Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne wpływa na serwery w naszych centrach danych. Dla naszych klientów w Europie serwerem jest Meppel w Holandii.
Centrum danych i serwer
Nasze serwery znajdują się w centrach danych Serverius i są archiwizowane w oddzielnych obiektach w chmurach Microsoft Azure. QuestionPro ogranicza dostęp do centrów danych do starszych pracowników w oparciu o zasadę najmniejszych uprawnień. Centra danych są monitorowane 24 godziny na dobę. Odwiedzający są rejestrowani i eskortowani przez pracowników centrum danych. Wszyscy odwiedzający muszą nosić identyfikatory. Centra korzystają z ochrony, elektronicznych urządzeń dostępowych, biometrycznych urządzeń dostępowych, systemów sygnalizacji pożaru oraz monitoringu CCTV.
Monitorowanie serwera
QuestionPro korzysta z narzędzi monitorujących, takich jak Nagios, CloudFlare i OSSEC w połączeniu z możliwościami rejestrowania Apache Logs, Linux var/log/audit/audit.log i MySQL Statistics. Administratorzy systemu mogą wybrać określone zdarzenia do audytu na dowolnym poziomie systemu, w tym dostęp do systemu wewnętrznego, nieudane próby uwierzytelnienia i inne zdarzenia podlegające audytowi. Ponadto narzędzia te umożliwiają oznaczanie czasu wszystkich działań podlegających kontroli i tworzenie dzienników kontroli.
Zgodność centrum danych
Zgodność centrum danych: Serverius, główne centrum danych QuestionPro, przechodzi regularne audyty ISO 27001. Raporty z tych audytów potwierdzają zaangażowanie Serverius w ochronę przed nieautoryzowanym dostępem i zapewnienie ciągłej dostępności danych. Centrum kopii zapasowych QuestionPro, MS Azure, jest regularnie poddawane audytom SSAE 16 SOC 2. Sprawozdania tych dwóch instytucji można oczywiście w każdej chwili obejrzeć na żądanie.
.
Dostęp i konta użytkowników
Bezpieczeństwo na poziomie konta użytkownika opisuje środki zapewniające bezpieczeństwo konta użytkownika w QuestionPro
Uwierzytelnianie użytkownika
Single Sign-On: Single Sign-On (SSO) umożliwia użytkownikom QuestionPro dostęp za pomocą poświadczeń istniejącego intranetu firmy. Logowanie jednokrotne oparte na SAML, Multipass/Token lub Cookie może być używane z popularnymi systemami uwierzytelniania, takimi jak Active Directory lub LDAP, w celu określenia, czy użytkownik końcowy jest uwierzytelniony.
Weryfikacja double opt-in i reCaptcha
QuestionPro oferuje opcję wymagania weryfikacji reCaptcha podczas rejestracji użytkownika. reCaptcha uniemożliwia automatycznym skryptom tworzenie fałszywych kont, co znacznie zwiększa bezpieczeństwo kont użytkowników.
Uwierzytelnianie personelu
Cały dostęp do serwerów QuestionPro wymaga uwierzytelniania wieloskładnikowego - kluczy SSH i haseł. Dostęp do środowiska tymczasowego jest ograniczony do programistów, dostęp do środowiska produkcyjnego do administratorów, a dostęp do baz danych do starszych administratorów.
Ograniczenia dostępu oparte na poczcie e-mail
Dzięki licencji QuestionPro Academic klienci uniwersyteccy mogą ograniczyć rejestrację konta użytkownika do osób z uniwersyteckimi domenami adresu e-mail, co ułatwia dostęp, jednocześnie zwiększając bezpieczeństwo przed nieautoryzowanym użyciem.
Bezpieczeństwo administracyjne
Bezpieczeństwo administracyjne dotyczy zakładania dodatkowych kont głównych i subkont oraz cesji uprawnień i ról
Nazwa użytkownika i hasło
Hasła muszą zawierać co najmniej 8 znaków oraz kombinację małych i wielkich liter, cyfr i znaków specjalnych. Nie wolno używać haseł łatwych do odgadnięcia. Właściciele kont muszą zmieniać hasła co dziewięćdziesiąt dni. Każdy zalogowany użytkownik jest automatycznie wylogowywany po 15 minutach braku aktywności. Wszystkie niewykorzystane nazwy użytkownika są automatycznie dezaktywowane po sześciu miesiącach braku aktywności.
Zasada najmniejszych uprawnień
QuestionPro wykorzystuje zasadę najmniejszych przywilejów. Wykwalifikowani pracownicy QuestionPro mogą uzyskiwać dostęp do uprzywilejowanych obszarów systemu tylko wtedy, gdy dostęp ten jest wymagany do działania funkcji biznesowych QuestionPro, na przykład w przypadku wsparcia lub usług zleconych. Dostęp do systemu mają tylko odpowiednio wykwalifikowani pracownicy, aby mogli wykonywać niezbędne zadania.
Zarządzanie kontem użytkownika
QuestionPro oferuje bardzo drobno granulowane prawa i oparte na rolach zarządzanie kontami użytkowników dla kont wielu użytkowników. Oznacza to, że tylko administratorzy systemu (właściciele głównych kont użytkowników) mogą tworzyć nowe konta główne lub subkonta oraz przypisywać im odpowiednie uprawnienia i role. Prawa i role subkont można w dowolnym momencie dostosowywać, zmieniać, usuwać lub ograniczać dostęp..
Bezpieczeństwo serwera i środowiska systemowego
Nasze serwery są optymalnie chronione przed atakami z zewnątrz (ataki hakerskie) oraz przed nieautoryzowanym dostępem. Regularnie skanujemy podatności i korzystamy z szyfrowania SSL, TLS, SSH i SCP
zapora
Wszystkie połączenia zewnętrzne z systemem QuestionPro kończą się na zaporze iptables/Linux skonfigurowanej z domyślną regułą „odrzuć wszystko”. Niezainicjowany ruch wychodzący jest ograniczony do zewnętrznych interfejsów API i SMTP. Zapora używa niedomyślnych zarządzanych punktów dostępu dla ruchu HTTP, ruchu HTTP szyfrowanego SSL i wychodzącego ruchu SMTP.
Dodatkowa ochrona
Oprócz zapory, QuestionPro używa również czarnych list IP do konsekwentnego blokowania adresów IP, o których wiadomo, że są fałszywe, oraz narzędzia do sprawdzania integralności OSSEC w celu wykrycia, czy w systemie wprowadzono nieautoryzowane zmiany. Ponadto QuestionPro korzysta z usługi ochrony granic CloudFlare do tworzenia granic logicznych i odpierania ataków DDoS.
kodowanie
Dane w tranzycie: QuestionPro implementuje szyfrowanie SSL, TLS, SSH i SCP w celu bezpiecznego przesyłania danych. QuestionPro obsługuje pełne szyfrowanie SSL, a wszystkie serwery pocztowe są skonfigurowane z TLS. Dostęp do serwerów systemowych można uzyskać tylko przez SSH na niestandardowym porcie. Dane są przesyłane do zapasowego centrum danych przez SSH z rsync. Dane w spoczynku: QuestionPro szyfruje wszystkie hasła klientów i dane kart kredytowych przechowywane w bazach danych systemu za pomocą procesu mieszania. Gdy klienci korzystają z logowania jednokrotnego, hasła nie są przechowywane, ale uwierzytelniane za pomocą tokena.
Praktyki rozwojowe
W ramach procesu rozwoju, QuestionPro utrzymuje oddzielne środowiska do rozwoju, testowania, testowania i produkcji zgodnie z najlepszymi praktykami SDLC. Dostęp jest ograniczony do administratorów systemu. Cały kod programistyczny jest sprawdzany przez starszego administratora przed przejściem do produkcji. QuestionPro chroni przed wstrzyknięciami SQL poprzez przygotowane instrukcje, procedury składowane, unikanie wprowadzania danych przez użytkownika i wymuszanie najmniejszych uprawnień. QuestionPro zwalcza skrypty między witrynami poprzez prawidłowe ucieczkę / kodowanie, czarne listy, skanowanie luk w zabezpieczeniach i inne metody.
Konfiguracja i administracja
QuestionPro przestrzega metodologii wydawania i konserwacji, która obejmuje dokumentowanie, testowanie i przeglądanie zmian w systemie. QuestionPro aktualizuje swoje systemy operacyjne serwerów niezwłocznie najnowszymi poprawkami i wydaje wydania konserwacyjne co najmniej raz w tygodniu. Wszystkie mniej istotne aplikacje zostaną wyłączone w celu ochrony systemu przed zagrożeniami.
Skany podatności
QuestionPro regularnie przeprowadza skanowanie podatności systemu QuestionPro na wszystkich serwerach we wszystkich centrach danych. Wszystkie wykryte luki w zabezpieczeniach są natychmiast poddawane ocenie ryzyka bezpieczeństwa i natychmiast naprawiane zgodnie z wynikami oceny. Raporty bezpieczeństwa PCI są oczywiście dostępne do wglądu w dowolnym momencie na żądanie.
bezpiecznik
QuestionPro stale wykonuje gorące kopie zapasowe, które są dostępne do przywrócenia w ciągu dwóch godzin. Tylko administratorzy systemu mają dostęp do kopii zapasowych i tylko w celu odzyskania systemu. W żadnym wypadku kopie zapasowe nie będą usuwane z serwerów ani udostępniane osobom trzecim.
Nieprzerwana dostawa energii
Przełączanie awaryjne serwera: wszystkie serwery QuestionPro we wszystkich centrach danych na całym świecie są bez wyjątku wyposażone w zasilacze awaryjne (UPS), aby zapewnić natychmiastowe zasilanie awaryjne w przypadku awarii zasilania, a tym samym zapobiec awarii systemu.
Zgodność i zgodność
Dzięki platformie do badań rynku i zarządzania doświadczeniem QuestionPro spełnia wszystkie regionalne i krajowe wymagania dotyczące bezpieczeństwa danych, ochrony danych i określonej zgodności.
Zgodność z RODO
QuestionPro jest w pełni zgodny z przepisami Unii Europejskiej dotyczącymi ochrony danych (RODO), a użytkownicy naszej platformy mogą tworzyć i wysyłać ankiety zbierania danych zgodne z RODO. Aby wesprzeć ten proces, wprowadziliśmy zaawansowany proces, który zapewnia, że wszystkie dane gromadzone za pomocą naszej platformy są w pełni zgodne z RODO, w tym możliwość przenoszenia danych, prywatność, zgoda i inne funkcje zgodności.
ISO 27001: 2013
QuestionPro to firma posiadająca certyfikat ISO 27001:2013. ISO 27001 to uznawany na całym świecie międzynarodowy standard zarządzania zagrożeniami bezpieczeństwa informacji. Posiadamy wszystkie zestawy standardowych wymagań dla Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). W ramach tych standardów stosujemy podejście procesowe do konfigurowania, wdrażania, obsługi, monitorowania, utrzymywania i ulepszania naszych systemów.
Sekcja 508 Zgodność
Ankiety, badania rynku i analizy punktów styku utworzone za pomocą aplikacji QuestionPro są zgodne z sekcją 508 (Federalne wytyczne dotyczące dostępności w USA). Ankiety i kwestionariusze online utworzone na platformie QuestionPro są zgodne dla osób niepełnosprawnych fizycznie.
Zgodność z FERPA (dotyczy USA)
QuestionPro zobowiązuje się do przestrzegania przepisów Ustawy o prawach do edukacji rodzinnej i prywatności. Dbamy o to, aby wszyscy nasi klienci przestrzegali tego samego kodeksu postępowania. Aby zapewnić zgodność z wytycznymi FERPA, przestrzegamy ścisłego protokołu administracyjnego i technicznego.
Twoje pytania dotyczące bezpieczeństwa QuestionPro
Chętnie odpowiemy na wszystkie Twoje pytania dotyczące naszych środków bezpieczeństwa w celu ochrony Twoich danych i konta użytkownika w ramach konsultacji online na żywo 1:1
