Güvenlik Bildirimi

SON GÜNCELLEME: 1 Temmuz 2021

Güvenlik Bildirimi; Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli ve iştirakleri (toplu olarak “Momentive”) tarafından sunulan "Momentive", "SurveyMonkey”, “Wufoo” ve "GetFeedback" olarak markalanan ürünler, hizmetler, web siteleri ve uygulamalar için geçerlidir. Bu ürünler, hizmetler, web siteleri ve uygulamalar bu Bildirimde toplu olarak “hizmetler” şeklinde ifade edilir. Güvenlik Bildirimi aynı zamanda SurveyMonkey ve Wufoo müşterilerine yönelik kullanıcı anlaşmalarının bir bölümünü oluşturur.

Momentive, verilerini muhafaza etmemize izin veren müşterilerimizin bize duyduğu güvene değer vermektedir. Bilgilerin korunması ve güvenli hale getirilmesine yönelik sorumluluğumuzu ciddiye alıyor, aşağıda ayrıntılarıyla verilen güvenlik uygulamalarında eksiksiz şeffaflık sağlamayı amaçlıyoruz. Ayrıca Gizlilik Bildirimimizde de verilerinizi yönetme yöntemlerimize ilişkin ayrıntılı bilgi bulunmaktadır.

Momentive’in bilgi sistemleri ve teknik altyapısı, SOC 2 akreditasyonuna sahip dünya sınıfı veri merkezlerinde barındırılmaktadır. Bu veri merkezlerindeki fiziksel güvenlik kontrolleri; 7/24 izleme, kameralar, ziyaretçi kayıtları, giriş sınırlamaları ve yüksek güvenlikli bir veri işleme tesisinde olmasını beklediğiniz her şeyi içerir.

Momentive, yönetim, risk yönetimi ve uyumluluk alanlarında dünyaca tanınan bilgi güvenliği çerçevelerinin birçoğuyla uyumlu uygulamaları hayata geçirmiştir. Momentive ISO 27001 sertifikasına sahiptir. Buna ek olarak, SurveyMonkey Enterprise ürünü HIPAA uyumludur ve SurveyMonkey, Wufoo ve SurveyMonkey Apply ürünleri, Kartlı Ödeme Endüstrisi Veri Güvenliği Standartları (PCI DSS 3.2) ile uyumludur.

Momentive’in teknoloji kaynaklarına yalnızca çok faktörlü kimlik doğrulama gerektiren güvenli bağlantı (Örn. VPN, SSH) yoluyla erişilebilir. Parola ilkemizde karmaşıklık, son kullanma tarihi, kilitleme ve yeniden kullanım engelleme özellikleri bulunmalıdır. Momentive, bilinmesi gereken en düşük erişim hakkı kuralları temelinde erişim sağlar, izinleri üç ayda bir gözden geçirir ve çalışan işten ayrıldığında erişimi derhal kaldırır.

Momentive, bilgi güvenliği ilkelerini sürdürür, düzenli olarak gözden geçirir ve en az yılda bir günceller. Çalışanlar bu ilkeleri yılda bir kere kabul eder ve işe özel konularda ek eğitimler alır. Eğitimler, Momentive için geçerli olan tüm spesifikasyonlara ve düzenlemelere uyumlu olacak şekilde tasarlanmıştır.

Momentive, işe alım sırasında geçmiş değerlendirmesi yapar (geçerli yasalar ve ülkeler tarafından izin verildiği veya desteklendiği ölçüde). Buna ek olarak Momentive, bilgi güvenliği ilkelerini tüm personeline iletir (personelin bunu kabul etmesi gerekir), yeni çalışanların gizlilik anlaşması imzalamasını zorunlu kılar, sürekli gizlilik ve güvenlik eğitimleri sunar.

Momentive aynı zamanda uygulama, ağ ve sistem güvenliğine yoğunlaşan özel bir Güven ve Güvenlik kurumuna sahiptir. Bu ekip ayrıca güvenlik uyumluluğu, eğitim ve olay müdahalelerinden sorumludur.

Momentive; sunucularda, iş istasyonlarında, ağ ekipmanlarında ve uygulamalarda yapılan periyodik tarama, kimlik saptama ve güvenlik zaafı onarımını unsurlarını içeren belgelendirilmiş bir zaaf yönetim programı yürütür. Test ve üretim ortamları da dahil tüm ağlar, güvenilir üçüncü taraf tedarikçiler ile düzenli olarak taranır. Sunuculara öncelikli ve diğer yamalara uygun olmak üzere kritik yamalar uygulanır.

Ek olarak düzenli kurum içi ve kurum dışı penetrasyon testleri yürütülür ve bulunan sonuçların şiddetine göre çözümler getirilir.

Momentive, veri merkezlerimizde bekleyen tüm verileri korumak için AES 256 tabanlı şifreleme kullanır. Ayrıca, Momentive, (i) Momentive'in veri merkezleri dışındaki kuruluşlarla iletişim için herkese açık bir Sertifika Yetkilisi aracılığıyla oluşturulan 2048 bit anahtar uzunluğuna dayalı sertifikalara sahip RSA'yı ve (ii) Dahili Sertifika Yetkilisi aracılığıyla oluşturulan RSA 256 sertifikalarını kullanarak hareket halindeki tüm verileri şifreler.

Geliştirme ekibimiz, OWASP İlk 10’daki bilgileri dikkate alarak güvenli kodlama tekniklerini ve en iyi uygulamaları kullanır. Geliştiriciler, işe alındıkları anda ve yılda bir kere güvenli web uygulaması geliştirme yöntemleri konusunda resmi eğitim alır.

Geliştirme, test ve üretim ortamları ayrıdır. Tüm değişiklikler eşdüzey kimseler tarafından gözden geçirilir ve üretim ortamında devreye alınmadan önce performans, denetleme ve adli amaçlar doğrultusunda kaydedilir.

Momentive; bilgilerin ve varlıkların kimliğinin saptanmasını, sınıflandırılmasını, tutulmasını ve imha edilmesini içeren bir varlık yönetimi ilkesine sahiptir. Şirket tarafından verilen cihazlarda tam sabit sürücü şifreleme özelliği ve güncel antivirüs yazılımı bulunur. Yalnızca şirket tarafından verilen cihazların kurumsal ağlara ve üretim ağlarına erişmesine izin verilir.

Momentive; ilk müdahale, soruşturma, müşteri bildirimi (geçerli yasanın gerektirdiğinden az olmamak koşuluyla), kamu iletişimi ve onarım unsurlarını kapsayan güvenlik olayı müdahale süreçlerine sahiptir. Bu süreçler, düzenli olarak gözden geçirilir ve yılda iki kere test edilir.

En iyi çabayı göstermemize rağmen, internette hiçbir aktarım yöntemi ve hiçbir elektronik depolama yöntemi tam anlamıyla güvenli değildir. Mutlak güvenlik garanti edilemez. Ancak Momentive’in bir güvenlik ihlalinden haberdar olması durumunda, uygun koruyucu adımları uygulayabilmeleri için etkilenen kullanıcılara bildirim yapılır. İhlal bildirim prosedürlerimiz; geçerli ülke, devlet ve federal düzeydeki kanunların ve düzenlemelerin yanı sıra bizim için geçerli olan tüm sektör kuralları veya standartları kapsamındaki yükümlülüklerimizle tutarlıdır. Müşterilerimizi hesaplarının güvenliğine ilişkin her türlü konuda tam anlamıyla bilgilendirme ve kendilerine düzenleyici raporlama yükümlülüklerini yerine getirmeleri için gerekli tüm bilgileri sunma taahhüdümüzü sürdürüyoruz.

Yedeklemeler, gizlilik ve bütünlüklerini korumak amacıyla üretim ortamı içinde şifrelenir ve saklanır. Momentive, arıza sürelerini ve veri kaybını en aza indirmek için bir yedekleme stratejisi uygular. İş Sürekliliği Planı'nın (İSP) bir felaket durumunda etkili bir şekilde işlediğinden emin olunması adına İSP düzenli olarak test edilir ve güncellenir.

Verilerinizi güvende tutmak için yeterince karmaşık parolaları kullanarak ve bunları güvenle depolayarak hesabınızın güvenliğini sağlamanız gerekir. Ayrıca kendi sistemlerinizde yeterli düzeyde güvenlik sağladığınızdan da emin olmalısınız. Anket yanıtlarınızın aktarımını güvenlik altına almak üzere TLS hizmeti sunuyoruz. Ancak anketlerinizin gerektiği zaman bu özelliği kullanabilecek şekilde yapılandırılmasını sağlamak sizin sorumluluğunuzdadır. Anketlerinizin güvenliğini sağlamaya ilişkin daha fazla bilgi için Yardım Merkezimizi ziyaret edin.

Uygulama ve altyapı sistemleri; yetkili Momentive personeli tarafından gerçekleştirilecek sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydeder. Günlükler, düzenleyici gereklilikler doğrultusunda saklanır. Müşterilerimizin hesaplarını etkileyen güvenlik olayları olması durumunda, kendilerine makul destek ve günlüklere erişim sağlanır.