La sécurité chez Trustpilot

Chez Trustpilot, nous considérons la sécurité des données comme une partie intégrante de la gestion d'une communauté d'avis en ligne.

Nous tenons à assurer la sécurité des données à tous les niveaux, y compris celles des auteurs d'avis, des consommateurs qui utilisent notre plateforme, de nos employés, de nos clients et des personnes avec lesquelles nous travaillons.

Si vous voulez en savoir plus sur nos procédures de sécurité, téléchargez notre guide détaillé sur la sécurité (version 2.7 - en anglais) sous « Pièces jointes » à la fin de cet article ou consultez notre questionnaire Cloud Security Alliance.

RGPD

Nous nous conformons au Règlement Général sur la Protection des Données (RGPD) européen, qui régit la protection des données et la confidentialité pour tous les individus au sein de l'UE. Notre accord relatif au traitement des données (DPA) conforme au RGPD décrit la manière dont nous traitons les données personnelles au nom des entreprises qui utilisent nos services d'invitation à laisser un avis.

La sécurité de notre infrastructure cloud

Trustpilot est une entreprise basée sur le cloud. Nous ne disposons pas de centres de stockage de données physiques et l'infrastructure de notre réseau d'entreprise est virtuelle.

Amazon Web Services

Notre infrastructure repose sur les centres de données d'Amazon Web Services (AWS) situés dans les zones de disponibilité européennes, certifiées SOC2 et PCI DSS niveau 1, entre autres. AWS dispose d'un certain nombre de fonctionnalités relatives à la sécurité et à la confidentialité que Trustpilot utilise.

Nos serveurs se trouvent dans les centres de données Amazon Web Services et nous disposons d'un mix de systèmes d'exploitation Microsoft et Linux. Ces serveurs sont dotés de groupes de sécurité soigneusement configurés et d'environnements de cloud privé virtuel (VPC) isolés avec une segmentation de réseau bien définie, d'un contrôle d'accès basé sur les rôles et d'un pare-feu d'application web avancé.

Tous nos systèmes d'exploitation, bases de données et applications ont été renforcés pour réduire les risques de vulnérabilité et maximiser la sécurité.

Google Cloud

Pour répondre aux besoins de certaines entreprises, nous utilisons également Google Cloud Platform, dont la technologie de pointe nous alerte si des menaces ou des vulnérabilités sont détectées.

Rapports

L'accès aux instances du serveur Trustpilot chez AWS et Google Cloud n'est possible que via un VPN (réseau privé virtuel). La sécurité physique de notre infrastructure cloud est gérée par AWS et Google Cloud. Vous pouvez demander directement un rapport de conformité à ces fournisseurs si nécessaire.

Les endpoints de Trustpilot.com sont notés A+ sur Qualys SSL Labs.

Gestion des vulnérabilités

Trustpilot dispose d'un programme de bug bounty privé qui récompense les experts en sécurité s'ils détectent des bugs et nous les signalent.

Nous scannons également régulièrement notre site web à la recherche de vulnérabilités et les corrigeons le plus rapidement possible, en fonction de la gravité des problèmes détectés.

Design architectural

Nous avons conçu notre plateforme selon les principes de design d'architecture des microservices, de sorte que nos services et le backend sous-jacent soient dissociés et sans état (stateless). Cela nous permet d'adapter automatiquement notre plateforme en fonction de la demande existante.

Notre infrastructure backend est créée directement à partir d'instructions de code, également appelées « infrastructure as code » (IaC). Elle est régulièrement remplacée pour assurer un environnement cohérent et sans état (stateless), ou une « infrastructure immuable ».

Sécurité des données

Les données transmises vers et depuis notre infrastructure cloud sont cryptées pendant le transit. Et les données stockées dans le cloud sont cryptées avec l'algorithme standard de l'industrie AES-256. Les données stockées dans notre infrastructure cloud sont protégées par des pares-feux et sont hébergées dans plusieurs clouds privés virtuels (VPC) isolés.

Pour protéger le trafic entre nos utilisateurs et notre plateforme, nous utilisons un cryptage d'au moins 128 bits pour toutes les communications web. Tous nos sites web utilisent Transport Layer Security 1.2 (TLS) et nous n'acceptons que les données envoyées via le protocole HTTPS.

Pour protéger les données personnelles, nous envoyons nos e-mails en utilisant TLS. Si le client de messagerie du destinataire ne prend pas en charge le protocole TLS, nous utilisons le protocole qui offre le second niveau de sécurité optimal.

Sécurité des API

Nous nous efforçons de garantir que notre authentification API respecte les normes de cryptage les plus strictes possibles pour assurer la sécurité de nos clients.  Trustpilot utilise la suite cryptographique suivante :

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

TLS 1.2 est la norme minimale que nous prenons en charge, cependant, nous acceptons également les connexions via TLS 1.3.

L'accès à nos clés publiques peut être trouvé ici :

Staging :
-----DÉBUT DE LA CLÉ PUBLIQUE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----FIN DE LA CLÉ PUBLIQUE-----
Production :
-----DÉBUT DE LA CLÉ PUBLIQUE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----FIN DE LA CLÉ PUBLIQUE-----

Sécurité des applications

Chez Trustpilot, nous suivons le modèle « DevSecOps », où la sécurité est intégrée à nos procédures DevOps et tout au long des différentes phases du cycle de vie de notre logiciel. La sécurité est incluse lors de la conception de notre code, où nous identifions les vulnérabilités (telles que les 10 principaux risques de sécurité pour les applications web mentionnés dans le top 10 d'OWASP) afin de les retirer de nos processus d'intégration et de livraison, de nos APIs et de nos tests automatisés.

Réponse aux incidents

Dans le cas peu probable où un incident relatif aux données se produirait, nous avons notre « Data Incident Response Team ». Cette équipe est dédiée à la résolution de ces types de situations et opère en suivant nos directives et protocoles. La politique décrit comment les incidents relatifs aux données doivent être documentés, examinés et signalés. En cas d'incident relatif à la sécurité des informations, nous contacterons les entreprises dont les données personnelles sont affectées. Pour plus d'informations, téléchargez notre livre blanc sur les procédures de sécurité pour nos services d'invitation à laisser un avis dans la section « Pièces jointes » ci-dessous.

Vous pouvez nous signaler tout problème de sécurité par e-mail à l'adresse report@trustpilot.com.

Notre questionnaire de sécurité

Pour aider les entreprises à comprendre nos procédures de sécurité, nous avons rempli un questionnaire Cloud Security Alliance. Vous pouvez le télécharger ici.

Article suivant Le RGPD et les exigences en matière de protection des données pour les entreprises

 

 

 

 

Pièces jointes

Cet article vous a-t-il été utile ?

Related articles