Nous prenons la sécurité des données et la confidentialité très au sérieux, et avons, de ce fait, conscience que les pratiques en matière de sécurité de l'information de Mailchimp sont importantes à vos yeux. Nous préférons ne pas partager trop d'informations concernant nos pratiques (car cela peut être bénéfique aux personnes dont nous essayons de nous protéger). Cependant, nous avons fourni quelques informations d'ordre général ci-dessous afin de vous rassurer quant à la place que nous accordons à la sécurité des données qui nous sont confiées.
Sécurité du centre de données
- Chaque mois, Mailchimp distribue des milliards d'e-mails à des millions d'utilisateurs. Nous utilisons plusieurs agents de transfert de messages électroniques (MTA, Mail Transfer Agent), situés dans différents centres de données de qualité mondiale à travers les États-Unis.
- Nos centres de données gèrent la sécurité physique 24 heures sur 24 et 7 jours sur 7 à l'aide de scanners biométriques et des éléments de technologie avancée standards qui font la fierté des centres de données.
- Nous avons mis en place un processus d'atténuation DDoS dans tous nos centres de données.
- Nous disposons d'un plan de continuité des infrastructures documenté "en cas d'attaque nucléaire sur un centre de données".
Protection contre la perte et la corruption de données
- Toutes les bases de données sont séparées et visent à empêcher la corruption et les chevauchements. Nous disposons de plusieurs couches de logique qui séparent les comptes utilisateurs les uns des autres.
- Les données de compte sont mises en miroir et régulièrement sauvegardées en dehors du site.
Niveau de sécurité des applications
- Les mots de passe des comptes Mailchimp sont hachés. Notre propre personnel ne peut pas les consulter. En cas de perte de votre mot de passe, vous ne pourrez pas le récupérer. Vous devrez le réinitialiser.
- Toutes les pages de connexion (de notre site Web et de la version mobile) transmettent les données via le protocole TLS 1.2.
- L'intégralité de l'application Mailchimp est cryptée par TLS 1.2.
- Les pages de connexion et les identifiants via l'API Mailchimp disposent d'un système de protection contre les attaques par force brute.
- Nous exécutons régulièrement des tests de pénétration de sécurité externe tout au long de l'année et faisons appel à différents fournisseurs. Les tests impliquent des tests de pénétration de serveur de haut niveau, des tests approfondis des vulnérabilités au sein de l'application et des exercices d'ingénierie sociale.
Sécurité informatique interne
- Les bureaux de Mailchimp sont sécurisés à l'aide d'un accès par carte-clé et de moyens biométriques. Ils sont également surveillés par des caméras infrarouges.
- Les réseaux de nos bureaux sont fortement segmentés et surveillés de manière centralisée.
- Nous disposons d'une équipe de sécurité interne dédiée à la surveillance de notre environnement qui se consacre en permanence à rechercher la moindre faille. Ses membres réalisent des tests de pénétration et des exercices d'ingénierie sociale sur notre environnement et nos employés. Notre équipe de sécurité comprend des membres certifiés OSCP et CISSP.
Protocole interne et formation
- Nous formons continuellement nos employés sur les meilleures pratiques en matière de sécurité, y compris sur les méthodes d'identification d'ingénierie sociale, d'escroqueries par hameçonnage et de pirates informatiques.
- Les employés des équipes (comme l'assistance informatique et nos ingénieurs) qui ont accès aux données des clients font l'objet d'un contrôle des antécédents judiciaires et de crédits avant leur recrutement.
- Tous les employés signent un accord de protection de la confidentialité expliquant leur responsabilité dans la protection des données des clients.
- Afin de protéger notre entreprise de divers types de pertes, Mailchimp a mis en place un programme d'assurance complet. Cela comprend, sans s'y limiter, la couverture des éléments suivants : incidents cybernétiques, incidents relatifs à la confidentialité des données (y compris les dépenses réglementaires), erreurs d'ordre général et responsabilité en cas d'omission, responsabilité cybernétique excessive, propriété et interruption d'activité, et responsabilité générale commerciale internationale.
Certification PCI DSS conformément à SOC 2
Le fournisseur de traitement de carte de crédit de Mailchimp utilise des mesures de sécurité pour protéger vos informations à la fois lors de la transaction et une fois celle-ci effectuée. Notre fournisseur est certifié conforme aux initiatives de sécurité de l'association des émetteurs de cartes de crédit, comme les normes Visa Cardholder Information Security and Compliance (CISP), MasterCard® Site Data Protection Program (SDP) et Discovery Information Security and Compliance (DISC). Nous réalisons également des audits SOC 2 annuels.
Nous fournissons notre rapport SOC 2 sur demande. Veuillez cliquer sur "Demander un rapport" et rédiger toute question éventuelle.
Certification ISO 27001
La norme 27001 de l'Organisation internationale de normalisation (ISO 27001) est une norme de sécurité des systèmes d'information qui garantit la gestion sécurisée des sites d'entreprises, des centres de développement, des centres d'assistance et des centres de gestion des données. Ces certifications sont valables 3 ans (audits de renouvellement) et comprennent des audits lors de visites (audits de surveillance).
Télécharger la certification ISO
Nous protéger de vous
Oui, vous avez bien lu. Nous pouvons mettre en place des mesures de sécurité semblables à celles de Fort Knox, mais si votre ordinateur est compromis et qu'un tier accède à votre compte Mailchimp, nous serons également affectés.
- Nous surveillons et suspendrons automatiquement tout compte présentant des signes d'activité de connexion irrégulière ou suspicieuse.
- Certaines modifications apportées à votre compte, comme un changement de mot de passe, déclencheront des notifications par e-mail au propriétaire du compte.
- Nous surveillons les comptes et les activités des campagnes afin de déceler tout signe d'utilisation abusive.
- En plus de nos algorithmes évolutifs, nous utilisons une couche de vérification supplémentaire assurée par des humains qui surveillent les comptes présentant des irrégularités et les activités des e-mails.
- Nous mettons à disposition de nos clients l'authentification à 2 facteurs et nous proposons une réduction pour les comptes qui utilisent cette fonctionnalité.
- Nous offrons la possibilité de mettre en place des niveaux d'accès hiérarchisés au sein des comptes.
Votre confidentialité, notre priorité
- Notre équipe juridique, en collaboration avec nos développeurs et nos ingénieurs, s'assure que nos produits et fonctionnalités respectent les lois internationales applicables en matière de spam et de confidentialité.
- Nous faisons appel à un cabinet d'avocats au Royaume-Uni dans le cadre de consultations relatives à la protection de confidentialité dans l'Union européenne.
- Nous nous soumettons à une vérification annuelle auprès d'un inspecteur en conformité externe basé aux États-Unis, conformément au programme de vérification du bouclier de protection des données. Nous avons certifié notre conformité avec le bouclier de protection des données UE-États-Unis/Suisse-États-Unis.
- Nous sommes membres de l'ANA, de l'ESPC, de l'OTA et du MAAWG.
- Nos avocats d'entreprise et notre responsable en conformité juridique sont des membres actifs de l'International Association of Privacy Professionals (IAPP) et détiennent collectivement les certifications CIPP/US, CIPP/G et CIPP/E.
Programme de divulgation responsable
Mailchimp s'engage à assurer la sécurité de nos services et des informations relatives aux clients. Dans le cadre de cet engagement, nous encourageons les chercheurs en sécurité à nous contacter pour signaler toute faiblesse potentielle identifiée concernant un produit, un système ou une ressource d’Intuit. Ce programme n'est pas destiné à incarner une prime aux bugs de façon publique et nous ne proposons ni réductions ni récompenses pour la soumission de tels problèmes potentiels. Nous apprécions votre engagement visant à améliorer les services de Mailchimp.
Directives relatives à la divulgation responsable
Les chercheurs en sécurité divulgueront les faiblesses potentielles conformément aux directives suivantes :
À faire
- Indiquez-nous le problème relatif à la sécurité avant de le rendre public (par exemple, sur des tableaux d'affichage, à travers des listes de diffusion, sur des forums).
- Patientez jusqu'à ce que nous vous envoyions une notification indiquant que la vulnérabilité a été résolue avant de divulguer toute information à des parties tierces. Nous mettons tout en œuvre pour assurer la sécurité de nos clients et de nos systèmes, et certaines vulnérabilités prennent plus de temps que d'autres à être résolues.
- Fournissez une description claire et concise des étapes à suivre pour reproduire chaque vulnérabilité que vous soumettez.
- Mentionnez les informations complètes relatives au problème de sécurité, y compris une URL de preuve de concept (POC, proof of concept), ainsi que les données concernant tout système où les tests ont été réalisés.
À ne pas faire
- Ne causez aucun dommage à Mailchimp, à Intuit, aux clients, aux actionnaires, aux partenaires ou aux employés.
- Ne participez à aucune action qui pourrait provoquer une panne ou interrompre tout service de Mailchimp.
- Ne participez à aucune activité illégale ou aucun acte qui violerait des lois ou réglementations internationales, fédérales ou étatiques.
- Veillez à ne pas conserver, partager, compromettre et détruire les données de Mailchimp ou celles des clients lorsque vous menez des activités de recherche. Si vous constatez des informations personnellement identifiables (IPI), vous devez immédiatement cesser vos activités et en informer Mailchimp.
- Ne réalisez aucune activité frauduleuse ou n'exécutez aucune transaction financière frauduleuse dans le cadre de votre recherche.
Vulnérabilités en dehors du champ d'application
Les types de vulnérabilités suivants ne font pas partie du champ d'application pour ce programme :
- Phishing
- Ingénierie sociale
- Évaluations de la sécurité physique
- Toute forme d'attaque par déni de service (DoS, denial of service)
Directives relatives à la soumission
Toutes les faiblesses potentielles soumises doivent inclure suffisamment d'informations pour permettre de reproduire et de valider le problème. La documentation doit comprendre un résumé détaillé du problème, les objectifs, les étapes réalisées, des captures d'écran, les outils utilisés, ainsi que toute information qui pourra aider Intuit lors de la gestion de la soumission.
Si vous respectez ces directives et divulguez toute faiblesse en matière de sécurité de façon responsable directement à Intuit, nous acceptons de ne pas engager d'action en justice contre vous. Mailchimp se réserve ses droits légaux en cas de non-conformité avec les directives du programme.
Mailchimp vérifiera et confirmera rapidement la bonne réception des problèmes soumis sous trois jours ouvrés, à compter de la réception de la soumission, via son formulaire en ligne disponible ici : Formulaire de divulgation responsable.