Güvenlik Bildirimi

SON GÜNCELLEME: 7 TEMMUZ 2020

Güvenlik Bildirimi; SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda. ve iştirakleri (toplu olarak “SurveyMonkey”) tarafından sunulan “SurveyMonkey” ve “Wufoo” olarak markalanan ürünler, hizmetler, web siteleri ve uygulamalar için geçerlidir. Bu ürünler, hizmetler, web siteleri ve uygulamalar bu Bildirimde toplu olarak “hizmetler” şeklinde ifade edilir. Güvenlik Bildirimi aynı zamanda SurveyMonkey ve Wufoo müşterilerine yönelik kullanıcı anlaşmalarının bir bölümünü oluşturur.

SurveyMonkey, verilerini muhafaza etmemize izin veren müşterilerimizin bize duyduğu güvene değer vermektedir. Bilgilerin korunması ve güvenli hale getirilmesine yönelik sorumluluğumuzu ciddiye alıyor, aşağıda ayrıntılarıyla verilen güvenlik uygulamalarında eksiksiz şeffaflık sağlamayı amaçlıyoruz. Ayrıca Gizlilik İlkemizde de verilerinizi yönetme yöntemlerimize ilişkin ayrıntılı bilgi bulunmaktadır.

SurveyMonkey’in bilgi sistemleri ve teknik altyapısı, SOC 2 akreditasyonuna sahip dünya sınıfı veri merkezlerinde barındırılmaktadır. Veri merkezlerimizdeki fiziksel güvenlik kontrolleri; 7/24 izleme, kameralar, ziyaretçi kayıtları, giriş gereklilikleri ve SurveyMonkey donanımına özel kafesleri içerir.

SurveyMonkey, Wufoo ve SurveyMonkey Apply; Kartlı Ödeme Endüstrisi Veri Güvenliği Standartları (PCI DSS 3.2) ile uyumludur ve bu doğrultuda kredi kartı bilgilerini bu standartlara uygun olarak güvenli bir şekilde kabul edebilir veya işleyebilir. SurveyMonkey, bu uyumluluk için her yıl yeniden sertifika alır. SurveyMonkey ISO 27001 sertifikasına sahiptir.

SurveyMonkey’in teknoloji kaynaklarına yalnızca çok faktörlü kimlik doğrulama gerektiren güvenli bağlantı (Örn. VPN, SSH) yoluyla erişilebilir. Parola ilkemizde karmaşıklık, son kullanma tarihi, kilitleme ve yeniden kullanım engelleme özellikleri bulunmalıdır. SurveyMonkey, bilinmesi gereken en düşük erişim hakkı kuralları temelinde erişim sağlar, izinleri üç ayda bir gözden geçirir ve çalışan işten ayrıldığında erişimi derhal kaldırır.

SurveyMonkey, bilgi güvenliği ilkelerini sürdürür, düzenli olarak gözden geçirir ve en az yılda bir günceller. Çalışanlar bu ilkeleri yılda bir kere kabul eder ve HIPAA, Güvenli Kodlama, PCI, işe özel güvenlik ve beceri gelişimi ve/veya kilit iş rolleri için gizlilik yasası gibi konularda ek eğitimler alır. Eğitim programı, SurveyMonkey için geçerli olan tüm spesifikasyonlara ve düzenlemelere uyumlu olacak şekilde tasarlanmıştır.

SurveyMonkey, işe alım sırasında geçmiş değerlendirmesi yapar (geçerli yasalar ve ülkeler tarafından izin verildiği veya desteklendiği ölçüde). Ayrıca bilgi güvenliği ilkelerini tüm personeline iletir (personelin bunu kabul etmesi gerekir), yeni çalışanların gizlilik anlaşması imzalamasını zorunlu kılar, sürekli gizlilik ve güvenlik eğitimleri sunar.

SurveyMonkey aynı zamanda uygulama, ağ ve sistem güvenliğine yoğunlaşan özel bir Güven ve Güvenlik organizasyonuna sahiptir. Bu ekip ayrıca güvenlik uyumluluğu, eğitim ve olay müdahalelerinden sorumludur.

SurveyMonkey; sunucularda, iş istasyonlarında, ağ ekipmanlarında ve uygulamalarda yapılan periyodik tarama, kimlik saptama ve güvenlik zaafı onarımını unsurlarını içeren belgelendirilmiş bir zaaf yönetim programı yürütür. Test ve üretim ortamları da dahil olmak üzere tüm ağlar, güvenilir üçüncü taraf tedarikçiler ile düzenli olarak taranır. Sunuculara öncelikli ve diğer yamalara uygun olmak üzere kritik yamalar uygulanır.

Ek olarak düzenli kurum içi ve kurum dışı penetrasyon testleri yürütülür ve bulunan sonuçların şiddetine göre çözümler getirilir.

Verileriniz, güvenli TLS kriptografik protokolleri kullanılarak iletim sırasında şifrelenir. Ayrıca SurveyMonkey ve Wufoo verileri, durağan oldukları sırada şifrelenir.

Geliştirme ekibimiz, OWASP İlk 10’daki bilgileri dikkate alarak güvenli kodlama tekniklerini ve en iyi uygulamaları kullanır. Geliştiriciler, işe alındıkları anda ve yılda bir kere güvenli web uygulaması geliştirme yöntemleri konusunda resmi eğitim alır.

Geliştirme, test ve üretim ortamları ayrıdır. Tüm değişiklikler eşdüzey kimseler tarafından gözden geçirilir ve üretim ortamında devreye alınmadan önce performans, denetleme ve adli amaçlar doğrultusunda kaydedilir.

SurveyMonkey; bilgilerin ve varlıkların kimliğinin saptanmasını, sınıflandırılmasını, tutulmasını ve imha edilmesini içeren bir varlık yönetimi ilkesine sahiptir. Şirket tarafından verilen cihazlarda tam sabit sürücü şifreleme özelliği ve güncel antivirüs yazılımı bulunur. Yalnızca şirket tarafından verilen cihazların kurumsal ağlara ve üretim ağlarına erişmesine izin verilir.

SurveyMonkey; ilk müdahale, soruşturma, müşteri bildirimi (geçerli yasanın gerektirdiğinden az olmamak koşuluyla), kamu iletişimi ve onarım unsurlarını kapsayan güvenlik olayı müdahale ilkelerine ve prosedürlerine sahiptir. Bu ilkeler düzenli olarak gözden geçirilir ve yılda iki kere test edilir.

En iyi çabayı göstermemize rağmen, internette hiçbir aktarım yöntemi ve hiçbir elektronik depolama yöntemi tam anlamıyla güvenli değildir. Mutlak güvenlik garanti edilemez. Ancak SurveyMonkey’in bir güvenlik ihlalinden haberdar olması durumunda, uygun koruyucu adımları uygulayabilmeleri için etkilenen kullanıcılara bildirim yapılır. İhlal bildirim prosedürlerimiz; geçerli ülke, devlet ve federal düzeydeki kanunların ve düzenlemelerin yanı sıra bizim için geçerli olan tüm sektör kuralları veya standartları kapsamındaki yükümlülüklerimizle tutarlıdır. Müşterilerimizi hesaplarının güvenliğine ilişkin her türlü konuda tam anlamıyla bilgilendirme ve kendilerine düzenleyici raporlama yükümlülüklerini yerine getirmeleri için gerekli tüm bilgileri sunma taahhüdümüzü sürdürüyoruz.

SurveyMonkey’in veritabanları, tam ve kademeli şekilde rotasyonlu olarak yedeklenir ve düzenli olarak doğrulanır. Yedeklemeler, gizlilik ve bütünlüklerini korumak amacıyla üretim ortamı içinde şifrelenir, saklanır ve kullanılabilirliklerini sağlamak üzere düzenli olarak test edilir. Ayrıca, SurveyMonkey resmi bir İş Sürekliliği Planı'na (İSP) sahiptir. Bir felaket durumunda etkili bir şekilde işlediğinden emin olunması adına İSP düzenli olarak test edilir ve güncellenir.

Verilerinizi güvende tutmak için yeterince karmaşık parolaları kullanarak ve bunları güvenle depolayarak hesabınızın güvenliğini sağlamanız gerekir. Ayrıca kendi sistemlerinizde yeterli düzeyde güvenlik sağladığınızdan da emin olmalısınız. Anket yanıtlarınızın aktarımını güvenlik altına almak üzere TLS hizmeti sunuyoruz. Ancak anketlerinizin gerektiği zaman bu özelliği kullanabilecek şekilde yapılandırılmasını sağlamak sizin sorumluluğunuzdadır. Anketlerinizin güvenliğini sağlamaya ilişkin daha fazla bilgi için Yardım Merkezimizi ziyaret edin. Bu makale SurveyMonkey müşterileri için yazılmış olup, sunduğu bilgilerin bir kısmı Wufoo müşterilerimiz için de eşit derecede geçerlidir.

Uygulama ve altyapı sistemleri; yetkili SurveyMonkey personeli tarafından gerçekleştirilecek sorun giderme, güvenlik incelemesi ve analizler için bilgileri merkezi olarak yönetilen bir günlük deposuna kaydeder. Günlükler, düzenleyici gereklilikler doğrultusunda saklanır. Müşterilerimizin hesaplarını etkileyen güvenlik olayları olması durumunda, kendilerine makul destek ve günlüklere erişim sağlanır.