Déclaration de sécurité

DERNIÈRE MISE À JOUR : 1er août 2023

Cette Déclaration de sécurité s’applique aux produits, services, sites Web et applications proposés par SurveyMonkey Inc., SurveyMonkey Europe UC, SurveyMonkey Brasil Internet Eireli et leurs sociétés affiliées (désignés collectivement sous le terme « SurveyMonkey »), sous les marques « SurveyMonkey », « SurveyMonkey », « Wufoo » et « GetFeedback », sauf mention contraire.Ces produits, services, sites Web et applications sont collectivement appelés « services » dans la présente Déclaration.Cette Déclaration de sécurité fait également partie intégrante des contrats d’utilisation destinés aux clients SurveyMonkey et Wufoo.

SurveyMonkey apprécie la confiance que ses clients lui témoignent en lui confiant leurs données.Nous prenons très au sérieux notre responsabilité quant à la sécurité et la protection de vos données, et nous efforçons de communiquer en toute transparence sur nos pratiques de sécurité présentées ci-dessous.Notre Avis de confidentialité explique également en détail la façon dont nous traitons vos données.

Les systèmes d’information et l’infrastructure technique de SurveyMonkey sont hébergés au sein de centres de données certifiés SOC 2 de classe mondiale.Les contrôles de sécurité physiques mis en place dans ces centres de données incluent une surveillance 24x7, des caméras, des registres de visiteurs, des restrictions d’entrée et tout l’équipement que vous pouvez attendre d’un centre de traitement de données hautement sécurisé.

SurveyMonkey a instauré des pratiques de gouvernance, de gestion des risques et de conformité conformes aux cadres de sécurité de l’information les plus reconnus mondialement.SurveyMonkey a obtenu la certification ISO 27001.En outre, le produit SurveyMonkey Entreprise est conforme à la norme HIPAA, et nos produits SurveyMonkey, Wufoo et SurveyMonkey Apply bénéficient de la certification PCI DSS 3.2 (Payment Card Industry Data Security Standards).

L’accès aux ressources technologiques de SurveyMonkey est uniquement autorisé dans le cadre d’une connectivité sécurisée (par exemple, VPN, SSH) et il requiert une authentification multi-facteurs.Notre politique de mot de passe requiert des mots de passe complexes expirant de façon régulière et une fonction de verrouillage, et interdit toute réutilisation des mots de passe antérieurs.SurveyMonkey donne un accès sélectif sur la base des principes de moindre privilège, examine les droits d’accès tous les trimestres et suspend immédiatement l’accès après la cessation d’emploi.

SurveyMonkey gère, révise régulièrement et met à jour ses politiques de sécurité de l’information, sur une base annuelle au minimum.Les collaborateurs doivent reconnaître les politiques sur une base annuelle et recevoir une formation complémentaire adaptée aux fonctions de leur poste.La formation est établie pour se conformer à toutes les spécifications et réglementations applicables à SurveyMonkey.

SurveyMonkey effectue une vérification des antécédents des collaborateurs au moment de l'embauche (dans la mesure autorisée ou facilitée par les lois applicables et les pays). En outre, SurveyMonkey communique ses politiques de sécurité de l'information à l’ensemble du personnel (qui doit reconnaître ces politiques), exige que les nouveaux collaborateurs signent des accords de non-divulgation, et garantit la mise en place d’une formation permanente sur la confidentialité et la sécurité.

SurveyMonkey a également mis sur pied une structure de confiance et de sécurité dédiée, en charge de la sécurité des applications, du cloud, des réseaux et des systèmes.Cette équipe est également responsable de la conformité en matière de sécurité, de la formation et de la réponse aux incidents.

SurveyMonkey gère un programme documenté de gestion des vulnérabilités, qui comprend des analyses régulières, l'identification et la correction des failles de sécurité sur les serveurs, les postes de travail, les équipements réseaux et les applications. Tous les réseaux, y compris les environnements de test et de production, font l’objet d’analyses régulières exécutées par des fournisseurs tiers de confiance. Des correctifs critiques sont déployés sur les serveurs sur une base prioritaire, et selon le cas pour tous les autres correctifs.

En outre, nous effectuons régulièrement des tests de pénétration internes et externes et nous apportons les corrections appropriées en fonction de la gravité des résultats trouvés.

SurveyMonkey crypte toutes les données stockées dans ses centres de données en utilisant un cryptage AES 256.De plus, SurveyMonkey crypte toutes les données en mouvement en utilisant (i) des certificats RSA avec une longueur de clé de 2048 bits générés via une autorité de certification publique pour les communications avec des entités extérieures aux centres de données de SurveyMonkey, et (ii) des certificats RSA 256 générés via une autorité de certification interne pour toutes les données au sein du centre de données.

Notre équipe de développement met en œuvre des techniques de codage sécurisé et des meilleures pratiques, centrées sur l'OWASP Top Ten. Les développeurs reçoivent une formation officielle sur les pratiques de développement d’applications Web sécurisées, à l’embauche puis sur une base annuelle.

Les environnements de développement, de test et de production sont séparés. Toutes les modifications sont soumises à l’examen des pairs et consignées à des fins juridiques, de performance et d’audit, avant le déploiement dans l'environnement de production.

SurveyMonkey assure une politique de gestion des ressources comprenant l’identification, la classification, la rétention et l’élimination des informations et des ressources. Les appareils fournis par l’entreprise sont dotés d’un logiciel de cryptage du disque dur et d’un logiciel anti-virus actualisé. Seuls les appareils fournis par l’entreprise sont autorisés à accéder aux réseaux d’entreprise et de production.

SurveyMonkey assure un processus de réponse aux incidents de sécurité qui couvre la réponse initiale, l’enquête, la notification du client (en respectant au minimum les exigences de la législation applicable), la communication publique et la correction.Ce processus est examiné régulièrement et testé deux fois par an.

Quels que soient les efforts fournis, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique n'est complètement sûre. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, au cas où SurveyMonkey prendrait connaissance d'une brèche de la sécurité, nous avertirions les utilisateurs concernés afin qu'ils puissent prendre les mesures appropriées. Nos procédures de notification de brèche tiennent compte de nos obligations légales, qu'elles se situent au niveau national, étatique ou fédéral, ainsi que de nos obligations envers les normes de l'industrie qui nous sont applicables. Nous nous engageons à informer pleinement nos clients de toutes les questions relevant de la sécurité de leur compte et à leur fournir toutes les informations nécessaires pour les aider à respecter leurs propres obligations réglementaires en matière de reporting.

Les sauvegardes sont chiffrées et stockées dans l’environnement de production afin de préserver leur confidentialité et leur intégrité.SurveyMonkey applique une stratégie de sauvegarde qui réduit au minimum les temps d’indisponibilité et la perte de données.Le Plan de continuité d’activité (Business Continuity Plan/BCP) est testé et actualisé à intervalles réguliers pour garantir son efficacité en cas de sinistre.

Pour renforcer la sécurité de vos données, veillez à protéger votre compte en utilisant des mot de passe complexes et en les conservant en lieu sûr. Assurez-vous également que vos propres systèmes sont suffisamment sécurisés. Nous proposons un chiffrement TLS afin de garantir la sécurité de la transmission des réponses de sondages, mais c'est à vous de configurer vos sondages de telle sorte qu'ils puissent bénéficier de cette fonctionnalité, le cas échéant. Pour en savoir plus sur la façon de sécuriser vos sondages, consultez notre Centre d'aide.

Les systèmes d’application et d’infrastructure consignent les informations de journal dans un référentiel géré centralement à des fins de dépannage, d’examens de sécurité et d’analyse par le personnel autorisé de SurveyMonkey. Les journaux sont conservés conformément aux exigences réglementaires. Nous fournirons à nos clients une assistance et un accès raisonnables aux journaux dans le cas où un incident de sécurité affecte leur compte.