L'objectif principal de Xoxoday en matière de sécurité est de protéger les données de nos clients et utilisateurs. C'est pourquoi Xoxoday a investi dans les ressources et les contrôles appropriés pour protéger et servir nos clients. Nous nous concentrons sur la définition de nouveaux contrôles et l'affinement des contrôles existants, la mise en œuvre et la gestion du cadre de sécurité de Xoxoday, et la mise en place d'une structure de soutien pour faciliter une gestion efficace de la conformité et des risques.
Xoxoday s'engage à assurer l'intégrité, la confidentialité, la disponibilité et la sécurité de ses actifs physiques et informationnels et à préserver la vie privée lorsqu'elle répond aux besoins de ses clients et de l'organisation, tout en respectant les exigences légales, statutaires et réglementaires appropriées.
Pour assurer une protection adéquate des actifs informationnels, Xoxoday a mis en place le système de gestion de la sécurité de l'information (SGSI), permettant à chacun de suivre ces politiques avec diligence, cohérence et impartialité. Xoxoday mettra en œuvre des procédures et des contrôles à tous les niveaux pour protéger la confidentialité et l'intégrité des informations stockées et traitées sur ses systèmes et s'assurer que les informations ne sont disponibles que pour les personnes autorisées, en fonction des besoins.
.svg){kind=icon}
Nous avons développé notre cadre de conformité en utilisant les meilleures pratiques de l'industrie SaaS. Nos principaux objectifs sont les suivants
Xoxoday s'engage à se conformer à tous les règlements et lois applicables du pays dans tous les lieux et pays où elle opère et traite des informations. Xoxoday prend au sérieux l'intégrité et la sécurité des données. Plus de deux millions de clients à travers le monde nous font confiance pour la sécurité de leurs données. En raison de la nature de nos produits et services, nous devons reconnaître nos responsabilités en tant que contrôleur et processeur de données.
La sécurité des données des clients est un élément essentiel de notre produit, de nos processus et de notre culture d'équipe. Nos installations, processus et systèmes sont fiables, robustes et testés par des organismes réputés de contrôle de la qualité et de la sécurité des données. Nous sommes constamment à la recherche d'opportunités pour améliorer le paysage technologique dynamique et vous offrir un système hautement sécurisé et évolutif qui vous garantit une expérience exceptionnelle.
Nous utilisons les meilleures pratiques et les normes du secteur pour nous conformer aux cadres généraux de sécurité et de confidentialité acceptés par l'industrie.
Nous utilisons des fonctions de sécurité de niveau entreprise et effectuons des audits complets de nos applications, systèmes et réseaux pour protéger les données des clients et des entreprises. Nos clients sont rassurés de savoir que leurs informations sont en sécurité, que leurs interactions sont sécurisées et que leurs activités sont protégées.
Xoxoday est certifié ISO 27001:2013.
ISO/IEC 27001:2013 est une spécification pour un système de management de la sécurité de l'information (SMSI). Un SMSI est un cadre de politiques et de procédures pour la gestion des risques liés aux informations organisationnelles, y compris les contrôles juridiques, physiques et techniques, utilisés pour assurer la sécurité des informations.
Avec le solide ISMS d'ISO, vous avez l'assurance supplémentaire que nous avons mis en œuvre un éventail complet de meilleures pratiques de sécurité dans toute l'organisation.
Xoxoday est certifié ISO 27001:2013, et nous nous engageons à identifier les risques, à évaluer les implications et à utiliser des contrôles systématiques qui inspirent confiance dans tout ce que nous faisons - de notre base de code à l'infrastructure physique et aux pratiques des personnes.
Xoxoday effectue des audits annuels SOC 2 en faisant appel à un auditeur tiers indépendant. Notre rapport SOC 2 atteste que nos contrôles, qui régissent la disponibilité, la confidentialité et la sécurité des données des clients, correspondent aux principes de service de confiance (TSP) établis par l'American Institute of Certified Public Accountants (AICPA).
Sécurité : Ces principes mesurent la manière dont nous protégeons vos données et nos systèmes contre les accès non autorisés et la manière dont nous prévenons les dommages causés par la divulgation d'informations aux systèmes qui protègent la disponibilité, l'intégrité, la confidentialité et le caractère privé de vos informations.
Disponibilité : Ce principe de confiance vise à déterminer si vos informations et vos systèmes sont disponibles pour être exploités et utilisés afin d'atteindre les objectifs de votre entreprise.
Intégrité du traitement : Ce principe permet de déterminer si le traitement effectué par votre système est complet et précis et s'il ne traite que les informations autorisées.
La confidentialité : Il s'agit de savoir si les informations confidentielles restent véritablement protégées.
La confidentialité : Ce dernier principe de confiance vise à déterminer si les informations personnelles de vos utilisateurs sont collectées, utilisées, conservées, divulguées et détruites conformément à l'avis de confidentialité de votre entreprise et aux principes de confidentialité généralement acceptés (GAPP).
Nous sommes fiers de l'excellence de nos contrôles et nous vous invitons à obtenir une copie de notre rapport SOC 2 Type I en contactant votre représentant Xoxoday.
Xoxoday est conforme à la norme CCPA/CPRA.
La CPRA a modifié, élargi et clarifié les droits à la vie privée des résidents de Californie, et elle s'inspire de la politique du GDPR de l'UE de diverses manières. La CPRA crée la nouvelle catégorie des informations personnelles sensibles (SPI) qui est réglementée séparément et plus fortement que les informations personnelles (PI).
L'objectif de la CPRA est de redéfinir et d'étendre la loi californienne sur la protection de la vie privée des consommateurs (CCPA) afin de renforcer les droits des résidents de Californie. Elle offre aux consommateurs une plus grande possibilité de retrait et exige une gestion délibérée de la confidentialité des données par les entreprises.
Xoxoday est certifié HIPAA.
Le ministère américain de la santé et des services sociaux a établi la loi sur la portabilité et la responsabilité de l'assurance maladie, HIPAA, en 1996. Cette loi visait à garantir la protection des informations relatives aux soins de santé d'un patient contre l'accès public.
Il peut arriver que des clients utilisent certains de nos produits pour traiter des informations médicales personnelles électroniques (ePHI) dans le cours normal de leurs opérations commerciales. Conformément à la loi HIPAA de 1996, si nos clients sont classés dans la catégorie des entités couvertes ou des associés commerciaux, Xoxoday les aide à se conformer à la loi HIPAA.
Nous aidons nos clients à respecter leurs obligations HIPAA en exploitant les options de configuration de sécurité appropriées dans les produits Xoxoday.
Xoxoday est conforme au GDPR.
Notre programme complet de conformité au GDPR s'appuie sur ces principes fondamentaux de protection de la vie privée - responsabilité, protection de la vie privée dès la conception et par défaut, minimisation des données et droits d'accès des sujets, entre autres. La technologie et les opérations liées à l'activité font l'objet de programmes de sensibilisation réguliers.
Xoxoday s'engage à fournir des produits et des services sécurisés en mettant en œuvre et en adhérant aux politiques de conformité prescrites, à la fois en tant que contrôleur et processeur de données.
L'application du GDPR est essentielle pour notre mission qui consiste à fournir à l'UE et à tous nos clients mondiaux des solutions commerciales sûres et fiables. À l'appui de cet engagement, Xoxoday étend le même niveau de confidentialité et de sécurité à tous ses clients dans le monde entier, indépendamment de leur localisation.
Pour plus d'informations sur Xoxoday GDPR, veuillez cliquer ici.
Xoxoday est conforme à la norme STAR Level 1.
CSA STAR englobe les principes fondamentaux de transparence, d'audit rigoureux et d'harmonisation des normes décrites dans la matrice des contrôles du Cloud (CCM) et le CAIQ. Xoxoday est membre de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont la mission est de promouvoir les meilleures pratiques pour assurer la sécurité dans le cadre du Cloud Computing.
La CSA a lancé le registre STAR (Security, Trust & Assurance Registry), un registre accessible au public qui documente les contrôles de sécurité fournis par diverses offres d'informatique en nuage. À partir des résultats de notre auto-évaluation de diligence raisonnable, nous avons rempli un questionnaire de l'Initiative d'évaluation consensuelle (IEC) accessible au public.
Le CAIQ de la CSA peut être téléchargé ici.
Xoxoday s'engage pleinement à faire respecter les droits que les personnes concernées se voient accorder en vertu des lois applicables en matière de protection des données et à prendre grand soin de leurs données personnelles. Plus de 2 millions de clients à travers le monde nous font confiance pour la sécurité de leurs données. En raison de la nature des produits et services que nous fournissons, nous reconnaissons nos responsabilités à la fois en tant que contrôleur et processeur de données.
La sécurité des données des clients est un élément essentiel de nos produits, de nos processus et de notre culture d'équipe. Nos installations, processus et systèmes sont fiables, robustes et testés par des organismes réputés de contrôle de la qualité et de la sécurité des données. Nous sommes constamment à la recherche d'opportunités pour améliorer le paysage technologique dynamique et vous offrir un système hautement sécurisé et évolutif qui vous garantit une expérience exceptionnelle.
Politique de confidentialité - En savoir plus sur la politique de confidentialité de Xoxoday
Politique GDPR - En savoir plus sur la politique GDPR de Xoxoday
Nous disposons d'un certain nombre de ressources que nous pouvons fournir sur demande.
Pour accéder aux ressources téléchargeables suivantes, veuillez cliquer sur le bouton ci-dessous :
Les ressources suivantes peuvent nécessiter la présence d'un accord de confidentialité dans le dossier. Veuillez contacter votre représentant Xoxoday.
Xoxoday sous-traite l'hébergement de l'infrastructure de son produit à des fournisseurs d'infrastructure en nuage de premier plan. Principalement, le produit Xoxoday utilise Amazon Web Services (AWS) et Microsoft Azure pour l'hébergement de l'infrastructure. Les fournisseurs d'infrastructure en nuage ont des niveaux élevés de sécurité physique et de réseau et la diversité des fournisseurs d'hébergement. AWS maintient un programme de sécurité audité, y compris la conformité SOC 2 et ISO 27001. Xoxoday n'héberge aucun système de produit dans ses bureaux.
Xoxoday déploie ses produits dans des centres de données AWS et Microsoft Azure qui ont été certifiés conformes aux normes ISO 27001, PCI DSS Service Provider Level 1 et/ou SOC 2. Les services d'infrastructure AWS et Microsoft Azure comprennent une alimentation de secours, des systèmes CVC et des équipements d'extinction d'incendie afin de protéger les serveurs et, en définitive, vos données.
En savoir plus sur la conformité chez AWS et Microsoft Azure.
Les protections physiques, environnementales et de sécurité de l'infrastructure, y compris les plans de continuité et de reprise, ont été validées de manière indépendante dans le cadre de leurs certifications SOC 2 Type II et ISO 27001.
La sécurité sur site d'AWS et de MS Azure comprend un certain nombre de caractéristiques telles que des gardes de sécurité, des clôtures, des flux de sécurité, une technologie de détection des intrusions et d'autres mesures de sécurité.
AWS/MS Azure fournit un accès physique au centre de données uniquement aux employés approuvés. Tous les employés qui ont besoin d'accéder au centre de données doivent d'abord faire une demande d'accès et fournir une justification commerciale valable. Ces demandes sont accordées sur la base du principe du moindre privilège, où les demandes doivent préciser à quelle couche du centre de données l'individu doit accéder, et sont limitées dans le temps. Les demandes sont examinées et approuvées par le personnel autorisé, et l'accès est révoqué après l'expiration du délai demandé. Une fois l'accès accordé, les individus sont limités aux zones spécifiées dans leurs permissions.
Notre réseau est protégé à l'aide de services essentiels de sécurité en nuage, de l'intégration avec nos réseaux de protection en périphérie Cloudflare, d'audits réguliers et de technologies d'intelligence réseau, qui surveillent et bloquent le trafic malveillant et les attaques réseau connues.
L'analyse des vulnérabilités nous donne une vision approfondie pour identifier rapidement les systèmes non conformes ou potentiellement vulnérables. En plus de notre programme interne d'analyse et de test, Xoxoday fait appel à des experts en sécurité tiers pour effectuer une évaluation de la vulnérabilité et des tests de pénétration.
Notre programme de primes aux bugs offre aux chercheurs en sécurité et aux clients un moyen de tester et de signaler à Xoxoday les failles de sécurité en toute sécurité.
Veuillez cliquer ici pour en savoir plus sur le programme de primes aux bugs de Xoxoday.
Notre système de gestion des incidents et des événements de sécurité (SIEM) recueille des journaux détaillés à partir de périphériques réseau et de systèmes hôtes essentiels. Les alertes du SIEM notifient l'équipe de sécurité sur la base d'événements corrélés pour enquête et réponse.
Les points d'entrée et de sortie des services sont instrumentés et surveillés pour détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes lorsque les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance du système 24 heures sur 24 et 7 jours sur 7.
L'accès au réseau de production Xoxoday est limité par un besoin explicite de savoir, utilise le moindre privilège, est fréquemment audité et surveillé, et est contrôlé par notre équipe des opérations. Les employés qui accèdent au réseau de production Xoxoday sont tenus d'utiliser plusieurs facteurs d'authentification.
L'accès aux données et aux systèmes est basé sur le principe du moindre privilège pour l'accès. Une solution de gestion des identités et des accès (IAM) a été définie pour gérer l'accès des utilisateurs par le biais de profils d'accès basés sur les rôles, qui prennent en charge la mise en œuvre des accès sur la base des principes du besoin de savoir et de la séparation des tâches. Les privilèges relatifs à l'administration des privilèges d'accès des utilisateurs et à la configuration des rôles sont différents de ceux de l'approbateur autorisé qui approuve les demandes d'accès. Les approbateurs sont soit les chefs de produit, soit les chefs de fonction respectifs, soit leurs délégués autorisés.
En cas d'alerte système, les événements sont transmis à nos équipes 24 heures sur 24 et 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie réseau et de la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, y compris les canaux de communication et les voies d'escalade.
Xoxoday a défini le processus de gestion des incidents de sécurité pour classer et traiter les incidents et les violations de sécurité. L'équipe de sécurité de l'information est responsable de l'enregistrement, du rapport, du suivi, de la réponse, de la résolution, de la surveillance, du rapport et de la communication rapide des incidents aux parties appropriées. Le processus est examiné dans le cadre de notre audit interne périodique et audité dans le cadre de l'évaluation ISO 27001 et SOC 2 Type II.
Les données sont cryptées via la norme industrielle HTTPS/TLS (TLS 1.2 ou supérieure) sur les réseaux publics. Cela garantit que tout le trafic entre vous et Xoxoday est sécurisé pendant le transit. En outre, pour le courrier électronique, notre produit utilise par défaut le protocole TLS opportuniste.
Le protocole TLS (Transport Layer Security) permet de crypter et d'envoyer des e-mails en toute sécurité, en limitant les écoutes entre les serveurs de messagerie lorsque les services homologues prennent en charge ce protocole. Les exceptions au cryptage peuvent inclure l'utilisation de la fonctionnalité SMS intégrée au produit ou de toute autre application, intégration ou service tiers que les abonnés peuvent choisir d'exploiter à leur gré.
Les données du service sont cryptées au repos dans AWS à l'aide d'une clé de cryptage AES-256.
Nous prenons des mesures pour développer en toute sécurité et tester contre les menaces de sécurité afin de garantir la sécurité des données de nos clients. Nous maintenons un cycle de vie de développement sécurisé, dans lequel la formation de nos développeurs et la réalisation de revues de conception et de code jouent un rôle primordial. En outre, Xoxoday emploie des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur différentes applications.
Les produits Xoxoday sont hébergés sur les plateformes AWS d'Amazon et MS Azure. Les employés de Xoxoday n'ont aucun accès physique à notre environnement de production. En tant que client d'Amazon et d'Azure, nous bénéficions d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des organisations les plus sensibles en matière de sécurité.
Les centres de données sont hébergés dans des installations anonymes, avec des faisceaux de contrôle du périmètre de niveau militaire et un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques.
Outre la sécurité physique, les plateformes en nuage offrent également une protection importante contre la sécurité des réseaux traditionnels.
Formation au code sécurisé - Au moins une fois par an, les ingénieurs participent à une formation au code sécurisé couvrant les 10 principaux risques de sécurité de l'OWASP et les vecteurs d'attaque courants.
Accès sécurisé - Les serveurs d'application de Xoxoday sont tous sécurisés par HTTPS. Nous utilisons un cryptage conforme aux normes industrielles pour les données qui transitent vers et depuis les serveurs d'application.
Notre département d'assurance qualité (QA) examine et teste notre base de code. Des ingénieurs spécialisés dans la sécurité des applications identifient, testent et corrigent les failles de sécurité dans le code.
Les environnements de test et de préparation sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans nos environnements de développement ou de test.
Afin de garantir la protection des données qui nous sont confiées, nous avons mis en place une série de contrôles de sécurité. Les contrôles de sécurité de Xoxoday sont conçus pour permettre un haut niveau d'efficacité des employés sans barrières artificielles, tout en minimisant les risques.
Xoxoday emploie une équipe de sécurité dédiée et à plein temps pour gérer et améliorer continuellement notre sécurité. L'équipe protège l'infrastructure, le réseau et les données de Xoxoday (y compris les données de nos clients).
En plus des éléments de sécurité fournis par nos fournisseurs de cloud de premier niveau (MS Azure et AWS), Xoxoday maintient ses propres contrôles dédiés en suivant les meilleures pratiques du secteur.
Ces contrôles couvrent l'attaque DDoS, la protection des bases de données et un pare-feu d'application web dédié, ainsi que des règles fines de pare-feu de réseau configurées selon les normes industrielles les plus élevées.
Des clés SSH sont nécessaires pour accéder à la console de nos serveurs, et chaque connexion est identifiée par un utilisateur. Toutes les opérations critiques sont enregistrées sur un serveur central et nos serveurs ne sont accessibles qu'à partir d'adresses IP restreintes et sécurisées.
Les hôtes sont segmentés et les accès sont limités en fonction des fonctionnalités. Les requêtes d'applications ne sont autorisées qu'à partir d'AWS ELB, et les serveurs de bases de données ne sont accessibles qu'à partir des serveurs d'applications.
Nous avons activé la politique de mot de passe, et les mots de passe sont stockés après cryptage pour une sécurité maximale des données. Le mot de passe doit avoir un minimum de 8 caractères et doit contenir au moins une lettre majuscule, des caractères spéciaux parmi '# $ % * &' et un chiffre.
Notre pare-feu d'application web dédié agit comme une barrière solide pour protéger l'application et les microservices de Xoxoday. Il applique des contrôles de sécurité tels qu'une configuration TLS renforcée (HSTS, algorithmes de chiffrement et de hachage forts), une protection globale contre les activités malveillantes (détection de la mauvaise réputation IP, contrôles d'intégrité du navigateur, règles WAF) et de multiples règles de limitation du débit qui empêchent la soumission automatique de formulaires sur les points d'extrémité critiques (attaques par devinette de mot de passe).
Xoxoday ne stocke pas, ne traite pas et ne collecte pas les informations relatives aux cartes de crédit qui nous sont soumises par les clients. Nous faisons appel à des fournisseurs de paiement fiables et conformes à la norme PCI pour garantir que les informations relatives aux cartes de crédit des clients sont traitées en toute sécurité et conformément à la réglementation et aux normes industrielles appropriées.
Toutes nos passerelles de paiement sont conformes à la norme PCI DSS.
Xoxoday maintient un programme de reprise après sinistre pour garantir que les services restent disponibles ou sont facilement récupérables en cas de sinistre. Les clients peuvent se tenir au courant des problèmes de disponibilité grâce à un site Web accessible au public qui présente l'historique des entretiens programmés et des incidents de service.
Les plans BCP et DR sont testés et revus chaque année. Les plans BCP et DR de Xoxoday sont révisés et audités dans le cadre des normes ISO 27001 et SOC 2 Type II couvrant la disponibilité comme l'un des principes du service de confiance.
Xoxoday utilise une authentification à deux facteurs pour accorder l'accès à nos opérations administratives - à la fois l'infrastructure et les services. Nous veillons à ce que les privilèges administratifs ne soient accordés qu'à quelques employés. En outre, notre utilisation de l'accès basé sur les rôles garantit que les utilisateurs peuvent effectuer des opérations conformément à la politique de contrôle d'accès.
Tous les accès administratifs sont automatiquement enregistrés et surveillés par notre équipe de sécurité interne. Des informations détaillées sur le moment et la raison des opérations sont documentées et notifiées à l'équipe de sécurité avant d'effectuer des changements dans l'environnement de production.
Xoxoday a déployé un réseau de technologies de l'information pour faciliter ses activités et les rendre plus efficaces pour divers risques. Et établir une orientation de gestion, des principes et des exigences normalisées pour s'assurer que la protection appropriée des informations sur ses réseaux est maintenue et soutenue.
Xoxoday a développé un ensemble complet de politiques de sécurité couvrant une gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et contractants ayant accès aux informations de Xoxoday.
Lors de son entrée en fonction, chaque employé signe un accord de confidentialité et une politique d'utilisation acceptable, après quoi il suit une formation sur la sécurité des informations, la confidentialité et la conformité. En outre, nous évaluons leur compréhension au moyen de tests et de questionnaires afin de déterminer les sujets sur lesquels ils doivent poursuivre leur formation. Nous leur fournissons une formation sur les aspects spécifiques de la sécurité dont ils peuvent avoir besoin en fonction de leur rôle.
Chaque employé est soumis à un processus de vérification des antécédents. Nous faisons appel à des agences externes réputées pour effectuer cette vérification en notre nom. Nous vérifions ainsi leur casier judiciaire, leurs antécédents professionnels, le cas échéant, et leur formation. Tant que cette vérification n'est pas effectuée, l'employé ne se voit pas confier de tâches susceptibles de présenter des risques pour les utilisateurs.
Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité. L'employé accepte expressément de ne pas utiliser les informations confidentielles fournies par la société dans le cadre du développement ou de la livraison de produits ou de services pour son propre compte ou pour le compte d'un tiers, ni d'en tirer un profit personnel.
