Ang pag secure ng Iyong Data ay ang aming Pangunahing Prayoridad

Ang mga sumusunod na mapagkukunan ay maaaring mangailangan ng isang NDA sa file. Mangyaring maabot ang iyong kinatawan ng Xoxoday.

1. SOC 2 Ulat sa Pagsunod
2. Buod ng Vulnerability Assessment at Penetration Test
3. Ulat ng California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA).
4. Ulat sa Portability and Accountability Act (HIPAA) ng Health Insurance.
5. Ulat sa Pagtatasa ng Epekto sa Pagkapribado ng Data ng GDPR.
   

Ang Xoxoday ay nag deploy ng mga produkto sa mga sentro ng data ng AWS at Microsoft Azure na sertipikado bilang ISO 27001, PCI DSS Service Provider Level 1, at / o SOC 2 compliant. Kasama sa mga serbisyo ng imprastraktura ng AWS at Microsoft Azure ang backup power, HVAC system, at kagamitan sa pagsugpo ng sunog upang makatulong na maprotektahan ang mga server at sa huli ang iyong data

Matuto nang higit pa tungkol sa Pagsunod sa AWS at Microsoft Azure.

Ang mga proteksyon sa seguridad sa pisikal, kapaligiran, at imprastraktura, kabilang ang pagpapatuloy at pagbawi ng mga plano, ay independiyenteng na validate bilang bahagi ng kanilang SOC 2 Type II at ISO 27001 certifications.
‍
Kasama sa AWS at MS Azure on site security ang isang bilang ng mga tampok tulad ng mga bantay ng seguridad, fencing, mga feed ng seguridad, teknolohiya ng pagtuklas ng panghihimasok, at iba pang mga hakbang sa seguridad.

Ang AWS / MS Azure ay nagbibigay ng pisikal na pag access sa data center lamang sa mga inaprubahan na empleyado. Ang lahat ng mga empleyado na nangangailangan ng data center access ay dapat munang mag aplay para sa pag access at magbigay ng isang wastong katwiran sa negosyo. Ang mga kahilingan na ito ay ipinagkakaloob batay sa prinsipyo ng hindi bababa sa pribilehiyo, kung saan ang mga kahilingan ay dapat tukuyin kung aling layer ng data center ang indibidwal na nangangailangan ng access, at nakatali sa oras. Ang mga kahilingan ay nirerepaso at inaprubahan ng mga awtorisadong tauhan, at ang pag access ay binawi pagkatapos mag expire ang hiniling na oras. Kapag nabigyan ng pagpasok, ang mga indibidwal ay limitado sa mga lugar na tinukoy sa kanilang mga pahintulot.

Ang aming network ay protektado gamit ang mahahalagang serbisyo sa seguridad ng ulap, pagsasama sa aming mga network ng proteksyon sa gilid ng Cloudflare, mga regular na audit, at mga teknolohiya sa katalinuhan ng network, na sinusubaybayan at hinaharang ang mga kilalang nakakahamak na trapiko at pag atake sa network.

Ang pag scan ng kahinaan ay nagbibigay sa amin ng malalim na pananaw para sa mabilis na pagkakakilanlan ng mga sistema ng hindi pagsunod o potensyal na mahina. Bilang karagdagan sa aming malawak na panloob na programa sa pag scan at pagsubok, ang Xoxoday ay gumagamit ng mga eksperto sa seguridad ng third party upang magsagawa ng isang pagtatasa ng kahinaan at pagsubok sa pagtagos.

Ang aming Bug Bounty Program ay nagbibigay ng mga mananaliksik sa seguridad at mga customer ng isang avenue para sa ligtas na pagsubok at pagpapaalam sa Xoxoday ng mga kahinaan sa seguridad.

Mangyaring mag click dito upang malaman ang higit pa tungkol sa Xoxoday Bug Bounty Program

Ang aming sistema ng Security Incident Event Management (SIEM) ay nagtitipon ng malawak na mga log mula sa mga mahahalagang aparato ng network at mga host system. Ang mga alerto ng SIEM ay nagpapaalam sa koponan ng Seguridad batay sa mga kaugnay na kaganapan para sa pagsisiyasat at tugon.

Serbisyo ingress at egress puntos ay instrumented at sinusubaybayan upang makita ang anomalya pag uugali. Ang mga sistemang ito ay naka configure upang makabuo ng mga alerto kapag ang mga insidente at halaga ay lumampas sa mga paunang natukoy na threshold at regular na gumagamit ng mga na update na lagda batay sa mga bagong banta. Kabilang dito ang 24/7 system monitoring.

Ang pag access sa Xoxoday Production Network ay pinaghihigpitan ng isang malinaw na batayan na kailangang malaman, gumagamit ng hindi bababa sa pribilehiyo, madalas na na audit at sinusubaybayan, at kinokontrol ng aming Operations Team. Ang mga empleyado na nag access sa Xoxoday Production Network ay kinakailangang gumamit ng maraming mga kadahilanan ng pagpapatunay.

Ang pag access sa data at mga sistema ay batay sa mga prinsipyo ng hindi bababa sa pribilehiyo para sa pag access. Ang isang Identity and Access Management (IAM) na solusyon ay tinukoy upang pamahalaan ang pag access ng gumagamit sa pamamagitan ng mga profile ng pag access na batay sa papel na sumusuporta sa pagpapatupad ng mga access batay sa mga prinsipyo ng kailangan malaman na batayan at suportahan ang paghihiwalay ng mga tungkulin. Ang mga pribilehiyo na may kaugnayan sa Pangangasiwa ng mga pribilehiyo sa pag access ng gumagamit at mga pagsasaayos ng papel ay naiiba mula sa awtorisadong approver na nag aaprubahan ng mga kahilingan sa pag access. Ang mga approvers ay alinman sa mga Head ng Produkto o kani kanilang mga function Heads ay ang kanilang mga awtorisadong delegado. 

Sa kaso ng isang alerto sa system, ang mga kaganapan ay pinalaki sa aming 24/7 na mga koponan na nagbibigay ng Mga Operasyon, Network Engineering, at Security coverage. Ang mga empleyado ay sinanay sa mga proseso ng pagtugon sa insidente ng seguridad, kabilang ang mga channel ng komunikasyon at mga landas ng escalation.

Tinukoy ni Xoxoday ang proseso ng pamamahala ng insidente ng Seguridad upang uriin at hawakan ang mga insidente at paglabag sa seguridad. Ang Information Security team ay responsable sa pag record, pag uulat, pagsubaybay, pagtugon, pagresolba, pagsubaybay, pag uulat, at agarang pagpaparating ng mga insidente sa mga naaangkop na partido. Ang proseso ay nirerepaso bilang bahagi ng aming periodic internal audit at audited bilang bahagi ng ISO 27001 at SOC 2 Type II assessment.

Encryption sa Transit at sa Pahinga

Ang data ay naka encrypt sa pamamagitan ng pamantayan ng industriya na HTTPS / TLS (TLS 1.2 o mas mataas) sa mga pampublikong network. Tinitiyak nito na ang lahat ng trapiko sa pagitan mo at Xoxoday ay ligtas sa panahon ng transit. Dagdag pa, para sa email, ang aming produkto leverages oportunistikong TLS sa pamamagitan ng default. 

Ang Transport Layer Security (TLS) ay nag encrypt at naghahatid ng email nang ligtas, na nagpapagaan ng eavesdropping sa pagitan ng mga mail server kung saan sinusuportahan ng mga serbisyo ng peer ang protocol na ito. Ang mga pagbubukod para sa pag encrypt ay maaaring magsama ng anumang paggamit ng in product na pag andar ng SMS, anumang iba pang third party na app, pagsasama, o serbisyo na maaaring piliin ng mga subscriber na mag leverage sa kanilang sariling paghuhusga.

Ang Service Data ay naka-encrypt sa pahinga sa AWS gamit ang AES-256 key encryption.

Ang mga produkto ng Xoxoday ay naka host sa mga platform ng AWS at MS Azure ng Amazon. Ang mga empleyado ng Xoxoday ay walang anumang pisikal na pag access sa aming kapaligiran sa produksyon. Bilang isang customer ng Amazon at Azure, nakikinabang kami mula sa isang data center at arkitektura ng network na binuo upang matugunan ang mga kinakailangan ng mga pinaka sensitibo sa seguridad na mga organisasyon.

Ang mga sentro ng data ay nakatira sa mga pasilidad ng nondescript, na may mga beam ng kontrol ng perimeter na grade ng militar na may propesyonal na kawani ng seguridad na gumagamit ng pagsubaybay sa video, mga makabagong sistema ng pagtuklas ng panghihimasok, at iba pang mga elektronikong paraan.

Bilang karagdagan sa pisikal na seguridad, ang mga platform ng Cloud ay nagbibigay din ng makabuluhang proteksyon laban sa tradisyonal na seguridad ng network.

Secure Code Training - Hindi bababa sa taun-taon, ang mga inhinyero ay nakikibahagi sa ligtas na pagsasanay sa code na sumasaklaw sa OWASP Nangungunang 10 panganib sa seguridad, karaniwang mga vectors ng pag-atake.
‍
Secure Access - Ang mga application server ng Xoxoday ay lahat ng ligtas na HTTPS. Gumagamit kami ng pang industriya na pag encrypt para sa data na tumatawid papunta at mula sa mga server ng application.

Ang aming mga pagsusuri sa departamento ng Quality Assurance (QA) at sumusubok sa aming codebase. Nakalaang mga inhinyero ng seguridad ng application sa mga kawani na tukuyin, pagsubok, at mga kahinaan sa seguridad ng triage sa code.

Ang mga kapaligiran ng pagsubok at staging ay lohikal na nahiwalay mula sa kapaligiran ng Produksyon. Walang Data ng Serbisyo ang ginagamit sa aming mga kapaligiran sa pag unlad o pagsubok.

Upang matiyak na pinoprotektahan namin ang data na ipinagkatiwala sa amin; Nagpatupad kami ng isang array ng mga kontrol sa seguridad. Ang mga kontrol sa seguridad ng Xoxoday ay dinisenyo upang payagan ang isang mataas na antas ng kahusayan ng empleyado nang walang artipisyal na mga hadlang sa kalsada, habang pinaliit ang panganib.

Ang Xoxoday ay gumagamit ng isang nakatuon, full time na koponan ng seguridad upang pamahalaan at patuloy na mapabuti ang aming seguridad. Pinoprotektahan ng koponan ang imprastraktura, network at data ng Xoxoday (kabilang ang data ng aming mga customer).

Bilang karagdagan sa mga bahagi ng seguridad na ibinigay ng aming mga nangungunang antas ng mga provider ng ulap (MS Azure at AWS), pinapanatili ng Xoxoday ang sarili nitong nakalaang mga kontrol sa pamamagitan ng pagsunod sa mga pinakamahusay na kasanayan sa Industriya. 

Ang mga kontrol na ito ay sumasaklaw sa pag atake ng DDoS, proteksyon ng DB at isang dedikadong firewall firewall ng web firewall, pati na rin ang mga patakaran ng network firewall na pinong butil na naka configure gamit ang pinakamataas na pamantayan ng industriya.

Pinagana namin ang patakaran ng password, at ang mga password ay naka imbak pagkatapos ng pag encrypt para sa maximum na seguridad ng data. Ang password ay kailangang magkaroon ng minimum na 8 character at dapat maglaman ng hindi bababa sa isang malaking titik, mga espesyal na character sa '# $ % * &' at isang digit.

Ang aming nakalaang web application firewall ay gumaganap bilang isang malakas na hadlang upang maprotektahan ang application at microservices ng Xoxoday. Ipinatutupad nito ang mga kontrol sa seguridad tulad ng hardened TLS configuration (HSTS, malakas na pag encrypt at hashing algorithm), pangkalahatang proteksyon laban sa nakakahamak na aktibidad (masamang pagtuklas ng reputasyon ng IP, mga tseke sa integridad ng browser, mga patakaran ng WAF) at maraming mga patakaran sa paglilimita ng rate na pumipigil sa awtomatikong pagsusumite ng form sa mga kritikal na endpoint (mga pag atake sa paghula ng password).

Ang Xoxoday ay hindi nag iimbak, nagpoproseso o nangongolekta ng impormasyon ng credit card na isinumite sa amin ng mga customer. Leverage namin ang mga pinagkakatiwalaang at PCI compliant na mga vendor sa pagbabayad upang matiyak na ang impormasyon ng credit card ng mga customer ay naproseso nang ligtas at ayon sa naaangkop na regulasyon at pamantayan ng industriya.

Ang lahat ng aming mga gateway ng pagbabayad ay sumusunod sa PCI DSS.

Ang Xoxoday ay nagpapanatili ng isang programa sa pagbawi ng kalamidad upang matiyak na ang mga serbisyo ay mananatiling magagamit o madaling mabawi sa kaso ng isang kalamidad. Ang mga customer ay maaaring manatiling napapanahon sa mga isyu sa availability sa pamamagitan ng isang website ng katayuan na magagamit ng publiko na sumasaklaw sa naka iskedyul na kasaysayan ng pagpapanatili at insidente ng serbisyo.

Ang BCP at DR Plans ay sinusuri at nirerepaso taun taon. Ang mga plano ng Xoxoday BCP at DR ay nirepaso at na audit bilang bahagi ng mga pamantayan ng ISO 27001 at SOC 2 Type II na sumasaklaw sa availability bilang isa sa mga prinsipyo ng serbisyo sa tiwala.

Xoxoday ay gumagamit ng dalawang-factor na pagpapatunay upang magbigay ng access sa aming mga administratibong operasyon - parehong imprastraktura at mga serbisyo. Tinitiyak namin na ang mga pribilehiyong administratibo ay ipinagkakaloob sa iilang empleyado lamang. Dagdag pa, ang aming paggamit ng pag access na batay sa papel ay nagsisiguro na ang mga gumagamit ay maaaring magsagawa ng mga operasyon ayon sa patakaran sa pagkontrol ng pag access.

Ang lahat ng access sa pangangasiwa ay awtomatikong naka log at sinusubaybayan ng aming panloob na koponan ng seguridad. Ang detalyadong impormasyon kung kailan at kung bakit isinasagawa ang mga operasyon ay dokumentado at inaabisuhan sa koponan ng seguridad bago gumawa ng anumang mga pagbabago sa kapaligiran ng produksyon.

Ang Xoxoday ay nag deploy ng isang network ng teknolohiya ng impormasyon upang mapadali ang negosyo nito at gawin itong mas mahusay para sa iba't ibang mga panganib. At magtatag ng direksyon ng pamamahala, mga alituntunin, at mga pamantayang kinakailangan upang matiyak na ang naaangkop na proteksyon ng impormasyon sa mga network nito ay mapanatili at napapanatili.  

Ang Xoxoday ay bumuo ng isang komprehensibong hanay ng mga patakaran sa seguridad na sumasaklaw sa isang hanay ng mga paksa. Ang mga patakaran na ito ay ibinahagi at ginawang magagamit sa lahat ng mga empleyado at kontratista na may access sa mga asset ng impormasyon ng Xoxoday.

Ang bawat empleyado, kapag inducted, ay pumirma ng isang kasunduan sa pagiging kompidensyal at patakaran sa paggamit ng katanggap tanggap, pagkatapos nito ay sumasailalim sila sa pagsasanay sa seguridad ng impormasyon, privacy, at pagsunod. Dagdag pa rito, sinusuri namin ang kanilang pag unawa sa pamamagitan ng mga pagsubok at pagsusulit upang matukoy kung aling mga paksa ang kailangan nila ng karagdagang pagsasanay. Nagbibigay kami ng pagsasanay sa mga tiyak na aspeto ng seguridad na maaaring kailanganin nila batay sa kanilang mga tungkulin.

Ang bawat empleyado ay sumasailalim sa isang proseso ng pagpapatunay ng background. Umuupa kami ng mga kinikilalang panlabas na ahensya upang isagawa ang tseke na ito sa aming ngalan. Ginagawa namin ito upang i verify ang kanilang mga kriminal na talaan, mga nakaraang talaan ng trabaho, kung mayroon man, at background sa edukasyon. Hanggang sa maisagawa ang tseke na ito, ang empleyado ay hindi nakatalaga ng mga gawain na maaaring magdulot ng panganib sa mga gumagamit.

Ang lahat ng mga bagong hire ay kinakailangang lumagda sa mga kasunduan sa Hindi Pagsisiwalat at Pagkakumpidensyal. Ang Empleyado ay malinaw na sumasang ayon na hindi siya dapat gumamit ng Kumpidensyal na Impormasyon na ibinigay ng kumpanya sa pag unlad o paghahatid o para sa personal na pakinabang mula sa pagbibigay ng anumang mga produkto o serbisyo para sa kanyang / kanyang sariling account o para sa account ng anumang third party.