수백만 명의 사용자들이 SurveyMonkey의 설문조사 데이터 관리를 신뢰하고 있으며, 저희는 사용자들의 보안과 개인정보 보호 관련 사항을 신중하게 취급하는 데 우선순위를 두고 있습니다. SurveyMonkey는 사용자 데이터가 안전하게 취급될 수 있도록 최선을 다합니다. SurveyMonkey는 현재 상업적으로 제공되는 최첨단 인터넷 보안 기술 중 일부를 사용하고 있습니다. 이 보안 성명의 목적은 SurveyMonkey의 보안 인프라와 관행을 투명하게 유지하여 사용자의 데이터가 적절하게 보호되고 있음을 확인시켜 드리는 데 있습니다. 데이터 취급에 대한 자세한 내용은 SurveyMonkey의 개인정보 보호정책을 참조하십시오.

사용자 보안

  • 사용자 인증: SurveyMonkey의 데이터베이스에 있는 사용자 데이터는 계정 기반 액세스 규칙에 따라 논리적으로 분리됩니다. 사용자 계정에는 사용자가 로그인할 때마다 입력해야 하는 고유 사용자 이름과 비밀번호가 있습니다. SurveyMonkey는 특정 세션 기간 동안의 암호화 인증 정보를 기록하기 위해서만 세션 쿠키를 생성합니다. 세션 쿠키는 사용자의 비밀번호를 포함하지 않습니다.
  • 비밀번호: 사용자 애플리케이션 비밀번호는 최소 복잡성 요건을 만족해야 합니다. 비밀번호는 개별적으로 솔트화 및 해시화됩니다.
  • 통합 인증: 팀 공동 작업 계정의 경우, SurveyMonkey는 회사 전체에 걸쳐 SurveyMonkey에 대한 액세스를 제어하고 보안 강화를 위해 인증 정책을 정의할 수 있는 SAML 2.0 연동을 지원합니다. 자세한 내용은 SSO 도움말 페이지를 참조하십시오.
  • 데이터 암호화: 신용카드 상세정보 및 계정 비밀번호와 같은 일부 민감한 사용자 데이터는 암호화된 형태로 저장됩니다.
  • 데이터 이동성: SurveyMonkey는 사용자로 하여금 SurveyMonkey의 시스템으로부터 다양한 형식으로 데이터를 내보내어 데이터를 백업하거나 다른 애플리케이션에서 사용할 수 있도록 해줍니다.
  • 개인정보 보호: SurveyMonkey는 종합적인 개인정보 보호정책을 제공함으로써 사용자 데이터가 어떻게 사용되는지, 누구와 공유되는지, 얼마 동안 보관되는지 등을 비롯해 사용자 데이터의 취급 방식을 매우 투명하게 공개합니다.
  • 데이터 상주: Wufoo, TechValidate, SurveyMonkey Intelligence를 포함한 모든 SurveyMonkey 사용자 데이터는 미국에 소재한 서버에 저장됩니다. FluidSurveys와 FluidReview의 모든 데이터는 캐나다에 저장됩니다.

물리적 보안

모든 SurveyMonkey 정보 시스템 및 인프라는 세계적 수준의 데이터 센터에 호스팅됩니다. 이러한 데이터 센터는 오늘날 사용자가 데이터 센터로부터 기대하는 모든 적절한 물리적 보안 제어 사항(예, 주 7일 하루 24시간 모니터링, 카메라, 방문자 로그, 출입 요건)을 갖추고 있습니다. SurveyMonkey는 시설 내 다른 사용자들로부터 구분되는 별도의 전용칸에 할당되어 있습니다. 또한, 이러한 데이터 센터는 SOC 2 인가 시설입니다. 자세한 내용은 SuperNAPInterNAP을 참조하십시오. FluidSurvey 또는 FluidReview에 대한 정보는 SurveyMonkey에 직접 문의하십시오.

가용성

  • 연결성: 복수의 독립 연결을 갖춘 완전 중복 IP 네트워크를 다양한 Tier 1 인터넷 액세스 제공업체에 연결합니다.
  • 전원: 서버 내부 및 외부에 중복 전원 공급 장치가 있습니다. 데이터 센터에는 예비 전원 공급 장치가 구비되어 있으며 배전망 상의 다수 변전소, 여러 디젤 발전기 및 예비 배터리에서 전력을 끌어올 수 있습니다.
  • 가동 시간: 가동 시간을 지속적으로 모니터링하며, 가동 중단이 발생할 경우 즉시 SurveyMonkey 직원에게 보고됩니다.
  • 장애 복구: SurveyMonkey의 데이터베이스는 실시간으로 복제되며 한 시간 내에 장애 복구가 이루어집니다.
  • 백업 빈도: 지리적으로 분산된 여러 사이트에서 매일 백업을 수행합니다.

네트워크 보안

  • 테스트: 시스템 기능 및 설계 변경은 격리된 테스트인 ‘샌드박스’ 환경에서 검증되고 실제 생산 시스템에 배포되기 전에 기능 및 보안 테스트를 거칩니다.
  • 방화벽: 방화벽을 통해 80(http) 및 443(https)을 제외한 모든 포트에 대한 액세스를 제한합니다.
  • 액세스 제어: 승인된 엔지니어링 담당자가 시스템 관리를 할 수 있도록 보안 VPN, 2FA(2단계 인증) 및 역할 기반 액세스를 실행합니다.
  • 로깅 및 감사: 중앙 로깅 시스템이 인증 시도 실패를 포함한 내부의 모든 시스템 액세스를 포착하고 보관합니다.
  • 전송 중 암호화: SurveyMonkey 컬렉터는 기본적으로 전송 계층 보안(Transport Layer Security, TLS)을 사용하여 응답자 트래픽을 암호화합니다. surveymonkey.com 웹사이트에서 이루어지는 모든 커뮤니케이션은 TLS 접속을 통해 전송되어 서버 인증 및 데이터 암호화를 통해 커뮤니케이션을 보호합니다. 이를 통해 전송 중의 사용자 데이터는 안전하게 유지되며 해당 수신자에게만 데이터가 전달됩니다. SurveyMonkey의 애플리케이션 엔드포인트는 TLS만을 사용하며 SSL Labs 테스트 상에서 ‘A’ 등급을 받았습니다. 또한 강화된 개인정보 보호 및 보안을 위해 Forward Secrecy를 이용하며 강력한 암호만을 지원합니다.

취약성 관리

  • 패칭: 모든 운영 체제, 애플리케이션 및 네트워크 인프라에 최신 보안 패치가 적용되어 취약성에 노출될 위험성을 줄여줍니다.
  • 타사 스캔: SurveyMonkey의 운영 환경은 최고의 보안 도구를 사용하여 지속적으로 스캔됩니다. 이러한 도구는 애플리케이션 및 네트워크 취약성 평가를 수행하도록 구성되어 패치 상태 및 기본적인 시스템과 사이트의 구성 오류를 테스트합니다.
  • 모의 해킹: 외부 단체들이 최소한 연간 1회 모의 해킹을 실시합니다.
  • 버그 바운티: SurveyMonkey는 플랫폼 보안을 매우 중요하게 여기며, 사설 버그 바운티 프로그램을 운영하여 SurveyMonkey의 애플리케이션이 취약성에 대해 지속적으로 검토될 수 있도록 합니다.

조직적 및 행정적 보안

  • 정보 보안 정책: SurveyMonkey는 사고 대응 계획을 포함한 내부 정보 보안 정책을 갖추고 있으며 이 정책을 정기적으로 검토 및 업데이트합니다.
  • 직원 심사: SurveyMonkey는 현지 법규가 허용하는 한도 내에서 모든 직원들에 대한 신원 조사를 실시합니다.
  • 교육: SurveyMonkey는 직원들에게 보안 및 기술 사용 교육을 제공합니다.
  • 서비스 제공업체: SurveyMonkey는 서비스 제공업체를 심사하고 이러한 제공업체가 사용자 데이터를 취급하는 경우 적절한 기밀성 및 보안 의무에 대한 계약을 적용합니다.
  • 액세스: SurveyMonkey의 데이터베이스, 시스템 및 환경에 있는 민감한 데이터에 대한 액세스 제어는 반드시 필요한 경우에만 필요한 최소한의 권한을 부여하도록 설정되어 있습니다.
  • 감사 로깅: SurveyMonkey의 서비스 및 시스템 상의 감사 로그를 유지 및 모니터링합니다.

소프트웨어 개발 관행

  • 스택: SurveyMonkey는 파이썬(Python)으로 코딩하며 SQL Server, Windows 및 Ubuntu에서 실행합니다.
  • 코딩 관행: SurveyMonkey의 엔지니어들은 OWASP Top 10에 부합하는 모범 관행 및 업계 표준 보안 코딩 지침을 사용합니다.
  • 배포: SurveyMonkey는 한 주에 수십 번 코드를 배포하므로 코드 내에 버그나 취약성이 발견되는 경우 신속하게 대처할 수 있습니다.

준수 및 인증

  • PCI: SurveyMonkey는 현재 PCI 3.1을 준수합니다.
  • HIPAA: SurveyMonkey는 HIPAA 요건 사항을 지원하는 강화된 보안 기능을 제공합니다. 자세한 내용은 HIPAA 준수 페이지를 참조하십시오.

보안 위반 처리

최선의 노력에도 불구하고 어떠한 인터넷 전송 방법이나 전자 저장 방법도 완벽하게 안전하지는 않으므로 절대적인 보안을 보장할 수 없습니다. 그러나 SurveyMonkey가 보안 위반에 대해 알게 되는 경우, 영향을 받는 사용자들에게 알려 해당 사용자들이 적절한 보안 조치를 취할 수 있도록 합니다. SurveyMonkey의 보안 위반 통지 절차는 여러 주 및 연방정부 법규와 규정에서 명시하는 SurveyMonkey의 의무와 저희가 준수하는 업계 규칙 또는 기준과 일치합니다. 위반이 발생하는 경우의 통지 절차는 이메일 통지 발송 또는 SurveyMonkey 웹사이트에 통지를 게시하는 방법을 포함합니다.

사용자 책임

데이터의 보안 유지는 사용자가 적절하게 복잡한 비밀번호를 사용하고 이를 안전하게 보관함으로써 계정의 보안을 유지하는 것에 달려 있습니다. 사용자는 또한 자신의 시스템에 충분한 보안책을 갖추어 다운로드한 설문조사 데이터를 타인이 쉽게 액세스할 수 없도록 보호해야 합니다. SurveyMonkey는 설문조사 응답을 안전하게 전송하기 위해 TLS를 제공하나 이러한 기능이 적절한 곳에 사용될 수 있도록 설문조사를 구성하는 것은 사용자의 책임입니다. 설문조사에 대한 자세한 내용은 도움말 센터를 참조하십시오.

고객 요청

수많은 고객이 SurveyMonkey 서비스를 이용함에 따라 특정 보안 관련 질문에 대한 답변이나 맞춤형 보안 양식은 SurveyMonkey 서비스 내에서 특정 개수의 사용자 계정을 구매하는 고객에게만 제공될 수 있습니다. 다수의 잠재 사용자 또는 기존 사용자가 있고 이에 대해 알아보려는 회사의 경우 팀 공동 작업을 참조하십시오.

마지막 업데이트일: 2016년 7월 13일