Trustpilots säkerhetsrutiner

På Trustpilot ser vi datasäkerhet som en av de absolut viktigaste delarna i att driva en omdömescommunity.

Det är centralt för oss att ha fullgod datasäkerhet på alla nivåer – oavsett om det handlar om data som tillhör omdömeslämnare på Trustpilot, konsumenter som använder vår plattform, våra kunder och samarbetspartners eller våra egna medarbetare.

Om du vill veta mer om våra säkerhetsrutiner kan du ladda ner en översikt över dessa (version 2.7) under ”Bilagor” i slutet av denna artikel, eller läsa vårt ifyllda Cloud Security Alliance-frågeformulär.

Dataskyddsförordningen (GDPR)

Vi följer den allmänna dataskyddsförordningen (GDPR), som reglerar behandlingen av personuppgifter inom Europeiska Unionen. Vårt avtal för databehandling följer dataskyddsförordningen och beskriver hur vi hanterar personliga uppgifter å företags vägnar vad gäller omdömesinbjudningar.

Molnbaserad infrastruktur och säkerhet

Trustpilot är ett molnbaserat företag. Vi har inget internt datacenter, och vår nätverksinfrastruktur är virtuell.

Amazon Web Services

Vår infrastruktur finns i datacenter som tillhör Amazon Web Services (AWS) placerade i tillgänglighetszoner inom EU, vilka bland annat är SOC2- och PCI DSS Level 1-certifierade. AWS har ett antal funktioner som Trustpilot använder för ökad datasäkerhet och dataskydd.

Våra servrar finns i datacenter som tillhör Amazon Web Services och vi har både Microsofts och Linux operativsystem. De är konfigurerade med säkerhetsgrupper och isolerade i VPC-miljöer (Amazon Virtual Private Cloud) med nätverkssegmentering, rollbaserad åtkomstfunktion och avancerad brandvägg för webbapplikationer.

Alla våra operativsystem, databaser och applikationer är härdade för att minska sårbarheter och maximera säkerheten.

Google Cloud

Vi använder även Google Cloud Platform för att uppfylla specifika företagskrav, och med hjälp av avancerade verktyg meddelas vi vid eventuella hot eller sårbarheter.

Rapporter

Trustpilots serverinstanser hos AWS och Google Cloud är endast tillgängliga med en VPN-förbindelse. Den fysiska säkerheten för vår molnbaserade infrastruktur hanteras av AWS och Google Cloud, hos vilka du kan begära ut Compliance-rapporter.

Trustpilot.com har betyget A+ på Qualys SSL Labs för slutpunkter.

Hantering av säkerhetsrisker

Trustpilot har ett offentligt Bug Bounty-program där säkerhetsexperter kan identifiera och rapportera eventuella buggar till oss.

Vi skannar också vår webblats för sårbarheter och åtgärdar dessa inom en tidsram som bestäms av allvarlighetsgraden.

Arkitektonisk design

Vi har designat vår plattform för att följa principerna för mikrotjänster, vilket innebär att våra tjänster och deras underliggande backend är oavhängiga varandra och tillståndslösa. På så sätt kan vi skala vår plattform efter behov.

Vår backend-infrastruktur skapas direkt via kod, och är en så kallad ”infrastructure as code” (Iac). Den byts ut regelmässigt för att säkerställa en konsekvent och tillståndslös miljö, en så kallad ”immutable infrastructure”.

Datasäkerhet

Data som överförs till och från vår molnbaserade infrastruktur eller är placerad i den, krypteras med AES-256-algoritmen. Data som lagras i vår molnbaserade infrastruktur är skyddad med brandväggar och placerad i isolerade VPC-miljöer.

Vi använder minst en kryptering på 128 bitar för att skydda trafiken mellan våra användare och vår plattform. Alla våra webbplatser använder Transport Layer Security 1.2 (TLS). Trustpilot har endast stöd för data som skickas via HTTPS-protokoller.

Vi använder TLS för e-postkommunikation för att skydda personuppgifter. Om mottagarens e-postklient inte har stöd för TLS, använder vi det protokoll som ger näst bäst säkerhet.

API-säkerhet

På Trustpilot arbetar vi för att säkerställa att vår API-autentisering stöder starkast möjliga krypteringsstandarder för att skydda våra kunder. Som företag stöder vi följande chiffersvit:

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-SHA256

Vi stöder TLS 1.2 som en minimistandard, men vi godkänner även anslutningar över TLS 1.3.

Åtkomst till våra publika nycklar hittar du här:

Testmiljö:

Produktionsmiljö:

Applikationssäkerhet

Trustpilot följer en DevSecOps-modell där säkerheten är integrerad i våra DevOps-processer och i varje stadie av systemutvecklingens livscykel (SDLC). Detta omfattar säkerhet i vår koddesign, där vi söker eliminera sårbarheter såsom de i OWASP Top 10, genom vår löpande integration (CI) och leverans, våra API:er samt våra automatiserade tester.

Åtgärder vid dataintrång

Även om det är osannolikt att en dataintrång sker, har vi ett särskilt team för att åtgärda detta i enlighet med vår datapolicy och fastslagna processer. Vår datapolicy beskriver hur vi dokumenterar, undersöker och rapporterar eventuella dataintrång. Vid ett dataintrång kontaktar vi berörda parter. För mer information kan du ladda ner vårt white paper om Trustpilots säkerhetsrutiner för omdömesinbjudningar under avsnittet Bilagor här nedan.

Du kan rapportera eventuella säkerhetsproblem till oss via e-post: report@trustpilot.com.

Vårt Cloud Security Alliance-frågeformulär

För att hjälpa företag med att förstå våra säkerhetsrutiner har fyllt i ett Cloud Security Alliance-frågeformulär. Du kan ladda ner frågeformuläret här.

Nästa: Dataskyddsförordningen (GDPR) och dataskyddskrav för företag

Bilagor

Download our white paper on Security Practices for Trustpilot Review Invitation Services version 2.7 here.pdf (300 kB)

Hjälpcenter

Vad behöver du hjälp med?