Sicherheitsrichtlinien

LETZTE ÄNDERUNG: 15. Februar 2024

Sofern nicht anders angegeben, gelten diese Sicherheitsrichtlinien für die Produkte, Services, Websites und Apps, die von SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli und deren verbundenen Unternehmen (zusammengefasst „SurveyMonkey“) angeboten werden, die durch die Marken „SurveyMonkey“, „Wufoo“ und „GetFeedback“ gekennzeichnet sind. Diese Produkte, Services, Websites und Apps sind in der vorliegenden Richtlinie unter dem Begriff „Services“ zusammengefasst. Diese Sicherheitsrichtlinien sind außerdem Bestandteil der Nutzervereinbarungen für Kunden von SurveyMonkey und Wufoo.

SurveyMonkey schätzt das Vertrauen seiner Kunden bei der Verwahrung ihrer Daten. Wir nehmen unsere Verantwortung ernst, Ihre Informationen zu schützen und zu sichern, und wir bemühen uns stets um die vollständige Transparenz unserer unten beschriebenen Sicherheitspraktiken. Unsere Datenschutzrichtlinie beschreibt außerdem im Detail, wie wir mit Ihren Daten umgehen.

Die Informationssysteme und technische Infrastruktur von SurveyMonkey werden in erstklassigen, SOC 2-akkreditierten Rechenzentren gehostet. Die physische Sicherheit in diesen Rechenzentren wird mithilfe von 24x7-Überwachung, Kameras, Besucherprotokollen, Zutrittsbeschränkungen und allem für Hochsicherheits-Datenverarbeitungseinrichtungen erwarteten Maßnahmen gewährleistet.

SurveyMonkey hat Governance-, Risikomanagement- und Konformitätspraktiken implementiert, die mit den meisten weltweit anerkannten Rahmenwerken für Informationssicherheit übereinstimmen. SurveyMonkey hat die ISO 27001-Zertifizierung erlangt. Darüber hinaus ist das Produkt SurveyMonkey Enterprise HIPAA-konform, und unsere Produkte SurveyMonkey, Wufoo und SurveyMonkey Apply sind nach den Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS 3.2) zertifiziert.

Zugriff auf die Technologieressourcen von SurveyMonkey ist nur über eine sichere Verbindung zulässig (z. B. VPN, SSH) und erfordert eine Multi-Faktor-Authentifizierung. Unsere Passwortrichtlinien fordern Komplexität, zeitliche Begrenzung und Sperrung. Passwörter dürfen nicht wiederverwendet werden. SurveyMonkey gewährt Zugriff nach Wissensbedarf auf der Basis des Prinzips minimaler Rechte, prüft die Berechtigungen vierteljährlich und widerruft den Zugriff unmittelbar nach dem Ausscheiden des betreffenden Mitarbeiters.

SurveyMonkey pflegt, prüft und aktualisiert seine Informationssicherheitsrichtlinien mindestens jährlich. Die Richtlinien müssen jährlich von den Mitarbeitern zur Kenntnis genommen werden. Darüber hinaus absolvieren die Mitarbeiter je nach ihren beruflichen Aufgaben Schulungen. Die Schulungen wurden konzipiert, um alle für SurveyMonkey geltenden Spezifikationen und Richtlinien zu erfüllen.

SurveyMonkey führt zum Zeitpunkt der Einstellung ein Background Screening durch (sofern durch geltende Gesetze und im entsprechenden Land erlaubt und ermöglicht). Darüber hinaus informiert SurveyMonkey alle Mitarbeiter (die dies ausdrücklich zur Kenntnis nehmen müssen) über seine Richtlinien zur Informationssicherheit, verpflichtet neue Mitarbeiter, Geheimhaltungsvereinbarungen zu unterzeichnen und stellt laufend Schulungen zu Datenschutz und Sicherheit bereit.

SurveyMonkey verfügt über eine dedizierte Trust & Security-Organisation, die sich mit der Anwendungs-, Cloud-, Netzwerk- und Systemsicherheit befasst. Das Team ist u. a. für die Sicherheitscompliance, Fortbildung und Eingriffe bei Sicherheitsvorfällen verantwortlich.

SurveyMonkey arbeitet mit einem dokumentierten Programm für Schwachstellenmanagement. Im Rahmen dieses Programms werden regelmäßig Scans durchgeführt; dabei werden Sicherheitsschwachstellen auf Servern, Workstations, Netzwerkgeräten und in Anwendungen identifiziert und behoben. Alle Netzwerke einschließlich Test- und Produktionsumgebungen werden mithilfe von vertrauenswürdigen externen Anbietern regelmäßig gescannt. Wichtige Patches werden ihrer Priorität entsprechend auf Server aufgespielt und alle anderen Patches werden ihrem Bedarf entsprechend gehandhabt.

Wir führen regelmäßig interne und externe Penetrationstests durch und nehmen je nach Schweregrad des Ergebnisses ggf. entsprechende Korrekturen vor.

SurveyMonkey verschlüsselt alle Daten im Ruhezustand in unseren Rechenzentren mithilfe AES 256-basierter Verschlüsselung. Darüber hinaus verschlüsselt SurveyMonkey alle Daten bei der Übertragung mittels (i) RSA mit von einer öffentlichen Zertifizierungsstelle generierten Zertifikaten mit einer Schlüssellänge von 2048 Bits für die Kommunikation mit Entitäten außerhalb der Rechenzentren von SurveyMonkey, und (ii) von einer internen Zertifizierungsstelle generierter RSA 256-Zertifikate für alle Daten im Rechenzentrum.

Unser Entwicklungsteam arbeitet mit sicheren Codierungstechniken und Best Practices, welche auf die OWASP Top Ten fokussiert sind. Die Entwickler werden bei ihrem Eintritt ins Unternehmen sowie anschließend jährlich speziell bezüglich sicherer Anwendungspraktiken für Webanwendungen geschult.

Entwicklungs-, Test- und Produktionsumgebungen sind getrennt. Alle Änderungen werden begutachtet und zu Performance-, Prüf- und forensischen Zwecken protokolliert, bevor sie in der Produktionsumgebung bereitgestellt werden.

SurveyMonkey verfügt über eine Asset-Management-Richtlinie zur Identifikation, Klassifizierung, Beibehaltung und Entsorgung von Informationen und Assets. Die vom Unternehmen ausgegebenen Geräte sind mit einer umfassenden Verschlüsselungssoftware für Festplatten sowie mit aktueller Virenschutzsoftware ausgestattet. Nur vom Unternehmen ausgegebene Geräte haben Zugang zu den Produktionsnetzwerken des Unternehmens.

SurveyMonkey verfügt über einen Prozess für Maßnahmen bei Sicherheitszwischenfällen, der die erste Reaktion, Untersuchung, Kundenbenachrichtigung (nicht weniger als gesetzlich vorgeschrieben), öffentliche Kommunikation und Behebung abdeckt. Dieser Prozess wird regelmäßig überprüft und jährlich zweimal getestet.

Trotz größter Bemühungen kann keine Internetübertragungsmethode und keine elektronische Speichermethode absolut sicher sein. Daher können wir auch keine absolute Sicherheit garantieren. Wenn SurveyMonkey von einem Versagen der Sicherheitssysteme erfährt, werden wir die betroffenen Benutzer benachrichtigen, sodass sie entsprechende Maßnahmen zu ihrem Schutz vornehmen können. Unsere Maßnahmen zur Benachrichtigung über ein Versagen der Sicherheitssysteme entsprechen unseren Verpflichtungen gemäß entsprechender staatlicher und bundesstaatlicher Gesetze und Vorgaben sowie Branchenregelungen oder -standards, die auf uns zutreffen. Wir haben uns verpflichtet, unsere Kunden bezüglich jeglicher Angelegenheiten, welche die Sicherheit ihrer Konten betreffen, vollständig auf dem Laufenden zu halten und ihnen sämtliche Informationen bereitzustellen, die sie für die Erfüllung ihrer eigenen regulatorischen Verpflichtungen benötigen.

Sicherungskopien werden verschlüsselt und in der Produktionsumgebung gespeichert, um die Vertraulichkeit und Integrität zu wahren. SurveyMonkey setzt eine Sicherungsstrategie ein, um minimale Ausfallzeiten und Datenverluste sicherzustellen. Der Geschäftskontinuitätsplan (Business Continuity Plan, BCP) wird regelmäßig getestet und aktualisiert, um seine Wirksamkeit im Katastrophenfall sicherzustellen.

Um die Sicherheit Ihrer Daten zu gewährleisten, müssen Sie für die Sicherheit Ihres Kontos sorgen, indem Sie ausreichend komplexe Passwörter verwenden und diese auch sicher speichern. Darüber hinaus sollten Sie sicherstellen, dass Ihre eigenen Systeme ausreichend gesichert sind. Für die sichere Übertragung von Umfrageantworten bieten wir TLS. Sie müssen jedoch bei der Konfiguration Ihrer Umfragen dafür sorgen, dass diese Funktion auch verwendet werden kann. Weitere Informationen zur Absicherung Ihrer Umfragen finden Sie im Hilfecenter.

Anwendungs- und Infrastruktursysteme protokollieren Informationen in einem zentral verwalteten Log Repository. Hier werden von autorisierten SurveyMonkey-Mitarbeitern Fehlerdiagnosen, Sicherheitsprüfungen und Analysen durchgeführt. Die Protokolle werden im Einklang mit behördlichen Anforderungen aufbewahrt. Im Falle von Sicherheitszwischenfällen, die ihr Konto betreffen, bieten wir unseren Kunden angemessene Hilfe und Zugang zu Protokollen.