Sikkerheden hos Trustpilot

Da Trustpilot er et community for online-anmeldelser, står datasikkerhed højt på vores prioriteringsliste.

Det er vigtigt for os at have datasikkerheden på plads på alle niveauer, uanset om det drejer sig om data tilhørende personer, der skriver anmeldelser på Trustpilot, forbrugere, der bruger vores platform, vores kunder og samarbejdspartnere eller vores egne medarbejdere.

Tip: Hvis du gerne vil vide mere om vores sikkerhedsprocedurer, kan du downloade vores white paper (version 2.6) under "Vedhæftede filer" i slutningen af denne artikel eller læse vores Cloud Security Alliance-spørgeskema.

GDPR

Vi følger bestemmelserne i EU's persondataforordning (GDPR), som regulerer behandlingen af alle EU-borgeres personoplysninger. I vores databehandlingsaftale, der overholder GDPR, kan du læse, hvordan vi håndterer personoplysninger på vegne af de virksomheder, der anvender vores invitationsservices.

Sikkerheden omkring vores cloud-infrastruktur

Trustpilot er en cloudbaseret virksomhed. Vi har ingen interne datacentre, og vores netværksinfrastruktur er virtuel.

Amazon Web Services

Vores infrastruktur er placeret i datacentre, der tilhører Amazon Web Services (AWS) og ligger i tilgængelighedszoner i EU, og så er de bl.a. SOC 2- og PCI DSS Level 1-certificeret. AWS leverer en række funktioner til Trustpilot i forbindelse med datasikkerhed og databeskyttelse.

Vores servere kører på stabile versioner af Linux og Microsoft Windows, der regelmæssigt rettes for fejl og sårbarheder. De er konfigureret med sikkerhedsgrupper og isoleret i VPC-miljøer (Amazon Virtual Private Cloud) med en veldefineret netværkssegmentering, rollebaseret adgangskontrol og en avanceret firewall for webprogrammer.

Vores operativsystemer, databaser og programmer er blevet hærdet for at mindske sårbarheder og maksimere sikkerheden.

Google Cloud

Vi bruger også Google Cloud Platform i kombination med banebrydende værktøjer for at opfylde specifikke virksomhedskrav, så vi er opmærksomme på eventuelle sikkerhedstrusler eller sårbarheder.

Rapporter

Trustpilots serverinstanser hos AWS og Google Cloud er kun tilgængelige med en VPN-forbindelse. Den fysiske sikkerhed omkring vores cloud-infrastruktur håndteres af AWS og Google Cloud – hvis du er interesseret i en compliance-rapport, skal du kontakte dem direkte.

Trustpilot.com har en A+-bedømmelse på Qualys SSL Labs for slutpunkter.

Håndtering af sikkerhedsrisici

Trustpilot har en offentlig dusørordning for sikkerhedseksperter, der finder og informerer os om sikkerhedshuller og -fejl.

Vi scanner også vores website for sårbarheder og eliminerer dem inden for en vis tidsramme baseret på alvorsgraden.

Arkitektonisk design

Vi har designet vores platform ud fra principperne bag microservices, hvilket vil sige, at vores services og deres underliggende backend fungerer uafhængigt af hinanden og er tilstandsløse. På den måde kan vi automatisk skalere vores platform alt efter behov.

Vores backend-infrastruktur oprettes direkte via kode, også kaldet "infrastructure as code" (IaC). Den udskiftes regelmæssigt for at sikre et konstant og tilstandsløst miljø eller en "uforanderlig infrastruktur".

Datakryptering

Data, der overføres til og fra vores cloud-infrastruktur eller er placeret i den, krypteres med AES-256-algoritmen. De data, vi lagrer i vores cloud-infrastruktur, beskyttes af firewalls og opbevares i isolerede VPC-miljøer.

Vi bruger mindst en 128-bit kryptering til at sikre kommunikationen mellem vores brugere og platform. Alle vores websites bruger Transport Layer Security 1.2 (TLS)-protokollen, og vi understøtter kun data, der sendes via HTTPS-protokoller.

Vi bruger TLS til e-mailkommunikation for at beskytte personoplysninger. Hvis modtagerens e-mailklient ikke understøtter TLS, bruger vi den protokol, der giver den næsthøjeste sikkerhed.

Sikkerheden omkring vores programmer

Trustpilot følger en DevSecOps-model, hvor sikkerheden er integreret i vores DevOps-processer og på hvert stadie af vores softwareudviklings livscyklus (SDLC). Det omfatter sikkerhed i vores kodedesign, hvor vi sørger for at eliminere sårbarheder, såsom dem i OWASP Top 10, gennem vores løbende integration (CI) og levering, vores API'er og automatiserede tests.

Reaktion på hændelser

Hvis det usandsynlige skulle ske, at et databrud opstår, har vi et dedikeret team, der tager hånd om sagen i overensstemmelse med vores politik for databrud og fastlagte processer. I vores politik står det klart beskrevet, hvordan vi dokumenterer, undersøger og rapporterer potentielle databrud. Hvis der skulle ske et databrud, kontakter vi de berørte parter. Du kan finde flere oplysninger ved at downloade vores white paper om sikkerhedsprocedurer for Trustpilots invitationsservices under afsnittet "Vedhæftede filer" nedenfor.

Vores Cloud Security Alliance-spørgeskema

For at hjælpe virksomheder med bedre at forstå vores sikkerhedsprocedurer har vi udfyldt et Cloud Security Alliance-spørgeskema, som du kan downloade her.

Næste Databeskyttelseskravene i GDPR for virksomheder

 

 

 

 

Vedhæftede filer