Vi ved, at når du bruger vores platform, stoler du på, at vi beskytter dine oplysninger. Vi tager dette ansvar alvorligt.

Vi er forpligtet til at beskytte vores platform og de persondata, der tilhører vores kunder, brugere og forbrugere.

Compliance

SOC 2

Trustpilot har opnået en SOC 2 Type I-attestationsrapport angående sikkerhed. Kunder og potentielle kunder kan anmode om at se SOC 2 Type I.

Type I-rapporten er en vigtig milepæl på vejen mod overholdelse af SOC 2 Type II. Opnåelsen af SOC 2 Type II-attesteringen er en høj prioritet for Trustpilot og støttes af vores ledelse og bestyrelse.

GDPR

Vi følger bestemmelserne i EU's persondataforordning (GDPR), som regulerer behandlingen af alle EU-borgeres personoplysninger. Vores GDPR-kompatible databehandleraftale beskriver, hvordan vi behandler personoplysninger på vegne af de virksomheder, der bruger vores funktioner til anmeldelsesinvitationer.

CSA STAR Level 1

CSA STAR Level 1 er en selvevaluering, der anvender Consensus Assessments Initiative Questionnaire (CAIQ) til at dokumentere overholdelse af Cloud Controls Matrix (CCM). Disse oplysninger er offentligt tilgængelige, er med til at skabe åbenhed i branchen og giver kunderne indsigt i sikkerhedspraksis hos specifikke udbydere. STAR-selvevalueringerne opdateres årligt.

Trustpilots udfyldte CAIQ-spørgeskema kan ses på Trustpilots CSA STAR Registry Listing.

Whitepaper om sikkerhed hos Trustpilot

Vores whitepaper giver et overblik over vores systemdesign og arkitektur, vores informationssikkerhedsorganisation og vores struktur for informationssikkerhed.

Rapporten er offentligt tilgængelig på vores website, så kunderne kan forstå vores sikkerhedspraksis.

Infrastruktur i cloud

Trustpilots platform og data hostes hos Amazon Web Services' og Google Cloud Services' europæiske datacentre. 

Både Amazon Web Services og Google Cloud Services overholder SOC 2, ISO 27001 og PCI DSS. Vi kontrollerer med jævne mellemrum disse leverandører for at tjekke, at de overholder sikkerhedsstandarderne.

Vi bruger ikke andre datacenterfaciliteter, og vi hoster ikke selv data.

Du kan se en liste over vores underdatabehandlere på https://dk.legal.trustpilot.com/for-businesses/subprocessors.

Sikkerhedsteam

Trustpilot har et dedikeret sikkerhedsteam, der er ledet af vores chief information security officer (CISO).

Sikkerhedsteamet består af teams med ansvar for:

• Daglig sikkerhed
• Applikations- og cloudsikkerhed (platformssikkerhed)
• Styring, risiko og overholdelse

I henhold til GDPR har vi udpeget en databeskyttelsesrådgiver (DPO) til at føre tilsyn med vores databeskyttelses- og sikkerhedsforanstaltninger.

Sikkerhedsforanstaltninger

Datakryptering

Data, der overføres til og fra vores cloud-infrastruktur eller er placeret i den, krypteres med AES-256-algoritmen. De data, vi lagrer i vores cloud-infrastruktur, beskyttes af firewalls og opbevares i isolerede VPC-miljøer.

Vi bruger mindst en 128-bit kryptering til at sikre kommunikationen mellem vores brugere og platform. Alle vores websites bruger Transport Layer Security 1.2 (TLS)-protokollen, og vi understøtter kun data, der sendes via HTTPS-protokoller.

Vi bruger TLS til e-mailkommunikation for at beskytte personoplysninger. Hvis modtagerens e-mailklient ikke understøtter TLS, bruger vi den protokol, der giver den næsthøjeste sikkerhed.

Sikkerheden omkring vores programmer

Trustpilot følger en DevSecOps-model, hvor sikkerheden er integreret i vores DevOps-processer og på hvert stadie af vores softwareudviklings livscyklus (SDLC). 

Det omfatter sikkerhed i vores kodedesign, hvor vi sørger for at eliminere sårbarheder, såsom dem i OWASP Top 10, gennem vores løbende integration (CI) og levering, vores API'er og automatiserede tests.

Trustpilot har en livscykluspolitik for sikker softwareudvikling, der definerer kravene til sikker håndtering af ændringer. Politikken indeholder krav til planlægning, igangsættelse, udvikling, kvalitetssikring, implementering og udgivelse af ændringer. 

Håndtering af sikkerhedsrisici

Teamet for platformssikkerhed foretager scanninger for at finde sårbarheder i Trustpilots kodebase. Disse scanninger udføres regelmæssigt for at identificere og afhjælpe potentielle sårbarheder.

Trustpilot deltager i et privat bug bounty-program, og der foretages penetrationstests mindst én gang om året af en kvalificeret udbyder.

Identificerede sårbarheder dokumenteres og spores, så de kan løses i overensstemmelse med tidslinjerne i politikken for håndtering af sårbarheder.

API-sikkerhed

Hos Trustpilot stræber vi efter at sikre, at vores API-godkendelse understøtter de krypteringsstandarder, der giver vores kunder den højeste sikkerhed. Som virksomhed understøtter vi følgende krypteringspakke:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Vi understøtter TLS 1.2 som en minimumsstandard, men vi accepterer også forbindelser over TLS 1.3.

Nedenfor finder du vores offentlige nøgler:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Hvis det usandsynlige skulle ske, at et databrud opstår, har vi et dedikeret team, der tager hånd om sagen i overensstemmelse med vores politik for databrud og fastlagte processer. 

I vores politik står det klart beskrevet, hvordan vi dokumenterer, undersøger og rapporterer potentielle databrud. Hvis der skulle ske et databrud, kontakter vi de berørte parter uden unødig forsinkelse.

Rapportering af sikkerhedsproblemer

Du kan give os besked om eventuelle sikkerhedsproblemer ved at sende os en e-mail på report@trustpilot.com. 

Du kan også rapportere sikkerhedsproblemer på vores Speaking Up-platform, hvor der er mulighed for at rapportere anonymt. Vi tager dine bekymringer alvorligt og håndterer dem hurtigt.