La sécurisation de vos données est notre priorité absolue

Les ressources suivantes peuvent nécessiter la présence d'un accord de confidentialité dans le dossier. Veuillez contacter votre représentant Xoxoday.

1. Rapport de conformité SOC 2
2. Résumé de l'évaluation des vulnérabilités et des tests de pénétration
3. Rapport sur le California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA).
4. Rapport sur la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA).
5. Rapport d'évaluation de l'impact du GDPR sur la confidentialité des données.
   

Xoxoday déploie ses produits dans des centres de données AWS et Microsoft Azure qui ont été certifiés conformes aux normes ISO 27001, PCI DSS Service Provider Level 1 et/ou SOC 2. Les services d'infrastructure AWS et Microsoft Azure comprennent une alimentation de secours, des systèmes CVC et des équipements d'extinction d'incendie afin de protéger les serveurs et, en définitive, vos données.

En savoir plus sur la conformité chez AWS et Microsoft Azure.

Les protections physiques, environnementales et de sécurité de l'infrastructure, y compris les plans de continuité et de reprise, ont été validées de manière indépendante dans le cadre de leurs certifications SOC 2 Type II et ISO 27001.

La sécurité sur site d'AWS et de MS Azure comprend un certain nombre de caractéristiques telles que des gardes de sécurité, des clôtures, des flux de sécurité, une technologie de détection des intrusions et d'autres mesures de sécurité.

AWS/MS Azure fournit un accès physique au centre de données uniquement aux employés approuvés. Tous les employés qui ont besoin d'accéder au centre de données doivent d'abord faire une demande d'accès et fournir une justification commerciale valable. Ces demandes sont accordées sur la base du principe du moindre privilège, où les demandes doivent préciser à quelle couche du centre de données l'individu doit accéder, et sont limitées dans le temps. Les demandes sont examinées et approuvées par le personnel autorisé, et l'accès est révoqué après l'expiration du délai demandé. Une fois l'accès accordé, les individus sont limités aux zones spécifiées dans leurs permissions.

Notre réseau est protégé à l'aide de services essentiels de sécurité en nuage, de l'intégration avec nos réseaux de protection en périphérie Cloudflare, d'audits réguliers et de technologies d'intelligence réseau, qui surveillent et bloquent le trafic malveillant et les attaques réseau connues.

L'analyse des vulnérabilités nous donne une vision approfondie pour identifier rapidement les systèmes non conformes ou potentiellement vulnérables. En plus de notre programme interne d'analyse et de test, Xoxoday fait appel à des experts en sécurité tiers pour effectuer une évaluation de la vulnérabilité et des tests de pénétration.

Notre programme de primes aux bugs offre aux chercheurs en sécurité et aux clients un moyen de tester et de signaler à Xoxoday les failles de sécurité en toute sécurité.

Veuillez cliquer ici pour en savoir plus sur le programme de primes aux bugs de Xoxoday.

Notre système de gestion des incidents et des événements de sécurité (SIEM) recueille des journaux détaillés à partir de périphériques réseau et de systèmes hôtes essentiels. Les alertes du SIEM notifient l'équipe de sécurité sur la base d'événements corrélés pour enquête et réponse.

Les points d'entrée et de sortie des services sont instrumentés et surveillés pour détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes lorsque les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance du système 24 heures sur 24 et 7 jours sur 7.

L'accès au réseau de production Xoxoday est limité par un besoin explicite de savoir, utilise le moindre privilège, est fréquemment audité et surveillé, et est contrôlé par notre équipe des opérations. Les employés qui accèdent au réseau de production Xoxoday sont tenus d'utiliser plusieurs facteurs d'authentification.

L'accès aux données et aux systèmes est basé sur le principe du moindre privilège pour l'accès. Une solution de gestion des identités et des accès (IAM) a été définie pour gérer l'accès des utilisateurs par le biais de profils d'accès basés sur les rôles, qui prennent en charge la mise en œuvre des accès sur la base des principes du besoin de savoir et de la séparation des tâches. Les privilèges relatifs à l'administration des privilèges d'accès des utilisateurs et à la configuration des rôles sont différents de ceux de l'approbateur autorisé qui approuve les demandes d'accès. Les approbateurs sont soit les chefs de produit, soit les chefs de fonction respectifs, soit leurs délégués autorisés. 

En cas d'alerte système, les événements sont transmis à nos équipes 24 heures sur 24 et 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie réseau et de la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, y compris les canaux de communication et les voies d'escalade.

Xoxoday a défini le processus de gestion des incidents de sécurité pour classer et traiter les incidents et les violations de sécurité. L'équipe de sécurité de l'information est responsable de l'enregistrement, du rapport, du suivi, de la réponse, de la résolution, de la surveillance, du rapport et de la communication rapide des incidents aux parties appropriées. Le processus est examiné dans le cadre de notre audit interne périodique et audité dans le cadre de l'évaluation ISO 27001 et SOC 2 Type II.

Cryptage en transit et au repos

Les données sont cryptées via la norme industrielle HTTPS/TLS (TLS 1.2 ou supérieure) sur les réseaux publics. Cela garantit que tout le trafic entre vous et Xoxoday est sécurisé pendant le transit. En outre, pour le courrier électronique, notre produit utilise par défaut le protocole TLS opportuniste. 

Le protocole TLS (Transport Layer Security) permet de crypter et d'envoyer des e-mails en toute sécurité, en limitant les écoutes entre les serveurs de messagerie lorsque les services homologues prennent en charge ce protocole. Les exceptions au cryptage peuvent inclure l'utilisation de la fonctionnalité SMS intégrée au produit ou de toute autre application, intégration ou service tiers que les abonnés peuvent choisir d'exploiter à leur gré.

Les données du service sont cryptées au repos dans AWS à l'aide d'une clé de cryptage AES-256.

Les produits Xoxoday sont hébergés sur les plateformes AWS d'Amazon et MS Azure. Les employés de Xoxoday n'ont aucun accès physique à notre environnement de production. En tant que client d'Amazon et d'Azure, nous bénéficions d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des organisations les plus sensibles en matière de sécurité.

Les centres de données sont hébergés dans des installations anonymes, avec des faisceaux de contrôle du périmètre de niveau militaire et un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques.

Outre la sécurité physique, les plateformes en nuage offrent également une protection importante contre la sécurité des réseaux traditionnels.

Formation au code sécurisé - Au moins une fois par an, les ingénieurs participent à une formation au code sécurisé couvrant les 10 principaux risques de sécurité de l'OWASP et les vecteurs d'attaque courants.

Accès sécurisé - Les serveurs d'application de Xoxoday sont tous sécurisés par HTTPS. Nous utilisons un cryptage conforme aux normes industrielles pour les données qui transitent vers et depuis les serveurs d'application.

Notre département d'assurance qualité (QA) examine et teste notre base de code. Des ingénieurs spécialisés dans la sécurité des applications identifient, testent et corrigent les failles de sécurité dans le code.

Les environnements de test et de préparation sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans nos environnements de développement ou de test.

Afin de garantir la protection des données qui nous sont confiées, nous avons mis en place une série de contrôles de sécurité. Les contrôles de sécurité de Xoxoday sont conçus pour permettre un haut niveau d'efficacité des employés sans barrières artificielles, tout en minimisant les risques.

Xoxoday emploie une équipe de sécurité dédiée et à plein temps pour gérer et améliorer continuellement notre sécurité. L'équipe protège l'infrastructure, le réseau et les données de Xoxoday (y compris les données de nos clients).

En plus des éléments de sécurité fournis par nos fournisseurs de cloud de premier niveau (MS Azure et AWS), Xoxoday maintient ses propres contrôles dédiés en suivant les meilleures pratiques du secteur. 

Ces contrôles couvrent l'attaque DDoS, la protection des bases de données et un pare-feu d'application web dédié, ainsi que des règles fines de pare-feu de réseau configurées selon les normes industrielles les plus élevées.

Nous avons activé la politique de mot de passe, et les mots de passe sont stockés après cryptage pour une sécurité maximale des données. Le mot de passe doit avoir un minimum de 8 caractères et doit contenir au moins une lettre majuscule, des caractères spéciaux parmi '# $ % * &' et un chiffre.

Notre pare-feu d'application web dédié agit comme une barrière solide pour protéger l'application et les microservices de Xoxoday. Il applique des contrôles de sécurité tels qu'une configuration TLS renforcée (HSTS, algorithmes de chiffrement et de hachage forts), une protection globale contre les activités malveillantes (détection de la mauvaise réputation IP, contrôles d'intégrité du navigateur, règles WAF) et de multiples règles de limitation du débit qui empêchent la soumission automatique de formulaires sur les points d'extrémité critiques (attaques par devinette de mot de passe).

Xoxoday ne stocke pas, ne traite pas et ne collecte pas les informations relatives aux cartes de crédit qui nous sont soumises par les clients. Nous faisons appel à des fournisseurs de paiement fiables et conformes à la norme PCI pour garantir que les informations relatives aux cartes de crédit des clients sont traitées en toute sécurité et conformément à la réglementation et aux normes industrielles appropriées.

Toutes nos passerelles de paiement sont conformes à la norme PCI DSS.

Xoxoday maintient un programme de reprise après sinistre pour garantir que les services restent disponibles ou sont facilement récupérables en cas de sinistre. Les clients peuvent se tenir au courant des problèmes de disponibilité grâce à un site Web accessible au public qui présente l'historique des entretiens programmés et des incidents de service.

Les plans BCP et DR sont testés et revus chaque année. Les plans BCP et DR de Xoxoday sont révisés et audités dans le cadre des normes ISO 27001 et SOC 2 Type II couvrant la disponibilité comme l'un des principes du service de confiance.

Xoxoday utilise une authentification à deux facteurs pour accorder l'accès à nos opérations administratives - à la fois l'infrastructure et les services. Nous veillons à ce que les privilèges administratifs ne soient accordés qu'à quelques employés. En outre, notre utilisation de l'accès basé sur les rôles garantit que les utilisateurs peuvent effectuer des opérations conformément à la politique de contrôle d'accès.

Tous les accès administratifs sont automatiquement enregistrés et surveillés par notre équipe de sécurité interne. Des informations détaillées sur le moment et la raison des opérations sont documentées et notifiées à l'équipe de sécurité avant d'effectuer des changements dans l'environnement de production.

Xoxoday a déployé un réseau de technologies de l'information pour faciliter ses activités et les rendre plus efficaces pour divers risques. Et établir une orientation de gestion, des principes et des exigences normalisées pour s'assurer que la protection appropriée des informations sur ses réseaux est maintenue et soutenue.  

Xoxoday a développé un ensemble complet de politiques de sécurité couvrant une gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et contractants ayant accès aux informations de Xoxoday.

Lors de son entrée en fonction, chaque employé signe un accord de confidentialité et une politique d'utilisation acceptable, après quoi il suit une formation sur la sécurité des informations, la confidentialité et la conformité. En outre, nous évaluons leur compréhension au moyen de tests et de questionnaires afin de déterminer les sujets sur lesquels ils doivent poursuivre leur formation. Nous leur fournissons une formation sur les aspects spécifiques de la sécurité dont ils peuvent avoir besoin en fonction de leur rôle.

Chaque employé est soumis à un processus de vérification des antécédents. Nous faisons appel à des agences externes réputées pour effectuer cette vérification en notre nom. Nous vérifions ainsi leur casier judiciaire, leurs antécédents professionnels, le cas échéant, et leur formation. Tant que cette vérification n'est pas effectuée, l'employé ne se voit pas confier de tâches susceptibles de présenter des risques pour les utilisateurs.

Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité. L'employé accepte expressément de ne pas utiliser les informations confidentielles fournies par la société dans le cadre du développement ou de la livraison de produits ou de services pour son propre compte ou pour le compte d'un tiers, ni d'en tirer un profit personnel.