Güvenlik Bildirimi

SON GÜNCELLEME: 15 Şubat 2024

Aksi belirtilmedikçe, bu Güvenlik Bildirimi; SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli ve iştirakleri (toplu olarak “SurveyMonkey”) tarafından sunulan ve “SurveyMonkey”, “Wufoo” ve “GetFeedback olarak markalanan ürünler, hizmetler, web siteleri ve uygulamalar için geçerlidir. Bu ürünler, hizmetler, web siteleri ve uygulamalar; bu Bildirimde toplu olarak “hizmetler” şeklinde ifade edilir. Bu Güvenlik Bildirimi aynı zamanda SurveyMonkey ve Wufoo müşterilerine yönelik kullanıcı anlaşmalarının bir bölümünü oluşturur.

SurveyMonkey, verilerini muhafaza etmemize izin veren müşterilerimizin bize duyduğu güvene değer vermektedir. Bilgilerin korunması ve güvenli hale getirilmesine yönelik sorumluluğumuzu ciddiye alıyor, aşağıda ayrıntılarıyla verilen güvenlik uygulamalarında eksiksiz şeffaflık sağlamayı amaçlıyoruz. Ayrıca Gizlilik Bildirimimizde verilerinizi yönetme yöntemlerimize ilişkin ayrıntılı bilgi bulunmaktadır.

SurveyMonkey’in bilgi sistemleri ve teknik altyapısı, SOC 2 akreditasyonuna sahip dünya sınıfı veri merkezlerinde barındırılmaktadır. Bu veri merkezlerindeki fiziksel güvenlik kontrolleri; 7/24 izleme, kameralar, ziyaretçi kayıtları, giriş sınırlamaları ve yüksek güvenlikli bir veri işleme tesisinde olmasını beklediğiniz her şeyi içerir.

SurveyMonkey, yönetim, risk yönetimi ve uyumluluk alanlarında dünyaca tanınan bilgi güvenliği çerçevelerinin birçoğuyla uyumlu uygulamaları hayata geçirmiştir. SurveyMonkey ISO 27001 sertifikasına sahiptir. Buna ek olarak, SurveyMonkey Enterprise ürünü HIPAA uyumludur ve SurveyMonkey, Wufoo ve SurveyMonkey Apply ürünleri, Kartlı Ödeme Endüstrisi Veri Güvenliği Standartları (PCI DSS 3.2) ile uyumludur.

SurveyMonkey’in teknoloji kaynaklarına yalnızca çok faktörlü kimlik doğrulama gerektiren güvenli bağlantı (Örn. VPN, SSH) yoluyla erişilebilir. Parola ilkemizde karmaşıklık, son kullanma tarihi, kilitleme ve yeniden kullanım engelleme özellikleri bulunmalıdır. SurveyMonkey, bilinmesi gereken en düşük erişim hakkı kuralları temelinde erişim sağlar, izinleri üç ayda bir gözden geçirir ve çalışan işten ayrıldığında erişimi derhal kaldırır.

SurveyMonkey, bilgi güvenliği ilkelerini sürdürür, düzenli olarak gözden geçirir ve en az yılda bir günceller. Çalışanlar bu ilkeleri yılda bir kere kabul eder ve işe özel konularda ek eğitimler alır. Eğitimler, SurveyMonkey için geçerli olan tüm spesifikasyonlara ve düzenlemelere uyumlu olacak şekilde tasarlanmıştır.

SurveyMonkey, işe alım sırasında geçmiş değerlendirmesi yapar (geçerli yasalar ve ülkeler tarafından izin verildiği veya desteklendiği ölçüde). Ayrıca bilgi güvenliği ilkelerini tüm personeline iletir (personelin bunu kabul etmesi gerekir), yeni çalışanların gizlilik anlaşması imzalamasını zorunlu kılar, sürekli gizlilik ve güvenlik eğitimleri sunar.

SurveyMonkey aynı zamanda uygulama, ağ ve sistem güvenliğine yoğunlaşan özel bir Güven ve Güvenlik kurumuna sahiptir. Bu ekip ayrıca güvenlik uyumluluğu, eğitim ve olay müdahalelerinden sorumludur.

SurveyMonkey; sunucularda, iş istasyonlarında, ağ ekipmanlarında ve uygulamalarda yapılan periyodik tarama, kimlik saptama ve güvenlik zaafı onarımını unsurlarını içeren belgelendirilmiş bir zaaf yönetim programı yürütür. Test ve üretim ortamları da dahil olmak üzere tüm ağlar, güvenilir üçüncü taraf tedarikçiler ile düzenli olarak taranır. Sunuculara öncelikli ve diğer yamalara uygun olmak üzere kritik yamalar uygulanır.

Ek olarak düzenli kurum içi ve kurum dışı penetrasyon testleri yürütülür ve bulunan sonuçların şiddetine göre çözümler getirilir.

SurveyMonkey, veri merkezlerimizde bekleyen tüm verileri korumak için AES 256 tabanlı şifreleme kullanır. Ayrıca SurveyMonkey, (i) SurveyMonkey'in veri merkezleri dışındaki kuruluşlarla iletişim için herkese açık bir Sertifika Yetkilisi aracılığıyla oluşturulan 2048 bit anahtar uzunluğuna dayalı sertifikalara sahip RSA'yı ve (ii) Dahili Sertifika Yetkilisi aracılığıyla oluşturulan RSA 256 sertifikalarını kullanarak hareket halindeki tüm verileri şifreler.

Geliştirme ekibimiz, OWASP İlk 10’daki bilgileri dikkate alarak güvenli kodlama tekniklerini ve en iyi uygulamaları kullanır. Geliştiriciler, işe alındıkları anda ve yılda bir kere güvenli web uygulaması geliştirme yöntemleri konusunda resmi eğitim alır.

Geliştirme, test ve üretim ortamları ayrıdır. Tüm değişiklikler eşdüzey kimseler tarafından gözden geçirilir ve üretim ortamında devreye alınmadan önce performans, denetleme ve adli amaçlar doğrultusunda kaydedilir.

SurveyMonkey; bilgilerin ve varlıkların kimliğinin saptanmasını, sınıflandırılmasını, tutulmasını ve imha edilmesini içeren bir varlık yönetimi ilkesine sahiptir. Şirket tarafından verilen cihazlarda tam sabit sürücü şifreleme özelliği ve güncel antivirüs yazılımı bulunur. Yalnızca şirket tarafından verilen cihazların kurumsal ağlara ve üretim ağlarına erişmesine izin verilir.

SurveyMonkey; ilk müdahale, soruşturma, müşteri bildirimi (geçerli yasanın gerektirdiğinden az olmamak koşuluyla), kamu iletişimi ve onarım unsurlarını kapsayan güvenlik olayı müdahale süreçlerine sahiptir. Bu süreçler, düzenli olarak gözden geçirilir ve yılda iki kere test edilir.

En iyi çabayı göstermemize rağmen, internette hiçbir aktarım yöntemi ve hiçbir elektronik depolama yöntemi tam anlamıyla güvenli değildir. Mutlak güvenlik garanti edilemez. Ancak SurveyMonkey’in bir güvenlik ihlalinden haberdar olması durumunda, uygun koruyucu adımları uygulayabilmeleri için etkilenen kullanıcılara bildirim yapılır. İhlal bildirim prosedürlerimiz; geçerli ülke, devlet ve federal düzeydeki kanunların ve düzenlemelerin yanı sıra bizim için geçerli olan tüm sektör kuralları veya standartları kapsamındaki yükümlülüklerimizle tutarlıdır. Müşterilerimizi hesaplarının güvenliğine ilişkin her türlü konuda tam anlamıyla bilgilendirme ve kendilerine düzenleyici raporlama yükümlülüklerini yerine getirmeleri için gerekli tüm bilgileri sunma taahhüdümüzü sürdürüyoruz.

Yedeklemeler, gizlilik ve bütünlüklerini korumak amacıyla üretim ortamı içinde şifrelenir ve saklanır. SurveyMonkey, arıza sürelerini ve veri kaybını en aza indirmek için bir yedekleme stratejisi uygular. İş Sürekliliği Planı'nın (İSP) bir felaket durumunda etkili bir şekilde işlediğinden emin olunması adına İSP düzenli olarak test edilir ve güncellenir.

Verilerinizi güvende tutmak için yeterince karmaşık parolalar kullanarak ve bunları güvenle depolayarak hesabınızın güvenliğini sağlamanız da gerekir. Ayrıca kendi sistemlerinizde yeterli düzeyde güvenlik sağladığınızdan da emin olmalısınız. Anket yanıtlarınızın aktarımının güvenliğini sağlamak üzere TLS hizmeti sunuyoruz. Buna karşılık, anketlerinizin gerektiği zaman bu özelliği kullanabilecek şekilde yapılandırılmasını sağlamak sizin sorumluluğunuzdadır. Anketlerinizin güvenliğini sağlamaya ilişkin daha fazla bilgi için Yardım Merkezimizi ziyaret edin.

Uygulama ve altyapı sistemleri; yetkili SurveyMonkey personeli tarafından gerçekleştirilecek sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydeder. Günlükler, düzenleyici gereklilikler doğrultusunda saklanır. Müşterilerimizin hesaplarını etkileyen güvenlik olayları olması durumunda, kendilerine makul destek ve günlüklere erişim sağlanır.