Sicherheit bei Trustpilot

Als Betreiber einer Online-Bewertungscommunity räumt Trustpilot der Datensicherheit höchste Priorität ein.

Der angemessene Schutz von Daten auf allen Ebenen ist uns sehr wichtig – egal, ob es sich um die Daten von Personen handelt, die auf Trustpilot Bewertungen abgeben, von Verbrauchern, die unser Portal konsultieren, um die Daten unserer Kunden und Kooperationspartner oder unserer eigenen Mitarbeiter.

Tipp: Wenn Sie unsere Sicherheitsmaßnahmen im Detail kennenlernen möchten, können Sie sich am Ende dieses Artikels unter „Anhänge“ unser umfassendes Whitepaper (Version 2.6) zum Thema Datensicherheit herunterladen, oder sehen Sie hier unseren Cloud-Security-Alliance-Fragebogen.

DSGVO

Wir halten uns an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die den Datenschutz und die Privatsphäre für alle Personen innerhalb der EU regelt. Unsere DSGVO-konforme Vereinbarung zur Auftragsverarbeitung legt fest, wie wir personenbezogene Daten im Auftrag der Unternehmen, die unsere Services für Bewertungseinladungen nutzen, verarbeiten.

Die Sicherheit unserer Cloud-Infrastruktur

Trustpilot ist ein cloudbasiertes Unternehmen. Wir unterhalten keine unternehmenseigenenen Rechenzentren und die Infrakstruktur unseres Unternehmensnetzwerks ist rein virtuell.

Amazon Web Services

Für unsere Infrastruktur nutzen wir Rechenzentren, die von Amazon Web Services (AWS) betrieben werden und in europäischen Availability Zones liegen, die u. a. SOC 2- und PCI DSS Level 1-zertifiziert sind. AWS verfügt über eine ganze Reihe sicherheits- und datenschutzbezogener Funktionen, von denen Trustpilot Gebrauch macht.

Unsere Server laufen auf stabilen, regelmäßig gepatchten Amazon Windows-Versionen mit sorgfältig konfigurierten Sicherheitsgruppen, isolierten Virtual Private Cloud-Umgebungen (VPC) mit gut definierten Netzwerksegmentierungen, rollenbasierter Zugriffskontrolle und fortschrittlichem Schutz durch eine Web Application Firewall.

Unsere gesamten Betriebssysteme, Datenbanken und Anwendungen wurden mit einem besonderen Augenmerk auf Widerstandsfähigkeit konzipiert, um potenzielle Schwachstellen zu minimieren und um sie möglichst sicher zu machen.

Google Cloud

Für einige Geschäftsanforderungen nutzen wir die Google Cloud Platform, wo wir ebenfalls hochmoderne Tools einsetzen, die uns vor Bedrohungen oder Schwachstellen warnen.

Berichte

Der Zugriff auf die Server-Instances von Trustpilot bei AWS und Google Cloud ist nur über ein VPN (virtuelles privates Netzwerk) möglich. AWS und Google Cloud sorgen für die physische Sicherheit unserer Cloud-Infrastruktur – die relevanten Compliance-Berichte können Sie direkt bei diesen Betreibern anfordern.

Bei Qualys SSL Labs werden die Endpunkte von Trustpilot.com mit der Note A+ bewertet.

Schwachstellen-Management

Trustpilot unterhält ein öffentliches Bug-Bounty-Programm, bei dem Sicherheitsspezialisten die Möglichkeit haben, Bugs zu suchen und an uns zu melden.

Außerdem überprüfen wir unsere Website auch selbst regelmäßig auf Schwachstellen und beheben sie innerhalb eines dem Schweregrad des Befunds angemessenen Zeitrahmens.

Unsere Portal-Architektur

Wir haben unser Portal nach den Designprinzipien der Microservices-Architektur konzipiert, sodass unsere Dienste und das ihnen zugrunde liegende Backend entkoppelt und zustandslos sind. Dadurch können wir unser Portal ganz nach Bedarf automatisch skalieren.

Unsere Backend-Infrastruktur wird direkt in Form einer „Infrastruktur als Code“ (IaC) abgebildet. Sie wird regelmäßig erneuert, um eine konsistente und zustandslose Umgebung bzw. eine „unveränderliche Infrastruktur“ zu gewährleisten.

Datensicherheit

Daten, die von und zu unserer Cloud-Infrastruktur übertragen werden bzw. die sich in unserer Cloud befinden, werden mithilfe des Industriestandard-Algorithmus AES-256 verschlüsselt. Daten, die in unserer Cloud-Infrastruktur gespeichert sind, werden von Firewalls geschützt und sind in mehreren isolierten VPCs untergebracht.

Um den Traffic zwischen unseren Nutzern und unserem Portal zu schützen, wird die gesamte Webkommunikation mit mindestens 128 Bit verschlüsselt. Sämtliche unserer Websites verwenden die Transport Layer Security 1.2 (TLS). Trustpilot unterstützt ausschließlich Datenübertragungen über HTTPS.

Zum Schutz personenbezogener Daten versenden wir unsere E-Mails mit TLS. Sollte der Empfangs-Client TLS nicht unterstützen, verwenden wir das nächsthöchste sichere Protokoll, das von ihm unterstützt wird.

Anwendungssicherheit

Trustpilot orientiert sich am „DevSecOps“-Konzept, bei dem die Sicherheit in unsere DevOps-Prozesse und in die verschiedenen Phasen des Lebenszyklus unserer Softwareentwicklung eingebettet ist. Dazu gehört die Sicherheit beim Design unseres Codes – wo wir darauf achten, Schwachstellen wie z. B. die 10 kritischsten Sicherheitsrisiken für Webanwendungen, die OWASP Top 10, zu beseitigen – durch unsere kontinuierliche Integrations- und Liefer-Pipeline, unsere APIs und automatisierte Tests.

Unsere Reaktion auf Vorfälle

Für den unwahrscheinlichen Fall einer Datenpanne verfügen wir über ein auf die Behebung von Vorfällen spezialisiertes Team, das in Übereinstimmung mit unserer Richtlinie für Datenpannen agiert und dabei fest etablierten Prozessen folgt. Die Richtlinie beschreibt, wie potenzielle Datenpannen dokumentiert, untersucht und gemeldet werden sollen. Im Falle eines Informationssicherheitsvorfalls werden wir diejenigen Unternehmen kontaktieren, deren personenbezogene Daten betroffen sind. Für weitere Informationen laden Sie bitte unter „Anhänge“ unser Whitepaper zur Datensicherheit bei Trustpilot-Diensten für Bewertungseinladungen herunter.

Unser Datensicherheits-Fragebogen

Um Unternehmen einen näheren Einblick in unsere Sicherheitsmaßnahmen zu geben, haben wir einen Cloud-Security-Alliance-Fragebogen ausgefüllt. Dieser steht Ihnen hier zum Download zur Verfügung.

Weiter Die DSGVO und Datenschutzanforderungen für Unternehmen

 

 

 

 

Anhänge