monday.com utilise les meilleures solutions de sécurité au monde pour sécuriser notre service et protéger vos données.

monday.com gère les informations de plus de 100 000 entreprises à travers le monde. Évidemment, nos clients exigent que nous protégions leurs données avec les normes les plus strictes. Nous nous engageons à leur fournir un environnement hautement sécurisé et fiable. Notre modèle de sécurité et nos contrôles sont basés sur les normes internationales et les meilleures pratiques du secteur, telles que ISO 27001, ISO 27018 et OWASP Top 10.

Nos systèmes sont hébergés dans plusieurs zones de disponibilité sur Amazon Web Services (AWS). Cela nous permet de fournir un service fiable et de garantir la disponibilité de vos données lorsque vous en avez besoin. Nous avons également créé un site de récupération après incident dans une région AWS distincte aux USA. Ces centres de données emploient des mesures de sécurité physique et environnementale de premier

plan, ce qui se traduit par une infrastructure hautement résiliente. De plus amples informations sur leurs pratiques en matière de sécurité sont disponibles ci-dessous :

Page de sécurité AWS
Page de sécurité GCP

monday.com met en œuvre une conception axée sur la sécurité en plusieurs niveaux, dont celui des applications. L'application monday.com est développée selon les exigences du Top 10 de l'OWASP. Tout le code est soumis à un examen par des spécialistes avant son déploiement en production.

Notre processus contrôlé de CI/CD comprend l'analyse du code statique, l'évaluation de la vulnérabilité, les tests de bout en bout, les tests unitaires qui traitent des aspects d'autorisation et plus encore. Les développeurs suivent une formation périodique en matière de sécurité afin de se tenir informés des meilleures pratiques de développement liées à la sécurité.

L'infrastructure constitue un autre niveau de sécurité. Comme nous l'avons indiqué, monday.com est hébergé dans plusieurs zones de disponibilité AWS. En outre, notre infrastructure est protégée par de multiples niveaux de mécanismes de défense, notamment :

• Des pare-feux pour faire respecter la liste blanche des adresses IP et l'accès aux ressources du réseau uniquement par les ports autorisés
• Un pare-feu d'application web (WAF) pour bloquer les attaques dynamiques basées sur le contenu
• Atténuation DDoS et limitation des taux
• Capteurs NIDS pour la détection précoce des attaques
• Configuration de routage avancée
• Enregistrement complet du trafic du réseau, interne et périphérique

monday.com chiffre toutes les données en transit et au repos :

• Le trafic est chiffré à l'aide de TLS 1,3 avec une suite de chiffrement moderne, prenant en charge TLS 1,2 au minimum
• Les données des utilisateurs sont cryptées au repos dans toute notre infrastructure au moyen de l'AES-256 ou mieux
• Les titres de compétences sont hachés et salés à l'aide d'une fonction de hachage moderne

Les évaluations indépendantes par des tiers sont essentielles pour obtenir une compréhension précise et impartiale de votre dispositif de sécurité. monday.com effectue des tests d'intrusion sur une base annuelle à la fois dans l'application et au niveau de l'infrastructure à l'aide d'auditeurs connus et indépendants.

De plus, monday.com fait l'objet d'un audit externe dans le cadre de l'audit SOC2 de type II, des certifications ISO et d'autres audits externes.

monday.com gère un programme de prime aux bogues, permettant aux chercheurs en sécurité du monde entier de rechercher et de divulguer les vulnérabilités de sécurité à notre équipe de sécurité de manière éthique et responsable.

Notre service est entièrement basé sur le cloud, aucune partie de notre infrastructure n'étant conservée sur site. La sécurité physique de nos bureaux comprend un contrôle d'accès basé sur l'identification personnelle, une surveillance par caméra en circuit fermé 24h/24 et 7j/7 et des systèmes d'alarme.

Les centres de données de monday.com sont hébergés sur l'infrastructure d'Amazon Web Services et de Google Cloud Platform, qui emploient des mesures de sécurité physique de premier plan.

monday.com s'engage à fournir un service continu et ininterrompu à tous ses clients. Nous sauvegardons régulièrement les données des utilisateurs toutes les 5 minutes. Toutes les sauvegardes sont chiffrées et distribuées à différents emplacements, où elles sont conservées pendant 25 jours.

Notre plan de reprise d'activité en cas de catastrophe (PRA) est testé au moins deux fois par an afin d'évaluer son efficacité et de maintenir les équipes en phase avec leurs responsabilités en cas d'interruption de service.

monday.com comprend que sa sécurité dépend de ses employés. C'est pourquoi tous nos employés suivent une formation approfondie de sensibilisation à la sécurité de l'information pendant leur période d'intégration. Une formation supplémentaire sur la sécurité est dispensée chaque trimestre. En outre, tous les employés doivent signer notre Politique d'utilisation acceptable.

Nous savons que les données que vous téléchargez sur monday.com sont privées et confidentielles. Nous procédons régulièrement à des examens de l'accès des utilisateurs afin de nous assurer que les autorisations appropriées sont en place, conformément au principe du moindre privilège. Les droits d'accès des employés sont rapidement modifiés en cas de changement d'emploi.