Chez Trustpilot, nous considérons la sécurité des données comme une partie intégrante de la gestion d'une communauté d'avis en ligne.
Nous tenons à assurer la sécurité des données à tous les niveaux, y compris celles des auteurs d'avis, des consommateurs qui utilisent notre plateforme, de nos employés, de nos clients et des personnes avec lesquelles nous travaillons.
Si vous voulez en savoir plus sur nos procédures de sécurité, téléchargez notre guide détaillé sur la sécurité (version 2.7 - en anglais) sous « Pièces jointes » à la fin de cet article ou consultez note questionnaire Cloud Security Alliance.
RGPD
Nous nous conformons au Règlement Général sur la Protection des Données (RGPD) européen, qui régit la protection des données et la confidentialité pour tous les individus au sein de l'UE. Notre accord relatif au traitement des données (DPA) conforme au RGPD décrit la manière dont nous traitons les données personnelles au nom des entreprises qui utilisent nos services d'invitation à laisser un avis.
La sécurité de notre infrastructure cloud
Trustpilot est une entreprise basée sur le cloud. Nous ne disposons pas de centres de stockage de données physiques et l'infrastructure de notre réseau d'entreprise est virtuelle.
Amazon Web Services
Notre infrastructure repose sur des centres de données mis à disposition par Amazon Web Services (AWS) dans des zones de disponibilité européennes qui sont, entre autres, certifiés SOC2 et PCI DSS niveau 1. AWS dispose d'un certain nombre de fonctionnalités relatives à la sécurité et à la confidentialité, utilisées par Trustpilot.
Nos serveurs fonctionnent sur des versions stables d'Amazon Windows, que nous mettons à jour régulièrement. Ils sont configurés avec des groupes de sécurité et isolés dans des environnements de cloud privé virtuel (VPC) avec une segmentation de réseau bien définie, un contrôle d'accès basé sur les rôles et un pare-feu d'application web avancé.
Tous nos systèmes d'exploitation, bases de données et applications ont été renforcés pour réduire les risques de vulnérabilité et maximiser la sécurité.
Google Cloud
Pour répondre aux besoins de certaines entreprises, nous utilisons également Google Cloud Platform, dont la technologie de pointe nous alerte si des menaces et ou des vulnérabilités sont détectées.
Rapports
L'accès aux instances du serveur Trustpilot chez AWS et Google Cloud n'est possible que via un VPN (réseau privé virtuel). La sécurité physique de notre infrastructure cloud est gérée par AWS et Google Cloud - vous pouvez les contacter directement pour leur demander un rapport de conformité si besoin.
Les endpoints de Trustpilot.com sont notés A+ sur Qualys SSL Labs.
Gestion des vulnérabilités
Trustpilot dispose d'un programme de bug bounty public qui récompense les experts en sécurité s'ils détectent des bugs et nous les signalent.
Nous scannons également régulièrement notre site web à la recherche de vulnérabilités et les corrigeons le plus rapidement possible, en fonction de la gravité des problèmes détectés.
Design architectural
Nous avons conçu notre plateforme selon les principes de design d'architecture des microservices, de sorte que nos services et le backend sous-jacent soient dissociés et sans état (stateless). Cela nous permet d'adapter automatiquement notre plateforme en fonction de la demande existante.
Notre infrastructure backend est créée directement à partir d'instructions de code, également appelées « infrastructure as code » (IaC). Elle est régulièrement remplacée pour assurer un environnement cohérent et sans état (stateless), ou une « infrastructure immuable ».
Sécurité des données
Les données transmises vers et depuis notre infrastructure cloud sont cryptées pendant le transit. Et les données stockées dans le cloud sont cryptées avec l'algorithme standard de l'industrie AES-256. Les données stockées dans notre infrastructure cloud sont protégées par des pares-feux et sont hébergées dans plusieurs clouds privés virtuels (VPC) isolés.
Pour protéger le trafic entre nos utilisateurs et notre plateforme, nous utilisons un cryptage d'au moins 128 bits pour toutes les communications web. Tous nos sites web utilisent Transport Layer Security 1.2 (TLS) et nous n'acceptons que les données envoyées via le protocole HTTPS.
Pour protéger les données personnelles, nous envoyons nos e-mails en utilisant TLS. Si le client de messagerie du destinataire ne prend pas en charge le protocole TLS, nous utilisons le protocole qui offre le deuxième niveau de sécurité optimal.
Sécurité de l’application
Chez Trustpilot, nous suivons le modèle « DevSecOps », où la sécurité est intégrée à nos procédures DevOps et tout au long des différentes phases du cycle de vie de notre logiciel. La sécurité est incluse lors de la conception de notre code, où nous identifions les vulnérabilités (telles que les 10 principaux risques de sécurité pour les applications web mentionnés dans le top 10 d'OWASP) afin de les retirer de nos processus d'intégration et de livraison, de nos APIs et de nos tests automatisés.
Notre réponse aux incidents
Dans le cas peu probable où un incident relatif aux données se produirait, nous avons notre « Data Incident Response Team ». Cette équipe est dédiée à la résolution de ces types de situations et opère en suivant nos directives et protocoles. La politique décrit comment les incidents relatifs aux données doivent être documentés, examinés et signalés. En cas d'incident relatif à la sécurité des informations, nous contacterons les entreprises dont les données personnelles sont affectées. Pour plus d'informations, téléchargez notre livre blanc sur les procédures de sécurité pour nos services d'invitation à laisser un avis dans la section « Pièces jointes » ci-dessous.
Vous pouvez nous signaler tout problème de sécurité par e-mail à l'adresse report@trustpilot.com.
Notre questionnaire de sécurité
Pour aider les entreprises à comprendre nos procédures de sécurité, nous avons rempli un questionnaire Cloud Security Alliance. Vous pouvez le télécharger ici.
Article suivant Le RGPD et les exigences en matière de protection des données pour les entreprises