Mailchimp prend très au sérieux la sécurité et la confidentialité des données, et nous reconnaissons que nos mesures et pratiques de sécurité sont importantes pour vous. Nous ne pouvons pas partager trop d'informations concernant nos pratiques (car des personnes mal intentionnées pourraient s'en servir contre nous), mais nous pouvons vous fournir des informations générales afin de vous rassurer quant à la manière dont nous sécurisons les données qui nous sont confiées.
Sécurité du centre de données
- Chaque mois, Mailchimp délivre des milliards d'e-mails pour des millions d'utilisateurs. Nous utilisons plusieurs agents de transfert de messages électroniques (MTA, Mail Transfer Agent), situés dans différents centres de données de qualité mondiale à travers les États-Unis.
- Nos centres de données gèrent leur sécurité physique 24h/24 et 7j/7 à l'aide de scanners biométriques et des dispositifs de technologie avancée qui font la fierté de ces systèmes.
- Nous avons mis en place un processus d'atténuation DDoS dans tous nos centres de données.
- Nous disposons d'un plan de continuité des infrastructures documenté « en cas d'attaque nucléaire sur un centre de données ».
Protection contre la perte et la corruption de données
- Les comptes utilisateur sont séparés les uns des autres par plusieurs couches de logique qui empêchent la corruption et le chevauchement
- L'infrastructure technologique de Mailchimp comprend des appareils réseau tels que des pare-feux et des outils IDS/IPS qui sont stratégiquement placés pour contrôler et surveiller le trafic réseau en cas de perte et de corruption de données
- Les données de compte sont mises en miroir et régulièrement sauvegardées en dehors du site.
Niveau de sécurité des applications
- Les mots de passe des comptes Mailchimp sont hachés. Notre propre personnel ne peut pas les consulter. En cas de perte de votre mot de passe, vous ne pourrez pas le récupérer. Vous devrez le réinitialiser.
- Toutes les pages de connexion (de notre site Web et de la version mobile) transmettent les données via le protocole TLS 1.2 ou supérieur.
- L'intégralité de l'application Mailchimp est cryptée par TLS 1.2 ou supérieur.
- Les pages de connexion et les identifiants via l'API Mailchimp disposent d'un système de protection contre les attaques par force brute.
- Nous offrons la possibilité d'activer les notifications par e-mail ou par SMS concernant les activités clés.
- Nous offrons la possibilité d’activer l’authentification à deux facteurs (2FA) pour votre compte Mailchimp.
- Nous exécutons régulièrement des tests de pénétration de sécurité externe et interne tout au long de l'année et faisons appel à différents fournisseurs. Les tests impliquent des tests de pénétration de serveur de haut niveau, des tests approfondis des vulnérabilités au sein de l'application et des exercices d'ingénierie sociale.
- Les résultats de nos tests sont strictement confidentiels. Nous garantissons que toutes les vulnérabilités sont traitées et corrigées.
Sécurité informatique interne
- Les bureaux de Mailchimp sont sécurisés à l'aide d'un accès par carte-clé et de moyens biométriques. Ils sont également surveillés par des caméras infrarouges.
- Les réseaux de nos bureaux sont fortement segmentés et surveillés de manière centralisée.
- Nous disposons d'une équipe de sécurité interne dédiée à la surveillance de notre environnement qui se consacre en permanence à rechercher la moindre faille. Ses membres réalisent des tests de pénétration et des exercices d'ingénierie sociale sur notre environnement et nos employés. Notre équipe de sécurité comprend des membres certifiés OSCP et CISSP.
Protocole interne et formation
- Nous formons continuellement nos employés sur les meilleures pratiques en matière de sécurité, y compris sur les méthodes d'identification d'ingénierie sociale, d'escroqueries par hameçonnage et de pirates informatiques.
- Les employés des équipes (comme l'assistance informatique et nos ingénieurs) qui ont accès aux données des clients font l'objet d'un contrôle des antécédents judiciaires et de crédits avant leur recrutement.
- Tous les employés signent un accord de protection de la confidentialité expliquant leur responsabilité dans la protection des données des clients.
- Afin de protéger notre entreprise de divers types de pertes, Mailchimp a mis en place un programme d'assurance complet. Cela comprend, sans s'y limiter, la couverture des éléments suivants : incidents cybernétiques, incidents relatifs à la confidentialité des données (y compris les dépenses réglementaires), erreurs d'ordre général et responsabilité en cas d'omission, responsabilité cybernétique excessive, propriété et interruption d'activité, et responsabilité générale commerciale internationale.
Certifications de conformité Mailchimp
Le fournisseur de traitement de carte de crédit de Mailchimp utilise des mesures de sécurité pour protéger vos informations à la fois pendant et après la transaction. Notre fournisseur est certifié conforme aux initiatives de sécurité de l'association des émetteurs de cartes de crédit, comme les normes Visa Cardholder Information Security and Compliance (CISP), MasterCard® Site Data Protection Program (SDP) et Discovery Information Security and Compliance (DISC).
Nos rapports SOC 2 traitent les contrôles concernant la sécurité, la disponibilité et l'intégrité des données client.
La norme 27001 de l'Organisation internationale de normalisation (ISO 27001) est une norme de sécurité des systèmes d'information qui garantit la gestion sécurisée des sites d'entreprises, des centres de développement, des centres d'assistance et des centres de gestion des données. Ces certifications sont valables 3 ans (audits de renouvellement) et comprennent des audits lors de visites (audits de surveillance).
Mailchimp tient également à jour un VPAT, ou Voluntary Product Accessibility Template (VPAT®). Il s'agit d'un document qui explique comment les produits des technologies de l'information et de la communication (TIC), tels que les logiciels, le matériel, le contenu électronique et la documentation associée correspondent (se conforment) aux normes 508 révisées pour l'accessibilité des technologies de l'information.
Pour accéder à nos certifications et les télécharger, veuillez visiter le portail Intuit Compliance ici.
Nous protéger de vous
Oui, vous avez bien lu. Nous pouvons mettre en place des mesures de sécurité semblables à celles de Fort Knox, mais si votre ordinateur est compromis et qu'un tier accède à votre compte Mailchimp, nous serons également affectés.
- Nous surveillons et suspendrons automatiquement tout compte présentant des signes d'activité de connexion irrégulière ou suspicieuse.
- Certaines modifications apportées à votre compte, comme un changement de mot de passe, déclencheront des notifications par e-mail au propriétaire du compte.
- Nous surveillons les comptes et les activités des campagnes afin de déceler tout signe d'utilisation abusive.
- En plus de nos algorithmes évolutifs, nous utilisons une couche de vérification supplémentaire assurée par des humains qui surveillent les comptes présentant des irrégularités et les activités des e-mails.
- Nous offrons la possibilité de mettre en place des niveaux d'accès hiérarchisés au sein des comptes.
Votre confidentialité, notre priorité
- Notre équipe chargée de la protection de la vie privée s'associe aux équipes de toute l'organisation pour que nos produits et fonctionnalités soient conformes aux lois applicables en matière de protection des données et aux lois anti-spam.
- Nous vérifions et mettons à jour régulièrement les politiques juridiques qui ont un impact sur notre relation avec vous.
- Nous nous engageons à respecter les lois applicables en matière de protection des données et à fournir à nos clients les outils nécessaires pour les aider à respecter leurs propres exigences en matière de conformité.
- Nous faisons appel à un cabinet d'avocats dans l'UE et au Royaume-Uni dans le cadre de consultations relatives aux lois sur la confidentialité et la protection des données.
- Nous faisons l'objet d'une vérification annuelle auprès d'un organisme de contrôle de conformité tiers basé aux États-Unis conformément au cadre de protection des données UE-États-Unis, à l'extension britannique du cadre de protection des données UE-États-Unis et au cadre de protection des données Suisse-États-Unis. Intuit et Mailchimp s'appuient sur le cadre de protection des données UE-États-Unis pour transférer des données et s'appuieront sur l'extension britannique du cadre de protection des données UE-États-Unis et sur le cadre de protection des données Suisse-États-Unis une fois approuvés par les autorités compétentes. Nous sommes soumis aux pouvoirs d'enquête et d'application de la réglementation de la commission fédérale des entreprises (Federal Trade Commission). Vous trouverez plus d'informations sur la certification au cadre de protection des données d'Intuit et Mailchimp ici.
- Nous sommes membres de groupes tels que ESPC, M3AAWG, ISC2, ISACA, ISSA, SANS et bien d'autres.
- Les dirigeants de notre organisation de protection de la vie privée sont des membres actifs de l'International Association of Privacy Professionals (IAPP) et détiennent collectivement les certifications CIPP/US, CIPP/G, CIPP/E, CIPM et CIPT.
- Vous trouverez des informations sur la conformité au RGPD ici.
Programme de divulgation responsable
Mailchimp s'engage à assurer la sécurité de nos services et des informations relatives aux clients. Dans le cadre de cet engagement, nous encourageons les chercheurs en sécurité à nous contacter pour signaler toute faiblesse potentielle identifiée concernant un produit, un système ou une ressource d’Intuit. Ce programme n'est pas destiné à incarner une prime aux bugs de façon publique et nous ne proposons ni réductions ni récompenses pour la soumission de tels problèmes potentiels. Nous apprécions votre engagement visant à améliorer les services de Mailchimp.
Directives relatives à la divulgation responsable
Les chercheurs en sécurité divulgueront les faiblesses potentielles conformément aux directives suivantes :
À faire
- Indiquez-nous le problème relatif à la sécurité avant de le rendre public (par exemple, sur des tableaux d'affichage, à travers des listes de diffusion, sur des forums).
- Patientez jusqu'à ce que nous vous envoyions une notification indiquant que la vulnérabilité a été résolue avant de divulguer toute information à des parties tierces. Nous mettons tout en œuvre pour assurer la sécurité de nos clients et de nos systèmes, et certaines vulnérabilités prennent plus de temps que d'autres à être résolues.
- Fournissez une description claire et concise des étapes à suivre pour reproduire chaque vulnérabilité que vous soumettez.
- Mentionnez les informations complètes relatives au problème de sécurité, y compris une URL de preuve de concept (POC, proof of concept), ainsi que les données concernant tout système où les tests ont été réalisés.
À ne pas faire
- Ne causez aucun dommage à Mailchimp, à Intuit, aux clients, aux actionnaires, aux partenaires ou aux employés.
- Ne participez à aucune action qui pourrait provoquer une panne ou interrompre tout service de Mailchimp.
- Ne participez à aucune activité illégale ou aucun acte qui violerait des lois ou réglementations internationales, fédérales ou étatiques.
- Veillez à ne pas conserver, partager, compromettre et détruire les données de Mailchimp ou celles des clients lorsque vous menez des activités de recherche. Si vous constatez des informations personnellement identifiables (IPI), vous devez immédiatement cesser vos activités et en informer Mailchimp.
- Ne réalisez aucune activité frauduleuse ou n'exécutez aucune transaction financière frauduleuse dans le cadre de votre recherche.
Vulnérabilités en dehors du champ d'application
Les types de vulnérabilités suivants ne font pas partie du champ d'application pour ce programme :
- Phishing
- Ingénierie sociale
- Évaluations de la sécurité physique
- Toute forme d'attaque par déni de service (DoS, denial of service)
Directives relatives à la soumission
Toutes les faiblesses potentielles soumises doivent inclure suffisamment d'informations pour permettre de reproduire et de valider le problème. La documentation doit comprendre un résumé détaillé du problème, les objectifs, les étapes réalisées, des captures d'écran, les outils utilisés, ainsi que toute information qui pourra aider Intuit lors de la gestion de la soumission.
Si vous respectez ces directives et divulguez toute faiblesse en matière de sécurité de façon responsable directement à Intuit, nous acceptons de ne pas engager d'action en justice contre vous. Mailchimp se réserve ses droits légaux en cas de non-conformité avec les directives du programme.
Mailchimp vérifiera et confirmera rapidement la bonne réception des problèmes soumis sous trois jours ouvrés, à compter de la réception de la soumission, via son formulaire en ligne disponible ici : Formulaire de divulgation responsable.