Als Betreiber einer Online-Bewertungscommunity räumt Trustpilot der Datensicherheit höchste Priorität ein.
Der angemessene Schutz von Daten auf allen Ebenen ist uns sehr wichtig – egal, ob es sich um die Daten von Personen handelt, die auf Trustpilot Bewertungen abgeben, von Verbrauchern, die unser Portal konsultieren, um die Daten unserer Kunden und Kooperationspartner oder unserer eigenen Mitarbeiter.
Wenn Sie unsere Sicherheitsmaßnahmen im Detail kennenlernen möchten, können Sie sich am Ende dieses Artikels unter „Anhänge“ unser umfassendes Whitepaper (Version 2.7) zum Thema Datensicherheit herunterladen, oder sehen Sie hier unseren Cloud-Security-Alliance-Fragebogen.
DSGVO
Wir halten uns an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die den Datenschutz und die Privatsphäre für alle Personen innerhalb der EU regelt. Unsere DSGVO-konforme Vereinbarung zur Auftragsverarbeitung legt fest, wie wir personenbezogene Daten im Auftrag der Unternehmen, die unsere Services für Bewertungseinladungen nutzen, verarbeiten.
Die Sicherheit unserer Cloud-Infrastruktur
Trustpilot ist ein cloudbasiertes Unternehmen. Wir unterhalten keine unternehmenseigenen Rechenzentren und die Infrastruktur unseres Unternehmensnetzwerks ist rein virtuell.
Amazon Web Services
Für unsere Infrastruktur nutzen wir Rechenzentren, die von Amazon Web Services (AWS) betrieben werden und in europäischen Availability Zones liegen, die u. a. SOC 2- und PCI DSS Level 1-zertifiziert sind. AWS verfügt über eine ganze Reihe sicherheits- und datenschutzbezogener Funktionen, von denen Trustpilot Gebrauch macht.
Unsere Server befinden sich in Rechenzentren von Amazon Web Services, und wir nutzen eine Kombination aus Microsoft- und Linux-Betriebssystemen mit sorgfältig konfigurierten Sicherheitsgruppen, isolierten Virtual Private Cloud-Umgebungen (VPC) mit gut definierten Netzwerksegmentierungen, rollenbasierter Zugriffskontrolle und fortschrittlichem Schutz durch eine Web Application Firewall.
Unsere gesamten Betriebssysteme, Datenbanken und Anwendungen wurden mit einem besonderen Augenmerk auf Widerstandsfähigkeit konzipiert, um potenzielle Schwachstellen zu minimieren und um sie möglichst sicher zu machen.
Google Cloud
Für einige Geschäftsanforderungen nutzen wir die Google Cloud Platform, wo wir ebenfalls hochmoderne Tools einsetzen, die uns vor Bedrohungen oder Schwachstellen warnen.
Berichte
Der Zugriff auf die Server-Instances von Trustpilot bei AWS und Google Cloud ist nur über ein VPN (virtuelles privates Netzwerk) möglich. AWS und Google Cloud sorgen für die physische Sicherheit unserer Cloud-Infrastruktur – die relevanten Compliance-Berichte können Sie direkt bei diesen Betreibern anfordern.
Bei Qualys SSL Labs werden die Endpunkte von Trustpilot.com mit der Note A+ bewertet.
Schwachstellen-Management
Trustpilot unterhält ein privates Bug-Bounty-Programm, bei dem Crowdsourced-Sicherheitsspezialisten die Möglichkeit haben, Bugs zu suchen und an uns zu melden.
Außerdem überprüfen wir unsere Website auch selbst regelmäßig auf Schwachstellen und beheben sie innerhalb eines dem Schweregrad des Befunds angemessenen Zeitrahmens.
Unsere Portal-Architektur
Wir haben unser Portal nach den Designprinzipien der Microservices-Architektur konzipiert, sodass unsere Dienste und das ihnen zugrunde liegende Backend entkoppelt und zustandslos sind. Dadurch können wir unser Portal ganz nach Bedarf automatisch skalieren.
Unsere Backend-Infrastruktur wird direkt in Form einer „Infrastruktur als Code“ (IaC) abgebildet. Sie wird regelmäßig erneuert, um eine konsistente und zustandslose Umgebung bzw. eine „unveränderliche Infrastruktur“ zu gewährleisten.
Datensicherheit
Daten, die von und zu unserer Cloud-Infrastruktur übertragen werden bzw. die sich in unserer Cloud befinden, werden mithilfe des Industriestandard-Algorithmus AES-256 verschlüsselt. Daten, die in unserer Cloud-Infrastruktur gespeichert sind, werden von Firewalls geschützt und sind in mehreren isolierten VPCs untergebracht.
Um den Traffic zwischen unseren Nutzern und unserem Portal zu schützen, wird die gesamte Webkommunikation mit mindestens 128 Bit verschlüsselt. Sämtliche unserer Websites verwenden die Transport Layer Security 1.2 (TLS). Trustpilot unterstützt ausschließlich Datenübertragungen über HTTPS.
Zum Schutz personenbezogener Daten versenden wir unsere E-Mails mit TLS. Sollte der Empfangs-Client TLS nicht unterstützen, verwenden wir das nächsthöchste sichere Protokoll, das von ihm unterstützt wird.
API-Sicherheit
Um die Sicherheit unserer Kunden zu gewährleisten, streben wir bei Trustpilot danach, sicherzustellen, dass unsere API-Authentifizierung die stärksten Verschlüsselungsstandards unterstützt, die möglich sind. Als Unternehmen unterstützen wir die folgenden Verschlüsselungsverfahren:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
Wir unterstützen TLS 1.2 als Mindeststandard, akzeptieren jedoch auch Verbindungen über TLS 1.3.
Hier unsere öffentlichen Schlüssel:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----
Anwendungssicherheit
Trustpilot orientiert sich am „DevSecOps“-Konzept, bei dem die Sicherheit in unsere DevOps-Prozesse und in die verschiedenen Phasen des Lebenszyklus unserer Softwareentwicklung eingebettet ist. Dazu gehört die Sicherheit beim Design unseres Codes – wo wir darauf achten, Schwachstellen wie z. B. die 10 kritischsten Sicherheitsrisiken für Webanwendungen, die OWASP Top 10, zu beseitigen – durch unsere kontinuierliche Integrations- und Liefer-Pipeline, unsere APIs und automatisierte Tests.
Unsere Reaktion auf Vorfälle
Für den unwahrscheinlichen Fall einer Datenpanne verfügen wir über ein auf die Behebung von Vorfällen spezialisiertes Team, das in Übereinstimmung mit unserer Richtlinie für Datenpannen agiert und dabei fest etablierten Prozessen folgt. Die Richtlinie beschreibt, wie potenzielle Datenpannen dokumentiert, untersucht und gemeldet werden sollen. Im Falle eines Informationssicherheitsvorfalls werden wir diejenigen Unternehmen kontaktieren, deren personenbezogene Daten betroffen sind. Für weitere Informationen laden Sie bitte unter „Anhänge“ unser Whitepaper zur Datensicherheit bei Trustpilot-Diensten für Bewertungseinladungen herunter.
Eventuelle Sicherheitsbedenken können Sie uns per E-Mail an report@trustpilot.com melden.
Unser Datensicherheits-Fragebogen
Um Unternehmen einen näheren Einblick in unsere Sicherheitsmaßnahmen zu geben, haben wir einen Cloud-Security-Alliance-Fragebogen ausgefüllt. Dieser steht Ihnen hier zum Download zur Verfügung.
Weiter Die DSGVO und Datenschutzanforderungen für Unternehmen