Sikkerheden hos Trustpilot

Da Trustpilot er et community for online-anmeldelser, står datasikkerhed højt på vores prioriteringsliste.

Det er vigtigt for os at have datasikkerheden på plads på alle niveauer, uanset om det drejer sig om data tilhørende personer, der skriver anmeldelser på Trustpilot, forbrugere, der bruger vores platform, vores kunder og samarbejdspartnere eller vores egne medarbejdere.

Hvis du gerne vil vide mere om vores sikkerhedsprocedurer, kan du downloade vores white paper (version 2.7) under "Vedhæftede filer" i slutningen af denne artikel eller læse vores Cloud Security Alliance-spørgeskema.

GDPR

Vi følger bestemmelserne i EU's persondataforordning (GDPR), som regulerer behandlingen af alle EU-borgeres personoplysninger. I vores databehandlingsaftale, der følger GDPR, kan du læse, hvordan vi håndterer personoplysninger på vegne af de virksomheder, der anvender vores invitationsservices.

Sikkerheden omkring vores cloud-infrastruktur

Trustpilot er en cloudbaseret virksomhed. Vi har ingen interne datacentre, og vores netværksinfrastruktur er virtuel.

Amazon Web Services

Vores infrastruktur er placeret i datacentre, der tilhører Amazon Web Services (AWS) og ligger i tilgængelighedszoner i EU, og så er de bl.a. SOC 2- og PCI DSS Level 1-certificeret. AWS leverer en række funktioner til Trustpilot i forbindelse med datasikkerhed og databeskyttelse.

Vores servere kører på stabile versioner af Linux og Microsoft Windows, der regelmæssigt rettes for fejl og sårbarheder. De er konfigureret med sikkerhedsgrupper og isoleret i VPC-miljøer (Amazon Virtual Private Cloud) med en veldefineret netværkssegmentering, rollebaseret adgangskontrol og en avanceret firewall for webprogrammer.

Vores operativsystemer, databaser og programmer er blevet hærdet for at mindske sårbarheder og maksimere sikkerheden.

Google Cloud

Vi bruger også Google Cloud Platform i kombination med banebrydende værktøjer for at opfylde specifikke virksomhedskrav, så vi er opmærksomme på eventuelle sikkerhedstrusler eller sårbarheder.

Rapporter

Trustpilots serverinstanser hos AWS og Google Cloud er kun tilgængelige med en VPN-forbindelse. Den fysiske sikkerhed omkring vores cloud-infrastruktur håndteres af AWS og Google Cloud – hvis du er interesseret i en compliance-rapport, skal du kontakte dem direkte.

Trustpilot.com har en A+-bedømmelse på Qualys SSL Labs for slutpunkter.

Håndtering af sikkerhedsrisici

Trustpilot har en offentlig dusørordning for sikkerhedseksperter, der finder og informerer os om sikkerhedshuller og -fejl.

Vi scanner også vores website for sårbarheder og eliminerer dem inden for en vis tidsramme baseret på alvorsgraden.

Arkitektonisk design

Vi har designet vores platform ud fra principperne bag microservices, hvilket vil sige, at vores services og deres underliggende backend fungerer uafhængigt af hinanden og er tilstandsløse. På den måde kan vi automatisk skalere vores platform alt efter behov.

Vores backend-infrastruktur oprettes direkte via kode, også kaldet "infrastructure as code" (IaC). Den udskiftes regelmæssigt for at sikre et konstant og tilstandsløst miljø eller en "uforanderlig infrastruktur".

Datakryptering

Data, der overføres til og fra vores cloud-infrastruktur eller er placeret i den, krypteres med AES-256-algoritmen. De data, vi lagrer i vores cloud-infrastruktur, beskyttes af firewalls og opbevares i isolerede VPC-miljøer.

Vi bruger mindst en 128-bit kryptering til at sikre kommunikationen mellem vores brugere og platform. Alle vores websites bruger Transport Layer Security 1.2 (TLS)-protokollen, og vi understøtter kun data, der sendes via HTTPS-protokoller.

Vi bruger TLS til e-mailkommunikation for at beskytte personoplysninger. Hvis modtagerens e-mailklient ikke understøtter TLS, bruger vi den protokol, der giver den næsthøjeste sikkerhed.

API-sikkerhed

Hos Trustpilot stræber vi efter at sikre, at vores API-godkendelse understøtter de krypteringsstandarder, der giver vores kunder den højeste sikkerhed.  Som virksomhed understøtter vi følgende krypteringspakke:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Vi understøtter TLS 1.2 som en minimumsstandard, men vi accepterer også forbindelser over TLS 1.3.

Nedenfor finder du vores offentlige nøgler:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Sikkerheden omkring vores programmer

Trustpilot følger en DevSecOps-model, hvor sikkerheden er integreret i vores DevOps-processer og på hvert stadie af vores softwareudviklings livscyklus (SDLC). Det omfatter sikkerhed i vores kodedesign, hvor vi sørger for at eliminere sårbarheder, såsom dem i OWASP Top 10, gennem vores løbende integration (CI) og levering, vores API'er og automatiserede tests.

Reaktion på hændelser

Hvis det usandsynlige skulle ske, at et databrud opstår, har vi et dedikeret team, der tager hånd om sagen i overensstemmelse med vores politik for databrud og fastlagte processer. I vores politik står det klart beskrevet, hvordan vi dokumenterer, undersøger og rapporterer potentielle databrud. Hvis der skulle ske et databrud, kontakter vi de berørte parter. Du kan finde flere oplysninger ved at downloade vores white paper om sikkerhedsprocedurer for Trustpilots invitationsservices under afsnittet "Vedhæftede filer" nedenfor.

Du kan rapportere eventuelle sikkerhedsmæssige problemer til os via report@trustpilot.com.

Vores Cloud Security Alliance-spørgeskema

For at hjælpe virksomheder med bedre at forstå vores sikkerhedsprocedurer har vi udfyldt et Cloud Security Alliance-spørgeskema, som du kan downloade her.

Næste Databeskyttelseskravene i GDPR for virksomheder

 

 

 

 

Vedhæftede filer

Var denne artikel en hjælp?

Related articles