El principal objetivo de seguridad de Xoxoday es salvaguardar los datos de nuestros clientes y usuarios. Por ello, Xoxoday ha invertido en los recursos y controles adecuados para proteger y dar servicio a nuestros clientes. Nos centramos en la definición de nuevos controles y en el perfeccionamiento de los ya existentes, en la implementación y gestión del marco de seguridad de Xoxoday y en la provisión de una estructura de apoyo que facilite el cumplimiento efectivo y la gestión de riesgos.
Xoxoday se compromete a garantizar la integridad, la confidencialidad, la disponibilidad y la seguridad de sus activos físicos y de la información, así como a mantener la privacidad a la hora de atender las necesidades de los clientes y de la organización, cumpliendo al mismo tiempo con los requisitos legales, estatutarios y reglamentarios correspondientes.
Para proporcionar una protección adecuada a los activos de la información, Xoxoday ha creado el Sistema de Gestión de la Seguridad de la Información (SGSI), que permite a todos seguir estas políticas de forma diligente, coherente e imparcial. Xoxoday implementará procedimientos y controles a todos los niveles para proteger la confidencialidad e integridad de la información almacenada y procesada en sus sistemas y garantizar que la información sólo esté disponible para las personas autorizadas en el momento en que sea necesario.
.svg){kind=icon}
Hemos desarrollado nuestro marco de cumplimiento utilizando las mejores prácticas de la industria del SaaS. Nuestros objetivos clave incluyen
Xoxoday se compromete a cumplir con todas las normativas y leyes vigentes en todos los lugares y países en los que opera y procesa información. Xoxoday se toma en serio la integridad y la seguridad de los datos. Más de dos millones de clientes en todo el mundo nos confían la seguridad de sus datos. Debido a la naturaleza de nuestros productos y servicios, debemos reconocer nuestras responsabilidades tanto como controlador de datos como procesador.
La seguridad de los datos del cliente es una parte esencial de nuestro producto, procesos y cultura de equipo. Nuestras instalaciones, procesos y sistemas son fiables, robustos y han sido probados por reputadas organizaciones de control de calidad y seguridad de datos. Buscamos continuamente oportunidades para mejorar el dinámico panorama tecnológico y ofrecerle un sistema altamente seguro y escalable que le proporcione una gran experiencia.
Utilizamos las mejores prácticas y las normas del sector para lograr el cumplimiento de los marcos generales de seguridad y privacidad aceptados por la industria.
Utilizamos elementos de seguridad de clase empresarial y realizamos auditorías exhaustivas de nuestras aplicaciones, sistemas y redes para proteger los datos de los clientes y las empresas. Nuestros clientes están tranquilos sabiendo que su información está a salvo, sus interacciones son seguras y sus negocios están protegidos.
Xoxoday cuenta con la certificación ISO 27001:2013.
ISO/IEC 27001:2013 es una especificación para un sistema de gestión de la seguridad de la información (SGSI). Un SGSI es un marco de políticas y procedimientos para la gestión de los riesgos de la información de la organización, que incluye controles legales, físicos y técnicos, utilizados para mantener la información segura.
Con el sólido SGSI de ISO, usted obtiene la garantía adicional de que hemos implementado un espectro completo de mejores prácticas de seguridad en toda la organización.
Xoxoday cuenta con la certificación ISO 27001:2013, y nos comprometemos a identificar los riesgos, evaluar las implicaciones y utilizar controles sistematizados que inspiren confianza en todo lo que hacemos, desde nuestra base de código hasta la infraestructura física y las prácticas de las personas.
Xoxoday lleva a cabo auditorías anuales SOC 2 con la ayuda de un auditor independiente. Nuestro informe SOC 2 atestigua que nuestros controles, que rigen la disponibilidad, confidencialidad y seguridad de los datos de los clientes, se ajustan a los Principios de Servicio de Confianza (TSP) establecidos por el Instituto Americano de Contadores Públicos Certificados (AICPA).
Seguridad: Estos principios miden cómo protegemos sus datos y nuestros sistemas contra el acceso no autorizado y cómo evitamos que la divulgación de información dañe los sistemas que protegen la disponibilidad, integridad, confidencialidad y privacidad de su información.
Disponibilidad: Este principio de confianza cubre si su información y sistemas están disponibles para su funcionamiento y uso para cumplir con los objetivos de su empresa.
Integridad del procesamiento: Este principio evalúa si el procesamiento de su sistema es completo y preciso y sólo procesa información autorizada.
Confidencialidad: Se refiere a si la información confidencial queda realmente protegida.
Privacidad: Este último principio de confianza examina si la información personal de tus usuarios se recopila, utiliza, conserva, divulga y destruye según el aviso de privacidad de tu empresa y los Principios de Privacidad Generalmente Aceptados (PGA).
Estamos orgullosos de la excelencia de nuestros controles y le invitamos a obtener una copia de nuestro informe SOC 2 Tipo I poniéndose en contacto con su representante de Xoxoday
Xoxoday cumple con la CCPA/CPRA.
La CPRA ha modificado, ampliado y aclarado los derechos de privacidad de los residentes de California, y se inspira en la política del GDPR de la UE de diversas maneras. La CPRA crea la nueva categoría información personal sensible (SPI) que se regula de forma separada y más fuerte que la información personal (PI).
El objetivo de la CPRA es redefinir y ampliar la Ley de Privacidad del Consumidor de California (CCPA) para reforzar los derechos de los residentes de California. Ofrece a los consumidores mayores oportunidades de exclusión y exige a las empresas una gestión deliberada de la privacidad de los datos.
Xoxoday cuenta con la certificación HIPAA.
El Departamento de Salud y Servicios Humanos de EE.UU. estableció la Ley de Portabilidad y Responsabilidad del Seguro Médico, HIPAA, en 1996. Esta ley pretendía garantizar la protección de la información sanitaria de los pacientes frente al acceso público.
Puede haber casos en los que los clientes utilicen algunos de nuestros productos para procesar información médica personal electrónica (ePHI) en el curso ordinario de sus operaciones comerciales. De acuerdo con la ley HIPAA de 1996, si nuestros clientes se clasifican como entidad cubierta o asociado comercial, Xoxoday les ayuda a cumplir con la ley HIPAA.
Ayudamos a los clientes a cumplir con sus obligaciones de la HIPAA aprovechando las opciones de configuración de seguridad adecuadas en los productos de Xoxoday.
Xoxoday cumple con el GDPR.
Nuestro programa integral de cumplimiento del RGPD se apoya en estos principios fundamentales de privacidad: responsabilidad, privacidad por diseño y por defecto, minimización de datos y derechos de acceso del sujeto, entre otros. La tecnología y las operaciones relacionadas con el negocio son objeto de programas de sensibilización periódicos.
Xoxoday se compromete a proporcionar productos y servicios seguros mediante la aplicación y la adhesión a las políticas de cumplimiento prescritas, tanto en calidad de controlador como de procesador de datos.
La aplicación del GDPR es fundamental para nuestra misión de proporcionar a la UE y a todos nuestros clientes globales soluciones empresariales seguras y fiables. En apoyo de este compromiso, Xoxoday extiende el mismo nivel de privacidad y seguridad a todos sus clientes en todo el mundo, independientemente de su ubicación.
Para más información sobre Xoxoday GDPR, haga clic aquí
Xoxoday cumple con el nivel 1 de STAR.
CSA STAR engloba los principios fundamentales de transparencia, auditoría rigurosa y armonización de las normas descritas en la Matriz de Controles en la Nube (CCM) y el CAIQ. Xoxoday es miembro de la Cloud Security Alliance (CSA), una organización sin ánimo de lucro cuya misión es promover las mejores prácticas para ofrecer garantías de seguridad dentro del Cloud Computing.
CSA ha lanzado el Registro de Seguridad, Confianza y Garantía (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por varias ofertas de computación en nube. Sobre la base de los resultados de nuestra autoevaluación de diligencia debida, hemos completado un cuestionario de la Iniciativa de Evaluación de Consenso (CAI) disponible al público.
El CAIQ de la CSA puede descargarse aquí.
Xoxoday se compromete plenamente a respetar los derechos que las leyes de protección de datos vigentes otorgan a los interesados y a cuidar con esmero sus datos personales. Más de 2 millones de clientes de todo el mundo nos confían la seguridad de sus datos. Debido a la naturaleza de los productos y servicios que proporcionamos, reconocemos nuestras responsabilidades tanto como responsables del tratamiento de datos.
La seguridad de los datos de los clientes es una parte esencial de nuestros productos, procesos y cultura de equipo. Nuestras instalaciones, procesos y sistemas son fiables, robustos y han sido probados por reputadas organizaciones de control de calidad y seguridad de datos. Buscamos continuamente oportunidades para mejorar el dinámico panorama tecnológico y ofrecerle un sistema altamente seguro y escalable que le proporcione una gran experiencia.
Política de privacidad - Más información sobre la política de privacidad de Xoxoday
Política GDPR - Conozca más sobre la política GDPR de Xoxoday
Disponemos de una serie de recursos que podemos facilitar si se nos solicita.
Para acceder a los siguientes recursos descargables, haga clic en el siguiente botón:
Los siguientes recursos pueden requerir un NDA en el archivo. Póngase en contacto con su representante de Xoxoday.
Xoxoday subcontrata el alojamiento de la infraestructura de su producto a los principales proveedores de infraestructuras en la nube. Principalmente, el producto Xoxoday aprovecha Amazon Web Services (AWS) y Microsoft Azure para el alojamiento de la infraestructura. Los proveedores de infraestructura en la nube tienen altos niveles de seguridad física y de red y diversidad de proveedores de alojamiento. AWS mantiene un programa de seguridad auditado, que incluye el cumplimiento de SOC 2 e ISO 27001. Xoxoday no aloja ningún sistema de productos en sus oficinas corporativas.
Xoxoday despliega productos en centros de datos de AWS y Microsoft Azure que han sido certificados como ISO 27001, PCI DSS Service Provider Level 1, y/o SOC 2 compliant. Los servicios de infraestructura de AWS y Microsoft Azure incluyen energía de reserva, sistemas de climatización y equipos de extinción de incendios para ayudar a proteger los servidores y, en última instancia, sus datos
Más información sobre la conformidad en AWS y Microsoft Azure.
Las protecciones de seguridad física, ambiental y de infraestructura, incluidos los planes de continuidad y recuperación, han sido validadas de forma independiente como parte de sus certificaciones SOC 2 Tipo II e ISO 27001.
La seguridad in situ de AWS y MS Azure incluye una serie de características como guardias de seguridad, cercado, alimentación de seguridad, tecnología de detección de intrusos y otras medidas de seguridad.
AWS/MS Azure proporciona acceso al centro de datos físico solo a los empleados aprobados. Todos los empleados que necesitan acceso al centro de datos deben solicitarlo primero y proporcionar una justificación empresarial válida. Estas solicitudes se conceden basándose en el principio de mínimo privilegio, donde las solicitudes deben especificar a qué capa del centro de datos necesita acceder el individuo, y están limitadas en el tiempo. Las solicitudes son revisadas y aprobadas por el personal autorizado, y el acceso se revoca una vez transcurrido el tiempo solicitado. Una vez concedido el acceso, los individuos están restringidos a las áreas especificadas en sus permisos.
Nuestra red está protegida mediante servicios esenciales de seguridad en la nube, la integración con nuestras redes de protección de borde de Cloudflare, auditorías periódicas y tecnologías de inteligencia de red, que supervisan y bloquean el tráfico malicioso conocido y los ataques a la red.
El escaneo de vulnerabilidades nos da una visión profunda para identificar rápidamente los sistemas que no cumplen con las normas o que son potencialmente vulnerables. Además de nuestro extenso programa interno de escaneo y pruebas, Xoxoday emplea a expertos en seguridad de terceros para realizar una evaluación de vulnerabilidad y pruebas de penetración.
Nuestro programa Bug Bounty ofrece a los investigadores de seguridad y a los clientes una vía para probar y notificar de forma segura a Xoxoday las vulnerabilidades de seguridad.
Por favor, haga clic aquí para saber más sobre el programa de recompensas de errores de Xoxoday
Nuestro sistema de gestión de eventos de seguridad (SIEM) recopila amplios registros de dispositivos de red y sistemas de host esenciales. Las alertas del SIEM notifican al equipo de seguridad en función de los eventos correlacionados para su investigación y respuesta.
Los puntos de entrada y salida del servicio están instrumentados y monitorizados para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan los umbrales predeterminados y utilizan firmas actualizadas periódicamente en función de las nuevas amenazas. Esto incluye la supervisión del sistema las 24 horas del día, los 7 días de la semana.
El acceso a la Red de Producción de Xoxoday está restringido por una necesidad explícita de conocimiento, utiliza el mínimo privilegio, es frecuentemente auditado y monitoreado, y es controlado por nuestro Equipo de Operaciones. Los empleados que acceden a la red de producción de Xoxoday deben utilizar múltiples factores de autenticación.
El acceso a los datos y sistemas se basa en los principios de mínimo privilegio para el acceso. Se ha definido una solución de Gestión de Identidades y Accesos (IAM) para gestionar el acceso de los usuarios a través de perfiles de acceso basados en roles que apoyan la implementación de accesos basados en los principios de necesidad de conocimiento y apoyan la segregación de funciones. Los privilegios relativos a la administración de los privilegios de acceso de los usuarios y las configuraciones de los roles son diferentes del aprobador autorizado que aprueba las solicitudes de acceso. Los aprobadores son los Jefes de Producto o los respectivos Jefes de Función son sus delegados autorizados.
En caso de que se produzca una alerta en el sistema, los sucesos se comunican a nuestros equipos de operaciones, ingeniería de redes y seguridad, que están disponibles las 24 horas del día, todos los días de la semana. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de escalado.
Xoxoday ha definido el proceso de gestión de incidentes de seguridad para clasificar y gestionar los incidentes y las brechas de seguridad. El equipo de Seguridad de la Información es responsable de registrar, informar, rastrear, responder, resolver, monitorear, reportar y comunicar los incidentes a las partes apropiadas con prontitud. El proceso se revisa como parte de nuestra auditoría interna periódica y se audita como parte de la evaluación ISO 27001 y SOC 2 Tipo II.
Los datos se encriptan a través del estándar industrial HTTPS/TLS (TLS 1.2 o superior) en redes públicas. Esto garantiza que todo el tráfico entre usted y Xoxoday es seguro durante el tránsito. Además, para el correo electrónico, nuestro producto aprovecha el TLS oportunista por defecto.
La seguridad de la capa de transporte (TLS) encripta y entrega el correo electrónico de forma segura, mitigando las escuchas entre servidores de correo cuando los servicios pares admiten este protocolo. Las excepciones para el cifrado pueden incluir cualquier uso de la funcionalidad de SMS en el producto, cualquier otra aplicación de terceros, la integración o el servicio que los suscriptores pueden optar por aprovechar a su propia discreción.
Los datos del servicio se encriptan en reposo en AWS utilizando un cifrado de clave AES-256.
Tomamos medidas para desarrollar y probar de forma segura las amenazas a la seguridad para garantizar la seguridad de los datos de nuestros clientes. Mantenemos un ciclo de vida de desarrollo seguro, en el que la formación de nuestros desarrolladores y la realización de revisiones de diseño y código tienen un papel primordial. Además, Xoxoday emplea a expertos en seguridad de terceros para realizar pruebas de penetración detalladas en diferentes aplicaciones.
Los productos de Xoxoday están alojados en las plataformas AWS de Amazon y MS Azure. Los empleados de Xoxoday no tienen ningún acceso físico a nuestro entorno de producción. Como cliente de Amazon y Azure, nos beneficiamos de un centro de datos y una arquitectura de red construidos para satisfacer los requisitos de las organizaciones más sensibles a la seguridad.
Los centros de datos están alojados en instalaciones anodinas, con vigas de control perimetral de grado militar con personal de seguridad profesional que utiliza la videovigilancia, sistemas de detección de intrusos de última generación y otros medios electrónicos.
Además de la seguridad física, las plataformas en la nube también ofrecen una importante protección contra la seguridad de la red tradicional.
Formación sobre código seguro - Al menos una vez al año, los ingenieros participan en una formación sobre código seguro que cubre los 10 principales riesgos de seguridad de OWASP y los vectores de ataque más comunes.
Acceso seguro - Los servidores de aplicaciones de Xoxoday son todos HTTPS seguros. Utilizamos la encriptación estándar de la industria para los datos que atraviesan hacia y desde los servidores de aplicaciones.
Nuestro departamento de control de calidad (QA) revisa y prueba nuestro código. Los ingenieros de seguridad de las aplicaciones identifican, prueban y eliminan las vulnerabilidades de seguridad del código.
Los entornos de prueba y de ensayo están lógicamente separados del entorno de producción. No se utilizan datos de servicio en nuestros entornos de desarrollo o de prueba.
Para garantizar la protección de los datos que se nos confían, hemos implementado una serie de controles de seguridad. Los controles de seguridad de Xoxoday están diseñados para permitir un alto nivel de eficiencia de los empleados sin obstáculos artificiales, al tiempo que se minimizan los riesgos.
Xoxoday cuenta con un equipo de seguridad dedicado a tiempo completo para gestionar y mejorar continuamente nuestra seguridad. El equipo protege la infraestructura, la red y los datos de Xoxoday (incluidos los datos de nuestros clientes).
Además de los componentes de seguridad proporcionados por nuestros proveedores de nube de primer nivel (MS Azure y AWS), Xoxoday mantiene sus propios controles dedicados siguiendo las mejores prácticas de la industria.
Estos controles cubren el ataque DDoS, la protección de la base de datos y un cortafuegos de aplicaciones web dedicado, así como las reglas de grano fino del cortafuegos de red configuradas utilizando los más altos estándares de la industria.
Se requieren claves SSH para acceder a la consola de nuestros servidores, y cada inicio de sesión está identificado por un usuario. Todas las operaciones críticas se registran en un servidor de registro central, y sólo se puede acceder a nuestros servidores desde IPs restringidas y seguras.
Los hosts están segmentados y los accesos están restringidos en función de la funcionalidad. Las solicitudes de aplicaciones solo se permiten desde AWS ELB, y solo se puede acceder a los servidores de bases de datos desde los servidores de aplicaciones.
Hemos habilitado la política de contraseñas, y las contraseñas se almacenan después de la encriptación para la máxima seguridad de los datos. La contraseña debe tener un mínimo de 8 caracteres y debe contener al menos una letra mayúscula, caracteres especiales entre '# $ % * &' y un dígito.
Nuestro firewall de aplicaciones web dedicado actúa como una fuerte barrera para proteger la aplicación y los microservicios de Xoxoday. Aplica controles de seguridad como la configuración TLS reforzada (HSTS, cifrado fuerte y algoritmos hash), la protección general contra la actividad maliciosa (detección de mala reputación de IP, comprobaciones de integridad del navegador, reglas WAF) y múltiples reglas de limitación de velocidad que impiden el envío automático de formularios en puntos finales críticos (ataques de adivinación de contraseñas).
Xoxoday no almacena, procesa ni recoge la información de las tarjetas de crédito que nos envían los clientes. Nos apoyamos en proveedores de pago de confianza y que cumplen con la normativa PCI para garantizar que la información de las tarjetas de crédito de los clientes se procesa de forma segura y de acuerdo con la normativa y los estándares del sector.
Todas nuestras pasarelas de pago cumplen con la norma PCI DSS.
Xoxoday mantiene un programa de recuperación de desastres para garantizar que los servicios sigan estando disponibles o sean fácilmente recuperables en caso de desastre. Los clientes pueden mantenerse al día sobre los problemas de disponibilidad a través de un sitio web de estado disponible públicamente que cubre el mantenimiento programado y el historial de incidentes de servicio.
Los planes BCP y DR se prueban y revisan cada año. Los planes BCP y DR de Xoxoday se revisan y auditan como parte de las normas ISO 27001 y SOC 2 Tipo II, que cubren la disponibilidad como uno de los principios de servicio de confianza.
Xoxoday utiliza la autenticación de dos factores para conceder acceso a nuestras operaciones administrativas, tanto a la infraestructura como a los servicios. Nos aseguramos de que los privilegios administrativos se concedan sólo a unos pocos empleados. Además, nuestro uso del acceso basado en roles garantiza que los usuarios puedan realizar operaciones según la política de control de acceso.
Todos los accesos administrativos se registran automáticamente y son supervisados por nuestro equipo de seguridad interno. La información detallada sobre cuándo y por qué se realizan las operaciones se documenta y se notifica al equipo de seguridad antes de realizar cualquier cambio en el entorno de producción.
Xoxoday ha desplegado una red de tecnologías de la información para facilitar su actividad y hacerla más eficiente frente a diversos riesgos. Y establece la dirección, los principios y los requisitos estándar de la gestión para garantizar que se mantenga y sostenga la protección adecuada de la información en sus redes.
Xoxoday ha desarrollado un amplio conjunto de políticas de seguridad que cubren una serie de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Xoxoday.
Cada empleado, en el momento de su incorporación, firma un acuerdo de confidencialidad y una política de uso aceptable, tras lo cual recibe formación sobre seguridad de la información, privacidad y cumplimiento de la normativa. Además, evaluamos su comprensión mediante pruebas y cuestionarios para determinar los temas en los que necesitan más formación. Proporcionamos formación sobre aspectos específicos de la seguridad que puedan necesitar en función de sus funciones.
Cada empleado se somete a un proceso de verificación de antecedentes. Contratamos a reputadas agencias externas para que realicen esta comprobación en nuestro nombre. Lo hacemos para verificar sus antecedentes penales, su historial laboral, si lo hay, y su formación. Hasta que no se realiza esta comprobación, no se asignan al empleado tareas que puedan suponer un riesgo para los usuarios.
Todas las nuevas contrataciones deben firmar acuerdos de no divulgación y confidencialidad. El Empleado acepta expresamente que no utilizará la Información Confidencial proporcionada por la empresa en el desarrollo o la entrega o en beneficio personal de la prestación de cualquier producto o servicio por cuenta propia o por cuenta de terceros.
