Sicherheit bei Trustpilot

Wir wissen, dass Sie bei der Nutzung unseres Portals darauf vertrauen, dass wir Ihre Daten sicher aufbewahren, und wir nehmen diese Verantwortung sehr ernst.

Wir verpflichten uns dazu, unser Portal und die persönlichen Daten unserer Kunden sowie von Bewertern und Verbrauchern zu schützen.

Konformität

SOC 2

Trustpilot hat einen SOC-2-Bericht vom Typ 2 für Sicherheit erreicht. Der SOC 2 Typ 2 ist auf Anfrage für Kunden und Interessenten einsehbar.

DSGVO

Wir halten uns an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die den Datenschutz und die Privatsphäre für alle Personen innerhalb der EU regelt. Unsere DSGVO-konforme Vereinbarung zur Auftragsverarbeitung beschreibt, wie wir personenbezogene Daten im Auftrag der Unternehmen, die unsere Bewertungseinladungsdienste verwenden, verarbeiten.

CSA STAR Stufe 1

CSA STAR Level 1.png

CSA STAR Stufe 1 ist eine Selbstbewertung, die den Fragebogen „Consensus Assessments Initiative Questionnaire“ (CAIQ) verwendet, um die Konformität mit dem Referenzrahmen „Cloud Controls Matrix“ (CCM) zu dokumentieren. Diese Informationen sind öffentlich zugänglich, fördern die Branchentransparenz und bieten Kunden Einblicke in bestimmte Sicherheitspraktiken von Anbietern. Die STAR-Selbstbewertung wird jährlich aktualisiert.

Trustpilots vollständigen CAIQ-Fragebogen finden Sie auf Trustpilots CSA STAR Verzeichniseintrag.

Trustpilots Sicherheits-Whitepaper

Unser Sicherheits-Whitepaper (auf Englisch) bietet eine Übersicht über unser Systemdesign und unsere Systemarchitektur, unsere Informationssicherheitsorganisation und unseren Informationssicherheitsrahmen.

Das Whitepaper ist öffentlich auf unserer Website zugänglich, damit unsere Kunden unsere Sicherheitspraktiken besser nachvollziehen können.

Cloudinfrastruktur

Das Trustpilot-Portal sowie die Trustpilot-Daten werden in Rechenzentren von Amazon Web Services und Google Cloud Services mit Standort in der Europäischen Union gehostet. 

Sowohl Amazon Web Services als auch Google Cloud Services sind SOC-2-, ISO-27001- und PCI-DSS-konform. Wir prüfen diese Anbieter regelmäßig, um ihre Sicherheitskonformität zu überwachen.

Wir nutzen keinerlei andere Rechenzentren und hosten die Daten auch nicht selbst.

Eine Liste unserer Unterauftragsverarbeiter finden Sie unter https://de.legal.trustpilot.com/for-businesses/subprocessors.

Sicherheitsteam

Trustpilot hat ein eigenes Sicherheitsteam, das vom Chief Information Security Officer (CISO) geleitet wird.

Das Sicherheitsteam besteht aus Teams, die für die folgenden Dinge verantwortlich sind:

  • Sicherheitsmaßnahmen
  • Anwendungs- und Cloud-Sicherheit (Portalsicherheit)
  • Governance, Risiken und Konformität

Wie von der DSGVO vorgeschrieben, haben wir einen Datenschutzbeauftragten (auch Data Protection Officer oder DPO genannt) ernannt, der unsere Datensicherheit und unsere Schutzmaßnahmen überwacht.

Sicherheitsmaßnahmen

Datensicherheit

Daten, die von und zu unserer Cloud-Infrastruktur übertragen werden bzw. die sich in unserer Cloud befinden, werden mithilfe des Industriestandard-Algorithmus AES-256 verschlüsselt. Daten, die in unserer Cloud-Infrastruktur gespeichert sind, werden von Firewalls geschützt und sind in mehreren isolierten VPCs untergebracht.

Um den Traffic zwischen unseren Nutzern und unserem Portal zu schützen, wird die gesamte Webkommunikation mit mindestens 128 Bit verschlüsselt. Sämtliche unserer Websites verwenden die Transport Layer Security 1.2 (TLS). Trustpilot unterstützt ausschließlich Datenübertragungen über HTTPS.

Zum Schutz personenbezogener Daten versenden wir unsere E-Mails mit TLS. Sollte der Empfangs-Client TLS nicht unterstützen, verwenden wir das nächsthöchste sichere Protokoll, das von ihm unterstützt wird.

Anwendungssicherheit

Trustpilot befolgt ein DevSecOps-Modell, bei dem die Sicherheit in unsere DevOps-Prozesse und in die verschiedenen Phasen des Lebenszyklus unserer Softwareentwicklung eingebettet ist. 

Dazu gehört die Sicherheit beim Design unseres Codes – wo wir darauf achten, Schwachstellen wie z. B. die 10 kritischsten Sicherheitsrisiken für Webanwendungen, die OWASP Top 10, zu beseitigen – durch unsere kontinuierliche Integrations- und Liefer-Pipeline, unsere APIs und automatisierte Tests.

Trustpilot hat eine sichere Softwareentwicklungs-Lebenszyklusstrategie (auf Englisch: Secure Software Development Lifecycle Policy), welche die Anforderungen zur sicheren Verwaltung von Änderungen festlegt. Die Strategie legt Anforderungen für die Planung, Initiierung, Entwicklung, Qualitätssicherung, Implementierung und Veröffentlichung von Änderungen fest. 

Schwachstellen-Management

Das Portalsicherheits-Team führt Schwachstellen-Scans durch, um Schwachstellen in der Trustpilot-Codebasis aufzudecken. Diese Scans werden regelmäßig durchgeführt, um eventuelle Schwachstellen zu erkennen und zu beseitigen.

Trustpilot unterhält ein privates Bug-Bounty-Programm und Penetrationtests werden mindestens jährlich von qualifizierten Anbietern durchgeführt.

Identifizierte Schwachstellen werden dokumentiert und gemäß den Zeitvorgaben der Richtlinie zum Schwachstellen-Management bis zu ihrer Behebung verfolgt.

API-Sicherheit

Um die Sicherheit unserer Kunden zu gewährleisten, streben wir bei Trustpilot danach, sicherzustellen, dass unsere API-Authentifizierung die stärksten Verschlüsselungsstandards unterstützt, die möglich sind. Als Unternehmen unterstützen wir die folgenden Verschlüsselungsverfahren:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Wir unterstützen TLS 1.2 als Mindeststandard, akzeptieren jedoch auch Verbindungen über TLS 1.3.

Hier unsere öffentlichen Schlüssel:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Unsere Reaktion auf Vorfälle

Für den unwahrscheinlichen Fall einer Datenpanne verfügen wir über ein auf die Behebung von Vorfällen spezialisiertes Team, das in Übereinstimmung mit unserer Richtlinie für Datenpannen agiert und dabei fest etablierten Prozessen folgt. 

Die Richtlinie beschreibt, wie potenzielle Datenpannen dokumentiert, untersucht und gemeldet werden sollen. Im Falle eines Informationssicherheitsvorfalls werden wir umgehend diejenigen Unternehmen kontaktieren, deren personenbezogene Daten betroffen sind.

Sicherheitsproblem melden

Sie können uns jegliche Sicherheitsprobleme per E-Mail an report@trustpilot.com melden. 

Unsere Speaking-Up-Plattform steht Ihnen ebenfalls zur Verfügung, um Sicherheitsprobleme zu melden – das geht sogar anonym. Wir nehmen diese Probleme sehr ernst und kümmern uns umgehend um sie.

Anhänge

War dieser Beitrag hilfreich?

Related articles