Beveiliging bij Trustpilot

Bescherming van persoonsgegevens is een belangrijk onderdeel van onze reviewcommunity.

We willen gegevens zo goed mogelijk beveiligen op elk niveau — dit omvat gegevens van reviewers, consumenten die ons platform gebruiken, onze werknemers, klanten en mensen waarmee we samenwerken.

Download onze uitgebreide handleiding over beveiliging (versie 2.7) onder 'Bijlagen' onderaan dit artikel of bekijk de Cloud Security Alliance-listing voor meer informatie over onze beveiligingspraktijken.

AVG

We voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die gegevensbescherming en privacy regelt voor alle personen binnen de EU. Onze AVG-conforme gegevensverwerkingsovereenkomst beschrijft hoe we persoonlijke gegevens verwerken namens de bedrijven die onze review-uitnodigingen gebruiken.

Beveiliging van cloudinfrastructuur

Trustpilot is een cloud-first (cloudgebaseerd) bedrijf. We hebben geen interne datacenters en onze netwerkinfrastructuur is virtueel.

Amazon Web Services

Onze infrastructuur wordt gehost in datacenters van Amazon Web Service (AWS) in EU-beschikbaarheidszones, die onder andere SOC2- en PCI DSS Level 1-gecertificeerd zijn. AWS biedt een aantal beveiligings- en privacygerelateerde functies waar Trustpilot gebruik van maakt.

Onze servers staan in datacenters van Amazon Web Service en we gebruiken een combinatie van Microsoft- en Linux-besturingssystemen. Deze servers zijn voorzien van zorgvuldig geconfigureerde beveiligingsgroepen, geïsoleerde virtual private cloud (VPC)-omgevingen met goed gedefinieerde netwerksegmentatie, op rollen gebaseerde toegangscontrole en geavanceerde firewallbescherming voor webapplicaties.

Al onze besturingssystemen, databases en applicaties zijn gehard om eventuele kwetsbaarheden te verminderen en hun beveiliging te maximaliseren.

Google Cloud

Daarnaast gebruiken we Google Cloud Platform voor bepaalde zakelijke vereisten, waarbij we gebruikmaken van innovatieve tools om altijd op de hoogte te zijn van eventuele beveiligingsrisico's of kwetsbaarheden.

Rapporten

Trustpilots serverinstances bij AWS en Google Cloud zijn alleen toegankelijk via een VPN-verbinding. De fysieke beveiliging van onze cloudinfrastructuur wordt afgehandeld door AWS en Google Cloud — je kunt rechtstreeks met hen contact opnemen om compliance-rapporten aan te vragen.

Trustpilot.com heeft een A+ rating op Qualys SSL Labs voor eindpunten.

Beheer van kwetsbaarheden

Trustpilot heeft een eigen Bug Bounty-programma dat gebruikers/beveiligingsexperts beloont voor het vinden en rapporteren van beveiligingsfouten.

We scannen onze website ook op kwetsbaarheden en repareren deze binnen een vast tijdsbestek, afhankelijk van de ernst van het probleem.

Architectonisch design

We hebben ons platform ontworpen op basis van microservices-architectuur, zodat onze services en hun backend onafhankelijk van elkaar werken en 'staatloos' (zonder geheugen) zijn. Hierdoor kunnen we ons platform automatisch schalen naar behoefte.

Onze backend-infrastructuur wordt rechtstreeks gecreëerd vanuit code-instructie, ook wel 'infrastructure as code' (IaC) genoemd. Deze wordt herhaaldelijk vervangen om te zorgen voor een consistente en staatloze omgeving, oftewel een 'onveranderlijke infrastructuur'.

Databescherming

Data wordt versleuteld wanneer deze wordt overgedragen van en naar onze cloudinfrastructuur, en data die is opgeslagen in onze cloudinfrastructuur wordt versleuteld met behulp van het AES-256-algoritme. De data die we opslaan in onze cloudinfrastructuur wordt beschermd door firewalls en opgeslagen in geïsoleerde VPC-omgevingen.

Om het verkeer tussen onze gebruikers en ons platform te beschermen, is alle webcommunicatie minimaal 128-bits-versleuteld. Al onze websites gebruiken het Transport Layer Security 1.2 (TLS)-protocol. We ondersteunen alleen data die via HTTPS-protocollen wordt verzonden.

Om persoonsgegevens te beschermen, gebruiken we TLS voor e-mailcommunicatie. Als de e-mailclient van de ontvanger TLS niet ondersteunt, gebruiken we het protocol dat de op één na hoogste beveiliging biedt.

API-beveiliging

We werken er iedere dag hard aan om ervoor te zorgen dat onze API-authenticatie de sterkst mogelijke encryptiestandaarden ondersteunt. Zo kunnen we jullie, onze klanten, veilig houden.  Trustpilot ondersteunt de volgende cipher suite:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

We ondersteunen TLS 1.2 als minimumstandaard, maar we accepteren ook verbindingen via TLS 1.3.

Hieronder zie je onze public keys:

Staging:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----EINDE PUBLIC KEY-----
Production:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----EINDE PUBLIC KEY-----

Veiligheid van onze applicaties

Trustpilot volgt het 'DevSecOps'-model, waarbij beveiliging is geïntegreerd in onze DevOps-processen en in de verschillende stadia van de levenscyclus van onze softwarelevering. Dit omvat beveiliging in het ontwerp van onze code — waarbij we kwetsbaarheden zoals die in de OWASP Top 10 proberen te elimineren — via onze doorlopende integratie- en leveringspijplijn, onze API's en geautomatiseerde tests.

Incident-respons

In het onwaarschijnlijke geval van een data-incident hebben we een 'Data Incident Response Team'. Dit team werkt volgens strikte processen in overeenstemming met ons beleid inzake data-incidenten. Het beleid beschrijft hoe we potentiële data-incidenten moeten documenteren, onderzoeken en rapporteren. In het geval van een data-incident nemen we contact op met bedrijven waarvan de persoonsgegevens zijn aangetast. Meer informatie vind je in ons whitepaper over beveiligingspraktijken voor Trustpilots review-uitnodigingen in de bijlagen hieronder.

Je kunt eventuele beveiligingsproblemen aan ons melden via e-mail: report@trustpilot.com.

Onze security-listing

Om bedrijven te helpen onze beveiligingspraktijken te begrijpen, hebben we een Cloud Security Alliance-vragenlijst ingevuld. Je kunt het hier downloaden.

Volgende: De AVG en gegevensbeschermingsvereisten voor bedrijven

 

 

 

 

Bijlagen

Was dit artikel nuttig?

Related articles