Des millions d’utilisateurs font confiance à SurveyMonkey pour leurs données de sondage. La sécurité et la confidentialité de nos utilisateurs est en tête de liste de nos priorités. Nous mettons tout en œuvre pour garantir le traitement sécurisé des données des utilisateurs. SurveyMonkey utilise les technologies les plus avancées qui soient disponibles aujourd’hui dans le domaine de la sécurité Internet. Cette Déclaration de sécurité a pour but d’expliquer de manière transparente notre infrastructure de sécurité afin de vous rassurer sur la protection de vos données. Consultez notre politique de confidentialité pour plus d’informations sur le traitement des données.

Sécurité des utilisateurs

  • Authentification des utilisateurs : Dans notre base de données, les données utilisateur sont compartimentées de manière logique en fonction de règles d’accès basées sur les comptes. Les comptes utilisateur sont associés à des noms d’utilisateur et à des mots de passe qui doivent être saisis par l’utilisateur à chaque fois qu’il se connecte. SurveyMonkey émet un cookie de session dans le seul but d’enregistrer les informations d’authentification chiffrées pour la durée d’une session spécifique. Le cookie de session ne recueille pas le mot de passe de l’utilisateur.
  • Mots de passe : Les mots de passe des applications utilisateur sont soumis à des règles de complexité réduites. Les mots de passe font l’objet d’un salage et d’un hachage de manière individuelle.
  • Connexion unique : Pour nos comptes Collaboration en équipe, SurveyMonkey prend en charge l’intégration SAML 2.0 qui vous permet de contrôler l’accès à SurveyMonkey dans toute votre organisation et de définir des règles d’authentification pour renforcer la sécurité. Pour plus d’informations, rendez-vous sur notre page d’aide Connexion unique (SSO).
  • Chiffrement des données : Certaines données utilisateur sensibles, telles que les informations de carte bancaire et les mots de passe de comptes, sont stockées sous un format chiffré.
  • Portabilité des données : SurveyMonkey vous donne la possibilité d’exporter vos données depuis notre système dans de nombreux formats à des fins de sauvegarde ou d’utilisation avec d’autres applications.
  • Confidentialité : Nous suivons une politique de confidentialité complète qui explique clairement comment nous traitons vos données, notamment la manière dont nous les utilisons, les personnes avec lesquelles nous les partageons et la durée pendant laquelle nous les conservons.
  • Résidence des données : Toutes les données utilisateur SurveyMonkey, incluant Wufoo et TechValidate, sont stockées sur des serveurs se trouvant aux États-Unis. Pour les utilisateurs canadiens de SurveyMonkey, il est possible que les données des sondages soient stockées au Canada. Les données FluidSurveys et FluidReview sont stockées au Canada.

Sécurité physique

Tous les systèmes informatiques et l’infrastructure de SurveyMonkey sont hébergés dans des centres de données de classe mondiale. Ces derniers disposent de tous les contrôles de sécurité physique nécessaires que les centres de données d’aujourd’hui se doivent de proposer (par exemple : surveillance 24/7, caméras, journaux de visiteurs, restrictions d’entrée). SurveyMonkey dispose de cages dédiées pour séparer son équipement de celui des autres locataires. Ces centres de données disposent en outre d’une accréditation SOC 2. Pour plus d’informations, consultez les sites SuperNAP et InterNAP. Si vous recherchez des informations sur FluidSurveys ou FluidReview, ou sur notre centre de données canadien, veuillez nous contacter directement.

Disponibilité

  • Connectivité : Connexions réseau IP entièrement redondantes, avec plusieurs connexions indépendantes vers les principaux fournisseurs d’accès Internet.
  • Alimentation : Les serveurs disposent d’alimentations internes et externes redondantes. Les centres de données disposent d’alimentations de secours et peuvent être alimentés par plusieurs sous-stations sur le réseau, plusieurs générateurs diesel et des batteries de secours.
  • Disponibilité : Surveillance de disponibilité continue, avec remontée immédiate des pertes de disponibilité vers SurveyMonkey.
  • Reprise après incident : Notre base de données est répliquée en temps réel et la reprise après incident prend moins d’une heure.
  • Fréquence de sauvegarde : les sauvegardes ont lieu tous les jours sur plusieurs sites géographiquement disparates.

Sécurité du réseau

  • Tests : Les fonctionnalités et les modifications de conception du système sont vérifiées dans un environnement de test hors-réseau et subissent un test fonctionnel et de sécurité avant tout déploiement sur les systèmes de production actifs.
  • Pare-feux : Des pare-feux restreignent l’accès à tous les ports, à l’exception des ports 80 (http) et 443 (https).
  • Contrôle d’accès : Secure VPN, 2FA (authentification à deux facteurs) et l’accès à base de rôles sont appliqués par la gestion des systèmes et le personnel informatique autorisé.
  • Journalisation et audit : Des systèmes de journalisation centralisés capturent et archivent les accès internes au système, y compris les échecs de tentatives d’authentification.
  • Chiffrement en transit : Par défaut, nos collecteurs de sondages appliquent la technologie TLS (Transport Layer Security) pour chiffrer le trafic des participants. Toutes les autres communications avec le site Web surveymonkey.com transitent par des connexions TLS qui protègent les communications via l’authentification des serveurs et le chiffrement des données. Cela garantit une transmission des données utilisateur sûre, sécurisée et disponible uniquement pour les destinataires. Nos points de terminaison sont protégés par TLS et obtiennent la note « A » aux tests de SSL Labs. Nous utilisons en outre Forward Secrecy (Transferts secrets) et n’acceptons que les cryptogrammes forts pour plus de confidentialité et de sécurité.

Gestion de la vulnérabilité

  • Application des correctifs : Les correctifs de sécurité les plus récents sont appliqués à tous les systèmes d’exploitation, à toutes les applications et à toute l’infrastructure réseau afin de réduire la vulnérabilité aux attaques.
  • Analyses tierces : Nos environnements sont analysés en permanence à l’aide des meilleurs outils de sécurité. Ces outils évaluent la vulnérabilité des applications et du réseau en testant le statut des correctifs et les erreurs de configuration communes des systèmes et des sites.
  • Tests d’intrusion : Des organismes externes conduisent des tests d’intrusion au moins une fois par an.
  • « Bug Bounty » : Nous prenons très au sérieux la sécurité de nos plateformes ! SurveyMonkey a lancé un programme « bug bounty » (recherche récompensée de bogues) privé pour s’assurer que ses applications sont moins vulnérables.

Sécurité organisationnelle et administrative

  • Règles de sécurité des données : Nous appliquons des règles de sécurité des données internes, notamment des plans de réponse après incident, et les révisons continuellement.
  • Évaluation du personnel : Nous effectuons un contrôle des antécédents sur tous nos employés, dans la limite permise par les lois régionales.
  • Formation : Nous formons nos employés sur les thèmes de la sécurité et de l’utilisation des technologies.
  • Fournisseurs de services : Nous évaluons nos fournisseurs de services et les soumettons par contrat aux obligations de confidentialité et de sécurité appropriées s’ils sont amenés à traiter des données utilisateur.
  • Accès : Les contrôles d’accès aux données sensibles de nos bases de données, systèmes et environnements sont définis sur une base « informations minimales/droits minimaux nécessaires ».
  • Journalisation d’audit : Nous exécutons et surveillons des journaux d’audit sur nos services et systèmes.

Pratiques de développement logiciel

  • Pile : Nous codons en Python et exécutons sur SQL Server, Windows et Ubuntu.
  • Pratiques de codage : Nos ingénieurs appliquent les meilleures pratiques et les instructions de codage sécurisées de l’industrie, alignées sur l’OWASP Top 10.
  • Déploiement : Nous déployons du code des dizaines de fois chaque semaine, ce qui nous permet de réagir rapidement en cas de présence de bogue ou de vulnérabilité dans notre code.

Conformité et certifications

  • PCI : SurveyMonkey est actuellement conforme à la norme PCI 3.1.
  • HIPAA : SurveyMonkey propose des fonctionnalités de sécurité avancées prenant en charge les spécifications HIPAA. Pour plus d’informations, rendez-vous sur notre page de conformité HIPAA.

Traitement des infractions à la sécurité

Malgré tous nos efforts, aucune méthode de transmission sur Internet et aucune méthode de stockage électronique ne sont sécurisées à 100 %. Nous ne pouvons pas garantir une sécurité absolue. Toutefois, dans le cas où SurveyMonkey serait informé d’une infraction à la sécurité, nous en informerions les utilisateurs concernés afin qu’ils puissent prendre les mesures de protection adéquates. Nos procédures de notification d’infraction à la sécurité sont conformes à nos obligations légales ainsi qu’avec les règles et normes de l’industrie auxquelles nous adhérons. Les procédures de notification incluent l’envoi d’avis par email ou leur publication sur notre site Web en cas d’infraction à la sécurité.

Vos responsabilités

La sécurisation de vos données implique le choix de mots de passe forts et leur conservation en lieu sûr. Vous devez également vous assurer que vos propres systèmes sont suffisamment sécurisés afin de ne pas divulguer les données de sondage que vous téléchargez sur vos propres ordinateurs. Nous proposons TLS comme technique de sécurisation de la transmission des réponses aux sondages, mais vous devez vérifier que vos sondages sont configurés pour utiliser cette fonctionnalité le cas échéant. Pour plus d’informations sur la sécurisation de vos sondages, rendez-vous sur notre Centre d’aide.

Demandes des clients

En raison du nombre de clients utilisant notre service, les questions de sécurité spécifiques ou les formulaires de sécurité personnalisés ne peuvent être envoyés qu’aux clients ayant acheté un certain volume de comptes utilisateur dans le cadre d’un abonnement à SurveyMonkey. Si votre entreprise dispose d’un grand nombre d’utilisateurs existants ou potentiels et qu’elle est intéressée par cette formule, veuillez contacter Collaboration en équipe.

Dernière mise à jour : 6 juin 2017.