La seguridad en Trustpilot

En Trustpilot consideramos la protección de los datos personales una parte esencial del funcionamiento de una comunidad de opiniones en línea.

Para nosotros es muy importante contar con una buena protección de datos a todos los niveles, independientemente de que se trate de personas que han escrito su opinión en Trustpilot, consumidores que utilizan nuestra plataforma, nuestros clientes y partners o nuestros propios empleados.

Para conocer en profundidad nuestras prácticas de seguridad, descárgate nuestra política de seguridad al completo (versión 2.7) en la sección 'Documentos adjuntos', al final de este artículo, o échale un vistazo a nuestro Cloud Security Alliance questionnaire.

RGPD

Acatamos y cumplimos el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que regula la privacidad y protección de datos de todas las personas de la UE. Nuestro acuerdo sobre el tratamiento de datos (DPA por sus siglas en inglés) describe cómo procesamos los datos personales en nombre de la empresa que utiliza nuestros servicios de invitación.

La seguridad de nuestra infraestructura 'en la nube'

Trustpilot es una empresa de infraestructura computacional en la nube. No tenemos centros físicos de almacenamiento de datos y la infraestructura de nuestra red corporativa es virtual.

Amazon Web Services

Nuestra infraestructura se apoya en centros de datos facilitados por Amazon Web Services (AWS), que utilizan zonas de disponibilidad de la UE como SOC2 y PCI DSS nivel 1 certificado. Trustpilot utiliza también varias funcionalidades de AWS diseñadas para aumentar la seguridad y proteger la confidencialidad de los datos.

Nuestros servidores se alojan en los Centros de Datos de Amazon Web Services y contamos con una combinación de sistemas operativos Microsoft y Linux. Estos servidores están configurados con grupos de seguridad aislados en entornos de la nube privada virtual(VPC) y con una segmentación de red bien definida, control de acceso basado en roles y un firewall avanzado para aplicaciones web.

Todos nuestros sistemas operativos, bases de datos y aplicaciones han sido reforzados para reducir la vulnerabilidad y maximizar la seguridad.

Google Cloud

Para cumplir las necesidades de algunas empresas también hacemos uso de la Plataforma Google Cloud, cuya avanzada tecnología nos alerta de posibles amenazas y vulnerabilidades.

Informes

Las instancias en los servidores de Trustpilot en AWS y Google Cloud solo son accesibles a través de una conexión VPN. La seguridad física de nuestra infraestructura en la nube está gestionada por AWS y Google Cloud - puedes solicitarles directamente un informe de conformidad.

Trustpilot mantiene una valoración A+ en 'Qualys SSL Labs for endpoints'.

Gestión de la vulnerabilidad

Trustpilot cuenta con un formulario privado 'Bug Bounty', que recompensa a los usuarios expertos en seguridad por detectar e informarnos sobre nuestros puntos débiles.

Además, escaneamos nuestra web en busca de vulnerabilidades y las arreglamos lo más rápidamente posible, según la gravedad del problema detectado.

Diseño arquitectónico

Nuestra plataforma está diseñada siguiendo los principios de diseño para microservicios, por lo que nuestros servicios y el 'back-end' subyacente están disociados y sin estado (Stateless). Esto nos permite redimensionar automáticamente nuestra plataforma según la demanda existente.

Nuestra infraestructura 'back-end' es creada directamente a partir de la instrucción del código, también conocida como "infraestructura como código" (IaC). Cambia continuamente para garantizar un entorno consistente y sin estado, es decir una "infraestructura inmutable".

Protección de datos

Los datos transmitidos a/desde nuestra infraestructura en la nube son encriptados durante el tránsito. Y los datos almacenados en la nube son encriptados con el algoritmo AES-256. Los datos guardados en nuestra nube están protegidos por firewalls y alojados en múltiples VPCs aisladas (Virtual Private Cloud).

Para proteger el tráfico entre nuestros usuarios y nuestra plataforma, para toda comunicación utilizamos como mínimo una encriptación de 128 bits. Todos nuestros sitios web utilizan Transport Layer Security 1.2 (TLS) y solo admitimos datos enviados usando el protocolo HTTPS.

Para proteger los datos personales, utilizamos TLS al enviar nuestros emails. Si el correo electrónico del receptor no es compatible con el protocolo TLS, utilizamos el siguiente protocolo más seguro que acepte su sistema.

Seguridad de las APIs

En Trustpilot, nos esforzamos por garantizar que nuestra autenticación de API admita los estándares de cifrado más avanzados para mantener la seguridad de nuestros clientes.  Como empresa, apoyamos el siguiente conjunto de cifrado:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Aceptamos TLS 1.2 como estándar mínimo; sin embargo, también aceptamos conexiones a través de TLS 1.3.

El acceso a nuestras claves públicas puede encontrarse aquí:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

La seguridad de nuestras aplicaciones

En Trustpilot seguimos el modelo "DevSecOps", donde la seguridad está integrada en nuestros procedimientos DevOps y en las diversas fases del ciclo vital de nuestro sofware. Esto incluye la seguridad en el diseño de nuestro código, donde identificamos vulnerabilidades, como los 10 mayores riesgos de seguridad para las aplicaciones web (OWASP Top 10), con el fin de eliminarlas de nuestros procesos de integración y entrega, nuestras APIs y nuestras pruebas automatizadas.

Respuesta ante incidentes

En el improbable caso de que se produzca un incidente con los datos, tenemos nuestro 'Data Incident Response Team', un equipo especializado en resolver este tipo de situaciones siguiendo nuestras directrices y protocolos. Nuestra política al respecto define la manera en la que debemos documentar, investigar y denunciar los posibles incidentes con los datos. En el caso de verificarse un problema con la seguridad de los datos, nos pondríamos en contacto con la(s) empresa(s) afectada(s). Para más información, descárgate nuestro libro blanco sobre las prácticas de seguridad para los servicios de invitación de Trustpilot que puedes encontrar en la sección de documentos adjuntos de debajo.

Puedes informarnos sobre cualquier problema de seguridad por correo electrónico aquí: report@trustpilot.com.

Nuestro cuestionario de seguridad

Con el fin de ayudar a las empresas a conocer nuestras prácticas de seguridad, hemos elaborado el cuestionario Cloud Security Alliance, que puedes descargar aquí.

Siguiente: Las empresas ante el RGPD y la protección de datos

 

 

 

 

Archivos adjuntos

¿Fue útil este artículo?

Related articles