Nous comprenons que votre utilisation de notre plateforme implique une confiance en notre capacité à protéger vos données. Nous prenons cette responsabilité au sérieux.
Nous nous engageons à protéger notre plateforme et les données personnelles de nos clients, des auteurs d'avis et des consommateurs.
Conformité
SOC 2
Trustpilot a acquis une certification SOC 2 de Type I concernant ses mesures de sécurité. La certification SOC 2 de Type I est disponible pour les clients et les clients potentiels sur demande.
Le rapport de Type I est une étape importante dans le cadre de nos efforts pour acquérir une attestation de certification SOC 2 de Type II. L'obtention de la certification SOC 2 de Type II est un objectif clé pour Trustpilot, pleinement appuyé et encouragé par notre direction et notre conseil d'administration.
RGPD
Nous nous conformons au Règlement Général sur la Protection des Données (RGPD) européen, qui régit la protection des données et la confidentialité pour tous les individus au sein de l'UE. Notre accord relatif au traitement des données (DPA) conforme au RGPD décrit la manière dont nous traitons les données personnelles au nom des entreprises qui utilisent nos services d'invitation à laisser un avis.
CSA STAR Niveau 1
CSA STAR Niveau 1 est une auto-évaluation utilisant le Consensus Assessments Initiative Questionnaire (CAIQ) pour documenter la conformité avec la Cloud Controls Matrix (CCM). Ces informations sont accessibles au public, favorisant la transparence du secteur et offrant aux clients une visibilité sur les pratiques de sécurité spécifiques des fournisseurs. Les auto-évaluations STAR sont actualisées chaque année.
Le questionnaire CAIQ complété par Trustpilot est disponible sur la liste Trustpilot du registre CSA STAR.
Livre blanc sur la sécurité chez Trustpilot
Notre livre blanc sur la sécurité présente les grandes lignes du design et de l'architecture de notre système, de notre structure organisationnelle dédiée à la sécurité des informations, ainsi que de notre cadre de gestion de la sécurité informatique.
Le livre blanc est accessible au public sur notre site web pour aider les clients à comprendre nos pratiques de sécurité.
Infrastructure cloud
La plateforme et les données Trustpilot sont hébergées dans les centres de données Amazon Web Services et Google Cloud Services situés dans l'Union européenne.
Amazon Web Services et Google Cloud Services sont tous deux conformes aux normes SOC 2, ISO 27001 et PCI DSS. Nous contrôlons ces fournisseurs régulièrement pour surveiller leur conformité en matière de sécurité.
Nous n'utilisons aucun autre centre de données et nous n'hébergeons pas de données nous-mêmes.
Une liste de nos sous-traitants est disponible ici.
équipe Sécurité
Trustpilot dispose d'une équipe dédiée à la sécurité, dirigée par le Responsable de la Sécurité des Systèmes d'Information (RSSI).
L'équipe de sécurité est composée d'équipes responsables des aspects suivants :
- Opérations de sécurité
- Sécurité des applications et du cloud (sécurité de la plateforme)
- Gouvernance, Risques et Conformité
Comme l'exige le RGPD, nous avons nommé un délégué à la protection des données (DPD) pour superviser nos mesures de confidentialité et de protection des données.
Mesures de sécurité
Sécurité des données
Les données transmises vers et depuis notre infrastructure cloud sont cryptées pendant le transit. Et les données stockées dans le cloud sont cryptées avec l'algorithme standard de l'industrie AES-256. Les données stockées dans notre infrastructure cloud sont protégées par des pares-feux et sont hébergées dans plusieurs clouds privés virtuels (VPC) isolés.
Pour protéger le trafic entre nos utilisateurs et notre plateforme, nous utilisons un cryptage d'au moins 128 bits pour toutes les communications web. Tous nos sites web utilisent Transport Layer Security 1.2 (TLS) et nous n'acceptons que les données envoyées via le protocole HTTPS.
Pour protéger les données personnelles, nous envoyons nos e-mails en utilisant TLS. Si le client de messagerie du destinataire ne prend pas en charge le protocole TLS, nous utilisons le protocole qui offre le second niveau de sécurité optimal.
Sécurité des applications
Trustpilot suit le modèle « DevSecOps », où la sécurité est intégrée à nos procédures DevOps et tout au long des différentes phases du cycle de vie de notre logiciel.
La sécurité est incluse lors de la conception de notre code, où nous identifions les vulnérabilités (telles que les 10 principaux risques de sécurité pour les applications web mentionnés dans le top 10 d'OWASP) afin de les retirer de nos processus d'intégration et de livraison, de nos API et de nos tests automatisés.
Trustpilot a mis en place une politique de cycle de vie du développement logiciel sécurisé qui établit les critères de gestion sécurisée des modifications. La politique décrit les exigences en matière de planification, de lancement, de développement, d’assurance qualité, d'implémentation et de publication des modifications.
Gestion des vulnérabilités
L'équipe dédiée à la sécurité de la plateforme effectue des analyses de vulnérabilité pour détecter les vulnérabilités dans la base de code Trustpilot. Ces analyses sont effectuées régulièrement pour identifier et corriger les vulnérabilités potentielles.
Trustpilot participe à un programme privé de bug bounty et des tests d'intrusion sont effectués au moins une fois par an par un prestataire qualifié.
Les vulnérabilités identifiées sont documentées et suivies jusqu’à leur résolution conformément aux délais fixés dans la politique de gestion des vulnérabilités.
Sécurité des API
Nous nous efforçons de garantir que notre authentification API respecte les normes de cryptage les plus strictes possibles pour assurer la sécurité de nos clients. Trustpilot utilise la suite cryptographique suivante :
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
TLS 1.2 est la norme minimale que nous prenons en charge, cependant, nous acceptons également les connexions via TLS 1.3.
L'accès à nos clés publiques peut être trouvé ici :
-----DÉBUT DE LA CLÉ PUBLIQUE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----FIN DE LA CLÉ PUBLIQUE-----
-----DÉBUT DE LA CLÉ PUBLIQUE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----FIN DE LA CLÉ PUBLIQUE-----
Réponse aux incidents
Dans le cas peu probable où un incident relatif aux données se produirait, nous avons notre « Data Incident Response Team ». Cette équipe est dédiée à la résolution de ces types de situations et opère en suivant nos directives et protocoles.
La politique décrit comment les incidents relatifs aux données doivent être documentés, examinés et signalés. En cas d'incident relatif à la sécurité des informations, nous contacterons sans délai les entreprises dont les données personnelles sont affectées.
Signaler un problème lié à la sécurité
Vous pouvez nous signaler tout problème de sécurité par e-mail à l'adresse report@trustpilot.com.
Notre plateforme Speaking Up est également disponible pour signaler des problèmes de sécurité et inclut la possibilité de signaler de manière anonyme. Nous prenons les problèmes de sécurité au sérieux et les traitons rapidement.