Déclaration de sécurité

DERNIÈRE MISE À JOUR : 7 JUILLET 2020

Cette Déclaration de sécurité s’applique aux produits, services, sites Web et applications offerts par SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Ltda et leurs sociétés affiliées (désignés collectivement sous le terme « SurveyMonkey »), sous les marques « SurveyMonkey » et « Wufoo », sauf mention contraire. Nous nous référons à ces produits, services, sites Web et applications collectivement sous le terme de « services » dans la présente Déclaration. Cette Déclaration de sécurité fait également partie intégrante des contrats d’utilisation destinés aux clients SurveyMonkey et Wufoo.

SurveyMonkey apprécie la confiance que nos clients lui témoignent en nous confiant leurs données dont nous sommes les dépositaires. Nous prenons très au sérieux notre responsabilité de garantir la sécurité de vos informations et de les protéger, et nous veillons à offrir une totale transparence sur nos pratiques de sécurité présentées ci-dessous. Notre Politique de confidentialité présente également en détail les manières dont nous traitons vos données.

Les systèmes d’information et l’infrastructure technique de SurveyMonkey sont hébergés au sein de centres de données certifiés SOC 2 de classe mondiale. Les contrôles de sécurité physiques mis en place dans nos centres de données incluent une surveillance 24x7, des caméras, des registres de visiteurs, des conditions d’entrée et des cabinets dédiés pour le matériel SurveyMonkey.

SurveyMonkey, Wufoo et SurveyMonkey Apply sont conformes à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS 3.2) et peuvent donc accepter ou traiter en toute sécurité les données de cartes bancaires, conformément à cette norme. SurveyMonkey repasse chaque année cette certification de conformité. SurveyMonkey a obtenu la certification ISO 27001.

L’accès aux ressources technologiques de SurveyMonkey est uniquement autorisé dans le cadre d’une connectivité sécurisée (par exemple, VPN, SSH) et il requiert une authentification multi-facteurs. Notre politique de mot de passe requiert des mots de passe complexes expirant de façon régulière et une fonction de verrouillage, et interdit toute réutilisation des mots de passe antérieurs. SurveyMonkey donne un accès sélectif sur la base des principes de moindre privilège, examine les droits d’accès tous les trimestres et suspend immédiatement l’accès après la cessation d’emploi.

SurveyMonkey gère, révise régulièrement et met à jour ses politiques de sécurité de l’information, sur une base annuelle au minimum. Les collaborateurs doivent reconnaître les politiques sur une base annuelle et recevoir une formation complémentaire, comme une formation sur HIPAA, la programmation sécurisée, PCI et le développement de la sécurité et des compétences spécifiques du poste et/ou une formation relative aux lois sur la confidentialité pour les principales fonctions du poste. Le calendrier de formation est établi pour se conformer à toutes les spécifications et réglementations applicables à SurveyMonkey.

SurveyMonkey effectue une vérification des antécédents des collaborateurs au moment de l’embauche (dans la mesure autorisée ou facilitée par les lois applicables et les pays). En outre, SurveyMonkey communique ses politiques de sécurité de l’information à l’ensemble du personnel (qui doit reconnaître ces politiques), exige que les nouveaux collaborateurs signent des accords de non-divulgation, et garantit la mise en place d’une formation permanente sur la confidentialité et la sécurité.

SurveyMonkey a également mis sur pied une structure de confiance et de sécurité dédiée, en charge de la sécurité des applications, des réseaux et des systèmes. Cette équipe est également responsable de la conformité en matière de sécurité, de la formation et de la réponse aux incidents.

SurveyMonkey gère un programme documenté de gestion des vulnérabilités, qui comprend des analyses régulières, l’identification et la correction des failles de sécurité sur les serveurs, les postes de travail, les équipements réseaux et les applications. Tous les réseaux, y compris les environnements de test et de production, font l’objet d’analyses régulières exécutées par des fournisseurs tiers de confiance. Des correctifs critiques sont déployés sur les serveurs sur une base prioritaire, et selon le cas pour tous les autres correctifs.

En outre, nous effectuons régulièrement des tests de pénétration internes et externes et nous apportons les corrections appropriées en fonction de la gravité des résultats trouvés.

Nous cryptons vos données en transit à partir des protocoles cryptographiques TLS de sécurité. Les données SurveyMonkey et Wufoo est également cryptées pendant leur stockage.

Notre équipe de développement met en œuvre des techniques de codage sécurisé et des meilleures pratiques, centrées sur l’OWASP Top Ten. Les développeurs reçoivent une formation officielle sur les pratiques de développement d’applications Web sécurisées, à l’embauche puis sur une base annuelle.

Les environnements de développement, de test et de production sont séparés. Toutes les modifications sont soumises à l’examen des pairs et consignées à des fins juridiques, de performance et d’audit, avant le déploiement dans l’environnement de production.

SurveyMonkey assure une politique de gestion des ressources comprenant l’identification, la classification, la rétention et l’élimination des informations et des ressources. Les appareils fournis par l’entreprise sont dotés d’un logiciel de cryptage du disque dur et d’un logiciel anti-virus actualisé. Seuls les appareils fournis par l’entreprise sont autorisés à accéder aux réseaux d’entreprise et de production.

SurveyMonkey assure des politiques et procédures de réponses aux incidents liés à la sécurité, couvrant la réponse initiale, l’enquête, la notification du client (en respectant au minimum des exigences de la législation applicable), la communication publique et la correction. Ces politiques sont examinées régulièrement et testées deux fois par an.

Quels que soient les efforts fournis, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique n’est complètement sûre. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, au cas où SurveyMonkey prendrait connaissance d’une brèche de la sécurité, nous avertirions les utilisateurs concernés afin qu’ils puissent prendre les mesures appropriées. Nos procédures de notification de brèche tiennent compte de nos obligations légales, qu’elles se situent au niveau national, étatique ou fédéral, ainsi que de nos obligations envers les normes de l’industrie qui nous sont applicables. Nous nous engageons à informer pleinement nos clients de toutes les questions relevant de la sécurité de leur compte et à leur fournir toutes les informations nécessaires pour les aider à respecter leurs propres obligations réglementaires en matière de reporting.

Les bases de données de SurveyMonkey font l’objet de sauvegardes complètes et incrémentales, sur une base rotative, et elles sont régulièrement vérifiées. Les sauvegardes sont cryptées et stockées au sein de l’environnement de production afin de préserver leur confidentialité et leur intégrité et elles font l’objet de tests réguliers destinés à assurer leur disponibilité. De plus, SurveyMonkey suit un Plan de continuité d’activité (Business Continuity Plan/BCP). Ce BCP est testé et actualisé à intervalles réguliers pour garantir son efficacité en cas de sinistre.

Préserver la sécurité de vos données exige que vous veilliez à assurer la sécurité de votre compte en utilisant un mot de passe suffisamment compliqué et en le stockant de manière sûre. Vous devez également vous assurer que vous disposez d’une sécurité suffisante sur vos propres systèmes. Nous proposons un chiffrement TLS afin de garantir la sécurité de la transmission des réponses de sondage, mais il vous revient de vous assurer que vos sondages sont configurés de manière à pouvoir profiter de cette fonction, le cas échéant. Pour en savoir plus sur la sécurité de vos sondages, visitez notre Centre d’aide. Cet article a été rédigé à l’intention des clients SurveyMonkey, mais certains des conseils fournis s’appliquent également à nos clients Wufoo.

Les systèmes d’application et d’infrastructure consignent les informations de journal dans un référentiel géré centralement à des fins de dépannage, d’examens de sécurité et d’analyse par le personnel autorisé de SurveyMonkey. Les journaux sont conservés conformément aux exigences réglementaires. Nous fournirons à nos clients une assistance et un accès raisonnables aux journaux dans le cas où un incident de sécurité affecte leur compte.