Der Schutz Ihrer Daten hat für uns oberste Priorität

Einhaltung der Vorschriften

Die Sicherheit der Daten unserer Kunden und Nutzer steht bei Xoxoday an erster Stelle. Aus diesem Grund hat Xoxoday in die entsprechenden Ressourcen und Kontrollen investiert, um unsere Kunden zu schützen und zu bedienen. Wir konzentrieren uns auf die Definition neuer und die Verfeinerung bestehender Kontrollen, die Implementierung und Verwaltung des Xoxoday-Sicherheitsrahmens und die Bereitstellung einer Unterstützungsstruktur, um die effektive Einhaltung von Vorschriften und das Risikomanagement zu erleichtern.

Xoxoday verpflichtet sich, die Integrität, Vertraulichkeit, Verfügbarkeit und Sicherheit seiner physischen und informationstechnischen Vermögenswerte zu gewährleisten und die Privatsphäre zu schützen, wenn es darum geht, die Bedürfnisse der Kunden und der Organisation zu erfüllen und gleichzeitig die entsprechenden gesetzlichen, satzungsmäßigen und behördlichen Anforderungen zu erfüllen.

Um einen angemessenen Schutz für die informationstechnischen Vermögenswerte zu gewährleisten, hat Xoxoday das Informationssicherheits-Managementsystem (ISMS) aufgebaut, das es allen Mitarbeitern ermöglicht, diese Richtlinien gewissenhaft, konsequent und unparteiisch zu befolgen. Xoxoday wird auf allen Ebenen Verfahren und Kontrollen einführen, um die Vertraulichkeit und Integrität der in seinen Systemen gespeicherten und verarbeiteten Informationen zu schützen und sicherzustellen, dass die Informationen nur befugten Personen bei Bedarf zugänglich sind.

Zielsetzungen

Wir haben unseren Compliance-Rahmen unter Verwendung bewährter Verfahren der SaaS-Branche entwickelt. Unsere wichtigsten Ziele sind. 

  • Vertrauen und Schutz der Kunden - Wir liefern unseren Kunden stets erstklassige Produkte und Dienstleistungen und schützen gleichzeitig die Privatsphäre und Vertraulichkeit ihrer Daten.
  • Integrität von Informationen und Diensten - Einsatz von Sicherheitskontrollen, die sich auf die Datenintegrität konzentrieren, um zu verhindern, dass Daten von Unbefugten geändert oder missbraucht werden.
  • Verfügbarkeit und Kontinuität des Dienstes - Gewährleistung der ständigen Verfügbarkeit von Diensten und Daten für autorisierte Personen und proaktive Minimierung von Sicherheitsrisiken, die die Kontinuität des Dienstes gefährden.
  • Einhaltung von Standards - Implementierung von Prozessen und Kontrollen zur Anpassung an aktuelle internationale regulatorische und branchenspezifische Best Practices und Best-of-Breed-Richtlinien für Cloud-Sicherheit durch die Nutzung von Standards wie Cloud Security Alliance (CSA), ISO 27001;2013, SOC 2, HIPAA, CCPA, CPRA usw.

Das Xoxoday-Versprechen

Xoxoday verpflichtet sich zur Einhaltung aller geltenden Vorschriften und Gesetze an allen Standorten und in allen Ländern, in denen es tätig ist und Informationen verarbeitet. Xoxoday nimmt Datenintegrität und -sicherheit ernst. Mehr als zwei Millionen Kunden auf der ganzen Welt vertrauen uns in Bezug auf die Sicherheit ihrer Daten. Aufgrund der Art unserer Produkte und Dienstleistungen müssen wir unsere Verantwortung sowohl als Datenverantwortlicher als auch als Datenverarbeiter anerkennen.

Die Sicherheit der Kundendaten ist ein wesentlicher Bestandteil unseres Produkts, unserer Prozesse und unserer Teamkultur. Unsere Einrichtungen, Prozesse und Systeme sind zuverlässig, robust und wurden von renommierten Qualitätskontroll- und Datensicherheitsorganisationen getestet. Wir suchen ständig nach Möglichkeiten, die dynamische Technologielandschaft zu verbessern und Ihnen ein hochsicheres, skalierbares System zur Verfügung zu stellen, das Ihnen ein großartiges Erlebnis bietet.

Konformitätsbescheinigungen

Wir verwenden Best Practices und Branchenstandards, um die Einhaltung der branchenweit anerkannten allgemeinen Sicherheits- und Datenschutzbestimmungen zu gewährleisten.

Wir verwenden Sicherheitsfunktionen der Unternehmensklasse und führen umfassende Prüfungen unserer Anwendungen, Systeme und Netzwerke durch, um Kunden- und Geschäftsdaten zu schützen. Unsere Kunden können beruhigt sein, denn sie wissen, dass ihre Daten sicher sind, dass ihre Interaktionen sicher sind und dass ihr Unternehmen geschützt ist.

ISO 27001:2013 - Informationssicherheitsmanagementsystem (ISMS)

Xoxoday ist nach ISO 27001:2013 zertifiziert. 

ISO/IEC 27001:2013 ist eine Spezifikation für ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS ist ein Rahmenwerk von Richtlinien und Verfahren für das organisatorische Informationsrisikomanagement, einschließlich rechtlicher, physischer und technischer Kontrollen, die dazu dienen, Informationen sicher zu halten.

Mit dem robusten ISMS von ISO erhalten Sie die zusätzliche Gewissheit, dass wir ein ganzes Spektrum an bewährten Sicherheitsverfahren in der gesamten Organisation implementiert haben.

Xoxoday ist nach ISO 27001:2013 zertifiziert und verpflichtet sich, Risiken zu identifizieren, Auswirkungen zu bewerten und systematisierte Kontrollen einzusetzen, die das Vertrauen in alles, was wir tun, stärken - von unserer Codebasis über die physische Infrastruktur bis hin zu den Praktiken unserer Mitarbeiter.

Das Hauptziel von ISO 27001 besteht darin, drei Aspekte von Informationen zu schützen:
  • Vertraulichkeit: Nur befugte Personen haben das Recht auf Zugang zu den Informationen.
  • Integrität: Nur autorisierte Personen können Informationen ändern.
  • Verfügbarkeit: Berechtigte Personen müssen jederzeit Zugang zu den Informationen haben.

SOC 2 - Kontrollen der Dienstleistungsorganisation 

Xoxoday führt jährlich SOC 2-Audits durch, die von einem unabhängigen Prüfer durchgeführt werden. Unser SOC-2-Bericht bescheinigt, dass unsere Kontrollen, die die Verfügbarkeit, Vertraulichkeit und Sicherheit von Kundendaten regeln, den vom American Institute of Certified Public Accountants (AICPA) aufgestellten Trust Service Principles (TSPs) entsprechen.

A SOC 2 fives Vertrauensprinzipien:

Sicherheit: Diese Grundsätze messen, wie wir Ihre Daten und unsere Systeme vor unbefugtem Zugriff schützen und wie wir verhindern, dass die Systeme, die die Verfügbarkeit, Integrität, Vertraulichkeit und Privatsphäre Ihrer Daten schützen, durch die Offenlegung von Informationen beschädigt werden.

Verfügbarkeit: Dieses Vertrauensprinzip bezieht sich darauf, ob Ihre Informationen und Systeme für den Betrieb und die Nutzung verfügbar sind, um die Ziele Ihres Unternehmens zu erreichen.

Integrität der Verarbeitung: Dieser Grundsatz bewertet, ob die Verarbeitung in Ihrem System vollständig und korrekt ist und nur autorisierte Informationen verarbeitet werden.

Vertraulichkeit: Hier geht es darum, ob vertrauliche Informationen wirklich geschützt bleiben.

Datenschutz: Dieser letzte Vertrauensgrundsatz befasst sich damit, ob die personenbezogenen Daten Ihrer Nutzer gemäß den Datenschutzhinweisen Ihres Unternehmens und den allgemein anerkannten Datenschutzgrundsätzen (GAPP) erfasst, verwendet, aufbewahrt, weitergegeben und vernichtet werden.

Wir sind stolz auf die Exzellenz unserer Kontrollen und laden Sie ein, eine Kopie unseres SOC 2 Typ I Berichts zu erhalten, indem Sie Ihren Xoxoday-Vertreter kontaktieren

Kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) / Kalifornisches Gesetz zum Schutz der Privatsphäre (CPRA)

Xoxoday ist CCPA/CPRA-konform. 

Das CPRA hat die Datenschutzrechte der Einwohner Kaliforniens geändert, erweitert und präzisiert und lehnt sich in vielerlei Hinsicht an die GDPR-Richtlinie der EU an. Das CPRA schafft die neue Kategorie der sensiblen personenbezogenen Daten (SPI), die gesondert und strenger geregelt ist als die personenbezogenen Daten (PI).

Ziel des CPRA ist es, den California Consumer Privacy Act (CCPA) neu zu definieren und zu erweitern, um die Rechte der Einwohner Kaliforniens zu stärken. Es bietet den Verbrauchern mehr Möglichkeiten, sich dagegen zu entscheiden, und verlangt von den Unternehmen einen bewussten Umgang mit den Daten.

Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA)

Xoxoday ist HIPAA-konform. 

Das US-Gesundheitsministerium hat 1996 den Health Insurance Portability and Accountability Act, HIPAA, erlassen. Mit diesem Gesetz sollte der Schutz der Gesundheitsdaten von Patienten vor dem Zugriff der Öffentlichkeit gewährleistet werden.

Es kann vorkommen, dass Kunden einige unserer Produkte verwenden, um elektronische persönliche Gesundheitsinformationen (ePHI) im Rahmen ihrer normalen Geschäftstätigkeit zu verarbeiten. Gemäß HIPAA von 1996 unterstützt Xoxoday seine Kunden bei der Einhaltung des HIPAA, wenn sie entweder als "Covered Entity" oder als "Business Associate" eingestuft werden.

Wir helfen unseren Kunden, ihre HIPAA-Verpflichtungen zu erfüllen, indem wir die entsprechenden Sicherheitskonfigurationsoptionen in Xoxoday-Produkten nutzen.

Allgemeine Datenschutzverordnung (GDPR)

Xoxoday ist GDPR-konform.

Unser umfassendes Programm zur Einhaltung der DSGVO stützt sich unter anderem auf die folgenden grundlegenden Datenschutzprinzipien: Rechenschaftspflicht, Privacy by Design and Default, Datenminimierung und Zugriffsrechte der Betroffenen. Technologie und Abläufe im Zusammenhang mit dem Geschäft sind Gegenstand regelmäßiger Sensibilisierungsprogramme.

Xoxoday verpflichtet sich, sichere Produkte und Dienstleistungen anzubieten, indem es die vorgeschriebenen Compliance-Richtlinien einführt und einhält, sowohl als für die Datenverarbeitung Verantwortlicher als auch als Verarbeiter.

Die Durchsetzung der Datenschutz-Grundverordnung (GDPR) ist von entscheidender Bedeutung für unser Ziel, der EU und allen unseren globalen Kunden sichere und zuverlässige Geschäftslösungen zu bieten. Zur Unterstützung dieser Verpflichtung bietet Xoxoday allen seinen Kunden weltweit das gleiche Maß an Datenschutz und Sicherheit, unabhängig von ihrem Standort.

Für weitere Informationen über Xoxoday GDPR, klicken Siebitte hier

Privatsphäre und Datenschutz

Xoxoday hat sich verpflichtet, die Rechte, die den betroffenen Personen nach den geltenden Datenschutzgesetzen zustehen, zu wahren und ihre persönlichen Daten mit größter Sorgfalt zu behandeln. Mehr als 2 Millionen Kunden auf der ganzen Welt vertrauen uns in Bezug auf die Sicherheit ihrer Daten. Aufgrund der Art der von uns angebotenen Produkte und Dienstleistungen sind wir uns unserer Verantwortung sowohl als Datenverantwortlicher als auch als Datenverarbeiter bewusst. 

Die Sicherheit der Kundendaten ist ein wesentlicher Bestandteil unserer Produkte, Prozesse und Teamkultur. Unsere Einrichtungen, Prozesse und Systeme sind zuverlässig, robust und wurden von renommierten Qualitätskontroll- und Datensicherheitsorganisationen getestet. Wir suchen ständig nach Möglichkeiten, die dynamische Technologielandschaft zu verbessern und Ihnen ein hochsicheres und skalierbares System zur Verfügung zu stellen, das eine großartige Erfahrung bietet.

Datenschutz - Erfahren Sie mehr über die Datenschutzrichtlinien von Xoxoday

GDPR-Richtlinie - Erfahren Sie mehr über die GDPR-Richtlinie von Xoxoday

Artefakte

Wir haben eine Reihe von Ressourcen, die wir auf Anfrage zur Verfügung stellen können.

Ressourcen zum direkten Download (Nicht-NDA)

Um Zugang zu den folgenden herunterladbaren Ressourcen zu erhalten, klicken Sie bitte auf die Schaltfläche unten:
1. Xoxoday ISO 27001:2013 Zertifikat - Klicken Sie hier
2. Vulnerability Assessment and Penetration Testing (VAPT) Zertifikat -
- Xoxoday Plum - Klicken Sie hier
- Xoxoday Empuls - Web App, iOS & Android
- Xoxoday Compass - Klicken Sie hier
3. Service Level Agreement (SLA) - Klicken Sie hier

NDA-Ressourcen

Für die folgenden Ressourcen muss möglicherweise ein NDA hinterlegt werden. Bitte wenden Sie sich an Ihren Xoxoday-Vertreter.

  1. SOC 2-Konformitätsbericht
  2. Zusammenfassung der Schwachstellenbewertung und Penetrationstests
  3. Bericht über das kalifornische Gesetz über den Schutz der Privatsphäre von Verbrauchern (CCPA) und das kalifornische Gesetz über die Rechte der Privatsphäre (CPRA).
  4. Bericht zum Health Insurance Portability and Accountability Act (HIPAA).
  5. GDPR-Bericht zur Datenschutz-Folgenabschätzung.

Cloud-Sicherheit

Xoxoday lagert das Hosting seiner Produktinfrastruktur an führende Cloud-Infrastrukturanbieter aus. Das Xoxoday-Produkt nutzt hauptsächlich Amazon Web Services (AWS) und Microsoft Azure für das Infrastruktur-Hosting. Die Anbieter von Cloud-Infrastrukturen verfügen über ein hohes Maß an physischer und Netzwerksicherheit sowie eine große Vielfalt an Hosting-Anbietern. AWS unterhält ein geprüftes Sicherheitsprogramm, einschließlich SOC 2 und ISO 27001-Konformität. Xoxoday hostet keine Produktsysteme in seinen Geschäftsräumen.

Datenzentrum

Xoxoday stellt seine Produkte in AWS- und Microsoft Azure-Rechenzentren bereit, die nach ISO 27001, PCI DSS Service Provider Level 1 und/oder SOC 2 zertifiziert sind. Zu den Infrastrukturdiensten von AWS und Microsoft Azure gehören Backup-Stromversorgung, HLK-Systeme und Feuerlöschanlagen, um Server und letztlich Ihre Daten zu schützen

Erfahren Sie mehr über Compliance bei AWS und Microsoft Azure.

Sicherheit

Die physischen, umweltbezogenen und infrastrukturellen Sicherheitsvorkehrungen, einschließlich Kontinuitäts- und Wiederherstellungsplänen, wurden im Rahmen ihrer SOC 2 Typ II- und ISO 27001-Zertifizierungen unabhängig validiert.

AWS- und MS Azure-Sicherheit vor Ort umfasst eine Reihe von Merkmalen wie Sicherheitspersonal, Zäune, Sicherheitseinspeisungen, Technologie zur Erkennung von Eindringlingen und andere Sicherheitsmaßnahmen.

AWS/MS Azure bietet den physischen Zugang zum Rechenzentrum nur für zugelassene Mitarbeiter. Alle Mitarbeiter, die Zugang zum Rechenzentrum benötigen, müssen diesen zunächst beantragen und eine gültige geschäftliche Begründung vorlegen. Diese Anträge werden nach dem Prinzip des geringsten Privilegs gewährt, wobei in den Anträgen angegeben werden muss, auf welche Schicht des Rechenzentrums die betreffende Person Zugriff benötigt, und sie sind zeitlich begrenzt. Die Anträge werden von autorisiertem Personal geprüft und genehmigt, und der Zugang wird nach Ablauf der beantragten Zeit widerrufen. Sobald der Zutritt gewährt wurde, sind die Personen auf die in ihren Berechtigungen angegebenen Bereiche beschränkt.

Netzwerkschutz

Unser Netzwerk wird durch wichtige Cloud-Sicherheitsdienste, die Integration mit unseren Cloudflare-Edge-Schutznetzwerken, regelmäßige Audits und Netzwerkintelligenztechnologien geschützt, die bekannten bösartigen Datenverkehr und Netzwerkangriffe überwachen und blockieren.

Schwachstellen-Management - Schwachstellen-Scanning

Schwachstellen-Scans geben uns einen tiefen Einblick in die schnelle Identifizierung von nicht konformen oder potenziell anfälligen Systemen. Zusätzlich zu unserem umfangreichen internen Scan- und Testprogramm beauftragt Xoxoday Sicherheitsexperten von Drittanbietern mit der Durchführung von Schwachstellenbewertungen und Penetrationstests.

Bug Bounty Programm

Unser Bug Bounty Programm bietet Sicherheitsforschern und Kunden die Möglichkeit, Xoxoday auf sichere Weise auf Sicherheitslücken zu testen und diese zu melden.

Bitte klicken Sie hier, um mehr über das Xoxoday Bug Bounty Programm zu erfahren

Sicherheitsvorfall-Ereignis-Management

Unser Security Incident Event Management (SIEM)-System sammelt umfangreiche Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Die SIEM-Warnungen benachrichtigen das Sicherheitsteam auf der Grundlage korrelierter Ereignisse zur Untersuchung und Reaktion.

Intrusion Detection und Prävention

Die Eingangs- und Ausgangspunkte von Diensten werden instrumentiert und überwacht, um anomales Verhalten zu erkennen. Diese Systeme sind so konfiguriert, dass sie Warnmeldungen erzeugen, wenn Vorfälle und Werte vorgegebene Schwellenwerte überschreiten, und sie verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Dies umfasst eine 24/7-Systemüberwachung.

Logischer Zugriff

Der Zugriff auf das Xoxoday-Produktionsnetzwerk ist durch eine ausdrückliche "Need-to-know"-Basis beschränkt, nutzt das Prinzip der geringsten Rechte, wird häufig geprüft und überwacht und von unserem Operations-Team kontrolliert. Mitarbeiter, die auf das Xoxoday-Produktionsnetzwerk zugreifen, müssen mehrere Authentifizierungsfaktoren verwenden.

Der Zugang zu Daten und Systemen basiert auf dem Prinzip der geringsten Privilegien für den Zugang. Eine Lösung für das Identitäts- und Zugriffsmanagement (IAM) wurde definiert, um den Benutzerzugriff durch rollenbasierte Zugriffsprofile zu verwalten, die die Implementierung von Zugriffen auf der Grundlage des Prinzips der Notwendigkeit von Wissen unterstützen und die Aufgabentrennung fördern. Die Berechtigungen für die Verwaltung der Benutzerzugriffsrechte und Rollenkonfigurationen unterscheiden sich von den autorisierten Genehmigern, die die Zugriffsanträge genehmigen. Bei den Genehmigenden handelt es sich entweder um die Produktleiter oder die jeweiligen Funktionsleiter bzw. deren bevollmächtigte Delegierte. 

Management von Sicherheitsvorfällen und Sicherheitsverletzungen

Im Falle eines Systemalarms werden die Ereignisse an unsere 24/7-Teams weitergeleitet, die den Betrieb, die Netzwerktechnik und die Sicherheit abdecken. Die Mitarbeiter werden in den Prozessen zur Reaktion auf Sicherheitsvorfälle geschult, einschließlich der Kommunikationskanäle und Eskalationspfade.

Xoxoday hat einen Prozess zur Verwaltung von Sicherheitsvorfällen definiert, um Vorfälle und Sicherheitsverletzungen zu klassifizieren und zu behandeln. Das Informationssicherheitsteam ist für die Aufzeichnung, Meldung, Nachverfolgung, Reaktion, Lösung, Überwachung, Berichterstattung und unverzügliche Weiterleitung der Vorfälle an die zuständigen Stellen verantwortlich. Der Prozess wird im Rahmen unserer regelmäßigen internen Audits überprüft und im Rahmen der ISO 27001- und SOC 2 Typ II-Bewertung auditiert.

Verschlüsselung

Verschlüsselung bei der Übermittlung und im Ruhezustand

Die Daten werden über öffentliche Netze mit dem Industriestandard HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt. Dies gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Xoxoday während der Übertragung sicher ist. Zusätzlich nutzt unser Produkt für E-Mails standardmäßig opportunistisches TLS. 

Transport Layer Security (TLS) verschlüsselt und überträgt E-Mails sicher und verhindert das Abhören zwischen Mailservern, wenn Peer-Dienste dieses Protokoll unterstützen. Zu den Ausnahmen für die Verschlüsselung gehören die Nutzung der produktinternen SMS-Funktionalität sowie andere Anwendungen, Integrationen oder Dienste von Drittanbietern, die der Abonnent nach eigenem Ermessen nutzen kann.

Die Service-Daten werden im Ruhezustand in AWS mit einem AES-256-Schlüssel verschlüsselt.

Produktsicherheit

Wir ergreifen Maßnahmen zur sicheren Entwicklung und zum Testen gegen Sicherheitsbedrohungen, um die Sicherheit unserer Kundendaten zu gewährleisten. Wir pflegen einen sicheren Entwicklungszyklus, bei dem die Schulung unserer Entwickler und die Durchführung von Design- und Code-Reviews eine wichtige Rolle spielen. Darüber hinaus beschäftigt Xoxoday Sicherheitsexperten von Drittanbietern, die detaillierte Penetrationstests für verschiedene Anwendungen durchführen.

Sicherheit im Netz

Die Produkte von Xoxoday werden auf den Plattformen AWS von Amazon und MS Azure gehostet. Die Mitarbeiter von Xoxoday haben keinen physischen Zugang zu unserer Produktionsumgebung. Als Amazon- und Azure-Kunde profitieren wir von einer Rechenzentrums- und Netzwerkarchitektur, die den Anforderungen der sicherheitssensibelsten Unternehmen gerecht wird.

Die Rechenzentren sind in unauffälligen Einrichtungen untergebracht, mit militärischen Kontrollbalken und professionellem Sicherheitspersonal, das Videoüberwachung, modernste Einbruchserkennungssysteme und andere elektronische Mittel einsetzt.

Neben der physischen Sicherheit bieten Cloud-Plattformen auch einen erheblichen Schutz vor der herkömmlichen Netzsicherheit.

Sichere Entwicklung (SDLC)

Secure Code Training - Mindestens einmal im Jahr nehmen Ingenieure an einem Secure Code Training teil, das die OWASP Top 10 Sicherheitsrisiken und gängige Angriffsvektoren behandelt.

Secure Access - Alle Anwendungsserver von Xoxoday sind über HTTPS gesichert. Wir verwenden eine dem Industriestandard entsprechende Verschlüsselung für Daten, die zu und von den Anwendungsservern übertragen werden.

Qualitätssicherung (QA)

Unsere Qualitätssicherungsabteilung (QA) prüft und testet unsere Codebasis. Engagierte Anwendungssicherheitsingenieure identifizieren, testen und ordnen Sicherheitsschwachstellen im Code ein.

Getrennte Umgebungen

Test- und Staging-Umgebungen sind logisch von der Produktionsumgebung getrennt. In unseren Entwicklungs- und Testumgebungen werden keine Servicedaten verwendet.

Anwendungssicherheit

Um den Schutz der uns anvertrauten Daten zu gewährleisten, haben wir eine Reihe von Sicherheitskontrollen eingeführt. Die Sicherheitskontrollen von Xoxoday sind so konzipiert, dass sie ein hohes Maß an Mitarbeitereffizienz ohne künstliche Hindernisse ermöglichen und gleichzeitig das Risiko minimieren.

Xoxoday beschäftigt ein engagiertes Vollzeit-Sicherheitsteam, um unsere Sicherheit zu verwalten und kontinuierlich zu verbessern. Das Team schützt die Xoxoday-Infrastruktur, das Netzwerk und die Daten (einschließlich der Daten unserer Kunden).

Zusätzlich zu den Sicherheitskomponenten, die von unseren führenden Cloud-Anbietern (MS Azure und AWS) bereitgestellt werden, unterhält Xoxoday seine eigenen speziellen Kontrollen, indem es die besten Praktiken der Branche befolgt. 

Diese Kontrollen umfassen DDoS-Angriffe, DB-Schutz und eine spezielle Web Application Firewall sowie feinkörnige Regeln für die Netzwerk-Firewall, die nach den höchsten Industriestandards konfiguriert sind.

Host-Sicherheit

Für den Konsolenzugang zu unseren Servern sind SSH-Schlüssel erforderlich, und jede Anmeldung wird durch einen Benutzer identifiziert. Alle kritischen Vorgänge werden auf einem zentralen Protokollserver aufgezeichnet, und der Zugriff auf unsere Server ist nur von eingeschränkten und sicheren IPs aus möglich.

Die Hosts sind segmentiert, und der Zugriff wird auf der Grundlage der Funktionalität eingeschränkt. Anwendungsanforderungen sind nur von AWS ELB aus zulässig, und auf Datenbankserver kann nur von Anwendungsservern aus zugegriffen werden.

Passwort-Politik

Wir haben die Kennwortrichtlinie aktiviert, und die Kennwörter werden nach der Verschlüsselung gespeichert, um die maximale Sicherheit der Daten zu gewährleisten. Das Passwort muss mindestens 8 Zeichen lang sein und mindestens einen Großbuchstaben, Sonderzeichen wie '# $ % * &' und eine Ziffer enthalten.

Web-Anwendungs-Firewall (WAF)

Unsere dedizierte Web Application Firewall fungiert als starke Barriere zum Schutz der Anwendungen und Microservices von Xoxoday. Sie erzwingt Sicherheitskontrollen wie eine gehärtete TLS-Konfiguration (HSTS, starke Verschlüsselung und Hashing-Algorithmen), einen umfassenden Schutz vor bösartigen Aktivitäten (Erkennung schlechter IP-Reputation, Browser-Integritätsprüfungen, WAF-Regeln) und mehrere Regeln zur Ratenbegrenzung, die eine automatische Formularübermittlung an kritischen Endpunkten verhindern (Angriffe durch Passwort-Erraten).

Schutz von Kreditkarteninformationen

Xoxoday speichert, verarbeitet oder sammelt keine Kreditkarteninformationen, die uns von Kunden übermittelt werden. Wir setzen vertrauenswürdige und PCI-konforme Zahlungsanbieter ein, um sicherzustellen, dass die Kreditkartendaten unserer Kunden sicher und gemäß den entsprechenden Vorschriften und Branchenstandards verarbeitet werden.

Alle unsere Zahlungsgateways sind PCI DSS-konform.

Verfügbarkeit und Geschäftskontinuität

Xoxoday unterhält ein Disaster-Recovery-Programm, um sicherzustellen, dass die Dienste verfügbar bleiben oder im Falle einer Katastrophe leicht wiederhergestellt werden können. Kunden können sich über eine öffentlich zugängliche Status-Website über geplante Wartungsarbeiten und den Verlauf von Servicevorfällen auf dem Laufenden halten.

Die BCP- und DR-Pläne werden jedes Jahr getestet und überprüft. Die BCP- und DR-Pläne von Xoxoday werden im Rahmen der Normen ISO 27001 und SOC 2 Typ II, die die Verfügbarkeit als einen der Grundsätze der Vertrauensdienste abdecken, überprüft und auditiert.

Verwaltungstätigkeit

Xoxoday verwendet eine Zwei-Faktor-Authentifizierung, um den Zugang zu unseren administrativen Abläufen - sowohl zur Infrastruktur als auch zu den Diensten - zu gewährleisten. Wir stellen sicher, dass administrative Rechte nur wenigen Mitarbeitern gewährt werden. Darüber hinaus stellt unser rollenbasierter Zugriff sicher, dass die Benutzer die Operationen gemäß der Zugriffskontrollrichtlinie durchführen können.

Alle administrativen Zugriffe werden automatisch protokolliert und von unserem internen Sicherheitsteam überwacht. Detaillierte Informationen darüber, wann und warum die Operationen durchgeführt werden, werden dokumentiert und dem Sicherheitsteam mitgeteilt, bevor Änderungen an der Produktionsumgebung vorgenommen werden.

Xoxoday hat ein Informationstechnologienetz eingerichtet, um seine Geschäftstätigkeit zu erleichtern und sie im Hinblick auf verschiedene Risiken effizienter zu gestalten. Und die Festlegung von Managementrichtlinien, Grundsätzen und Standardanforderungen, um sicherzustellen, dass ein angemessener Schutz der Informationen in seinen Netzwerken aufrechterhalten und aufrechterhalten wird.  

Humanressourcen Sicherheit

Sicherheitsbewusstsein - Politiken 

Xoxoday hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Vertragspartnern mit Zugang zu Xoxoday-Informationsbeständen mitgeteilt und zur Verfügung gestellt.

Sensibilisierungsschulung 

Jeder Mitarbeiter unterschreibt bei seiner Einstellung eine Vertraulichkeitserklärung und eine Richtlinie zur akzeptablen Nutzung, woraufhin er eine Schulung in den Bereichen Informationssicherheit, Datenschutz und Compliance absolviert. Darüber hinaus bewerten wir ihr Verständnis durch Tests und Quizfragen, um festzustellen, in welchen Themen sie weitere Schulungen benötigen. Wir bieten Schulungen zu spezifischen Sicherheitsaspekten an, die sie je nach ihrer Rolle benötigen.

Mitarbeiterüberprüfung

Jeder Mitarbeiter durchläuft einen Prozess der Hintergrundüberprüfung. Wir beauftragen renommierte externe Agenturen, diese Überprüfung in unserem Namen durchzuführen. Wir überprüfen dabei das Strafregister, etwaige frühere Beschäftigungsverhältnisse und den Bildungshintergrund. Solange diese Überprüfung nicht abgeschlossen ist, werden dem Mitarbeiter keine Aufgaben übertragen, die ein Risiko für die Benutzer darstellen könnten.

Geheimhaltungsvereinbarung

Alle neu eingestellten Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Der Mitarbeiter erklärt sich ausdrücklich damit einverstanden, dass er vertrauliche Informationen, die ihm das Unternehmen bei der Entwicklung oder Lieferung von Produkten oder Dienstleistungen für eigene oder fremde Rechnung zur Verfügung stellt, nicht zur persönlichen Bereicherung verwenden darf.