Wij weten dat je erop vertrouwt dat wij je gegevens veilig bewaren als je ons platform gebruikt en wij nemen deze verantwoordelijkheid serieus.
Wij willen ons platform beveiligen en de persoonlijke gegevens van onze klanten, reviewers en consumenten beschermen.
Compliance
SOC 2
Trustpilot heeft een SOC 2 Type I-certificering behaald op het gebied van beveiliging. SOC 2 Type I is op aanvraag beschikbaar voor klanten en potentiële klanten.
Het Type I-rapport is een belangrijke mijlpaal in ons stappenplan richting SOC 2 Type II-compliance. Het behalen van de SOC 2 Type II-certificering is een topprioriteit voor Trustpilot en dit traject wordt onderschreven en ondersteund door ons directieteam en het bestuur.
AVG
We voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die gegevensbescherming en privacy regelt voor alle personen binnen de EU. Onze AVG-conforme gegevensverwerkingsovereenkomst beschrijft hoe we persoonlijke gegevens verwerken namens de bedrijven die onze review-uitnodigingen gebruiken.
CSA STAR Level 1
CSA STAR Level 1 is een zelfevaluatie waarbij gebruik wordt gemaakt van een Consensus Assessments Initiative Questionnaire (CAIQ) om de naleving van de Cloud Controls Matrix (CCM) vast te leggen. Deze informatie is openbaar, wat de transparantie in de sector bevordert en klanten inzicht biedt in de specifieke beveiliging bij aanbieders. STAR Self-Assessments worden jaarlijks bijgewerkt.
De ingevulde CAIQ van Trustpilot vind je op de CSA STAR Registry Listing van Trustpilot.
Security White Paper van Trustpilot
In ons Security White Paper vind je informatie over onze systeemarchitectuur, hoe we onze informatiebeveiliging hebben ingericht en ons kader voor informatiebeveiligings.
Het whitepaper staat op onze website, zodat iedereen inzicht kan krijgen in hoe we onze beveiliging hebben ingericht.
Cloudinfrastructuur
Het Trustpilot-platform en onze gegevens worden gehost in de datacentra van Amazon Web Services en Google Cloud Services in de Europese Unie.
Zowel Amazon Web Services als Google Cloud Services voldoen aan SOC 2, ISO 27001 en PCI DSS. Wij controleren deze leveranciers regelmatig om te controleren of ze nog steeds voldoen aan de beveiligingsvereisten.
Wij maken geen gebruik van andere datacenters en hosten zelf geen gegevens.
Een lijst met onze subverwerkers vind je op https://nl.legal.trustpilot.com/for-businesses/subprocessors.
Beveiligingsteam
Trustpilot heeft een speciaal beveiligingsteam, onder leiding van de Chief Information Security Officer (CISO).
Het beveiligingsteam bestaat uit teams die verantwoordelijk zijn voor:
- Beveiligingsactiviteiten
- Applicatie- en cloudbeveiliging (platformbeveiliging)
- Governance, risico's en compliance
Conform de AVG hebben wij een Functionaris Gegevensbescherming (FG) aangesteld die toezicht houdt op onze gegevensbeschermings- en privacymaatregelen.
Veiligheidsmaatregelen
Databescherming
Data wordt versleuteld wanneer deze wordt overgedragen van en naar onze cloudinfrastructuur, en data die is opgeslagen in onze cloudinfrastructuur wordt versleuteld met behulp van het AES-256-algoritme. De data die we opslaan in onze cloudinfrastructuur wordt beschermd door firewalls en opgeslagen in geïsoleerde VPC-omgevingen.
Om het verkeer tussen onze gebruikers en ons platform te beschermen, is alle webcommunicatie minimaal 128-bits-versleuteld. Al onze websites gebruiken het Transport Layer Security 1.2 (TLS)-protocol. We ondersteunen alleen data die via HTTPS-protocollen wordt verzonden.
Om persoonsgegevens te beschermen, gebruiken we TLS voor e-mailcommunicatie. Als de e-mailclient van de ontvanger TLS niet ondersteunt, gebruiken we het protocol dat de op één na hoogste beveiliging biedt.
Veiligheid van onze applicaties
Trustpilot volgt het 'DevSecOps'-model, waarbij beveiliging is geïntegreerd in onze DevOps-processen en in de verschillende stadia van de levenscyclus van onze softwarelevering.
Dit omvat beveiliging in het ontwerp van onze code — waarbij we kwetsbaarheden zoals die in de OWASP Top 10 proberen te elimineren — via onze doorlopende integratie- en leveringspijplijn, onze API's en geautomatiseerde tests.
Trustpilot hanteert een Secure Software Development Lifecycle Policy, waarin de vereisten voor het veilig beheren van wijzigingen zijn vastgelegd. In dit beleid staat de vereisten voor de planning, start, ontwikkeling, kwaliteitsborging, implementatie en release van wijzigingen.
Beheer van kwetsbaarheden
Het Platform Security Team voert kwetsbaarheidsscans uit om kwetsbaarheden in de Trustpilot-codebase te detecteren. Deze scans worden regelmatig uitgevoerd om mogelijke kwetsbaarheden te vinden en te verhelpen.
Trustpilot hanteert een eigen bug bounty-programma en laat minimaal eenmaal per jaar penetratietesten uitvoeren door een gekwalificeerde aanbieder.
Eventuele kwetsbaarheden worden vastgelegd en gecontroleerd totdat ze zijn opgelost, in overeenstemming met de tijdlijnen in ons Vulnerability Management Policy.
API-beveiliging
We werken er iedere dag hard aan om ervoor te zorgen dat onze API-authenticatie de sterkst mogelijke encryptiestandaarden ondersteunt. Zo kunnen we jullie, onze klanten, veilig houden. Trustpilot ondersteunt de volgende cipher suite:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
We ondersteunen TLS 1.2 als minimumstandaard, maar we accepteren ook verbindingen via TLS 1.3.
Hieronder zie je onze public keys:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----EINDE PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----EINDE PUBLIC KEY-----
Incident-respons
In het onwaarschijnlijke geval van een data-incident hebben we een 'Data Incident Response Team'. Dit team werkt volgens strikte processen in overeenstemming met ons beleid inzake data-incidenten.
Het beleid beschrijft hoe we potentiële data-incidenten moeten documenteren, onderzoeken en rapporteren. In het geval van een data-incident nemen we meteen contact op met bedrijven waarvan de persoonsgegevens zijn aangetast.
Een beveiligingsprobleem melden
Je kunt eventuele beveiligingsproblemen aan ons melden via e-mail: report@trustpilot.com.
Via ons Speaking Up-platform kun je ook beveiligingsproblemen melden (eventueel anoniem). Wij nemen deze zorgen serieus en gaan er snel mee aan de slag.