Der Schutz Ihrer Daten hat für uns oberste Priorität

Für die folgenden Ressourcen muss möglicherweise ein NDA hinterlegt werden. Bitte wenden Sie sich an Ihren Xoxoday-Vertreter.

1. SOC 2-Konformitätsbericht
2. Zusammenfassung der Schwachstellenbewertung und Penetrationstests
3. Bericht über das kalifornische Gesetz über den Schutz der Privatsphäre von Verbrauchern (CCPA) und das kalifornische Gesetz über die Rechte der Privatsphäre (CPRA).
4. Bericht zum Health Insurance Portability and Accountability Act (HIPAA).
5. GDPR-Bericht zur Datenschutz-Folgenabschätzung.
   

Xoxoday stellt seine Produkte in AWS- und Microsoft Azure-Rechenzentren bereit, die nach ISO 27001, PCI DSS Service Provider Level 1 und/oder SOC 2 zertifiziert sind. Zu den Infrastrukturdiensten von AWS und Microsoft Azure gehören Backup-Stromversorgung, HLK-Systeme und Feuerlöschanlagen, um Server und letztlich Ihre Daten zu schützen

Erfahren Sie mehr über Compliance bei AWS und Microsoft Azure.

Die physischen, umweltbezogenen und infrastrukturellen Sicherheitsvorkehrungen, einschließlich Kontinuitäts- und Wiederherstellungsplänen, wurden im Rahmen ihrer SOC 2 Typ II- und ISO 27001-Zertifizierungen unabhängig validiert.

AWS- und MS Azure-Sicherheit vor Ort umfasst eine Reihe von Merkmalen wie Sicherheitspersonal, Zäune, Sicherheitseinspeisungen, Technologie zur Erkennung von Eindringlingen und andere Sicherheitsmaßnahmen.

AWS/MS Azure bietet den physischen Zugang zum Rechenzentrum nur für zugelassene Mitarbeiter. Alle Mitarbeiter, die Zugang zum Rechenzentrum benötigen, müssen diesen zunächst beantragen und eine gültige geschäftliche Begründung vorlegen. Diese Anträge werden nach dem Prinzip des geringsten Privilegs gewährt, wobei in den Anträgen angegeben werden muss, auf welche Schicht des Rechenzentrums die betreffende Person Zugriff benötigt, und sie sind zeitlich begrenzt. Die Anträge werden von autorisiertem Personal geprüft und genehmigt, und der Zugang wird nach Ablauf der beantragten Zeit widerrufen. Sobald der Zutritt gewährt wurde, sind die Personen auf die in ihren Berechtigungen angegebenen Bereiche beschränkt.

Unser Netzwerk wird durch wichtige Cloud-Sicherheitsdienste, die Integration mit unseren Cloudflare-Edge-Schutznetzwerken, regelmäßige Audits und Netzwerkintelligenztechnologien geschützt, die bekannten bösartigen Datenverkehr und Netzwerkangriffe überwachen und blockieren.

Schwachstellen-Scans geben uns einen tiefen Einblick in die schnelle Identifizierung von nicht konformen oder potenziell anfälligen Systemen. Zusätzlich zu unserem umfangreichen internen Scan- und Testprogramm beauftragt Xoxoday Sicherheitsexperten von Drittanbietern mit der Durchführung von Schwachstellenbewertungen und Penetrationstests.

Unser Bug Bounty Programm bietet Sicherheitsforschern und Kunden die Möglichkeit, Xoxoday auf sichere Weise auf Sicherheitslücken zu testen und diese zu melden.

Bitte klicken Sie hier, um mehr über das Xoxoday Bug Bounty Programm zu erfahren

Unser Security Incident Event Management (SIEM)-System sammelt umfangreiche Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Die SIEM-Warnungen benachrichtigen das Sicherheitsteam auf der Grundlage korrelierter Ereignisse zur Untersuchung und Reaktion.

Die Eingangs- und Ausgangspunkte von Diensten werden instrumentiert und überwacht, um anomales Verhalten zu erkennen. Diese Systeme sind so konfiguriert, dass sie Warnmeldungen erzeugen, wenn Vorfälle und Werte vorgegebene Schwellenwerte überschreiten, und sie verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Dies umfasst eine 24/7-Systemüberwachung.

Der Zugriff auf das Xoxoday-Produktionsnetzwerk ist durch eine ausdrückliche "Need-to-know"-Basis beschränkt, nutzt das Prinzip der geringsten Rechte, wird häufig geprüft und überwacht und von unserem Operations-Team kontrolliert. Mitarbeiter, die auf das Xoxoday-Produktionsnetzwerk zugreifen, müssen mehrere Authentifizierungsfaktoren verwenden.

Der Zugang zu Daten und Systemen basiert auf dem Prinzip der geringsten Privilegien für den Zugang. Eine Lösung für das Identitäts- und Zugriffsmanagement (IAM) wurde definiert, um den Benutzerzugriff durch rollenbasierte Zugriffsprofile zu verwalten, die die Implementierung von Zugriffen auf der Grundlage des Prinzips der Notwendigkeit von Wissen unterstützen und die Aufgabentrennung fördern. Die Berechtigungen für die Verwaltung der Benutzerzugriffsrechte und Rollenkonfigurationen unterscheiden sich von den autorisierten Genehmigern, die die Zugriffsanträge genehmigen. Bei den Genehmigenden handelt es sich entweder um die Produktleiter oder die jeweiligen Funktionsleiter bzw. deren bevollmächtigte Delegierte. 

Im Falle eines Systemalarms werden die Ereignisse an unsere 24/7-Teams weitergeleitet, die den Betrieb, die Netzwerktechnik und die Sicherheit abdecken. Die Mitarbeiter werden in den Prozessen zur Reaktion auf Sicherheitsvorfälle geschult, einschließlich der Kommunikationskanäle und Eskalationspfade.

Xoxoday hat einen Prozess zur Verwaltung von Sicherheitsvorfällen definiert, um Vorfälle und Sicherheitsverletzungen zu klassifizieren und zu behandeln. Das Informationssicherheitsteam ist für die Aufzeichnung, Meldung, Nachverfolgung, Reaktion, Lösung, Überwachung, Berichterstattung und unverzügliche Weiterleitung der Vorfälle an die zuständigen Stellen verantwortlich. Der Prozess wird im Rahmen unserer regelmäßigen internen Audits überprüft und im Rahmen der ISO 27001- und SOC 2 Typ II-Bewertung auditiert.

Verschlüsselung bei der Übermittlung und im Ruhezustand

Die Daten werden über öffentliche Netze mit dem Industriestandard HTTPS/TLS (TLS 1.2 oder höher) verschlüsselt. Dies gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Xoxoday während der Übertragung sicher ist. Zusätzlich nutzt unser Produkt für E-Mails standardmäßig opportunistisches TLS. 

Transport Layer Security (TLS) verschlüsselt und überträgt E-Mails sicher und verhindert das Abhören zwischen Mailservern, wenn Peer-Dienste dieses Protokoll unterstützen. Zu den Ausnahmen für die Verschlüsselung gehören die Nutzung der produktinternen SMS-Funktionalität sowie andere Anwendungen, Integrationen oder Dienste von Drittanbietern, die der Abonnent nach eigenem Ermessen nutzen kann.

Die Service-Daten werden im Ruhezustand in AWS mit einem AES-256-Schlüssel verschlüsselt.

Die Produkte von Xoxoday werden auf den Plattformen AWS von Amazon und MS Azure gehostet. Die Mitarbeiter von Xoxoday haben keinen physischen Zugang zu unserer Produktionsumgebung. Als Amazon- und Azure-Kunde profitieren wir von einer Rechenzentrums- und Netzwerkarchitektur, die den Anforderungen der sicherheitssensibelsten Unternehmen gerecht wird.

Die Rechenzentren sind in unauffälligen Einrichtungen untergebracht, mit militärischen Kontrollbalken und professionellem Sicherheitspersonal, das Videoüberwachung, modernste Einbruchserkennungssysteme und andere elektronische Mittel einsetzt.

Neben der physischen Sicherheit bieten Cloud-Plattformen auch einen erheblichen Schutz vor der herkömmlichen Netzsicherheit.

Secure Code Training - Mindestens einmal im Jahr nehmen Ingenieure an einem Secure Code Training teil, das die OWASP Top 10 Sicherheitsrisiken und gängige Angriffsvektoren behandelt.

Secure Access - Alle Anwendungsserver von Xoxoday sind über HTTPS gesichert. Wir verwenden eine dem Industriestandard entsprechende Verschlüsselung für Daten, die zu und von den Anwendungsservern übertragen werden.

Unsere Qualitätssicherungsabteilung (QA) prüft und testet unsere Codebasis. Engagierte Anwendungssicherheitsingenieure identifizieren, testen und ordnen Sicherheitsschwachstellen im Code ein.

Test- und Staging-Umgebungen sind logisch von der Produktionsumgebung getrennt. In unseren Entwicklungs- und Testumgebungen werden keine Servicedaten verwendet.

Um den Schutz der uns anvertrauten Daten zu gewährleisten, haben wir eine Reihe von Sicherheitskontrollen eingeführt. Die Sicherheitskontrollen von Xoxoday sind so konzipiert, dass sie ein hohes Maß an Mitarbeitereffizienz ohne künstliche Hindernisse ermöglichen und gleichzeitig das Risiko minimieren.

Xoxoday beschäftigt ein engagiertes Vollzeit-Sicherheitsteam, um unsere Sicherheit zu verwalten und kontinuierlich zu verbessern. Das Team schützt die Xoxoday-Infrastruktur, das Netzwerk und die Daten (einschließlich der Daten unserer Kunden).

Zusätzlich zu den Sicherheitskomponenten, die von unseren führenden Cloud-Anbietern (MS Azure und AWS) bereitgestellt werden, unterhält Xoxoday seine eigenen speziellen Kontrollen, indem es die besten Praktiken der Branche befolgt. 

Diese Kontrollen umfassen DDoS-Angriffe, DB-Schutz und eine spezielle Web Application Firewall sowie feinkörnige Regeln für die Netzwerk-Firewall, die nach den höchsten Industriestandards konfiguriert sind.

Wir haben die Kennwortrichtlinie aktiviert, und die Kennwörter werden nach der Verschlüsselung gespeichert, um die maximale Sicherheit der Daten zu gewährleisten. Das Passwort muss mindestens 8 Zeichen lang sein und mindestens einen Großbuchstaben, Sonderzeichen wie '# $ % * &' und eine Ziffer enthalten.

Unsere dedizierte Web Application Firewall fungiert als starke Barriere zum Schutz der Anwendungen und Microservices von Xoxoday. Sie erzwingt Sicherheitskontrollen wie eine gehärtete TLS-Konfiguration (HSTS, starke Verschlüsselung und Hashing-Algorithmen), einen umfassenden Schutz vor bösartigen Aktivitäten (Erkennung schlechter IP-Reputation, Browser-Integritätsprüfungen, WAF-Regeln) und mehrere Regeln zur Ratenbegrenzung, die eine automatische Formularübermittlung an kritischen Endpunkten verhindern (Angriffe durch Passwort-Erraten).

Xoxoday speichert, verarbeitet oder sammelt keine Kreditkarteninformationen, die uns von Kunden übermittelt werden. Wir setzen vertrauenswürdige und PCI-konforme Zahlungsanbieter ein, um sicherzustellen, dass die Kreditkartendaten unserer Kunden sicher und gemäß den entsprechenden Vorschriften und Branchenstandards verarbeitet werden.

Alle unsere Zahlungsgateways sind PCI DSS-konform.

Xoxoday unterhält ein Disaster-Recovery-Programm, um sicherzustellen, dass die Dienste verfügbar bleiben oder im Falle einer Katastrophe leicht wiederhergestellt werden können. Kunden können sich über eine öffentlich zugängliche Status-Website über geplante Wartungsarbeiten und den Verlauf von Servicevorfällen auf dem Laufenden halten.

Die BCP- und DR-Pläne werden jedes Jahr getestet und überprüft. Die BCP- und DR-Pläne von Xoxoday werden im Rahmen der Normen ISO 27001 und SOC 2 Typ II, die die Verfügbarkeit als einen der Grundsätze der Vertrauensdienste abdecken, überprüft und auditiert.

Xoxoday verwendet eine Zwei-Faktor-Authentifizierung, um den Zugang zu unseren administrativen Abläufen - sowohl zur Infrastruktur als auch zu den Diensten - zu gewährleisten. Wir stellen sicher, dass administrative Rechte nur wenigen Mitarbeitern gewährt werden. Darüber hinaus stellt unser rollenbasierter Zugriff sicher, dass die Benutzer die Operationen gemäß der Zugriffskontrollrichtlinie durchführen können.

Alle administrativen Zugriffe werden automatisch protokolliert und von unserem internen Sicherheitsteam überwacht. Detaillierte Informationen darüber, wann und warum die Operationen durchgeführt werden, werden dokumentiert und dem Sicherheitsteam mitgeteilt, bevor Änderungen an der Produktionsumgebung vorgenommen werden.

Xoxoday hat ein Informationstechnologienetz eingerichtet, um seine Geschäftstätigkeit zu erleichtern und sie im Hinblick auf verschiedene Risiken effizienter zu gestalten. Und die Festlegung von Managementrichtlinien, Grundsätzen und Standardanforderungen, um sicherzustellen, dass ein angemessener Schutz der Informationen in seinen Netzwerken aufrechterhalten und aufrechterhalten wird.  

Xoxoday hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Vertragspartnern mit Zugang zu Xoxoday-Informationsbeständen mitgeteilt und zur Verfügung gestellt.

Jeder Mitarbeiter unterschreibt bei seiner Einstellung eine Vertraulichkeitserklärung und eine Richtlinie zur akzeptablen Nutzung, woraufhin er eine Schulung in den Bereichen Informationssicherheit, Datenschutz und Compliance absolviert. Darüber hinaus bewerten wir ihr Verständnis durch Tests und Quizfragen, um festzustellen, in welchen Themen sie weitere Schulungen benötigen. Wir bieten Schulungen zu spezifischen Sicherheitsaspekten an, die sie je nach ihrer Rolle benötigen.

Jeder Mitarbeiter durchläuft einen Prozess der Hintergrundüberprüfung. Wir beauftragen renommierte externe Agenturen, diese Überprüfung in unserem Namen durchzuführen. Wir überprüfen dabei das Strafregister, etwaige frühere Beschäftigungsverhältnisse und den Bildungshintergrund. Solange diese Überprüfung nicht abgeschlossen ist, werden dem Mitarbeiter keine Aufgaben übertragen, die ein Risiko für die Benutzer darstellen könnten.

Alle neu eingestellten Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Der Mitarbeiter erklärt sich ausdrücklich damit einverstanden, dass er vertrauliche Informationen, die ihm das Unternehmen bei der Entwicklung oder Lieferung von Produkten oder Dienstleistungen für eigene oder fremde Rechnung zur Verfügung stellt, nicht zur persönlichen Bereicherung verwenden darf.