På Trustpilot ser vi datasäkerhet som en av de absolut viktigaste delarna i att driva en omdömescommunity.
Det är centralt för oss att ha fullgod datasäkerhet på alla nivåer – oavsett om det handlar om data som tillhör omdömeslämnare på Trustpilot, konsumenter som använder vår plattform, våra kunder och samarbetspartners eller våra egna medarbetare.
Om du vill veta mer om våra säkerhetsrutiner kan du ladda ner en översikt över dessa (version 2.7) under ”Bilagor” i slutet av denna artikel, eller läsa vårt ifyllda Cloud Security Alliance-frågeformulär.
Dataskyddsförordningen (GDPR)
Vi följer den allmänna dataskyddsförordningen (GDPR), som reglerar behandlingen av personuppgifter inom Europeiska Unionen. Vårt avtal för databehandling följer dataskyddsförordningen och beskriver hur vi hanterar personliga uppgifter å företags vägnar vad gäller omdömesinbjudningar.
Molnbaserad infrastruktur och säkerhet
Trustpilot är ett molnbaserat företag. Vi har inget internt datacenter, och vår nätverksinfrastruktur är virtuell.
Amazon Web Services
Vår infrastruktur finns i datacenter som tillhör Amazon Web Services (AWS) placerade i tillgänglighetszoner inom EU, vilka bland annat är SOC2- och PCI DSS Level 1-certifierade. AWS har ett antal funktioner som Trustpilot använder för ökad datasäkerhet och dataskydd.
Våra servrar finns i datacenter som tillhör Amazon Web Services och vi har både Microsofts och Linux operativsystem. De är konfigurerade med säkerhetsgrupper och isolerade i VPC-miljöer (Amazon Virtual Private Cloud) med nätverkssegmentering, rollbaserad åtkomstfunktion och avancerad brandvägg för webbapplikationer.
Alla våra operativsystem, databaser och applikationer är härdade för att minska sårbarheter och maximera säkerheten.
Google Cloud
Vi använder även Google Cloud Platform för att uppfylla specifika företagskrav, och med hjälp av avancerade verktyg meddelas vi vid eventuella hot eller sårbarheter.
Rapporter
Trustpilots serverinstanser hos AWS och Google Cloud är endast tillgängliga med en VPN-förbindelse. Den fysiska säkerheten för vår molnbaserade infrastruktur hanteras av AWS och Google Cloud, hos vilka du kan begära ut Compliance-rapporter.
Trustpilot.com har betyget A+ på Qualys SSL Labs för slutpunkter.
Hantering av säkerhetsrisker
Trustpilot har ett privat Bug Bounty-program där säkerhetsexperter kan identifiera och rapportera eventuella buggar till oss.
Vi skannar också vår webblats för sårbarheter och åtgärdar dessa inom en tidsram som bestäms av allvarlighetsgraden.
Arkitektonisk design
Vi har designat vår plattform för att följa principerna för mikrotjänster, vilket innebär att våra tjänster och deras underliggande backend är oavhängiga varandra och tillståndslösa. På så sätt kan vi skala vår plattform efter behov.
Vår backend-infrastruktur skapas direkt via kod, och är en så kallad ”infrastructure as code” (Iac). Den byts ut regelmässigt för att säkerställa en konsekvent och tillståndslös miljö, en så kallad ”immutable infrastructure”.
Datasäkerhet
Data som överförs till och från vår molnbaserade infrastruktur eller är placerad i den, krypteras med AES-256-algoritmen. Data som lagras i vår molnbaserade infrastruktur är skyddad med brandväggar och placerad i isolerade VPC-miljöer.
Vi använder minst en kryptering på 128 bitar för att skydda trafiken mellan våra användare och vår plattform. Alla våra webbplatser använder Transport Layer Security 1.2 (TLS). Trustpilot har endast stöd för data som skickas via HTTPS-protokoller.
Vi använder TLS för e-postkommunikation för att skydda personuppgifter. Om mottagarens e-postklient inte har stöd för TLS, använder vi det protokoll som ger näst bäst säkerhet.
API-säkerhet
På Trustpilot arbetar vi för att säkerställa att vår API-autentisering stöder starkast möjliga krypteringsstandarder för att skydda våra kunder. Som företag stöder vi följande chiffersvit:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
Vi stöder TLS 1.2 som en minimistandard, men vi godkänner även anslutningar över TLS 1.3.
Åtkomst till våra publika nycklar hittar du här:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----
Applikationssäkerhet
Trustpilot följer en DevSecOps-modell där säkerheten är integrerad i våra DevOps-processer och i varje stadie av systemutvecklingens livscykel (SDLC). Detta omfattar säkerhet i vår koddesign, där vi söker eliminera sårbarheter såsom de i OWASP Top 10, genom vår löpande integration (CI) och leverans, våra API:er samt våra automatiserade tester.
Åtgärder vid dataintrång
Även om det är osannolikt att en dataintrång sker, har vi ett särskilt team för att åtgärda detta i enlighet med vår datapolicy och fastslagna processer. Vår datapolicy beskriver hur vi dokumenterar, undersöker och rapporterar eventuella dataintrång. Vid ett dataintrång kontaktar vi berörda parter. För mer information kan du ladda ner vårt white paper om Trustpilots säkerhetsrutiner för omdömesinbjudningar under avsnittet Bilagor här nedan.
Du kan rapportera eventuella säkerhetsproblem till oss via e-post: report@trustpilot.com.
Vårt Cloud Security Alliance-frågeformulär
För att hjälpa företag med att förstå våra säkerhetsrutiner har fyllt i ett Cloud Security Alliance-frågeformulär. Du kan ladda ner frågeformuläret här.
Nästa: Dataskyddsförordningen (GDPR) och dataskyddskrav för företag