La sicurezza a Trustpilot

A Trustpilot, consideriamo la sicurezza delle informazioni una parte integrante della gestione della nostra community online di recensioni.

Per noi è fondamentale garantire un adeguato livello di protezione dei dati, indipendentemente dal fatto che si tratti di dati appartenenti alle persone che lasciano recensioni su Trustpilot, ai consumatori che usano la nostra piattaforma, ai clienti e alle persone con cui lavoriamo o ai nostri stessi dipendenti.

Un consiglio: per tutti i dettagli sulle nostre procedure di sicurezza, scarica il nostro documento sulla sicurezza (versione 2.6) nella sezione "Allegati" in fondo a questo articolo, oppure dai un'occhiata al nostro questionario sulla sicurezza Cloud Security Alliance (documenti in inglese).

RGPD

Rispettiamo il Regolamento generale sulla protezione dei dati (RGPD), che regola la protezione dei dati e la privacy di tutti i cittadini dell'Unione Europea. Il nostro accordo per il trattamento dei dati (in inglese Data Protection Agreement o DPA), conforme al nuovo regolamento europeo, descrive le modalità con cui trattiamo i dati per conto delle aziende che fanno uso dei nostri servizi per gli inviti alla recensione.

Sicurezza nell'infrastruttura Cloud

Trustpilot è un'azienda interamente basata sul cloud. Non possediamo centri dati nelle nostre sedi fisiche e la nostra infrastruttura di rete aziendale è completamente virtuale.

Amazon Web Services

Le nostre infrastrutture si appoggiano ai centri dati messi a disposizione da Amazon Web Service (AWS) nelle le zone di disponibilità in Europa, le quali, tra le altre cose, sono certificate SOC2 e PCI DSS livello 1. Trustpilot sfrutta inoltre le numerose funzionalità di AWS pensate per proteggere la sicurezza e la privacy dei dati.

I nostri server girano su versioni stabili di Windows, installate su macchine fisiche di Amazon che vengono regolarmente aggiornate. I server sono configurati con gruppi di sicurezza e isolati in ambienti Amazon Virtual Private Cloud (VPC) con segmentazione di rete ben definita, controllo degli accessi basato sui ruoli e un firewall di protezione avanzato per le applicazioni web.

Tutti i nostri sistemi operativi, database e applicazioni sono stati potenziati per ridurre al minimo le vulnerabilità e incrementare la sicurezza.

Google Cloud

Utilizziamo anche Google Cloud Platform per alcuni requisiti aziendali, dove facciamo uso di strumenti innovativi per essere sempre informati su eventuali minacce o punti deboli.

Report

È possibile accedere alle istanze del server di Trustpilot su AWS e Google Cloud solo usando una VPN. La sicurezza fisica della nostra infrastruttura cloud è gestita da AWS e da Google Cloud - puoi richiedere dei report in merito direttamente a loro.

Gli endpoint di Trustpilot.com hanno ottenuto la valutazione A+ su Qualys SSL Labs.

Gestione della vulnerabilità

Trustpilot usa un programma di bug bounty pubblico dove gli utenti esperti di sicurezza possono essere ricompensati per aver individuato e segnalato dei bug.

Inoltre, scansioniamo il nostro sito web per individuare vulnerabilità e risolverle entro un certo periodo di tempo, a seconda della gravità del problema.

Progettazione architettonica

La nostra piattaforma è stata progettata seguendo i principi del design architettonico dei microservizi; di conseguenza, i nostri servizi e la loro struttura backend funzionano in modo indipendente e risultano "stateless" (senza memoria). Possiamo quindi dimensionare la nostra piattaforma in modo automatico, a seconda delle necessità.

La nostra infrastruttura backend viene creata direttamente dall'istruzione del codice, nota anche come "infrastruttura come codice" (in inglese "Infrastructure as Code" o IaC). Questa viene cambiata in continuazione per mantenere l'ambiente stateless, anche detto "infrastruttura immutabile".

Sicurezza dei dati

I dati che entrano ed escono dalla nostra infrastruttura cloud sono crittografati durante il loro transito, mentre i dati archiviati nel cloud sono crittografati con l'algoritmo AES-256. I dati depositati nella nostra infrastruttura cloud sono protetti da firewall e ospitati all'interno di numerose VPC (Virtual private cloud) isolate.

Per salvaguardare il traffico fra i nostri utenti e la nostra piattaforma, il livello di cifratura minimo di tutte le comunicazioni web è 128-bit. Tutti i nostri siti web usano Transport Layer Security 1.2 (TLS). Trustpilot supporta soltanto i dati mandati tramite richiesta web che usa il protocollo HTTPS.

Per proteggere i dati personali, usiamo il protocollo TLS per mandare le email. Se il client di posta elettronica del destinatario non supporta il protocollo TLS, scegliamo il secondo protocollo di maggiore sicurezza.

Sicurezza delle applicazioni

Trustpilot segue il modello "DevSecOps", in cui la sicurezza è integrata nelle nostre procedure DevOps e durante le varie fasi del ciclo di vita del nostro software. Questo include la sicurezza nella progettazione del nostro codice, in cui cerchiamo di eliminare le vulnerabilità - come i 10 principali rischi per la sicurezza delle applicazioni web (OWASP Top 10) - per rimuoverle tramite il nostro processo di integrazione e consegna continua, le nostre API e i test automatizzati.

Risposta agli incidenti

Nell'improbabile eventualità che si verifichi una violazione dei dati, il nostro team dedicato alla risoluzione di problemi relativi ai dati opererà in conformità con la nostra politica sulla violazione dei dati, seguendo processi consolidati. La politica illustra come documentiamo, investighiamo e segnaliamo potenziali problemi relativi ai dati. Qualora dovesse verificarsi una violazione di dati, contatteremo le aziende i cui dati personali sono stati compromessi. Per saperne di più, scarica il nostro libro bianco sulle procedure di sicurezza per i servizi di invito alla recensione di Trustpilot (in inglese) nella sezione allegati qui sotto.

Il nostro questionario sulla sicurezza

Per aiutare le aziende a comprendere le nostre procedure di sicurezza, abbiamo risposto al questionario Cloud Security Alliance. Scaricalo qui.

Successivo: Il RGPD e i requisiti di protezione dei dati per le aziende

 

 

 

 

Allegati