Comment signaler une potentielle faille de sécurité dans les produits Figma ?

Figma dispose d'un programme de chasse aux bugs, qui permet aux chercheurs en sécurité et aux clients de tester nos applications pour détecter les problèmes de sécurité en suivant les directives de notre programme.

Où puis-je consulter et télécharger vos rapports d'audit indépendants de tiers (par exemple, SOC 2 Type II) et vos certifications (par exemple, ISO 27001) ?

Nos clients et nos prospects peuvent retrouver ces documents sur notre Centre de confiance.

Pourriez-vous remplir mon questionnaire de sécurité ?

Nous savons que de nombreux clients possèdent leur propre processus de gestion des risques fournisseurs pour les services cloud tels que Figma. À cette fin, nous avons créé un Centre de confiance qui vise à garantir la transparence de nos contrôles de sécurité et la protection des données des clients. Ce centre inclut des questionnaires standard pour le secteur préremplis (par exemple, CSA CAIQ, SIG Lite), une base de connaissances de plus de 500 questions et réponses, ainsi que des rapports d'audit de tiers (par exemple, SOC 2 Type II) et des certifications (par exemple, ISO 27001). Nous vous invitons à consulter ces ressources avant de demander un questionnaire de sécurité sur mesure. Merci !

Quelles sont les normes de sécurité de Figma ?

Vous pouvez trouver nos normes de sécurité dans l'annexe C de notre Contrat d'utilisation logicielle.

Faites-vous appel à des sous-traitants ?

Oui, Figma engage des sous-traitants pour héberger les données de ses clients, fournir une infrastructure qui facilite la livraison de nos services ou effectuer d'autres fonctions du service.

Votre équipe de sécurité examine-t-elle les résultats des plateformes d'évaluation des risques tiers (par exemple, SecurityScorecard, Bitsight) ?

Nous comprenons que de nombreuses entreprises utilisent des plateformes d'évaluation des risques tiers pour effectuer des contrôles de sécurité en bonne et due forme. Cependant, nous avons constaté que ces plateformes génèrent fréquemment des résultats peu fiables et erronés. En plus d'être coûteux, corriger ces erreurs détourne des tâches essentielles en cybersécurité. Par conséquent, notre politique est de ne pas systématiquement répondre aux demandes de renseignements ou aux conclusions issues de ces plateformes. Cette approche nous permet de concentrer nos ressources de cybersécurité sur ce qui importe vraiment pour Figma et ses clients.

Où puis-je en savoir plus sur les politiques de Figma en matière d'IA ?

Accédez à la page consacrée à l'approche de Figma concernant l'IA pour en savoir plus.

Sécurité et conformité avec Figma

Figma permet aux équipes de créer de meilleurs produits et leur assure une sécurité de niveau professionnel à chaque étape. Notre équipe de sécurité s'engage à ce que vos données soient protégées et que vos obligations en matière de sécurité et de conformité soient respectées grâce à des audits continus, des mesures de protection de la vie privée et une infrastructure de sécurité robuste.

Ces entreprises font confiance à Figma

Trouvez les informations dont vous avez besoin dans le Centre de confiance Figma

Dans le Centre de confiance créé par Figma, retrouvez les réponses aux questions fréquemment posées, le détail de nos pratiques de sécurité et notre documentation de conformité (disponible en téléchargement), comme le rapport d'audit SOC 2 Type II ou la certification ISO 27001.

Découvrir le Centre de confiance Figma

La sécurité et la confidentialité au cœur du design

Découvrez les certifications, cadres et programmes de conformité de Figma, tous méticuleusement conçus pour protéger les données et la confidentialité de nos clients.

1 de 7

SOC 2 type 2 / SOC 3

SOC 2 type 2 / SOC 3

Figma détient un rapport SOC 2 Type II qui démontre son engagement à protéger les données des clients grâce à de solides contrôles de sécurité, de disponibilité et de confidentialité conformes aux critères des services de confiance de l'AICPA. En outre, n'importe qui peut télécharger notre rapport SOC 3, qui comprend un résumé du rapport SOC 2 ainsi que l'évaluation réalisée par un auditeur tiers indépendant de l'efficacité avec laquelle nous mettons en œuvre et effectuons ces contrôles.

Portée

Produits : Figma Design, FigJam, Dev Mode

Région : États-Unis, Union européenne (voir l'article Hébergement de fichiers dans l'Union européenne)

Critères des services de confiance : Sécurité, disponibilité, confidentialité

Période d'audit la plus récente : 5 décembre 2024

Le rapport SOC 2 est disponible en téléchargement dans le Centre de confiance de Figma.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

L'Organisation internationale de normalisation (ISO) a élaboré une série de normes pour la sécurité de l'information et de la société, destinées à aider les entreprises à créer des produits et services fiables et dignes de confiance. Figma a certifié ses produits et services selon les normes ISO/CEI 27001:2022 et ISO/CEI 27018:2019. Sa certification ISO de Figma est disponible en téléchargement.

Portée

Produits : Figma Design, FigJam, Dev Mode

Région : États-Unis, Union européenne (voir l'article Hébergement de fichiers dans l'Union européenne)

Date de parution la plus récente : 5 décembre 2024

EU Cloud Code of Conduct

EU Cloud Code of Conduct : niveau 2

L'EU Cloud Code of Conduct traduit les exigences du RGPD en directives pratiques pour les fournisseurs de services cloud et propose ainsi des approches spécifiques au cloud, des recommandations et une feuille de route en accord avec le RGPD et les normes internationales telles que l'ISO 27001 et l'ISO 27018. Figma a obtenu la certification de niveau 2 délivrée par le Code, comme en témoigne son rapport d'évaluation disponible en téléchargement sur l'annuaire de l'EU Cloud Code of Conduct et le registre CSA STAR.

Portée

Produits : Figma Design, FigJam, Dev Mode

Région : États-Unis, Union européenne (voir l'article Hébergement de fichiers dans l'Union européenne)

Article : Concevoir dans le cloud en toute confiance (en anglais ; 20 septembre 2022)

Numéro d'adhérent : 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (TISAX)

Trusted Information Security Assessment Exchange (TISAX) est un mécanisme d'évaluation de la sécurité de l'information standard pour l'industrie automobile européenne, basé sur les aspects clés de la sécurité de l'information et les exigences de la norme internationale ISO 27001. Pour accéder à la fiche de Figma sur TISAX, saisissez les informations suivantes :

Nom de l'entreprise : Figma, Inc.

ID d'évaluation : AV01AK-2

ID de portée : S3XH77

Veuillez noter que TISAX et les résultats de TISAX ne sont pas destinés au grand public.

PCI-DSS (commerçant)

PCI-DSS (commerçant)

La Norme de sécurité de l'industrie des cartes de paiement (PCI-DSS) est un ensemble de normes de sécurité conçues pour s'assurer que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de paiement assurent la sécurité de leur environnement. La norme PCI-DSS s'applique aux commerçants et aux prestataires de services qui stockent, traitent ou transmettent les données des titulaires de cartes (via l'un des cinq émetteurs de cartes mentionnés ci-dessus). En tant que commerçant, Figma est conforme à la PCI-DSS et remplit chaque année le questionnaire d'autoévaluation (SAQ) PCI A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR : niveau 1

La Cloud Security Alliance (CSA) est une organisation à but non lucratif qui promeut les bonnes pratiques en matière de sécurité dans le domaine du cloud computing et propose un programme STAR (Security, Trust, and Assurance Registry) conçu pour permettre aux fournisseurs de cloud de documenter leurs contrôles de sécurité. Au moins une fois par an, Figma remplit le Consensus Assessments Initiative Questionnaire (CAIQ) basé sur la Cloud Controls Matrix (CCM) afin de fournir aux clients des garanties concernant notre posture de sécurité et de conformité, y compris les réglementations, normes et cadres auxquels ils adhèrent. Nous conseillons vivement à nos clients et prospects de télécharger et d'examiner notre CAIQ avant de nous demander de remplir un questionnaire de sécurité personnalisé.

ProcessUnity Global Risk Exchange (anciennement CyberGRX)

Global Risk Exchange (anciennement CyberGRX)

Le Global Risk Exchange (anciennement CyberGRX) est une plateforme de gestion des risques tiers conçue pour aider les entreprises à évaluer, surveiller et atténuer les risques liés à leurs fournisseurs tiers. Au moins une fois par an, Figma effectue une évaluation de niveau 1 et publie ses résultats sur le portail ProcessUnity GRX. Nous encourageons fortement nos clients et nos prospects à examiner notre évaluation de niveau 1, car nous avons pris le temps et le soin nécessaires pour réaliser cette évaluation et vous fournir des informations détaillées sur nos contrôles de sécurité et de confidentialité.

SOC 2 type 2 / SOC 3

Portée

Produits : Figma Design, FigJam, Dev Mode

Région : États-Unis, Union européenne (voir l'article Hébergement de fichiers dans l'Union européenne)

Critères des services de confiance : Sécurité, disponibilité, confidentialité

Période d'audit la plus récente : 5 décembre 2024

Le rapport SOC 2 est disponible en téléchargement dans le Centre de confiance de Figma.

Figma for Government

Concevez de meilleures expériences citoyennes

Modernisez la manière dont vos équipes réfléchissent, conçoivent et construisent ensemble au sein du gouvernement. Collaborez sur une plateforme conçue pour satisfaire aux exigences de sécurité et de créativité des agences gouvernementales.

En savoir plus sur Figma pour le gouvernement

Vos droits en matière de confidentialité sont importants à nos yeux

Figma garantit que toutes les données personnelles sont traitées conformément au RGPD de l'UE et à la California Consumer Privacy Act (CCPA). Consultez le Centre de confidentialité et de confiance de Figma pour en savoir plus.

Apprenez-en davantage sur la sécurité avec Figma

Appliquer la gestion de la sécurité des appareils aux modifications de code

Voici comment l'équipe responsable de l'ingénierie de sécurité chez Figma a utilisé les signatures de commits et les certificats Okta Device Trust pour sécuriser les branches de publication sur GitHub.

Découvrir comment

Figma participe à l'évaluation TISAX pour l'industrie automobile européenne

Chez Figma, nous aimons aider nos clients à concevoir des produits remarquables, quel que soit leur secteur d'activité. Grâce à TISAX, les concepteurs de produits ont l'assurance que leur travail est géré de manière sécurisée, rigoureuse et conforme.

Sandboxing côté serveur : conteneurs et seccomp

Les conteneurs et seccomp (mode d'informatique sécurisée) sont des formes primitives de sandboxing qui offrent une alternative plus légère aux machines virtuelles (VM). Nous abordons ici les différences entre ces deux mécanismes et comment nous les utilisons chez Figma pour garantir la sécurité par l'isolation.

FAQ sur la sécurité et la conformité

Découvrez ce que Figma peut faire pour votre entreprise

Contacter le service commercial