XoxodayL'objectif principal de la sécurité de est de protéger les données de ses clients et de ses utilisateurs. C'est pourquoi Xoxoday a investi dans les ressources et les contrôles appropriés pour protéger et servir nos clients. Nous nous attachons à définir de nouveaux contrôles et à affiner les contrôles existants, à mettre en œuvre et à gérer le cadre de sécurité Xoxoday et à fournir une structure de soutien pour faciliter une gestion efficace de la conformité et des risques.
Xoxoday s'engage à garantir l'intégrité, la confidentialité, la disponibilité et la sécurité de ses actifs physiques et informationnels et à préserver la vie privée lorsqu'il s'agit de répondre aux besoins des clients et de l'organisation, tout en respectant les exigences légales, statutaires et réglementaires appropriées.
Pour assurer une protection adéquate des actifs informationnels, Xoxoday a mis en place un système de gestion de la sécurité de l'information (SGSI) qui permet à chacun de suivre ces politiques avec diligence, cohérence et impartialité. Xoxoday mettra en œuvre des procédures et des contrôles à tous les niveaux pour protéger la confidentialité et l'intégrité des informations stockées et traitées sur ses systèmes et s'assurer que les informations ne sont accessibles qu'aux personnes autorisées, en fonction des besoins.
.svg){kind=icon}
Nous avons développé notre cadre de conformité en utilisant les meilleures pratiques de l'industrie SaaS. Nos principaux objectifs sont les suivants
Xoxoday s'engage à respecter toutes les réglementations et lois applicables dans tous les lieux et pays où elle opère et traite des informations. Xoxoday prend au sérieux l'intégrité et la sécurité des données. Plus de deux millions de clients à travers le monde nous font confiance pour la sécurité de leurs données. En raison de la nature de nos produits et services, nous devons reconnaître nos responsabilités à la fois en tant que responsable du traitement des données et en tant que sous-traitant.
La sécurité des données des clients est un élément essentiel de notre produit, de nos processus et de notre culture d'équipe. Nos installations, processus et systèmes sont fiables, robustes et testés par des organismes réputés de contrôle de la qualité et de la sécurité des données. Nous sommes constamment à la recherche d'opportunités pour améliorer le paysage technologique dynamique et vous offrir un système hautement sécurisé et évolutif qui vous garantit une expérience exceptionnelle.
Nous utilisons les meilleures pratiques et les normes du secteur pour nous conformer aux cadres généraux de sécurité et de confidentialité acceptés par l'industrie.
Nous utilisons des fonctions de sécurité de niveau entreprise et effectuons des audits complets de nos applications, systèmes et réseaux pour protéger les données des clients et des entreprises. Nos clients sont rassurés de savoir que leurs informations sont en sécurité, que leurs interactions sont sécurisées et que leurs activités sont protégées.
Xoxoday est certifié ISO 27001:2013.
ISO/IEC 27001:2013 est une spécification pour un système de management de la sécurité de l'information (SMSI). Un SMSI est un cadre de politiques et de procédures pour la gestion des risques liés aux informations organisationnelles, y compris les contrôles juridiques, physiques et techniques, utilisés pour assurer la sécurité des informations.
Avec le solide ISMS d'ISO, vous avez l'assurance supplémentaire que nous avons mis en œuvre un éventail complet de meilleures pratiques de sécurité dans toute l'organisation.
Xoxoday est certifié ISO 27001:2013, et nous nous engageons à identifier les risques, à évaluer les implications et à utiliser des contrôles systématiques qui inspirent la confiance dans tout ce que nous faisons - depuis notre base de code jusqu'à notre infrastructure physique et nos pratiques humaines.
Xoxoday effectue chaque année des audits SOC 2 en faisant appel à un auditeur tiers indépendant. Notre rapport SOC 2 atteste que nos contrôles, qui régissent la disponibilité, la confidentialité et la sécurité des données des clients, sont conformes aux principes des services fiduciaires (TSP) établis par l'American Institute of Certified Public Accountants (AICPA).
Sécurité : Ces principes mesurent la manière dont nous protégeons vos données et nos systèmes contre les accès non autorisés et la manière dont nous prévenons les dommages causés par la divulgation d'informations aux systèmes qui protègent la disponibilité, l'intégrité, la confidentialité et le caractère privé de vos informations.
Disponibilité : Ce principe de confiance vise à déterminer si vos informations et vos systèmes sont disponibles pour être exploités et utilisés afin d'atteindre les objectifs de votre entreprise.
Intégrité du traitement : Ce principe permet de déterminer si le traitement effectué par votre système est complet et précis et s'il ne traite que les informations autorisées.
La confidentialité : Il s'agit de savoir si les informations confidentielles restent véritablement protégées.
La confidentialité : Ce dernier principe de confiance vise à déterminer si les informations personnelles de vos utilisateurs sont collectées, utilisées, conservées, divulguées et détruites conformément à l'avis de confidentialité de votre entreprise et aux principes de confidentialité généralement acceptés (GAPP).
Nous sommes fiers de l'excellence de nos contrôles et vous invitons à obtenir une copie de notre rapport SOC 2 Type I en contactant votre représentant Xoxoday .
Xoxoday est conforme à l'ACFP/CPRA.
La CPRA a modifié, élargi et clarifié les droits à la vie privée des résidents de Californie, et elle s'inspire de la politique du GDPR de l'UE de diverses manières. La CPRA crée la nouvelle catégorie des informations personnelles sensibles (SPI) qui est réglementée séparément et plus fortement que les informations personnelles (PI).
L'objectif de la CPRA est de redéfinir et d'étendre la loi californienne sur la protection de la vie privée des consommateurs (CCPA) afin de renforcer les droits des résidents de Californie. Elle offre aux consommateurs une plus grande possibilité de retrait et exige une gestion délibérée de la confidentialité des données par les entreprises.
Xoxoday est conforme à la loi HIPAA.
Le ministère américain de la santé et des services sociaux a établi la loi sur la portabilité et la responsabilité de l'assurance maladie, HIPAA, en 1996. Cette loi visait à garantir la protection des informations relatives aux soins de santé d'un patient contre l'accès public.
Dans certains cas, les clients peuvent utiliser certains de nos produits pour traiter des informations personnelles électroniques sur la santé (ePHI) dans le cours normal de leurs opérations commerciales. Conformément à la loi HIPAA de 1996, si nos clients sont classés dans la catégorie des entités couvertes ou des associés commerciaux, Xoxoday les aide à se conformer à la loi HIPAA.
Nous aidons nos clients à respecter leurs obligations HIPAA en exploitant les options de configuration de sécurité appropriées dans les produits Xoxoday .
Xoxoday est conforme au GDPR.
Notre programme complet de conformité au GDPR s'appuie sur ces principes fondamentaux de protection de la vie privée - responsabilité, protection de la vie privée dès la conception et par défaut, minimisation des données et droits d'accès des sujets, entre autres. La technologie et les opérations liées à l'activité font l'objet de programmes de sensibilisation réguliers.
Xoxoday s'engage à fournir des produits et des services sûrs en mettant en œuvre et en respectant les politiques de conformité prescrites, à la fois en tant que responsable du traitement des données et en tant que sous-traitant.
L'application du GDPR est essentielle à notre mission qui consiste à fournir à l'UE et à tous nos clients mondiaux des solutions commerciales sûres et fiables. Pour soutenir cet engagement, Xoxoday offre le même niveau de confidentialité et de sécurité à tous ses clients dans le monde entier, quel que soit leur emplacement.
Pour plus d'informations sur Xoxoday GDPR, veuillez cliquer ici.
Xoxoday s'engage pleinement à respecter les droits accordés aux personnes concernées en vertu des lois applicables en matière de protection des données et à prendre grand soin de leurs données personnelles. Plus de 2 millions de clients à travers le monde nous font confiance pour la sécurité de leurs données. En raison de la nature des produits et services que nous fournissons, nous reconnaissons nos responsabilités à la fois en tant que responsable du traitement des données et en tant que sous-traitant.
La sécurité des données des clients est un élément essentiel de nos produits, de nos processus et de notre culture d'équipe. Nos installations, processus et systèmes sont fiables, robustes et testés par des organismes réputés de contrôle de la qualité et de la sécurité des données. Nous sommes constamment à la recherche d'opportunités pour améliorer le paysage technologique dynamique et vous offrir un système hautement sécurisé et évolutif qui vous garantit une expérience exceptionnelle.
Politique de confidentialité - En savoir plus sur la politique de confidentialité de Xoxoday
Politique GDPR - En savoir plus sur Xoxoday Politique GDPR
Nous disposons d'un certain nombre de ressources que nous pouvons fournir sur demande.
Les ressources suivantes peuvent nécessiter la présence d'un NDA dans le dossier. Veuillez contacter votre représentant Xoxoday .
Xoxoday externalise l'hébergement de l'infrastructure de ses produits auprès de grands fournisseurs d'infrastructure en nuage. Le produit Xoxoday utilise principalement Amazon Web Services (AWS) et Microsoft Azure pour l'hébergement de l'infrastructure. Les fournisseurs d'infrastructure en nuage présentent des niveaux élevés de sécurité physique et de réseau, ainsi qu'une grande diversité de fournisseurs d'hébergement. AWS maintient un programme de sécurité audité, y compris la conformité SOC 2 et ISO 27001. Xoxoday n'héberge aucun système de produit dans ses bureaux d'entreprise.
Xoxoday déploie ses produits dans des centres de données AWS et Microsoft Azure certifiés ISO 27001, PCI DSS Service Provider Level 1 et/ou SOC 2. Les services d'infrastructure AWS et Microsoft Azure comprennent une alimentation de secours, des systèmes de chauffage, de ventilation et de climatisation, ainsi que des équipements d'extinction des incendies pour protéger les serveurs et, en fin de compte, vos données.
En savoir plus sur la conformité chez AWS et Microsoft Azure.
Les protections physiques, environnementales et de sécurité de l'infrastructure, y compris les plans de continuité et de reprise, ont été validées de manière indépendante dans le cadre de leurs certifications SOC 2 Type II et ISO 27001.
La sécurité sur site d'AWS et de MS Azure comprend un certain nombre de caractéristiques telles que des gardes de sécurité, des clôtures, des flux de sécurité, une technologie de détection des intrusions et d'autres mesures de sécurité.
AWS/MS Azure fournit un accès physique au centre de données uniquement aux employés approuvés. Tous les employés qui ont besoin d'accéder au centre de données doivent d'abord faire une demande d'accès et fournir une justification commerciale valable. Ces demandes sont accordées sur la base du principe du moindre privilège, où les demandes doivent préciser à quelle couche du centre de données l'individu doit accéder, et sont limitées dans le temps. Les demandes sont examinées et approuvées par le personnel autorisé, et l'accès est révoqué après l'expiration du délai demandé. Une fois l'accès accordé, les individus sont limités aux zones spécifiées dans leurs permissions.
Notre réseau est protégé à l'aide de services essentiels de sécurité en nuage, de l'intégration avec nos réseaux de protection en périphérie Cloudflare, d'audits réguliers et de technologies d'intelligence réseau, qui surveillent et bloquent le trafic malveillant et les attaques réseau connues.
L'analyse des vulnérabilités nous permet d'identifier rapidement les systèmes non conformes ou potentiellement vulnérables. En plus de notre vaste programme interne d'analyse et de test, Xoxoday fait appel à des experts en sécurité tiers pour effectuer une évaluation des vulnérabilités et des tests de pénétration.
Notre programme Bug Bounty offre aux chercheurs en sécurité et aux clients un moyen de tester et de notifier en toute sécurité les failles de sécurité à l'adresse Xoxoday .
Cliquez ici pour en savoir plus sur Xoxoday Bug Bounty Program
Notre système de gestion des incidents et des événements de sécurité (SIEM) recueille des journaux détaillés à partir de périphériques réseau et de systèmes hôtes essentiels. Les alertes du SIEM notifient l'équipe de sécurité sur la base d'événements corrélés pour enquête et réponse.
Les points d'entrée et de sortie des services sont instrumentés et surveillés pour détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes lorsque les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance du système 24 heures sur 24 et 7 jours sur 7.
L'accès au réseau de production Xoxoday est limité par un besoin explicite de savoir, utilise le moindre privilège, fait l'objet d'audits et de contrôles fréquents et est contrôlé par notre équipe opérationnelle. Les employés qui accèdent au réseau de production Xoxoday doivent utiliser plusieurs facteurs d'authentification.
L'accès aux données et aux systèmes est basé sur le principe du moindre privilège pour l'accès. Une solution de gestion des identités et des accès (IAM) a été définie pour gérer l'accès des utilisateurs par le biais de profils d'accès basés sur les rôles, qui prennent en charge la mise en œuvre des accès sur la base des principes du besoin de savoir et de la séparation des tâches. Les privilèges relatifs à l'administration des privilèges d'accès des utilisateurs et à la configuration des rôles sont différents de ceux de l'approbateur autorisé qui approuve les demandes d'accès. Les approbateurs sont soit les chefs de produit, soit les chefs de fonction respectifs, soit leurs délégués autorisés.
En cas d'alerte système, les événements sont transmis à nos équipes 24 heures sur 24 et 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie réseau et de la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, y compris les canaux de communication et les voies d'escalade.
Xoxoday a défini le processus de gestion des incidents de sécurité afin de classer et de traiter les incidents et les violations de la sécurité. L'équipe chargée de la sécurité de l'information est responsable de l'enregistrement, de la notification, du suivi, de la réponse, de la résolution, du contrôle, de la notification et de la communication des incidents aux parties concernées dans les meilleurs délais. Le processus est examiné dans le cadre de notre audit interne périodique et vérifié dans le cadre de l'évaluation ISO 27001 et SOC 2 Type II.
Les données sont cryptées via la norme industrielle HTTPS/TLS (TLS 1.2 ou supérieur) sur les réseaux publics. Cela garantit que tout le trafic entre vous et Xoxoday est sécurisé pendant le transit. En outre, pour le courrier électronique, notre produit utilise par défaut le protocole TLS opportuniste.
Le protocole TLS (Transport Layer Security) permet de crypter et d'envoyer des e-mails en toute sécurité, en limitant les écoutes entre les serveurs de messagerie lorsque les services homologues prennent en charge ce protocole. Les exceptions au cryptage peuvent inclure l'utilisation de la fonctionnalité SMS intégrée au produit ou de toute autre application, intégration ou service tiers que les abonnés peuvent choisir d'exploiter à leur gré.
Les données du service sont cryptées au repos dans AWS à l'aide d'une clé de cryptage AES-256.
Nous prenons des mesures pour développer en toute sécurité et tester les menaces de sécurité afin de garantir la sécurité des données de nos clients. Nous maintenons un cycle de développement sécurisé, dans lequel la formation de nos développeurs et l'examen de la conception et du code jouent un rôle primordial. En outre, Xoxoday emploie des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur différentes applications.
Xoxoday sont hébergés sur les plateformes AWS d'Amazon et MS Azure. Les employés de Xoxoday n'ont pas d'accès physique à notre environnement de production. En tant que client d'Amazon et d'Azure, nous bénéficions d'un centre de données et d'une architecture de réseau conçus pour répondre aux exigences des organisations les plus sensibles à la sécurité.
Les centres de données sont hébergés dans des installations anonymes, avec des faisceaux de contrôle du périmètre de niveau militaire et un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques.
Outre la sécurité physique, les plateformes en nuage offrent également une protection importante contre la sécurité des réseaux traditionnels.
Formation au code sécurisé - Au moins une fois par an, les ingénieurs participent à une formation au code sécurisé couvrant les 10 principaux risques de sécurité de l'OWASP et les vecteurs d'attaque les plus courants.
Accès sécurisé - Les serveurs d'application de Xoxoday sont tous sécurisés par HTTPS. Nous utilisons un système de cryptage standard pour les données qui transitent vers et depuis les serveurs d'application.
Notre département d'assurance qualité (QA) examine et teste notre base de code. Des ingénieurs spécialisés dans la sécurité des applications identifient, testent et corrigent les failles de sécurité dans le code.
Les environnements de test et de préparation sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans nos environnements de développement ou de test.
Afin de garantir la protection des données qui nous sont confiées, nous avons mis en place un ensemble de contrôles de sécurité. Xoxoday Les contrôles de sécurité sont conçus pour permettre un niveau élevé d'efficacité des employés sans obstacles artificiels, tout en minimisant les risques.
Xoxoday emploie une équipe de sécurité dédiée, à temps plein, pour gérer et améliorer continuellement notre sécurité. L'équipe protège l'infrastructure, le réseau et les données de Xoxoday (y compris les données de nos clients).
En plus des composants de sécurité fournis par nos fournisseurs de cloud de premier niveau (MS Azure et AWS), Xoxoday maintient ses propres contrôles dédiés en suivant les meilleures pratiques de l'industrie.
Ces contrôles couvrent l'attaque DDoS, la protection des bases de données et un pare-feu d'application web dédié, ainsi que des règles fines de pare-feu de réseau configurées selon les normes industrielles les plus élevées.
Des clés SSH sont nécessaires pour accéder à la console de nos serveurs, et chaque connexion est identifiée par un utilisateur. Toutes les opérations critiques sont enregistrées sur un serveur central et nos serveurs ne sont accessibles qu'à partir d'adresses IP restreintes et sécurisées.
Les hôtes sont segmentés et les accès sont limités en fonction des fonctionnalités. Les requêtes d'applications ne sont autorisées qu'à partir d'AWS ELB, et les serveurs de bases de données ne sont accessibles qu'à partir des serveurs d'applications.
Nous avons activé la politique de mot de passe, et les mots de passe sont stockés après cryptage pour une sécurité maximale des données. Le mot de passe doit avoir un minimum de 8 caractères et doit contenir au moins une lettre majuscule, des caractères spéciaux parmi '# $ % * &' et un chiffre.
Notre pare-feu d'application web dédié agit comme une barrière solide pour protéger l'application et les microservices de Xoxoday. Il applique des contrôles de sécurité tels que la configuration TLS renforcée (HSTS, cryptage fort et algorithmes de hachage), la protection globale contre les activités malveillantes (détection de mauvaise réputation IP, contrôles d'intégrité du navigateur, règles WAF) et de multiples règles de limitation de taux qui empêchent la soumission automatique de formulaires sur les points finaux critiques (attaques par devinette de mot de passe).
Xoxoday ne stocke pas, ne traite pas et ne collecte pas les informations relatives aux cartes de crédit qui lui sont transmises par les clients. Nous faisons appel à des fournisseurs de paiement de confiance et conformes à la norme PCI pour garantir que les informations relatives aux cartes de crédit des clients sont traitées en toute sécurité et conformément à la réglementation appropriée et aux normes du secteur.
Toutes nos passerelles de paiement sont conformes à la norme PCI DSS.
Xoxoday maintient un programme de reprise après sinistre pour s'assurer que les services restent disponibles ou sont facilement récupérables en cas de catastrophe. Les clients peuvent se tenir au courant des problèmes de disponibilité grâce à un site web accessible au public, qui présente l'historique de la maintenance programmée et des incidents de service.
Les plans BCP et DR sont testés et révisés chaque année. Les plans BCP et DR de Xoxoday sont examinés et audités dans le cadre des normes ISO 27001 et SOC 2 Type II qui couvrent la disponibilité comme l'un des principes du service de confiance.
Xoxoday utilise l'authentification à deux facteurs pour accorder l'accès à ses opérations administratives - à la fois l'infrastructure et les services. Nous veillons à ce que les privilèges administratifs ne soient accordés qu'à un petit nombre d'employés. En outre, notre utilisation de l'accès basé sur les rôles garantit que les utilisateurs peuvent effectuer des opérations conformément à la politique de contrôle d'accès.
Tous les accès administratifs sont automatiquement enregistrés et surveillés par notre équipe de sécurité interne. Des informations détaillées sur le moment et la raison des opérations sont documentées et notifiées à l'équipe de sécurité avant d'effectuer des changements dans l'environnement de production.
Xoxoday a déployé un réseau de technologies de l'information pour faciliter ses activités et les rendre plus efficaces face à divers risques. Et établir des orientations, des principes et des exigences normatives en matière de gestion afin de garantir le maintien et la pérennité de la protection appropriée des informations sur ses réseaux.
Xoxoday a élaboré un ensemble complet de politiques de sécurité couvrant un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et contractants ayant accès aux actifs informationnels de Xoxoday .
Lors de son entrée en fonction, chaque employé signe un accord de confidentialité et une politique d'utilisation acceptable, après quoi il suit une formation sur la sécurité des informations, la confidentialité et la conformité. En outre, nous évaluons leur compréhension au moyen de tests et de questionnaires afin de déterminer les sujets sur lesquels ils doivent poursuivre leur formation. Nous leur fournissons une formation sur les aspects spécifiques de la sécurité dont ils peuvent avoir besoin en fonction de leur rôle.
Chaque employé est soumis à un processus de vérification des antécédents. Nous faisons appel à des agences externes réputées pour effectuer cette vérification en notre nom. Nous vérifions ainsi leur casier judiciaire, leurs antécédents professionnels, le cas échéant, et leur formation. Tant que cette vérification n'est pas effectuée, l'employé ne se voit pas confier de tâches susceptibles de présenter des risques pour les utilisateurs.
Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité. L'employé accepte expressément de ne pas utiliser les informations confidentielles fournies par la société dans le cadre du développement ou de la livraison de produits ou de services pour son propre compte ou pour le compte d'un tiers, ni d'en tirer un profit personnel.
