Sécurité physique
La sécurité physique concerne les serveurs dans nos centres de données. Pour nos clients en Europe, le serveur est situé à Meppel, aux Pays-Bas.
Centre de données et serveur
Nos serveurs sont situés dans des centres de données Serverius et sont sécurisés dans des installations séparées dans le nuage Microsoft Azure. QuestionPro limite l'accès aux centres de données aux cadres supérieurs, selon le principe du moindre privilège. Les centres de données sont surveillés 24 heures sur XNUMX. Les visiteurs sont enregistrés et escortés par le personnel du centre de données. Tous les visiteurs doivent porter un badge. Les centres disposent d'un personnel de sécurité, de dispositifs d'accès électroniques, de dispositifs d'accès biométriques, d'alarmes incendie et de systèmes de vidéosurveillance.
Surveillance du serveur
QuestionPro utilise des outils de surveillance tels que Nagios, CloudFlare et OSSEC en conjonction avec les capacités de journalisation d'Apache Logs, Linux var/log/audit/audit.log et MySQL Statistics. Les administrateurs du système peuvent sélectionner des événements spécifiques à auditer à chaque niveau du système, notamment les accès internes au système, les tentatives d'authentification échouées et d'autres événements auditables. En outre, ces outils permettent l'horodatage de toutes les actions auditables et la création de journaux d'audit.
Conformité du centre de données
Conformité du centre de données : Serverius, le principal centre de données de QuestionPro, subit régulièrement des audits ISO 27001. Les rapports de ces audits confirment l'engagement de Serverius à se protéger contre les accès non autorisés et à garantir la disponibilité permanente des données. L'installation de sauvegarde de QuestionPro, MS Azure, subit régulièrement des audits SSAE 16 SOC 2. Les rapports de ces deux installations peuvent bien sûr être consultés à tout moment sur demande.
.
Accès et comptes utilisateurs
La sécurité du compte utilisateur décrit les mesures prises pour assurer la sécurité du compte utilisateur de QuestionPro.
Authentification d'utilisateur
Authentification unique : L'authentification unique (SSO) permet aux utilisateurs de QuestionPro Access d'utiliser les informations d'identification d'un intranet d'entreprise existant. Le SSO basé sur SAML, sur des passeurs/tokens multiples ou sur des cookies peut être utilisé avec des systèmes d'authentification courants tels que Active Directory ou LDAP pour déterminer si un utilisateur final est authentifié.
Vérification double opt-in et reCaptcha
QuestionPro offre la possibilité de demander une vérification reCaptcha lors de l'inscription de l'utilisateur. reCaptcha empêche les scripts automatisés de créer de faux comptes, ce qui augmente considérablement la sécurité des comptes d'utilisateurs.
Authentification du personnel
Tout accès aux serveurs de QuestionPro nécessite une authentification multi-facteurs - clés SSH et phrases de passe. L'accès à l'environnement de préparation est réservé aux développeurs, l'accès à l'environnement de production est réservé aux administrateurs système et l'accès aux bases de données est réservé aux administrateurs système seniors.
Restrictions d'accès par e-mail
Avec la licence QuestionPro Academic, les clients universitaires peuvent restreindre l'enregistrement des comptes utilisateurs à ceux qui ont des domaines d'adresses électroniques universitaires, facilitant ainsi l'accès tout en augmentant la sécurité contre l'utilisation non autorisée.
Sécurité administrative
La sécurité administrative concerne l'établissement d'autres comptes principaux et secondaires ainsi que l'attribution des droits et des rôles
Nom d'utilisateur et mot de passe
Les mots de passe doivent contenir au moins 8 caractères et une combinaison de lettres minuscules, de lettres majuscules, de chiffres et de caractères spéciaux. Les mots de passe faciles à deviner ne doivent pas être utilisés. Les titulaires de comptes doivent changer leurs mots de passe tous les quatre-vingt-dix jours. Tout utilisateur connecté sera automatiquement déconnecté après 15 minutes d'inactivité. Tous les noms d'utilisateur non utilisés seront automatiquement désactivés après six mois d'inactivité.
Principe du moindre privilège
QuestionPro fonctionne selon le principe du moindre privilège. Les employés qualifiés de QuestionPro ne peuvent accéder à des zones privilégiées du système que si cela est nécessaire pour le fonctionnement des fonctions commerciales de QuestionPro, par exemple dans le cas de services d'assistance ou de commande. L'accès au système n'est accordé qu'aux employés dûment qualifiés qui effectuent des tâches essentielles.
Gestion des comptes utilisateurs
QuestionPro offre une administration très fine des comptes utilisateurs basée sur les droits et les rôles pour les comptes multi-utilisateurs. Cela signifie que seuls les administrateurs du système (propriétaires des comptes d'utilisateurs principaux) peuvent créer de nouveaux comptes principaux ou secondaires et leur attribuer les droits et rôles correspondants. Les droits et les rôles des sous-comptes peuvent être adaptés, modifiés, supprimés ou l'accès peut être restreint à tout moment..
Sécurité du serveur et de l'environnement système
Nos serveurs sont protégés de manière optimale contre les attaques externes (piratage) et les accès non autorisés. Nous effectuons également des analyses de vulnérabilité régulières et utilisons le cryptage SSL, TLS, SSH et SCP.
Pare-feu
Toutes les connexions externes au système QuestionPro passent par un pare-feu iptables/Linux configuré avec une règle par défaut "deny all". Le trafic sortant non initié est limité aux API externes et au SMTP. Par défaut, le pare-feu n'utilise pas les points d'extrémité gérés pour le trafic HTTP, le trafic HTTP crypté par SSL et le trafic SMTP sortant.
Protection supplémentaire
QuestionPro utilise des listes noires d'IP en plus d'un pare-feu pour bloquer systématiquement les adresses IP frauduleuses connues et le vérificateur d'intégrité OSSEC pour déterminer si des modifications non autorisées ont été apportées au système. En outre, le service de protection des frontières CloudFlare de QuestionPro est utilisé pour créer des frontières logiques et empêcher les attaques DDoS.
Codage
Les données pendant la transmission : QuestionPro utilise le cryptage SSL, TLS, SSH et SCP pour transférer les données en toute sécurité. QuestionPro supporte le cryptage SSL complet et tous les serveurs de messagerie sont configurés avec TLS. L'accès au serveur du système est uniquement possible via SSH sur un port non standard. Les données sont transférées vers le centre de données de sauvegarde via SSH en utilisant rsync. Données au repos : QuestionPro crypte tous les mots de passe des clients et les données des cartes de crédit stockées dans les bases de données du système en utilisant une procédure de hachage. Si les clients utilisent le SSO, les mots de passe ne sont pas stockés mais authentifiés par un jeton.
Pratiques de développement
Dans le cadre du processus de développement, QuestionPro maintient des environnements distincts pour le développement, la mise en place, les tests et la production, conformément aux meilleures pratiques SDLC. L'accès est limité aux administrateurs du système. Tout le code de développement est examiné par un administrateur principal avant d'être mis en production. QuestionPro protège contre les injections SQL grâce aux instructions préparées, aux procédures stockées, à l'échappement des entrées utilisateur et à l'application du principe du moindre privilège. QuestionPro combat les scripts intersites grâce à un encodage et un échappement appropriés, des listes noires, des analyses de vulnérabilité et d'autres procédures.
Paramétrage et administration
QuestionPro suit une méthodologie de mise à jour et de maintenance qui comprend la documentation, les tests et la révision des modifications du système. QuestionPro met rapidement à jour ses systèmes d'exploitation de serveurs avec les derniers correctifs et publie des versions de maintenance au moins une fois par semaine. Toutes les applications non essentielles sont désactivées afin de protéger le système contre les menaces.
Analyses de vulnérabilité
QuestionPro effectue des analyses de vulnérabilité du système QuestionPro sur tous les serveurs dans tous les centres de données à intervalles réguliers. Toutes les vulnérabilités découvertes sont immédiatement vérifiées et corrigées sans délai en fonction des résultats de l'analyse. Les rapports de sécurité PCI peuvent bien sûr être consultés à tout moment sur demande.
Fusible
QuestionPro effectue en permanence des sauvegardes à chaud qui sont disponibles pour une restauration dans les deux heures. Seuls les administrateurs du système ont accès aux sauvegardes et uniquement dans le but de restaurer le système. En aucun cas, les sauvegardes ne seront retirées des serveurs ou mises à la disposition de tiers.
Alimentation sans interruption
Basculement du serveur : Tous les serveurs QuestionPro dans tous les centres de données du monde, sans exception, sont équipés d'unités d'alimentation sans coupure (UPS) afin de garantir une alimentation de secours immédiate en cas de panne de courant, évitant ainsi toute défaillance du système.
Conformité et conformité
Avec sa plate-forme d'études de marché et de gestion de l'expérience, QuestionPro répond à toutes les exigences régionales et suprarégionales en matière de sécurité des données, de protection des données et de conformités spécifiques.
Conformité au RGPD
QuestionPro est entièrement conforme au règlement de l'Union européenne sur la protection des données (RGPD) et les utilisateurs de notre plateforme peuvent créer et soumettre des enquêtes conformes au RGPD pour la collecte de données. Pour soutenir cela, nous avons mis en place un processus sophistiqué pour garantir que toutes les données collectées par le biais de notre plateforme sont entièrement conformes au RGPD, y compris la portabilité des données, la confidentialité, le consentement et d'autres caractéristiques de conformité.
ISO 27001: 2013
QuestionPro est une entreprise certifiée ISO 27001:2013. La norme ISO 27001 est une norme internationale mondialement reconnue pour la gestion des risques liés à la sécurité des informations. Nous disposons de tous les ensembles d'exigences normalisées pour un système de gestion de la sécurité de l'information (SGSI). En vertu de ces normes, nous adoptons une approche fondée sur les processus pour établir, mettre en œuvre, exploiter, surveiller, maintenir et améliorer nos systèmes.
Conformité à la section 508
Les enquêtes, études de marché et analyses de points de contact créées avec QuestionPro sont conformes à la section 508 (directives fédérales américaines sur l'accessibilité). Enquêtes et questionnaires en ligne basés sur QuestionPro - La plate-forme est conçue pour être accessible aux personnes souffrant de handicaps physiques.
Conformité FERPA (s'applique aux États-Unis)
QuestionPro s'engage à respecter le Family Educational Rights and Privacy Act. Nous veillons à ce que tous nos clients suivent le même code de conduite. Pour garantir le respect de la FERPA, nous suivons un protocole administratif et technique strict.
Vos questions sur la sécurité de QuestionPro
Nous serions heureux de répondre à toutes vos questions sur nos mesures de sécurité pour protéger vos données et votre compte utilisateur dans le cadre d'une consultation en ligne en direct 1:1
