrad des Ergebnisses ggf. entsprechende Korrekturen vor.

Verschlüsselung

Wir verschlüsseln Ihre Daten im Transit mit sicheren kryptografischen TLS-Protokollen. Im Ruhezustand befindliche Daten werden von SurveyMonkey und Wufoo ebenfalls verschlüsselt.

Entwicklung

Unser Entwicklungsteam arbeitet mit sicheren Codierungstechniken und Best Practices, welche auf die OWASP Top Ten fokussiert sind. Die Entwickler werden bei ihrem Eintritt ins Unternehmen sowie anschließend jährlich speziell bezüglich sicherer Anwendungspraktiken für Webanwendungen geschult.

Entwicklungs-, Test- und Produktionsumgebungen sind getrennt. Alle Änderungen werden begutachtet und zu Performance-, Prüf- und forensischen Zwecken protokolliert, bevor sie in der Produktionsumgebung bereitgestellt werden.

Asset Management

SurveyMonkey verfügt über eine Asset-Management-Richtlinie zur Identifikation, Klassifizierung, Beibehaltung und Entsorgung von Informationen und Assets. Die vom Unternehmen ausgegebenen Geräte sind mit einer umfassenden Verschlüsselungssoftware für Festplatten sowie mit aktueller Virenschutzsoftware ausgestattet. Nur vom Unternehmen ausgegebene Geräte haben Zugang zu den Produktionsnetzwerken des Unternehmens.

Zwischenfallmanagement im Bereich der Informationssicherheit

SurveyMonkey verfügt über Richtlinien für Maßnahmen und Vorgehensweisen bei Sicherheitszwischenfällen. Diese decken die erste Reaktion, Untersuchung, Kundenbenachrichtigung (nicht weniger als gesetzlich vorgeschrieben), öffentliche Kommunikation und Behebung ab. Die Richtlinien werden regelmäßig überprüft und jährlich zweimal getestet.

Benachrichtigung im Falle von Verletzungen

Trotz größter Bemühungen kann keine Internetübertragungsmethode und keine elektronische Speichermethode absolut sicher sein. Daher können wir auch keine absolute Sicherheit garantieren. Wenn SurveyMonkey von einem Versagen der Sicherheitssysteme erfährt, werden wir die betroffenen Benutzer benachrichtigen, sodass sie entsprechende Maßnahmen zu ihrem Schutz vornehmen können. Unsere Maßnahmen zur Benachrichtigung über ein Versagen der Sicherheitssysteme entsprechen unseren Verpflichtungen gemäß entsprechender staatlicher und bundesstaatlicher Gesetze und Vorgaben sowie Branchenregelungen oder -standards, die auf uns zutreffen. Wir haben uns verpflichtet, unsere Kunden bezüglich jeglicher Angelegenheiten, welche die Sicherheit ihrer Konten betreffen, vollständig auf dem Laufenden zu halten und ihnen sämtliche Informationen bereitzustellen, die sie für die Erfüllung ihrer eigenen regulatorischen Verpflichtungen benötigen.

Aspekte der Informationssicherheit im Business Continuity Management

Die Datenbanken von SurveyMonkey werden abwechselnd vollständig und inkrementell gesichert und regelmäßig verifiziert. Die Sicherungskopien werden verschlüsselt und in der Produktionsumgebung gespeichert, um die Vertraulichkeit und Integrität zu wahren. Sie werden ferner regelmäßig getestet, um ihre Verfügbarkeit sicherzustellen.

Ihre Verantwortung

Um die Sicherheit Ihrer Daten zu gewährleisten, müssen Sie für die Sicherheit Ihres Kontos sorgen, indem Sie ausreichend komplexe Passwörter verwenden und diese auch sicher speichern. Darüber hinaus sollten Sie sicherstellen, dass Ihre eigenen Systeme ausreichend gesichert sind. Für die sichere Übertragung von Umfrageantworten bieten wir TLS. Sie müssen jedoch dafür sorgen, dass die Umfragen so konfiguriert sind, dass die Funktion bei Bedarf verwendet wird. Weitere Informationen zur Absicherung Ihrer Umfragen finden Sie im Hilfecenter. Dieser Artikel ist für SurveyMonkey-Kunden bestimmt. Einige Informationen treffen jedoch gleichermaßen für unsere Wufoo-Kunden zu.

Protokollierung und Überwachung

Anwendungs- und Infrastruktursysteme protokollieren Informationen in einem zentral verwalteten Log Repository. Hier werden von autorisierten SurveyMonkey-Mitarbeitern Fehlerdiagnosen, Sicherheitsprüfungen und Analysen durchgeführt. Die Protokolle werden im Einklang mit behördlichen Anforderungen aufbewahrt. Im Falle von Sicherheitszwischenfällen, die ihr Konto betreffen, bieten wir unseren Kunden angemessene Hilfe und Zugang zu Protokollen.