Vi vet att du litar på att vi skyddar dina uppgifter när du använder vår plattform och vi tar detta ansvar på största allvar.
Vi är fast beslutna att skydda vår plattform och personuppgifterna för våra kunder, omdömeslämnare och konsumenter.
Efterlevnad
SOC 2
Trustpilot har uppnått SOC 2 Type I-certifiering inom säkerhet. SOC 2 Type I är tillgänglig för kunder och potentiella kunder på begäran.
Type I-rapporten är en viktig milstolpe i vårt arbete med att uppnå efterlevnad av SOC 2 Type II. En SOC 2 Type II-certifiering är av högsta prioritet för Trustpilot och detta arbete stöds av vår ledningsgrupp och styrelse.
Dataskyddsförordningen (GDPR)
Vi följer den allmänna dataskyddsförordningen (GDPR), som reglerar behandlingen av personuppgifter inom Europeiska Unionen. Vårt avtal för databehandling följer dataskyddsförordningen och beskriver hur vi hanterar personliga uppgifter å företags vägnar vad gäller omdömesinbjudningar.
CSA STAR Level 1
CSA STAR Level 1 är ett självskattningstest som använder Consensus Assessments Initiative Questionnaire (CAIQ) för att kartlägga efterlevnaden av Cloud Controls Matrix (CCM). Denna information är offentlig, vilket bidrar till att skapa transparens i branschen och ger kunderna insikt i specifika säkerhetsaspekter hos leverantörer. STAR-självskattningstester uppdateras varje år.
Trustpilots ifyllda CAIQ-formulär finns på Trustpilots CSA STAR Registry Listing.
White paper om säkerheten på Trustpilot
I vårt white paper om säkerhet hittar du information om vår systemarkitektur, hur vi har byggt upp informationssäkerheten och vårt ramverk för informationssäkerhet.
Rapporten finns tillgänglig för allmänheten på vår webbplats så att kunderna kan få en insikt i våra säkerhetsrutiner.
Molninfrastruktur
Trustpilots plattform och våra data lagras i Amazon Web Services och Google Cloud Services datacenter i EU.
Både Amazon Web Services och Google Cloud Services uppfyller kraven för SOC 2, ISO 27001 och PCI DSS. Vi kontrollerar dessa leverantörer regelbundet för att se att de fortfarande uppfyller säkerhetskraven.
Vi använder inte andra datacenter och vi lagrar inte data själva.
Du kan se en lista över våra personuppgiftsbiträden på https://se.legal.trustpilot.com/for-businesses/subprocessors.
Säkerhetsteam
Trustpilot har ett särskilt säkerhetsteam som leds av Chief Information Security Officer (CISO).
Säkerhetsteamet består av team som ansvarar för:
- daglig säkerhet
- applikations- och molnsäkerhet (plattformssäkerhet)
- styrning, risk och efterlevnad.
I enlighet med GDPR har vi utsett ett dataskyddsombud (DPO) för att övervaka våra dataskydds- och säkerhetsåtgärder.
Säkerhetsåtgärder
Datasäkerhet
Data som överförs till och från vår molnbaserade infrastruktur eller är placerad i den, krypteras med AES-256-algoritmen. Data som lagras i vår molnbaserade infrastruktur är skyddad med brandväggar och placerad i isolerade VPC-miljöer.
Vi använder minst en kryptering på 128 bitar för att skydda trafiken mellan våra användare och vår plattform. Alla våra webbplatser använder Transport Layer Security 1.2 (TLS). Trustpilot har endast stöd för data som skickas via HTTPS-protokoller.
Vi använder TLS för e-postkommunikation för att skydda personuppgifter. Om mottagarens e-postklient inte har stöd för TLS, använder vi det protokoll som ger näst bäst säkerhet.
Applikationssäkerhet
Trustpilot följer en DevSecOps-modell där säkerheten är integrerad i våra DevOps-processer och i varje stadie av systemutvecklingens livscykel (SDLC).
Detta omfattar säkerhet i vår koddesign, där vi söker eliminera sårbarheter såsom de i OWASP Top 10, genom vår löpande integration (CI) och leverans, våra API:er samt våra automatiserade tester.
Trustpilot har en livscykelpolicy för säker programvaruutveckling som beskriver kraven för säker ändringshantering. I denna policy fastställs kraven för planering, initiering, utveckling, kvalitetssäkring, implementering och publicering av ändringar.
Hantering av säkerhetsrisker
Teamet för plattformssäkerhet skannar efter sårbarheter i Trustpilots kodbas. Dessa skanningar utförs regelbundet för att identifiera och minska potentiella sårbarheter.
Trustpilot har ett eget bug bounty-program och penetrationstester utförs minst en gång per år av en kvalificerad leverantör.
Identifierade sårbarheter dokumenteras och spåras så att de kan åtgärdas i enlighet med tidsramarna i policyn för sårbarhetshantering.
API-säkerhet
På Trustpilot arbetar vi för att säkerställa att vår API-autentisering stöder starkast möjliga krypteringsstandarder för att skydda våra kunder. Som företag stöder vi följande chiffersvit:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
Vi stöder TLS 1.2 som en minimistandard, men vi godkänner även anslutningar över TLS 1.3.
Åtkomst till våra publika nycklar hittar du här:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----
Åtgärder vid dataintrång
Även om det är osannolikt att en dataintrång sker, har vi ett särskilt team för att åtgärda detta i enlighet med vår datapolicy och fastslagna processer.
Vår datapolicy beskriver hur vi dokumenterar, undersöker och rapporterar eventuella dataintrång. Vid ett dataintrång kontaktar vi omedelbart berörda parter.
Rapportering av säkerhetsproblem
Du kan rapportera eventuella säkerhetsproblem till oss via e-post: report@trustpilot.com.
Du kan också rapportera säkerhetsproblem på vår Speaking Up-plattform, där du kan vara anonym. Vi tar dessa problem på största allvar och åtgärdar dem så snabbt som möjligt.