Beveiliging bij Trustpilot

Bescherming van persoonsgegevens is een belangrijk onderdeel van onze reviewcommunity.

We willen gegevens zo goed mogelijk beveiligen op elk niveau — dit omvat gegevens van reviewers, consumenten die ons platform gebruiken, onze werknemers, klanten en mensen waarmee we samenwerken.

Tip: Download onze uitgebreide handleiding over beveiliging (versie 2.6) onder 'Bijlagen' onderaan dit artikel of bekijk de Cloud Security Alliance-listing voor meer informatie over onze beveiligingspraktijken.

AVG

We voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die gegevensbescherming en privacy regelt voor alle personen binnen de EU. Onze AVG-conforme gegevensverwerkingsovereenkomst beschrijft hoe we persoonlijke gegevens verwerken namens de bedrijven die onze review-uitnodigingen gebruiken.

Beveiliging van cloudinfrastructuur

Trustpilot is een cloud-first (cloudgebaseerd) bedrijf. We hebben geen interne datacenters en onze netwerkinfrastructuur is virtueel.

Amazon Web Services

Onze infrastructuur wordt gehost in datacenters van Amazon Web Service (AWS) in EU-beschikbaarheidszones, die onder andere SOC2- en PCI DSS Level 1-gecertificeerd zijn. AWS biedt een aantal beveiligings- en privacygerelateerde functies waar Trustpilot gebruik van maakt.

Onze servers draaien op stabiele, regelmatig gepatchte versies van Amazon Windows met zorgvuldig geconfigureerde beveiligingsgroepen, geïsoleerde virtual private cloud (VPC)-omgevingen met goed gedefinieerde netwerksegmentatie, op rollen gebaseerde toegangscontrole en geavanceerde firewallbescherming voor webapplicaties.

Al onze besturingssystemen, databases en applicaties zijn gehard om eventuele kwetsbaarheden te verminderen en hun beveiliging te maximaliseren.

Google Cloud

Daarnaast gebruiken we Google Cloud Platform voor bepaalde zakelijke vereisten, waarbij we gebruikmaken van innovatieve tools om altijd op de hoogte te zijn van eventuele beveiligingsrisico's of kwetsbaarheden.

Rapporten

Trustpilots serverinstances bij AWS en Google Cloud zijn alleen toegankelijk via een VPN-verbinding. De fysieke beveiliging van onze cloudinfrastructuur wordt afgehandeld door AWS en Google Cloud — je kunt rechtstreeks met hen contact opnemen om compliance-rapporten aan te vragen.

Trustpilot.com heeft een A+ rating op Qualys SSL Labs voor eindpunten.

Beheer van kwetsbaarheden

Trustpilot heeft een openbaar Bug Bounty-programma dat gebruikers/beveiligingsexperts beloont voor het vinden en rapporteren van beveiligingsfouten.

We scannen onze website ook op kwetsbaarheden en repareren deze binnen een vast tijdsbestek, afhankelijk van de ernst van het probleem.

Architectonisch design

We hebben ons platform ontworpen op basis van microservices-architectuur, zodat onze services en hun backend onafhankelijk van elkaar werken en 'staatloos' (zonder geheugen) zijn. Hierdoor kunnen we ons platform automatisch schalen naar behoefte.

Onze backend-infrastructuur wordt rechtstreeks gecreëerd vanuit code-instructie, ook wel 'infrastructure as code' (IaC) genoemd. Deze wordt herhaaldelijk vervangen om te zorgen voor een consistente en staatloze omgeving, oftewel een 'onveranderlijke infrastructuur'.

Databescherming

Data wordt versleuteld wanneer deze wordt overgedragen van en naar onze cloudinfrastructuur, en data die is opgeslagen in onze cloudinfrastructuur wordt versleuteld met behulp van het AES-256-algoritme. De data die we opslaan in onze cloudinfrastructuur wordt beschermd door firewalls en opgeslagen in geïsoleerde VPC-omgevingen.

Om het verkeer tussen onze gebruikers en ons platform te beschermen, is alle webcommunicatie minimaal 128-bits-versleuteld. Al onze websites gebruiken het Transport Layer Security 1.2 (TLS)-protocol. We ondersteunen alleen data die via HTTPS-protocollen wordt verzonden.

Om persoonsgegevens te beschermen, gebruiken we TLS voor e-mailcommunicatie. Als de e-mailclient van de ontvanger TLS niet ondersteunt, gebruiken we het protocol dat de op één na hoogste beveiliging biedt.

Veiligheid van onze applicaties

Trustpilot volgt het 'DevSecOps'-model, waarbij beveiliging is geïntegreerd in onze DevOps-processen en in de verschillende stadia van de levenscyclus van onze softwarelevering. Dit omvat beveiliging in het ontwerp van onze code — waarbij we kwetsbaarheden zoals die in de OWASP Top 10 proberen te elimineren — via onze doorlopende integratie- en leveringspijplijn, onze API's en geautomatiseerde tests.

Incident-respons

In het onwaarschijnlijke geval van een data-incident hebben we een 'Data Incident Response Team'. Dit team werkt volgens strikte processen in overeenstemming met ons beleid inzake data-incidenten. Het beleid beschrijft hoe we potentiële data-incidenten moeten documenteren, onderzoeken en rapporteren. In het geval van een data-incident nemen we contact op met bedrijven waarvan de persoonsgegevens zijn aangetast. Meer informatie vind je in ons whitepaper over beveiligingspraktijken voor Trustpilots review-uitnodigingen in de bijlagen hieronder.

Onze security-listing

Om bedrijven te helpen onze beveiligingspraktijken te begrijpen, hebben we een Cloud Security Alliance-vragenlijst ingevuld. Je kunt het hier downloaden.

Volgende: De AVG en gegevensbeschermingsvereisten voor bedrijven

 

 

 

 

Bijlagen