Trustpilots säkerhetsrutiner

Vi vet att du litar på att vi skyddar dina uppgifter när du använder vår plattform och vi tar detta ansvar på största allvar.

Vi är fast beslutna att skydda vår plattform och personuppgifterna för våra kunder, omdömeslämnare och konsumenter.

Efterlevnad

SOC 2

Trustpilot har uppnått SOC 2 Type I-certifiering inom säkerhet. SOC 2 Type I är tillgänglig för kunder och potentiella kunder på begäran.

Type I-rapporten är en viktig milstolpe i vårt arbete med att uppnå efterlevnad av SOC 2 Type II. En SOC 2 Type II-certifiering är av högsta prioritet för Trustpilot och detta arbete stöds av vår ledningsgrupp och styrelse.

Dataskyddsförordningen (GDPR)

Vi följer den allmänna dataskyddsförordningen (GDPR), som reglerar behandlingen av personuppgifter inom Europeiska Unionen. Vårt avtal för databehandling följer dataskyddsförordningen och beskriver hur vi hanterar personliga uppgifter å företags vägnar vad gäller omdömesinbjudningar.

CSA STAR Level 1

CSA STAR Level 1.png

CSA STAR Level 1 är ett självskattningstest som använder Consensus Assessments Initiative Questionnaire (CAIQ) för att kartlägga efterlevnaden av Cloud Controls Matrix (CCM). Denna information är offentlig, vilket bidrar till att skapa transparens i branschen och ger kunderna insikt i specifika säkerhetsaspekter hos leverantörer. STAR-självskattningstester uppdateras varje år.

Trustpilots ifyllda CAIQ-formulär finns på Trustpilots CSA STAR Registry Listing.

White paper om säkerheten på Trustpilot

I vårt white paper om säkerhet hittar du information om vår systemarkitektur, hur vi har byggt upp informationssäkerheten och vårt ramverk för informationssäkerhet.

Rapporten finns tillgänglig för allmänheten på vår webbplats så att kunderna kan få en insikt i våra säkerhetsrutiner.

Molninfrastruktur

Trustpilots plattform och våra data lagras i Amazon Web Services och Google Cloud Services datacenter i EU. 

Både Amazon Web Services och Google Cloud Services uppfyller kraven för SOC 2, ISO 27001 och PCI DSS. Vi kontrollerar dessa leverantörer regelbundet för att se att de fortfarande uppfyller säkerhetskraven.

Vi använder inte andra datacenter och vi lagrar inte data själva.

Du kan se en lista över våra personuppgiftsbiträden på https://se.legal.trustpilot.com/for-businesses/subprocessors.

Säkerhetsteam

Trustpilot har ett särskilt säkerhetsteam som leds av Chief Information Security Officer (CISO).

Säkerhetsteamet består av team som ansvarar för:

  • daglig säkerhet
  • applikations- och molnsäkerhet (plattformssäkerhet)
  • styrning, risk och efterlevnad.

I enlighet med GDPR har vi utsett ett dataskyddsombud (DPO) för att övervaka våra dataskydds- och säkerhetsåtgärder.

Säkerhetsåtgärder

Datasäkerhet

Data som överförs till och från vår molnbaserade infrastruktur eller är placerad i den, krypteras med AES-256-algoritmen. Data som lagras i vår molnbaserade infrastruktur är skyddad med brandväggar och placerad i isolerade VPC-miljöer.

Vi använder minst en kryptering på 128 bitar för att skydda trafiken mellan våra användare och vår plattform. Alla våra webbplatser använder Transport Layer Security 1.2 (TLS). Trustpilot har endast stöd för data som skickas via HTTPS-protokoller.

Vi använder TLS för e-postkommunikation för att skydda personuppgifter. Om mottagarens e-postklient inte har stöd för TLS, använder vi det protokoll som ger näst bäst säkerhet.

Applikationssäkerhet

Trustpilot följer en DevSecOps-modell där säkerheten är integrerad i våra DevOps-processer och i varje stadie av systemutvecklingens livscykel (SDLC). 

Detta omfattar säkerhet i vår koddesign, där vi söker eliminera sårbarheter såsom de i OWASP Top 10, genom vår löpande integration (CI) och leverans, våra API:er samt våra automatiserade tester.

Trustpilot har en livscykelpolicy för säker programvaruutveckling som beskriver kraven för säker ändringshantering. I denna policy fastställs kraven för planering, initiering, utveckling, kvalitetssäkring, implementering och publicering av ändringar. 

Hantering av säkerhetsrisker

Teamet för plattformssäkerhet skannar efter sårbarheter i Trustpilots kodbas. Dessa skanningar utförs regelbundet för att identifiera och minska potentiella sårbarheter.

Trustpilot har ett eget bug bounty-program och penetrationstester utförs minst en gång per år av en kvalificerad leverantör.

Identifierade sårbarheter dokumenteras och spåras så att de kan åtgärdas i enlighet med tidsramarna i policyn för sårbarhetshantering.

API-säkerhet

På Trustpilot arbetar vi för att säkerställa att vår API-autentisering stöder starkast möjliga krypteringsstandarder för att skydda våra kunder. Som företag stöder vi följande chiffersvit:

TLS_AES_128_GCM_SHA256 

TLS_AES_256_GCM_SHA384 

TLS_CHACHA20_POLY1305_SHA256

ECDHE-ECDSA-AES128-GCM-SHA256     

ECDHE-ECDSA-AES128-SHA256      

ECDHE-ECDSA-AES128-SHA       

ECDHE-ECDSA-AES256-GCM-SHA384     

ECDHE-ECDSA-CHACHA20-POLY1305    

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256    

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-GCM-SHA384     

ECDHE-RSA-CHACHA20-POLY1305    

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256     

AES256-GCM-SHA384  

AES128-SHA256     

Vi stöder TLS 1.2 som en minimistandard, men vi godkänner även anslutningar över TLS 1.3.

Åtkomst till våra publika nycklar hittar du här:

Testmiljö:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoZvOUdnnyvegDRSg2lQW
S9qpvI36K5xSfqaxICI0yoIimpZi1O9yBRJnfDni4uA1ztlVuFLE6S/RDNXZU56J
clIy2rWsR+RidjhcY4BApWu25vPFsm0Earxaa8Q0fr0rvcEzA1xGG627BIi3i7jv
XZRD1BorTigNxN1LBe+fmcI6uAy384D0gBac2CgN7VBmYQ/a0CxoUIc9Z1VzNDWX
wuQkldlM3B3Ugu1v+LRwDp5L8s7mLrpd9LlmikK2W7G6kAzf5tQgWh3fTF7ZSCNd
ngk6+PaPAg++ccPUlxxf5mPlGRMG35vBBBAVSocfXaI/DiVmvQm9O2nPUQSS2NSp
8wIDAQAB
-----END PUBLIC KEY-----
Produktionsmiljö:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu86OXXXvm0zKeDZmuD8i
PgIcuKORZuCe8r8QjWEiBLcu14IxPtiE8qL1xQ0lvSiyNIQMgOwmyswIaTJWqoX3
WJALsWdFn3af61UgiR/CM18jXow1Hcq84Ahlf3/vAxqRGuhA0xHlCN4WDnIQjjZG
/QIwSfwiF2lqX9Nw7lrLeFjLjh4gwV3IM1h7ImAUaw4qoka0r9Jd7WiOcUFbtCqO
etTx7U9cRsX89Wl3hNC6uQNwYWE/ZKEO9M13uca1Quyk4BLMIHS89Yf2dJ7USCN5
VlOU0c83rebodC5BEHjLuAKUQMZjRWAQ5wzKi6d0Q4F4PIOBu8KPQSCsnR4WMU9b
XQIDAQAB
-----END PUBLIC KEY-----

Åtgärder vid dataintrång

Även om det är osannolikt att en dataintrång sker, har vi ett särskilt team för att åtgärda detta i enlighet med vår datapolicy och fastslagna processer. 

Vår datapolicy beskriver hur vi dokumenterar, undersöker och rapporterar eventuella dataintrång. Vid ett dataintrång kontaktar vi omedelbart berörda parter.

Rapportering av säkerhetsproblem

Du kan rapportera eventuella säkerhetsproblem till oss via e-post: report@trustpilot.com

Du kan också rapportera säkerhetsproblem på vår Speaking Up-plattform, där du kan vara anonym. Vi tar dessa problem på största allvar och åtgärdar dem så snabbt som möjligt.

Bilagor

Var denna artikel till hjälp?

Related articles