A Trustpilot, consideriamo la sicurezza delle informazioni una parte integrante della gestione della nostra community online di recensioni.
Per noi è fondamentale garantire un adeguato livello di protezione dei dati, indipendentemente dal fatto che si tratti di dati appartenenti alle persone che lasciano recensioni su Trustpilot, ai consumatori che usano la nostra piattaforma, ai clienti e alle persone con cui lavoriamo o ai nostri stessi dipendenti.
Per tutti i dettagli sulle nostre procedure di sicurezza, scarica il nostro documento sulla sicurezza (versione 2.7) nella sezione "Allegati" in fondo a questo articolo, oppure dai un'occhiata al nostro questionario sulla sicurezza Cloud Security Alliance (documenti in inglese).
RGPD
Rispettiamo il Regolamento generale sulla protezione dei dati (RGPD), che regola la protezione dei dati e la privacy di tutti i cittadini dell'Unione Europea. Il nostro accordo per il trattamento dei dati (in inglese Data Protection Agreement o DPA), conforme al nuovo regolamento europeo, descrive le modalità con cui trattiamo i dati per conto delle aziende che fanno uso dei nostri servizi per gli inviti alla recensione.
Sicurezza nell'infrastruttura Cloud
Trustpilot è un'azienda interamente basata sul cloud. Non possediamo centri dati nelle nostre sedi fisiche e la nostra infrastruttura di rete aziendale è completamente virtuale.
Amazon Web Services
Le nostre infrastrutture si appoggiano ai centri dati messi a disposizione da Amazon Web Service (AWS) nelle zone di disponibilità in Europa, le quali, tra le altre cose, sono certificate SOC2 e PCI DSS livello 1. Trustpilot sfrutta inoltre le numerose funzionalità di AWS pensate per proteggere la sicurezza e la privacy dei dati.
I nostri server si trovano nei centri dati di Amazon Web Services e utilizziamo un mix di sistemi operativi Microsoft e Linux. I server sono configurati con gruppi di sicurezza e isolati in ambienti Amazon Virtual Private Cloud (VPC) con segmentazione di rete ben definita, controllo degli accessi basato sui ruoli e un firewall di protezione avanzato per le applicazioni web.
Tutti i nostri sistemi operativi, database e applicazioni sono stati potenziati per ridurre al minimo le vulnerabilità e incrementare la sicurezza.
Google Cloud
Utilizziamo anche Google Cloud Platform per alcuni requisiti aziendali, dove facciamo uso di strumenti innovativi per essere sempre informati su eventuali minacce o punti deboli.
Report
È possibile accedere alle istanze del server di Trustpilot su AWS e Google Cloud solo usando una VPN. La sicurezza fisica della nostra infrastruttura cloud è gestita da AWS e da Google Cloud - puoi richiedere dei report in merito direttamente a loro.
Gli endpoint di Trustpilot.com hanno ottenuto la valutazione A+ su Qualys SSL Labs.
Gestione della vulnerabilità
Trustpilot usa un programma di bug bounty privato dove gli utenti esperti di sicurezza possono essere ricompensati per aver individuato e segnalato dei bug.
Inoltre, scansioniamo il nostro sito web per individuare vulnerabilità e risolverle entro un certo periodo di tempo, a seconda della gravità del problema.
Progettazione architettonica
La nostra piattaforma è stata progettata seguendo i principi del design architettonico dei microservizi; di conseguenza, i nostri servizi e la loro struttura backend funzionano in modo indipendente e risultano "stateless" (senza memoria). Possiamo quindi dimensionare la nostra piattaforma in modo automatico, a seconda delle necessità.
La nostra infrastruttura backend viene creata direttamente dall'istruzione del codice, nota anche come "infrastruttura come codice" (in inglese "Infrastructure as Code" o IaC). Questa viene cambiata in continuazione per mantenere l'ambiente stateless, anche detto "infrastruttura immutabile".
Sicurezza dei dati
I dati che entrano ed escono dalla nostra infrastruttura cloud sono crittografati durante il loro transito, mentre i dati archiviati nel cloud sono crittografati con l'algoritmo AES-256. I dati depositati nella nostra infrastruttura cloud sono protetti da firewall e ospitati all'interno di numerose VPC (Virtual private cloud) isolate.
Per salvaguardare il traffico fra i nostri utenti e la nostra piattaforma, il livello di cifratura minimo di tutte le comunicazioni web è 128-bit. Tutti i nostri siti web usano Transport Layer Security 1.2 (TLS). Trustpilot supporta soltanto i dati mandati tramite richiesta web che usa il protocollo HTTPS.
Per proteggere i dati personali, usiamo il protocollo TLS per mandare le email. Se il client di posta elettronica del destinatario non supporta il protocollo TLS, scegliamo il secondo protocollo di maggiore sicurezza.
Sicurezza delle API
A Trustpilot, facciamo del nostro meglio per garantire che l'autenticazione API supporti gli standard di crittografia più potenti possibile, così da tenere i nostri clienti al sicuro. In quanto azienda, supportiamo la seguente suite di crittografia:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
TLS 1.2 è lo standard minimo da noi supportato, tuttavia accetteremo anche connessioni via TLS 1.3.
L'accesso alle nostre public key può essere trovato qui:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----
Sicurezza delle applicazioni
Trustpilot segue il modello "DevSecOps", in cui la sicurezza è integrata nelle nostre procedure DevOps e durante le varie fasi del ciclo di vita del nostro software. Questo include la sicurezza nella progettazione del nostro codice, in cui cerchiamo di eliminare le vulnerabilità - come quelle indicate nella OWASP Top 10 - tramite il nostro processo di integrazione e consegna continua, le nostre API e i test automatizzati.
Risposta agli incidenti
Nell'improbabile eventualità che si verifichi una violazione dei dati, il nostro team dedicato alla risoluzione di problemi relativi ai dati opererà in conformità con la nostra politica sulla violazione dei dati, seguendo processi consolidati. La politica illustra come documentiamo, investighiamo e segnaliamo potenziali problemi relativi ai dati. Qualora dovesse verificarsi una violazione di dati, contatteremo le aziende i cui dati personali sono stati compromessi. Per saperne di più, scarica il nostro libro bianco sulle procedure di sicurezza per i servizi di invito alla recensione di Trustpilot (in inglese) nella sezione allegati qui sotto.
Puoi segnalarci qualsiasi problema di sicurezza tramite email all'indirizzo report@trustpilot.com.
Il nostro questionario sulla sicurezza
Per aiutare le aziende a comprendere le nostre procedure di sicurezza, abbiamo risposto al questionario Cloud Security Alliance. Scaricalo qui.
Successivo: Il RGPD e i requisiti di protezione dei dati per le aziende