La sicurezza a Trustpilot

Sappiamo che, quando utilizzi la nostra piattaforma, ci affidi anche la sicurezza delle tue informazioni. Prendiamo molto sul serio questa responsabilità.

Ci impegniamo a salvaguardare la nostra piattaforma e a proteggere i dati personali dei nostri clienti, degli autori di recensioni e dei consumatori.

Conformità

SOC 2

Trustpilot ha ottenuto la certificazione SOC 2 di tipo 1 per la sicurezza. Il SOC 2 di tipo 1 è disponibile per clienti e potenziali clienti su richiesta.

La certificazione di tipo 1 rappresenta una tappa importante nel nostro percorso verso la conformità allo standard SOC 2 di tipo 2. Il conseguimento della certificazione SOC 2 di tipo 2 è la priorità per Trustpilot, ed è approvato e supportato dal nostro team esecutivo e dal nostro consiglio di amministrazione.

GDPR

Rispettiamo il Regolamento generale sulla protezione dei dati (GDPR), che regola la protezione dei dati e la privacy di tutti i cittadini dell'Unione Europea. Il nostro Accordo sul trattamento dei dati conforme al GDPR descrive il modo in cui processiamo i dati personali delle aziende che usano i nostri servizi di invito alla recensione.

CSA STAR livello 1

CSA STAR Level 1.png

L'autovalutazione CSA STAR di livello 1 usa il questionario Consensus Assessments Initiative (CAIQ) per verificare la conformità alla Cloud Controls Matrix (CCM). Questa informazione è accessibile al pubblico, così da promuovere la trasparenza e permettere ai clienti di informarsi sulle pratiche di sicurezza adottate dai fornitori. Le autovalutazioni STAR sono aggiornate a cadenza annuale.

Il questionario CAIQ compilato da Trustpilot può essere trovato nell'elenco del CSA STAR Registry di Trustpilot.

Il libro bianco di Trustpilot sulla sicurezza

Il nostro Libro bianco sulla sicurezza offre una panoramica dell'architettura e del design del nostro sistema, della nostra organizzazione per tenere al sicuro le informazioni e del nostro framework.

Il libro bianco (White Paper) è disponibile al pubblico sul nostro sito web. Consultandolo, tutti possono farsi un'idea chiara delle nostre pratiche di sicurezza.

Infrastruttura cloud

La piattaforma di Trustpilot e i suoi dati sono ospitati nei centri dati di Amazon Web Services e Google Cloud Services, ubicati nell'Unione Europea. 

Sia Amazon Web Services che Google Cloud Services sono conformi agli standard SOC 2, ISO 27001 e PCI DSS. Esaminiamo periodicamente questi fornitori per monitorarne la loro conformità in materia di sicurezza.

Non ci affidiamo ad altri centri dati e non ospitiamo dati direttamente.

Un elenco dei nostri sub-responsabili è disponibile all'indirizzo web https://it.legal.trustpilot.com/for-businesses/subprocessors.

Team Security

Trustpilot dispone di un team dedicato alla sicurezza, guidato dal Chief Information Security Officer (CISO).

Il Team Security è composto da team responsabili di:

  • Operazioni di sicurezza
  • Sicurezza delle applicazioni e del cloud (sicurezza della piattaforma)
  • Governance, rischio e conformità

Come richiesto dal GDPR, abbiamo nominato un responsabile della protezione dei dati (DPO, ovvero Data Protection Officer) per supervisionare le nostre misure di sicurezza e protezione dei dati.

Misure di sicurezza

Sicurezza dei dati

I dati che entrano ed escono dalla nostra infrastruttura cloud sono crittografati durante il loro transito, mentre i dati archiviati nel cloud sono crittografati con l'algoritmo AES-256. I dati depositati nella nostra infrastruttura cloud sono protetti da firewall e ospitati all'interno di numerose VPC (Virtual private cloud) isolate.

Per salvaguardare il traffico fra i nostri utenti e la nostra piattaforma, il livello di cifratura minimo di tutte le comunicazioni web è 128-bit. Tutti i nostri siti web usano Transport Layer Security 1.2 (TLS). Trustpilot supporta soltanto i dati mandati tramite richiesta web che usa il protocollo HTTPS.

Per proteggere i dati personali, usiamo il protocollo TLS per mandare le email. Se il client di posta elettronica del destinatario non supporta il protocollo TLS, scegliamo il secondo protocollo di maggiore sicurezza.

Sicurezza delle applicazioni

Trustpilot segue il modello DevSecOps, in cui la sicurezza è integrata nelle nostre procedure DevOps e durante le varie fasi del ciclo di vita del nostro software. 

Questo include la sicurezza nella progettazione del nostro codice, in cui cerchiamo di eliminare le vulnerabilità - come quelle indicate nella OWASP Top 10 - tramite il nostro processo di integrazione e consegna continua, le nostre API e i test automatizzati.

Trustpilot dispone di una politica sul ciclo di vita dello sviluppo di software sicuri che definisce i requisiti per gestire le modifiche in modo sicuro. La politica delinea i requisiti per la pianificazione, l'avvio, lo sviluppo, la garanzia della qualità, l'implementazione e la condivisione delle modifiche. 

Gestione delle vulnerabilità

Il Team Security della piattaforma esegue scansioni per rilevare eventuali vulnerabilità nel codice base di Trustpilot. Queste scansioni vengono eseguite regolarmente per identificare e correggere potenziali vulnerabilità.

Trustpilot è coinvolto in un programma privato di bug bounty, e almeno una volta all'anno vengono eseguiti test di penetrazione da un fornitore qualificato.

Le vulnerabilità identificate vengono documentate e monitorate fino alla risoluzione, in linea con le tempistiche indicate nella politica di gestione delle vulnerabilità.

Sicurezza delle API

A Trustpilot, facciamo del nostro meglio per garantire che l'autenticazione API supporti gli standard di crittografia più potenti possibile, così da tenere i nostri clienti al sicuro. In quanto azienda, supportiamo la seguente suite di crittografia:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

TLS 1.2 è lo standard minimo da noi supportato, tuttavia accetteremo anche connessioni via TLS 1.3.

L'accesso alle nostre public key può essere trovato qui:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Risposta agli incidenti

Nell'improbabile eventualità che si verifichi una violazione dei dati, il nostro team dedicato alla risoluzione di problemi relativi ai dati opererà in conformità con la nostra politica sulla violazione dei dati, seguendo processi consolidati. 

La politica illustra come documentiamo, investighiamo e segnaliamo potenziali problemi relativi ai dati. Qualora dovesse verificarsi una violazione di dati, contatteremo immediatamente le aziende i cui dati personali sono stati compromessi.

Segnalare un problema di sicurezza

Puoi segnalarci qualsiasi problema relativo alla sicurezza tramite email, all'indirizzo report@trustpilot.com

Inoltre, è disponibile la nostra piattaforma dedicata in cui puoi segnalare qualsiasi problematica relativa alla sicurezza, anche in forma anonima. Prendiamo molto sul serio le segnalazioni e i problemi relativi alla sicurezza, e gestiamo prontamente la situazione.

Allegati

Questo articolo ti è stato utile?

Related articles