La seguridad en Trustpilot

Sabemos que cuando utilizas nuestra plataforma, confías en que protegeremos tus datos. Nos tomamos esta responsabilidad muy en serio.

Tenemos el compromiso de garantizar la seguridad de nuestra plataforma y proteger los datos personales de nuestros clientes, de los usuarios que publican opiniones y de los consumidores.

Conformidad

SOC 2

Trustpilot ha conseguido la certificación SOC 2 Tipo I en materia de seguridad, que está disponible para los consumidores que lo soliciten.

La certificación Tipo I representa un hito importante en nuestra hoja de ruta hacia el cumplimiento de la norma SOC 2 Tipo II. La obtención de la certificación SOC 2 Tipo II es una prioridad clave para Trustpilot y cuenta con el apoyo del equipo ejecutivo y del consejo.

RGPD

Acatamos y cumplimos el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que regula la privacidad y protección de datos de todas las personas de la UE. Nuestro Acuerdo sobre el Procesamiento de Datos, que cumple con el RGPD, describe cómo procesamos los datos personales en nombre de las empresas que utilizan nuestros servicios de envío de invitaciones a opinar.

CSA STAR Nivel 1

CSA STAR Level 1.png

CSA STAR Nivel 1 es una autoevaluación que utiliza el Consensus Assessments Initiative Questionnaire (CAIQ) para documentar la conformidad con la Cloud Controls Matrix (CCM). Esta información está disponible públicamente, lo que promueve la transparencia y permite a los consumidores informarse sobre las prácticas de seguridad de determinados proveedores. Las autoevaluaciones STAR se actualizan anualmente.

El CAIQ completado de Trustpilot se puede consultar en el CSA STAR Registry de Trustpilot.

Libro blanco de Trustpilot sobre seguridad

Nuestro libro blanco sobre seguridad ofrece una visión panorámica del diseño y la arquitectura de nuestro sistema, de nuestra organización de seguridad de la información y de nuestro marco de seguridad de la información.

El libro blanco está disponible públicamente en nuestro sitio web para ayudar a los consumidores a entender nuestras prácticas en materia de seguridad.

Infraestructura en la nube

La plataforma y los datos de Trustpilot están alojados en centros de datos de Amazon Web Services y Google Cloud Services ubicados en la Unión Europea. 

Tanto Amazon Web Services como Google Cloud Services cumplen con las normas SOC 2, ISO 27001 y PCI DSS. Examinamos periódicamente a estos proveedores para comprobar que cumplen las normas de seguridad.

No utilizamos ninguna otra infraestructura de centro de datos y no alojamos datos nosotros mismos.

Aquí puedes consultar nuestros subprocesadores: https://legal.trustpilot.com/for-businesses/subprocessors.

Equipo de seguridad

Trustpilot cuenta con un equipo especializado en seguridad, dirigido por el director de seguridad de la información (DSI).

El equipo de seguridad está compuesto por equipos responsables de:

  • las operaciones de seguridad
  • la seguridad de las aplicaciones y la nube (seguridad de la plataforma)
  • la gobernanza, el riesgo y el cumplimiento

Tal y como exige el GDPR, hemos nombrado a un delegado de protección de datos (DPD) para supervisar nuestras medidas en materia de privacidad y protección de datos.

Medidas de seguridad

Protección de datos

Los datos transmitidos a/desde nuestra infraestructura en la nube son encriptados durante el tránsito. Y los datos almacenados en la nube son encriptados con el algoritmo AES-256. Los datos guardados en nuestra nube están protegidos por firewalls y alojados en múltiples VPCs aisladas (Virtual Private Cloud).

Para proteger el tráfico entre nuestros usuarios y nuestra plataforma, para toda comunicación utilizamos como mínimo una encriptación de 128 bits. Todos nuestros sitios web utilizan Transport Layer Security 1.2 (TLS) y solo admitimos datos enviados usando el protocolo HTTPS.

Para proteger los datos personales, utilizamos TLS al enviar nuestros emails. Si el correo electrónico del receptor no es compatible con el protocolo TLS, utilizamos el siguiente protocolo más seguro que acepte su sistema.

La seguridad de nuestras aplicaciones

En Trustpilot seguimos un modelo DevSecOps en el que la seguridad está integrada en nuestros procedimientos DevOps y en las diversas fases del ciclo vital de nuestro software. 

La seguridad se integra en el diseño de nuestro código, donde identificamos vulnerabilidades (como las del OWASP Top 10) y las eliminamos de nuestros procesos de integración y entrega, nuestras API y nuestras pruebas automatizadas.

Trustpilot tiene una política de ciclo de vida de desarrollo de software seguro que define los requisitos para gestionar cambios de forma segura. así como los requisitos de planificación, inicio, desarrollo, control de calidad, aplicación y publicación de cambios. 

Gestión de vulnerabilidades

El equipo de seguridad de la plataforma efectúa análisis para detectar vulnerabilidades en la base de código de Trustpilot. para detectar y corregir vulnerabilidades en la base de código de Trustpilot.

Trustpilot participa en un programa privado de recompensas por detección de errores, y un proveedor cualificado realiza pruebas de penetración al menos una vez al año.

Las vulnerabilidades detectadas se documentan y se controlan hasta su resolución conforme a los plazos establecidos en la política de gestión de vulnerabilidades.

Seguridad de las APIs

En Trustpilot, nos esforzamos por garantizar que nuestra autenticación de API admita los estándares de cifrado más avanzados para mantener la seguridad de nuestros clientes. Como empresa, apoyamos el siguiente conjunto de cifrado:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Aceptamos TLS 1.2 como estándar mínimo; sin embargo, también aceptamos conexiones a través de TLS 1.3.

El acceso a nuestras claves públicas puede encontrarse aquí:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Respuesta ante incidentes

En el improbable caso de que se produzca un incidente con los datos, tenemos nuestro 'Data Incident Response Team', un equipo especializado en resolver este tipo de situaciones siguiendo nuestras directrices y protocolos. 

Nuestra política al respecto define la manera en la que debemos documentar, investigar y denunciar los posibles incidentes con los datos. En caso de producirse un incidente relacionado con la seguridad de la información, nos pondremos en contacto inmediatamente con las empresas cuyos datos personales se hayan visto afectados.

Informar sobre un problema de seguridad

Puedes informar sobre cualquier problema de seguridad escribiendo a report@trustpilot.com

Nuestra plataforma Speaking Up también está disponible para notificar problemas de seguridad y permite hacerlo de forma anónima. Nos tomamos muy en serio los problemas de seguridad y los abordamos con celeridad.

Archivos adjuntos

¿Fue útil este artículo?

Related articles