La seguridad en Trustpilot

En Trustpilot consideramos la protección de los datos personales una parte esencial del funcionamiento de una comunidad de opiniones online.

Para nosotros es muy importante contar con una buena protección de datos a todos los niveles, independientemente de que se trate de personas que han escrito su opinión en Trustpilot, consumidores que utilizan nuestra plataforma, nuestros clientes y partners o nuestros propios empleados.

Consejo: Para conocer en profundidad nuestras prácticas de seguridad, descárgate nuestra política de seguridad al completo (versión 2.6) en la sección 'Documentos adjuntos', al final de este artículo, o échale un vistazo a nuestro Cloud Security Alliance questionnaire.

RGPD

Acatamos y cumplimos el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que regula la privacidad y protección de datos de todas las personas de la UE. Nuestro Acuerdo sobre el tratamiento de datos (DPA por sus siglas en inglés) describe cómo procesamos los datos personales en nombre de la empresa que utiliza nuestros servicios de invitación.

La seguridad de nuestra infraestructura 'en la nube'

Trustpilot es una empresa de infraestructura computacional en la nube. No tenemos centros físicos de almacenamiento de datos y la infraestructura de nuestra red corporativa es virtual.

Amazon Web Services

Nuestra infraestructura se apoya en centros de datos facilitados por Amazon Web Services (AWS), que utilizan zonas de disponibilidad de la UE como SOC2 y PCI DSS nivel 1 certificado. Trustpilot utiliza también varias funcionalidades de AWS diseñadas para aumentar la seguridad y proteger la confidencialidad de los datos.

Nuestros servidores se ejecutan en versiones estables de Amazon Windows, que actualizamos regularmente. Los servidores están configurados con grupos de seguridad y aislados en entornos de la nube privada virtual de Amazon (VPC) con segmentación de red bien definida, control de acceso basado en roles y un firewall avanzado para aplicaciones web.

Todos nuestros sistemas operativos, bases de datos y aplicaciones han sido reforzados para reducir la vulnerabilidad y maximizar la seguridad.

Google Cloud

Para cumplir las necesidades de algunas empresas también hacemos uso de la Plataforma Google Cloud, cuya avanzada tecnología nos alerta de posibles amenazas y vulnerabilidades.

Informes

Las instancias en los servidores de Trustpilot en AWS y Google Cloud solo son accesibles a través de una conexión VPN. La seguridad física de nuestra infraestructura en la nube está gestionada por AWS y Google Cloud - puedes solicitarles directamente un informe de conformidad.

Trustpilot mantiene una valoración A+ en 'Qualys SSL Labs for endpoints'.

Gestión de la vulnerabilidad

Trustpilot cuenta con un formulario público 'Bug Bounty', que recompensa a los usuarios expertos en seguridad por detectar e informarnos sobre nuestros puntos débiles.

Además, escaneamos nuestra web en busca de vulnerabilidades y las arreglamos lo más rápidamente posible, según la gravedad del problema detectado.

Diseño arquitectónico

Nuestra plataforma está diseñada siguiendo los principios de diseño para microservicios, por lo que nuestros servicios y el 'back-end' subyacente están disociados y sin estado (Stateless). Esto nos permite redimensionar automáticamente nuestra plataforma según la demanda existente.

Nuestra infraestructura 'back-end' es creada directamente a partir de la instrucción del código, también conocida como "infraestructura como código" (IaC). Cambia continuamente para garantizar un entorno consistente y sin estado, es decir una "infraestructura inmutable".

Protección de datos

Los datos transmitidos a/desde nuestra infraestructura en la nube son encriptados durante el tránsito. Y los datos almacenados en la nube son encriptados con el algoritmo AES-256. Los datos guardados en nuestra nube están protegidos por firewalls y alojados en múltiples VPCs aisladas (Virtual Private Cloud).

Para proteger el tráfico entre nuestros usuarios y nuestra plataforma, para toda comunicación utilizamos como mínimo una encriptación de 128 bits. Todos nuestros sitios web utilizan Transport Layer Security 1.2 (TLS) y solo admitimos datos enviados usando el protocolo HTTPS.

Para proteger los datos personales, utilizamos TLS al enviar nuestros emails. Si el correo electrónico del receptor no es compatible con el protocolo TLS, utilizamos el siguiente protocolo más seguro que acepte su sistema.

La seguridad de nuestras aplicaciones

En Trustpilot seguimos el modelo "DevSecOps", donde la seguridad está integrada en nuestros procedimientos DevOps y en las diversas fases del ciclo vital de nuestro sofware. Esto incluye la seguridad en el diseño de nuestro código, donde identificamos vulnerabilidades, como los 10 mayores riesgos de seguridad para las aplicaciones web (OWASP Top 10), con el fin de eliminarlas de nuestros procesos de integración y entrega, nuestras APIs y nuestras pruebas automatizadas.

Respuesta ante incidentes

En el improbable caso de que se produzca un incidente con los datos, tenemos nuestro 'Data Incident Response Team', un equipo especializado en resolver este tipo de situaciones siguiendo nuestras directrices y protocolos. Nuestra política al respecto define la manera en la que debemos documentar, investigar y denunciar los posibles incidentes con los datos. En el caso de verificarse un problema con la seguridad de los datos, nos pondríamos en contacto con la(s) empresa(s) afectada(s). Para más información, descárgate nuestro libro blanco sobre las prácticas de seguridad para los servicios de invitación de Trustpilot que puedes encontrar en la sección de documentos adjuntos de debajo.

Nuestro cuestionario de seguridad

Con el fin de ayudar a las empresas a conocer nuestras prácticas de seguridad, hemos elaborado el cuestionario Cloud Security Alliance, que puedes descargar aquí.

Siguiente: Las empresas ante el RGPD y la protección de datos

 

 

 

 

Archivos adjuntos