稳健的GDPR兼容测量平台


虽然Alchemer提供了一个难以置信的易于使用的平台,允许用户从所有类型的来源收集所有类型的数据,我们也提供了一套强大的控制和工具,以确保您的数据是受保护的。我们与所有行业的一些世界顶级品牌合作,我们部署了行业领先的控制,从而保护您的数据。

我们完全理解这一点,我们都对客户与我们共享的数据负有责任,所以我们不会仅仅满足法律要求的最低要求。作为全球调查和软件供应商,在数据安全和隐私方面做正确的事情是我们的基石。

完全GDPR兼容

Alchemer已经将GDPR合规作为保护所有客户和受访者隐私的基准,无论他们在哪里。

我们为GDPR指挥中心提供不断更新的教育材料,随着新的信息、实践和需求变得公开。[DR1]我们所有的客户都可以全天候访问标准的数据处理附录(DPA)。DPA是我们的客户和Alchemer之间的合同协议,以确保我们在任何时候都按照客户的指示处理和处理数据。此外,我们所有的员工都接受由我们自己的GDPR认证的隐私基金会和从业者领导的GDPR培训。

Alchemer在德国有一个符合gdp标准的数据中心,以确保使用我们欧洲数据中心的客户不会在未经其批准的情况下将他们的应答数据转移到美国。我们在加拿大和美国的另外两个数据中心也符合GDPR,我们在Privacy Shield的会员资格意味着客户可以将数据转移到欧盟以外的服务器,并保证它将受到与在欧盟同样的保护,享有同样的隐私权。

由于我们的高级隐私通知和选择加入的同意程序,Alchemer的客户可以使用我们的平台来帮助他们遵守GDPR的要求。帐户管理员可以很容易地在他们的调查中包括必要的同意。如果Alchemer的客户需要获得应答者的同意,这很容易通过平台通过账户管理员完成。

我们使组织更容易部署数据隐私披露和选择加入声明,在他们的调查中,在整个组织。我们还允许客户轻松地配置数据保留策略,并且我们将根据客户定义的保留规则自动清除他们的数据。

安全应用程序和数据架构

通过Amazon Web Services (AWS),我们拥有了容错、高可用性和可伸缩的基础设施。我们使用web应用防火墙和负载均衡器来防止入侵和流量激增。我们致力于为调查人员和应用程序用户提供99.9%的正常运行时间。

我们使用VPC (Virtual Private Cloud),并使用AWS安全组(AWS Security Groups)创建单独的网段,这相当于防火墙规则。应用程序的不同层有不同的安全组,这些安全组根据需要和最低权限限制访问。

此外,Alchemer利用AWS提供的全球基础设施,更好地为客户服务。作为Alchemer的客户,您可以选择数据所在的位置,除非您导出数据或从我们的客户支持团队请求转移数据,否则数据将保留在该数据中心。

专注于数据安全

Alchemer已经获得了NSF International的ISO 27001认证,证明了我们保护客户数据的承诺。2019年,我们还进行了一次SOC2 Type I审核,目的是建立一个成熟的、持续的监控程序,以便在2020年及之后每年立即启动SOC2 Type II认证。Alchemer雇佣了一个全职的,专注于网络安全专业人员的团队,他们专注于构建,实施和维护强大的网络安全框架。

该公司还与外部第三方合作,对我们的应用程序和网络进行年度渗透测试(笔测试)。此外,定期测试和扫描应用程序和网络,以寻找漏洞。

我们成熟的漏洞管理程序包括扫描工具、实时警报和定期的漏洞管理团队会议,这些都是我们的企业风险管理程序的内容。

Alchemer自豪的是,我们不仅遵守标准和认证;我们将这些标准视为我们建立信息安全实践的基础。所以你知道你的数据是安全的。

基础架构和控制

  • 基础架构和控制

    开放关闭
    • 基于AWS构建,遵循最佳实践架构
    • 跨越多个可用区域的冗余服务器基础设施
    • 自动化基础设施扩展
    • 联合多租户数据库
    • 反病毒和恶意软件检测
    • 网络过滤
    • Web应用防火墙(WAF)
    • 通过防火墙进行状态报文检测
    • 专用加密数据库实例
    • 对所有办公室信息系统进行全磁盘加密
    • 数据库和备份使用AES-256加密
    • 数据库备份每小时执行一次,并保留90天
    • 每季度进行模拟恢复测试,以确保备份完整性
    • 网络分段与dmz, vpc, IPSec隧道
    • 所有特权用户帐户都需要多因素身份验证(MFA)
    • 安全数据删除过程
    • 集中的日志
    • 集中监控
    • 集中配置管理
    • 24×7监测和支持事件的反应
    • 生产服务器经常打补丁,以确保它们的安全始终是最新的
    • 使用SSL加密的所有应用程序流量(TLS 1.2)
    • 密码复杂度和重用规则在所有层中强制执行
    • 密码至少90天更换一次
    • 办公室物理安全控制(徽章、摄像头、报警器)
  • 应用程序级安全特性和控制

    开放关闭
    • 基于团队和基于角色的权限来管理Alchemer中的访问
    • 使用SAML 2.0的单点登录(SSO)
    • 使用TOTP或SMS强制多因素身份验证(MFA)的能力
    • 多用户帐户中的可定制调查限制
    • 行级数据加密特性
    • DRP (Data Retention Policy)特性
    • 用户访问日志记录所有登录到您的炼金术师帐户
    • API访问权限控制
    • 帐户密码的限制
    • 为您的调查创建隐私/数据使用政策
    • 创建匿名调查
    • 控制炼金师支持访问您的帐户
    • 永久删除数据
  • 标准操作程序

    开放关闭
    • 年度风险评估
    • 年度业务连续性/灾难恢复演习
    • 正在通过WhiteHat和BURP套件进行应用程序漏洞扫描
    • 正在进行的基础设施漏洞扫描通过Tenable
    • 与第三方安全分析师/测试人员合作
    • 每周事件回顾会议
      安全与风险评估集成到SDLC中
    • 职责分离
    • 事件响应团队和过程
    • 最不优惠访问原则的实践
    • 记录所有生产变更的评审过程和批准
    • 记录升级和事件处理流程
    • 版本控制
    • 受限的、自动化的软件发布过程
    • 24×7滥用报告程序
    • 全公司强制性安全培训计划
    • 对所有员工进行背景调查
    • 围绕可接受的使用、保密协议和客户帐户访问制定人力资源政策
    • 第三方承包商不能访问生产数据或基础设施
    • 所有技术资产的库存管理过程

将你的反馈付诸行动