Des millions d’utilisateurs confient leurs données à SurveyMonkey. Notre priorité, c’est de prendre au sérieux les questions de sécurité et de confidentialité de nos utilisateurs. Nous faisons tout ce qui est en notre pouvoir pour préserver la sécurité des données des utilisateurs, et nous ne recueillons que les données personnelles nécessaires afin de proposer nos services à nos utilisateurs de manière sûre et efficace.

SurveyMonkey utilise les technologies les plus avancées du marché en termes de sécurité Internet. Cette déclaration sur la sécurité a pour but de promouvoir la transparence de nos infrastructures et pratiques en matière de sécurité, afin de vous garantir que vos données sont protégées de manière adéquate.

Sécurité des applications et des utilisateurs

  • Chiffrement SSL/TLS : les utilisateurs ont la possibilité de recueillir des informations par le biais de connexions sécurisées et chiffrées SSL/TLS. Toutes les autres communications du site Web surveymonkey.com sont envoyées via des connexions chiffrées SSL/TLS. La technologie de chiffrement SSL (Secure Sockets Layer) et la technologie TLS (Transport Layer Security), qui lui a succédé, protègent vos communications par l’authentification des serveurs et le chiffrement des données. De cette manière, le transit des données des utilisateurs se fait de manière sûre et sécurisée, et les informations ne sont consultées que par les destinataires prévus.
  • Authentification des utilisateurs : les données des utilisateurs de notre base de données sont isolées de manière logique en fonction de règles d’accès dépendantes des comptes. Les comptes d’utilisateur disposent d’un nom d’utilisateur et d’un mot de passe uniques, devant être saisis à chaque connexion de l’utilisateur. SurveyMonkey émet un cookie par session afin d’enregistrer les informations d’authentification chiffrées pendant la durée d’une session spécifique. Ce cookie de session n’inclut pas le mot de passe de l’utilisateur.
  • Mots de passe d’utilisateur : les mots de passe des applications des utilisateurs doivent respecter certaines contraintes de complexité minimales. Les mots de passe sont salés et hachés individuellement.
  • Chiffrement des données : certaines informations sensibles, comme les informations de carte de crédit ou les mots de passe de compte, sont stockées au format chiffré.
  • Portabilité des données : SurveyMonkey vous permet d’exporter vos données de notre système vers divers formats, pour en faire des sauvegardes ou pour les utiliser avec d’autres applications.
  • Confidentialité : notre politique de confidentialité, très complète, explique clairement comment nous gérons vos données, comment nous les utilisons, avec qui nous les partageons, et pendant combien de temps nous les conservons.
  • HIPAA : nous proposons des fonctions de sécurité améliorées pour les comptes HIPAA.

Sécurité physique

  • Centres de données : notre infrastructure de systèmes informatiques (serveurs, équipements réseaux, etc.) se trouve dans des centres de données tiers répondant aux normes SSAE 16/SOC 2. Nous détenons et gérons tous nos équipements se trouvant dans ces centres de données.
  • Sécurité des centres de données : nos centres de données ne sont jamais vides et sont surveillés 24h/24. Des gardes en assurent l’entrée, des journaux de visiteurs sont tenus, et des cartes d’entrée et des systèmes de reconnaissance biométrique sont en vigueur. En outre, nos équipements se trouvent dans des cages verrouillées.
  • Gestion de l’environnement : les températures et l’humidité de notre centre de données sont constamment contrôlées. Des détecteurs de fumée et d’incendie, ainsi que des systèmes d’urgence sont en place.
  • Emplacement : toutes les données des utilisateurs sont stockées sur des serveurs aux États-Unis et au Luxembourg.

Disponibilité

  • Connectivité : connexions réseau IP entièrement redondantes avec plusieurs connexions indépendantes pour une gamme de fournisseurs d’accès Internet de niveau 1.
  • Alimentation : les serveurs disposent de sources d’alimentation redondantes internes et externes. Le centre de données bénéficie de sources d’alimentation de secours, et peut tirer de l’énergie de plusieurs sous-stations sur la grille, plusieurs générateurs diesel et plusieurs batteries de rechange.
  • Durée active : surveillance continue de la durée active avec intensification immédiate du personnel de SurveyMonkey en cas de temps mort.
  • Basculement : notre base de données est envoyée aux serveurs de secours et peut basculer en moins d’une heure.

Sécurité du réseau

  • Durée active : surveillance continue de la durée active avec intensification immédiate du personnel de SurveyMonkey en cas de temps mort.
  • Scan de tiers : des scans de sécurité sont effectués de manière hebdomadaire par Qualys.
  • Tests : les modifications en termes de design et de fonctionnalité du système sont vérifiées dans un environnement de test isolé de type « bac à sable », et leur fonctionnalité et leur sécurité peuvent être testées avant déploiement sur des systèmes de production actifs.
  • Pare-feu : un pare-feu restreint l’accès à tous les ports, sauf les ports 80 (http) et 443 (https).
  • Mises à jour correctives : les dernières mises à jour sont appliquées à tous les systèmes d’exploitation et à tous les fichiers d’applications afin d’atténuer les vulnérabilités nouvellement découvertes.
  • Contrôle d’accès : VPN sécurisé, authentification multifacteur et accès selon le rôle sont autant d’éléments en vigueur dans la gestion de systèmes par le personnel autorisé.
  • Journalisation et audits : des systèmes de journalisation centraux capturent et archivent tous les accès aux systèmes internes, y compris les éventuels échecs de tentatives d’authentification.

Sécurité du stockage

  • Fréquence de sauvegarde : des sauvegardes ont lieu toutes les heures en interne, ainsi que quotidiennement vers un système de sauvegarde centralisé, afin de stocker les données dans plusieurs sites géographiques.
  • Redondance de la production : les données sont stockées sur un regroupement RAID 10. Système d’exploitation stocké sur un regroupement RAID 10.

Sécurité administrative et organisationnelle

  • Sélection des employés : nous effectuons des vérifications d’antécédents pour tous les employés.
  • Formations : nous proposons des formations à la sécurité et à l’utilisation des technologies à nos employés.
  • Fournisseurs de services : nous effectuons des vérifications auprès de nos fournisseurs de services, et nous leur faisons signer des contrats les soumettant à des obligations en termes de confidentialité dès qu’ils entrent en contact avec les données d’un utilisateur.
  • Accès : l’accès aux données sensibles de nos bases de données, systèmes et environnements dépend du besoin de savoir et des privilèges minimum requis.
  • Journalisation des audits : nous entretenons et contrôlons des journaux d’audits sur nos services et systèmes (nos systèmes de journalisation génèrent plusieurs gigaoctets de fichiers journaux chaque jour).
  • Politiques en matière de sécurité des informations : nous appliquons des politiques internes en matière de sécurité des informations, y compris des plans de réponse aux incidents, et nous les revoyons et mettons à jour régulièrement.

Pratiques de développement logiciel

  • Empilement : nous utilisons les codes Python et C#, ainsi que SQL Server 2008, Ubuntu Linux, et Windows Server 2008.
  • Pratiques de codage : nos ingénieurs utilisent les meilleures pratiques et appliquent des directives de codage sécurisé de niveau industriel afin d’assurer la sécurité des codes.

Gestion des brèches de la sécurité

Quels que soient les efforts fournis, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique n’est complètement sûre. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, au cas où SurveyMonkey prendrait connaissance d’une brèche de la sécurité, nous avertirions les utilisateurs concernés afin qu’ils puissent prendre les mesures appropriées. Nos procédures de notification de brèche tiennent compte de nos obligations légales, qu’elles se situent au niveau étatique ou fédéral, ainsi que de nos obligations envers les normes de l’industrie auxquelles nous adhérons. Selon nos procédures de notification, nous envoyons un avis par courrier électronique ou le publions sur notre site Web en cas de brèche.

Vos responsabilités

Préserver la sécurité de vos données dépend aussi de vous : vous devez assurer la sécurité de votre compte en utilisant un mot de passe suffisamment compliqué et en le stockant de manière sûre. En outre, vous devez vous assurer de la sécurité de vos propres systèmes et garder les données de sondage que vous téléchargez sur votre propre ordinateur à l’abri des regards indiscrets. Nous proposons un chiffrement SSL afin de garantir la sécurité de la transmission des réponses de sondage, mais il vous revient de vous assurer que vos sondages sont configurés de manière à pouvoir profiter de cette fonction, le cas échéant.

Demandes personnalisées

En raison du nombre de clients qui utilisent notre service, les questions de sécurité spécifiques ou les formulaires de sécurité personnalisés ne peuvent être envoyés qu’aux clients qui achètent un certain volume de comptes d’utilisateur dans le cadre d’un abonnement SurveyMonkey Entreprise. Si votre société dispose d’un grand nombre d’utilisateurs potentiels ou existants et souhaite en savoir plus, veuillez consulter www.surveymonkey.com/mp/enterprise.

Dernière mise à jour : 9 septembre 2013.