Déclaration de sécurité

DERNIÈRE MISE À JOUR : 1^er juillet 2021

Cette Déclaration de sécurité s’applique aux produits, services, sites Web et applications offerts par Momentive Inc., Momentive Europe UC, Momentive Brasil Internet Eireli et leurs sociétés affiliées (désignés collectivement sous le terme « Momentive »), sous les marques « Momentive », « SurveyMonkey », « Wufoo » et « GetFeedback », sauf mention contraire. Nous nous référons à ces produits, services, sites Web et applications collectivement sous le terme de « services » dans la présente Déclaration. Cette Déclaration de sécurité fait également partie intégrante des contrats d’utilisation destinés aux clients SurveyMonkey et Wufoo.

Momentive apprécie la confiance que nos clients lui témoignent en nous confiant leurs données dont nous sommes les dépositaires. Nous prenons très au sérieux notre responsabilité de garantir la sécurité de vos informations et de les protéger, et nous veillons à offrir une totale transparence sur nos pratiques de sécurité présentées ci-dessous. Notre Avis de confidentialité présente également en détail les manières dont nous traitons vos données.

Les systèmes d’information et l’infrastructure technique de Momentive sont hébergés au sein de centres de données certifiés SOC 2 de classe mondiale. Les contrôles de sécurité physiques mis en place dans ces centres de données incluent une surveillance 24x7, des caméras, des registres de visiteurs, des restrictions d’entrée et tout l’équipement que vous pouvez attendre d’un centre de traitement de données hautement sécurisé.

Momentive a instauré des pratiques de gouvernance, de gestion des risques et de conformité conformes aux cadres de sécurité de l’information les plus reconnus mondialement. Momentive a obtenu la certification ISO 27001. En outre, le produit SurveyMonkey Entreprise est conforme à la norme HIPAA, et nos produits SurveyMonkey, Wufoo et SurveyMonkey Apply bénéficient de la certification PCI DSS 3.2 (Payment Card Industry Data Security Standards).

L’accès aux ressources technologiques de Momentive est uniquement autorisé dans le cadre d’une connectivité sécurisée (par exemple, VPN, SSH) et il requiert une authentification multi-facteurs. Notre politique de mot de passe requiert des mots de passe complexes expirant de façon régulière et une fonction de verrouillage, et interdit toute réutilisation des mots de passe antérieurs. Momentive donne un accès sélectif sur la base des principes de moindre privilège, examine les droits d’accès tous les trimestres et suspend immédiatement l’accès après la cessation d’emploi.

Momentive gère, révise régulièrement et met à jour ses politiques de sécurité de l’information, sur une base annuelle au minimum. Les collaborateurs doivent reconnaître les politiques sur une base annuelle et recevoir une formation complémentaire adaptée aux fonctions de leur poste. La formation est établie pour se conformer à toutes les spécifications et réglementations applicables à Momentive.

Momentive effectue une vérification des antécédents des collaborateurs au moment de l’embauche (dans la mesure autorisée ou facilitée par les lois applicables et les pays). En outre, Momentive communique ses politiques de sécurité de l’information à l’ensemble du personnel (qui doit reconnaître ces politiques), exige que les nouveaux collaborateurs signent des accords de non-divulgation, et garantit la mise en place d’une formation permanente sur la confidentialité et la sécurité.

Momentive a également mis sur pied une structure de confiance et de sécurité dédiée, en charge de la sécurité des applications, du cloud, des réseaux et des systèmes. Cette équipe est également responsable de la conformité en matière de sécurité, de la formation et de la réponse aux incidents.

Momentive gère un programme documenté de gestion des vulnérabilités, qui comprend des analyses régulières, l’identification et la correction des failles de sécurité sur les serveurs, les postes de travail, les équipements réseau et les applications. Tous les réseaux, y compris les environnements de test et de production, font l’objet d’analyses régulières exécutées par des fournisseurs tiers de confiance. Des correctifs critiques sont déployés sur les serveurs sur une base prioritaire, et selon le cas pour tous les autres correctifs.

En outre, nous effectuons régulièrement des tests de pénétration internes et externes et nous apportons les corrections appropriées en fonction de la gravité des résultats trouvés.

Momentive crypte toutes les données stockées dans ses centres de données en utilisant un cryptage AES 256. De plus, Momentive crypte toutes les données en mouvement en utilisant (i) des certificats RSA avec une longueur de clé de 2048 bits générés via une autorité de certification publique pour les communications avec des entités extérieures aux centres de données de Momentive, et (ii) des certificats RSA 256 générés via une autorité de certification interne pour toutes les données au sein du centre de données.

Notre équipe de développement met en œuvre des techniques de codage sécurisé et des meilleures pratiques, centrées sur l’OWASP Top Ten. Les développeurs reçoivent une formation officielle sur les pratiques de développement d’applications Web sécurisées, à l’embauche puis sur une base annuelle.

Les environnements de développement, de test et de production sont séparés. Toutes les modifications sont soumises à l’examen des pairs et consignées à des fins juridiques, de performance et d’audit, avant le déploiement dans l’environnement de production.

Momentive assure une politique de gestion des ressources comprenant l’identification, la classification, la rétention et l’élimination des informations et des ressources. Les appareils fournis par l’entreprise sont dotés d’un logiciel de cryptage du disque dur et d’un logiciel anti-virus actualisé. Seuls les appareils fournis par l’entreprise sont autorisés à accéder aux réseaux d’entreprise et de production.

Momentive assure un processus de réponse aux incidents de sécurité qui couvre la réponse initiale, l’enquête, la notification du client (en respectant au minimum les exigences de la législation applicable), la communication publique et la correction. Ce processus est examiné régulièrement et testé deux fois par an.

Quels que soient les efforts fournis, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique n’est complètement sûre. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, au cas où Momentive prendrait connaissance d’une brèche de la sécurité, nous avertirions les utilisateurs concernés afin qu’ils puissent prendre les mesures appropriées. Nos procédures de notification de brèche tiennent compte de nos obligations légales, qu’elles se situent au niveau national, étatique ou fédéral, ainsi que de nos obligations envers les normes de l’industrie qui nous sont applicables. Nous nous engageons à informer pleinement nos clients de toutes les questions relevant de la sécurité de leur compte et à leur fournir toutes les informations nécessaires pour les aider à respecter leurs propres obligations réglementaires en matière de reporting.

Les sauvegardes sont cryptées et stockées au sein de l’environnement de production afin de préserver leur confidentialité et leur intégrité. Momentive applique une stratégie de sauvegarde qui réduit au minimum les temps d’indisponibilité et la perte de données. Le Plan de continuité d’activité (Business Continuity Plan/BCP) est testé et actualisé à intervalles réguliers pour garantir son efficacité en cas de sinistre.

Préserver la sécurité de vos données exige que vous veilliez à assurer la sécurité de votre compte en utilisant un mot de passe suffisamment complexe et en le stockant de manière sûre. Vous devez également vous assurer que vous disposez d’une sécurité suffisante sur vos propres systèmes. Nous proposons un chiffrement TLS afin de garantir la sécurité de la transmission des réponses de sondage, mais il vous revient de vous assurer que vos sondages sont configurés de manière à pouvoir profiter de cette fonction, le cas échéant. Pour en savoir plus sur la sécurité de vos sondages, visitez notre Centre d’aide.

Les systèmes d’application et d’infrastructure consignent les informations de journal dans un référentiel géré centralement à des fins de dépannage, d’examens de sécurité et d’analyse par le personnel autorisé de Momentive. Les journaux sont conservés conformément aux exigences réglementaires. Nous fournirons à nos clients une assistance et un accès raisonnables aux journaux dans le cas où un incident de sécurité affecte leur compte.