XoxodayFokus keamanan utama kami adalah melindungi data pelanggan dan pengguna kami. Itulah mengapa Xoxoday telah berinvestasi dalam sumber daya dan kontrol yang tepat untuk melindungi dan melayani pelanggan kami. Kami fokus pada pendefinisian kontrol baru dan menyempurnakan kontrol yang ada, menerapkan dan mengelola kerangka kerja keamanan Xoxoday , dan menyediakan struktur pendukung untuk memfasilitasi kepatuhan dan manajemen risiko yang efektif.
Xoxoday berkomitmen untuk memastikan integritas, kerahasiaan, ketersediaan, dan keamanan aset fisik dan informasinya serta menjaga privasi ketika melayani pelanggan dan kebutuhan organisasi sambil memenuhi persyaratan hukum, undang-undang, dan peraturan yang berlaku.
Untuk memberikan perlindungan yang memadai untuk aset informasi, Xoxoday telah membangun Sistem Manajemen Keamanan Informasi (SMKI), yang memungkinkan setiap orang untuk mengikuti kebijakan ini dengan tekun, konsisten, dan tidak memihak. Xoxoday akan menerapkan prosedur dan kontrol di semua tingkatan untuk melindungi kerahasiaan dan integritas informasi yang disimpan dan diproses di sistemnya dan memastikan bahwa informasi hanya tersedia untuk individu yang berwenang saat diperlukan.
.svg){kind=icon}
Kami telah mengembangkan kerangka kepatuhan kami menggunakan praktik terbaik industri SaaS. Tujuan utama kami meliputi:
Xoxoday berkomitmen untuk mematuhi semua peraturan dan hukum yang berlaku di semua lokasi dan negara tempat kami beroperasi dan memproses informasi. Xoxoday menangani integritas dan keamanan data dengan serius. Lebih dari dua juta pelanggan di seluruh dunia mempercayakan keamanan data mereka kepada kami. Karena sifat produk dan layanan kami, kami harus mengakui tanggung jawab kami sebagai pengontrol dan pemroses data.
Keamanan data pelanggan adalah bagian penting dari produk, proses, dan budaya tim kami. Fasilitas, proses, dan sistem kami dapat diandalkan, kuat, dan diuji oleh organisasi kontrol kualitas dan keamanan data yang terkenal. Kami terus mencari peluang untuk meningkatkan lanskap teknologi dinamis dan memberi Anda sistem yang sangat aman dan terukur yang memberikan pengalaman hebat.
Kami menggunakan praktik terbaik dan standar industri untuk mencapai kepatuhan terhadap kerangka kerja keamanan dan privasi umum yang diterima industri.
Kami menggunakan fitur keamanan kelas perusahaan dan melakukan audit komprehensif terhadap aplikasi, sistem, dan jaringan kami untuk melindungi data pelanggan dan bisnis. Pelanggan kami tenang mengetahui informasi mereka aman, interaksi mereka aman, dan bisnis mereka dilindungi.
Xoxoday memiliki sertifikasi ISO 27001:2013.
ISO / IEC 27001: 2013 adalah spesifikasi untuk sistem manajemen keamanan informasi (ISMS). ISMS adalah kerangka kebijakan dan prosedur untuk manajemen risiko informasi organisasi, termasuk kontrol hukum, fisik, dan teknis, yang digunakan untuk menjaga informasi tetap aman.
Dengan ISMS ISO yang kuat, Anda mendapatkan jaminan tambahan bahwa kami telah menerapkan spektrum penuh praktik terbaik keamanan di seluruh organisasi.
Xoxoday bersertifikat ISO 27001:2013, dan kami berkomitmen untuk mengidentifikasi risiko, menilai implikasi, dan menggunakan kontrol tersistem yang membangkitkan kepercayaan dalam segala hal yang kami lakukan - mulai dari basis kode hingga infrastruktur fisik dan praktik sumber daya manusia.
Xoxoday melakukan audit SOC 2 tahunan dengan menggunakan auditor pihak ketiga yang independen. Laporan SOC 2 kami membuktikan bahwa kontrol kami, yang mengatur ketersediaan, kerahasiaan, dan keamanan data nasabah, sesuai dengan Trust Service Principles (TSP) yang ditetapkan oleh American Institute of Certified Public Accountants (AICPA).
Keamanan: Prinsip-prinsip ini mengukur bagaimana kami melindungi data Anda dan sistem kami terhadap akses yang tidak sah dan bagaimana kami mencegah kerusakan pengungkapan informasi pada sistem yang melindungi ketersediaan, integritas, kerahasiaan, dan privasi informasi Anda.
Ketersediaan: Prinsip kepercayaan ini mencakup apakah informasi dan sistem Anda tersedia untuk operasi dan digunakan untuk memenuhi tujuan perusahaan Anda.
Integritas pemrosesan: Prinsip ini menilai apakah pemrosesan sistem Anda lengkap dan akurat dan hanya memproses informasi yang berwenang.
Kerahasiaan: Ini mencakup apakah informasi rahasia tetap benar-benar dilindungi.
Privasi: Prinsip kepercayaan akhir ini melihat apakah informasi pribadi pengguna Anda dikumpulkan, digunakan, disimpan, diungkapkan, dan dihancurkan sesuai pemberitahuan privasi perusahaan Anda dan Prinsip Privasi yang Diterima Secara Umum (GAPP).
Kami bangga dengan keunggulan kontrol kami dan mengundang Anda untuk mendapatkan salinan laporan SOC 2 Tipe I kami dengan menghubungi perwakilan Xoxoday
Xoxoday Sesuai dengan CCPA/CPRA.
CPRA telah memodifikasi, memperluas, dan mengklarifikasi hak privasi bagi penduduk California, dan mengambil inspirasi dari kebijakan GDPR UE dalam berbagai cara. CPRA menciptakan kategori baru informasi pribadi sensitif (SPI) yang diatur secara terpisah dan lebih kuat dari informasi pribadi (PI).
Tujuan CPRA adalah untuk mendefinisikan kembali dan memperluas Undang-Undang Privasi Konsumen California (CCPA) untuk memperkuat hak-hak penduduk California. Ini memberi konsumen kesempatan lebih besar untuk memilih keluar dan membutuhkan manajemen privasi data yang disengaja oleh bisnis.
Xoxoday sesuai dengan HIPAA.
Departemen Kesehatan & Layanan Kemanusiaan A.S. menetapkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, HIPAA, pada tahun 1996. Tindakan ini bertujuan untuk memastikan perlindungan informasi kesehatan pasien dari akses publik.
Mungkin ada contoh ketika pelanggan dapat menggunakan beberapa produk kami untuk memproses Informasi Kesehatan Pribadi elektronik (ePHI) dalam kegiatan operasional bisnis mereka. Sesuai dengan HIPAA tahun 1996, jika pelanggan kami dikategorikan sebagai Entitas yang Tercakup atau Rekan Bisnis, Xoxoday memberikan dukungan untuk kepatuhan mereka terhadap HIPAA.
Kami membantu pelanggan memenuhi kewajiban HIPAA mereka dengan memanfaatkan opsi konfigurasi keamanan yang sesuai dalam produk Xoxoday .
Xoxoday sudah sesuai dengan GDPR.
Program kepatuhan GDPR kami yang komprehensif didukung oleh prinsip-prinsip privasi dasar ini - Akuntabilitas, Privasi berdasarkan Desain dan Default, Minimalisasi Data, dan Hak Akses Subjek, antara lain. Teknologi dan operasi yang terkait dengan bisnis tunduk pada program sensitisasi reguler.
Xoxoday berkomitmen untuk menyediakan produk dan layanan yang aman dengan menerapkan dan mematuhi kebijakan kepatuhan yang telah ditentukan, baik sebagai pengontrol dan pemroses data.
Pemberlakuan GDPR sangat penting bagi misi kami untuk menyediakan solusi bisnis yang aman dan dapat diandalkan bagi Uni Eropa dan semua pelanggan global kami. Untuk mendukung komitmen ini, Xoxoday memberikan tingkat privasi dan keamanan yang sama kepada semua pelanggannya di seluruh dunia, di mana pun lokasinya.
Untuk informasi lebih lanjut tentang Xoxoday GDPR, silakan klik di sini
Xoxoday berkomitmen penuh untuk menjunjung tinggi hak-hak yang diberikan kepada subjek data di bawah undang-undang perlindungan data yang berlaku dan menjaga data pribadi mereka dengan baik. Lebih dari 2 juta pelanggan di seluruh dunia mempercayakan keamanan data mereka kepada kami. Karena sifat produk dan layanan yang kami sediakan, kami mengakui tanggung jawab kami sebagai pengontrol dan pemroses data.
Keamanan data pelanggan adalah bagian penting dari produk, proses, dan budaya tim kami. Fasilitas, proses, dan sistem kami dapat diandalkan, kuat, dan diuji oleh organisasi kontrol kualitas dan keamanan data yang terkenal. Kami terus mencari peluang untuk meningkatkan lanskap teknologi dinamis dan memberi Anda sistem yang sangat aman dan terukur yang memberikan pengalaman hebat.
Kebijakan Privasi - Pelajari lebih lanjut tentang kebijakan privasi Xoxoday
Kebijakan GDPR - Pelajari lebih lanjut tentang Xoxoday Kebijakan GDPR
Kami memiliki sejumlah sumber daya yang dapat kami sediakan berdasarkan permintaan.
Sumber daya berikut ini mungkin memerlukan NDA pada file. Silakan hubungi perwakilan Xoxoday Anda.
Xoxoday mengalihdayakan hosting infrastruktur produknya ke penyedia infrastruktur cloud terkemuka. Pada dasarnya, produk Xoxoday memanfaatkan Amazon Web Services (AWS) dan Microsoft Azure untuk hosting infrastruktur. Penyedia infrastruktur cloud memiliki tingkat keamanan fisik dan jaringan yang tinggi serta keragaman vendor penyedia hosting. AWS memiliki program keamanan yang telah diaudit, termasuk kepatuhan terhadap SOC 2 dan ISO 27001. Xoxoday tidak meng-host sistem produk apa pun di dalam kantor korporatnya.
Xoxoday menerapkan produk di pusat data AWS dan Microsoft Azure yang telah tersertifikasi ISO 27001, Penyedia Layanan PCI DSS Level 1, dan/atau sesuai dengan SOC 2. Layanan infrastruktur AWS dan Microsoft Azure mencakup daya cadangan, sistem HVAC, dan peralatan pencegah kebakaran untuk membantu melindungi server dan pada akhirnya data Anda
Pelajari kepatuhan di AWS dan Microsoft Azure lebih lanjut.
Perlindungan keamanan fisik, lingkungan, dan infrastruktur, termasuk rencana kontinuitas dan pemulihan, telah divalidasi secara independen sebagai bagian dari sertifikasi SOC 2 Tipe II dan ISO 27001 mereka.
Keamanan di tempat AWS dan MS Azure mencakup sejumlah fitur seperti penjaga keamanan, pagar, umpan keamanan, teknologi deteksi intrusi, dan langkah-langkah keamanan lainnya.
AWS/MS Azure hanya menyediakan akses pusat data fisik untuk karyawan yang disetujui. Semua karyawan yang membutuhkan akses pusat data harus terlebih dahulu mengajukan permohonan akses dan memberikan pembenaran bisnis yang valid. Permintaan ini diberikan berdasarkan prinsip hak istimewa paling sedikit, di mana permintaan harus menentukan ke lapisan pusat data mana yang perlu diakses individu, dan terikat waktu. Permintaan ditinjau dan disetujui oleh personel yang berwenang, dan akses dicabut setelah waktu yang diminta berakhir. Setelah diberikan penerimaan, individu dibatasi untuk area yang ditentukan dalam izin mereka.
Jaringan kami dilindungi menggunakan layanan keamanan cloud penting, integrasi dengan jaringan perlindungan tepi Cloudflare kami, audit reguler, dan teknologi intelijen jaringan, yang memantau dan memblokir lalu lintas berbahaya dan serangan jaringan yang diketahui.
Pemindaian kerentanan memberi kami wawasan yang mendalam untuk identifikasi cepat terhadap sistem yang tidak patuh atau berpotensi rentan. Selain program pemindaian dan pengujian internal kami yang ekstensif, Xoxoday mempekerjakan pakar keamanan pihak ketiga untuk melakukan penilaian kerentanan dan pengujian penetrasi.
Program Bug Bounty kami memberikan jalan bagi para peneliti keamanan dan pelanggan untuk menguji dan memberitahukan Xoxoday tentang kerentanan keamanan secara aman.
Silakan klik di sini untuk mengetahui lebih lanjut tentang Xoxoday Program Bug Bounty
Sistem Security Incident Event Management (SIEM) kami mengumpulkan log ekstensif dari perangkat jaringan penting dan sistem host. Peringatan SIEM memberi tahu tim Keamanan berdasarkan peristiwa berkorelasi untuk penyelidikan dan respons.
Titik masuk dan keluar layanan diinstrumentasi dan dipantau untuk mendeteksi perilaku anomali. Sistem ini dikonfigurasi untuk menghasilkan peringatan ketika insiden dan nilai melebihi ambang batas yang telah ditentukan dan menggunakan tanda tangan yang diperbarui secara teratur berdasarkan ancaman baru. Ini termasuk pemantauan sistem 24/7.
Akses ke Jaringan Produksi Xoxoday dibatasi oleh kebutuhan untuk mengetahui secara eksplisit, menggunakan hak istimewa yang paling sedikit, sering diaudit dan dipantau, dan dikendalikan oleh Tim Operasi kami. Karyawan yang mengakses Jaringan Produksi Xoxoday diharuskan menggunakan beberapa faktor autentikasi.
Akses ke data dan sistem didasarkan pada prinsip-prinsip hak istimewa paling sedikit untuk akses. Solusi Identity and Access Management (IAM) telah didefinisikan untuk mengelola akses pengguna melalui profil akses berbasis peran yang mendukung implementasi akses berdasarkan prinsip-prinsip kebutuhan untuk mengetahui dasar dan mendukung segregasi tugas. Hak istimewa yang berkaitan dengan Administrasi hak akses pengguna dan konfigurasi peran berbeda dari pemberi persetujuan resmi yang menyetujui permintaan akses. Pemberi persetujuan adalah Kepala Produk atau Kepala fungsi masing-masing adalah delegasi resmi mereka.
Dalam hal peringatan sistem, peristiwa meningkat ke tim 24/7 kami yang menyediakan cakupan Operasi, Rekayasa Jaringan, dan Keamanan. Karyawan dilatih tentang proses respons insiden keamanan, termasuk saluran komunikasi dan jalur eskalasi.
Xoxoday telah mendefinisikan proses manajemen insiden Keamanan untuk mengklasifikasikan dan menangani insiden dan pelanggaran keamanan. Tim Keamanan Informasi bertanggung jawab untuk mencatat, melaporkan, melacak, merespons, menyelesaikan, memantau, melaporkan, dan mengkomunikasikan insiden kepada pihak-pihak terkait dengan segera. Proses ini ditinjau sebagai bagian dari audit internal berkala dan diaudit sebagai bagian dari penilaian ISO 27001 dan SOC 2 Tipe II.
Data dienkripsi melalui HTTPS/TLS standar industri (TLS 1.2 atau lebih tinggi) melalui jaringan publik. Hal ini memastikan bahwa semua lalu lintas antara Anda dan Xoxoday aman selama transit. Selain itu, untuk email, produk kami memanfaatkan TLS oportunistik secara default.
Transport Layer Security (TLS) mengenkripsi dan mengirimkan email dengan aman, mengurangi penyadapan antara server email di mana layanan rekan mendukung protokol ini. Pengecualian untuk enkripsi dapat mencakup penggunaan fungsi SMS dalam produk, aplikasi, integrasi, atau layanan pihak ketiga lainnya yang dapat dipilih pelanggan untuk dimanfaatkan atas kebijakan mereka sendiri.
Data Layanan dienkripsi saat tidak aktif di AWS menggunakan enkripsi kunci AES-256.
Kami mengambil langkah-langkah untuk mengembangkan dan menguji secara aman terhadap ancaman keamanan untuk memastikan keamanan data pelanggan kami. Kami mempertahankan Siklus Hidup Pengembangan Aman, di mana melatih pengembang kami dan melakukan tinjauan desain dan kode mengambil peran utama. Selain itu, Xoxoday mempekerjakan pakar keamanan pihak ketiga untuk melakukan tes penetrasi terperinci pada berbagai aplikasi.
Xoxoday Produk kami dihosting di platform AWS dan MS Azure milik Amazon. Xoxoday karyawan tidak memiliki akses fisik ke lingkungan produksi kami. Sebagai pelanggan Amazon dan Azure, kami mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Pusat data ditempatkan di fasilitas yang tidak mencolok, dengan balok kontrol perimeter kelas militer dengan staf keamanan profesional yang memanfaatkan pengawasan video, sistem deteksi intrusi canggih, dan sarana elektronik lainnya.
Selain keamanan fisik, platform Cloud juga memberikan perlindungan yang signifikan terhadap keamanan jaringan tradisional.
Pelatihan Kode Aman - Setidaknya setiap tahun, para teknisi berpartisipasi dalam pelatihan kode aman yang mencakup 10 risiko keamanan teratas OWASP, vektor serangan yang umum.
Akses Aman - Server aplikasi Xoxoday semuanya menggunakan HTTPS yang aman. Kami menggunakan enkripsi standar industri untuk data yang melintas ke dan dari server aplikasi.
Departemen Jaminan Kualitas (QA) kami meninjau dan menguji basis kode kami. Insinyur keamanan aplikasi khusus pada staf mengidentifikasi, menguji, dan menguji kerentanan keamanan triase dalam kode.
Lingkungan pengujian dan pementasan secara logis dipisahkan dari lingkungan Produksi. Tidak ada Data Layanan yang digunakan dalam lingkungan pengembangan atau pengujian kami.
Untuk memastikan kami melindungi data yang dipercayakan kepada kami; kami menerapkan serangkaian kontrol keamanan. Xoxoday kontrol keamanan dirancang untuk memungkinkan tingkat efisiensi karyawan yang tinggi tanpa penghalang buatan, sekaligus meminimalkan risiko.
Xoxoday mempekerjakan tim keamanan yang berdedikasi dan bekerja penuh waktu untuk mengelola dan terus meningkatkan keamanan kami. Tim ini melindungi infrastruktur, jaringan, dan data Xoxoday (termasuk data pelanggan kami).
Selain komponen keamanan yang disediakan oleh penyedia cloud tingkat atas kami (MS Azure dan AWS), Xoxoday mempertahankan kontrol khusus sendiri dengan mengikuti praktik terbaik Industri.
Kontrol ini mencakup serangan DDoS, perlindungan DB dan firewall aplikasi web khusus, serta aturan berbutir halus firewall jaringan yang dikonfigurasi menggunakan standar industri tertinggi.
Kunci SSH diperlukan untuk mendapatkan akses konsol ke server kami, dan setiap login diidentifikasi oleh pengguna. Semua operasi penting dicatat ke server log pusat, dan server kami hanya dapat diakses dari IP yang dibatasi dan aman.
Host tersegmentasi, dan akses dibatasi berdasarkan fungsionalitas. Permintaan aplikasi hanya diizinkan dari AWS ELB, dan server database hanya dapat diakses dari server aplikasi.
Kami telah mengaktifkan kebijakan kata sandi, dan kata sandi disimpan setelah enkripsi untuk keamanan data maksimum. Kata sandi harus memiliki minimal 8 karakter dan harus berisi setidaknya satu huruf kapital, karakter khusus di antara '# $ % * &' dan satu digit.
Firewall aplikasi web khusus kami bertindak sebagai penghalang yang kuat untuk melindungi aplikasi dan layanan mikro Xoxoday. Firewall ini menerapkan kontrol keamanan seperti konfigurasi TLS yang diperkuat (HSTS, enkripsi yang kuat, dan algoritme hashing), perlindungan menyeluruh terhadap aktivitas berbahaya (deteksi reputasi IP yang buruk, pemeriksaan integritas peramban, aturan WAF), dan beberapa aturan pembatas kecepatan yang mencegah pengiriman formulir secara otomatis pada titik-titik akhir yang kritis (serangan menebak kata sandi).
Xoxoday tidak menyimpan, memproses, atau mengumpulkan informasi kartu kredit yang dikirimkan kepada kami oleh pelanggan. Kami memanfaatkan vendor pembayaran tepercaya dan sesuai dengan PCI untuk memastikan bahwa informasi kartu kredit pelanggan diproses dengan aman dan sesuai dengan peraturan dan standar industri yang sesuai.
Semua gateway pembayaran kami sesuai dengan PCI DSS.
Xoxoday mempertahankan program pemulihan bencana untuk memastikan layanan tetap tersedia atau mudah dipulihkan jika terjadi bencana. Pelanggan dapat terus mendapatkan informasi terbaru tentang masalah ketersediaan melalui situs web status yang tersedia untuk umum yang mencakup pemeliharaan terjadwal dan riwayat insiden layanan.
Rencana BCP dan DR diuji dan ditinjau setiap tahun. Rencana BCP dan DR Xoxoday ditinjau dan diaudit sebagai bagian dari standar ISO 27001 dan SOC 2 Tipe II yang mencakup ketersediaan sebagai salah satu prinsip layanan kepercayaan.
Xoxoday menggunakan otentikasi dua faktor untuk memberikan akses ke operasi administratif kami - baik infrastruktur maupun layanan. Kami memastikan bahwa hak akses administratif hanya diberikan kepada beberapa karyawan saja. Selain itu, penggunaan akses berbasis peran kami memastikan bahwa pengguna dapat melakukan operasi sesuai dengan kebijakan kontrol akses.
Semua akses administratif secara otomatis dicatat dan dipantau oleh tim keamanan internal kami. Informasi terperinci tentang kapan dan mengapa operasi dilakukan didokumentasikan dan diberitahukan kepada tim keamanan sebelum membuat perubahan dalam lingkungan produksi.
Xoxoday telah menggunakan jaringan teknologi informasi untuk memfasilitasi bisnisnya dan membuatnya lebih efisien untuk berbagai risiko. Serta menetapkan arahan manajemen, prinsip-prinsip, dan persyaratan standar untuk memastikan bahwa perlindungan informasi yang tepat pada jaringannya tetap terjaga dan berkelanjutan.
Xoxoday telah mengembangkan serangkaian kebijakan keamanan yang komprehensif yang mencakup berbagai topik. Kebijakan-kebijakan ini dibagikan dan tersedia bagi semua karyawan dan kontraktor yang memiliki akses ke aset informasi Xoxoday .
Setiap karyawan, ketika dilantik, menandatangani perjanjian kerahasiaan dan kebijakan penggunaan yang dapat diterima, setelah itu mereka menjalani pelatihan dalam keamanan informasi, privasi, dan kepatuhan. Selain itu, kami mengevaluasi pemahaman mereka melalui tes dan kuis untuk menentukan topik mana yang mereka butuhkan pelatihan lebih lanjut. Kami memberikan pelatihan tentang aspek-aspek tertentu dari keamanan yang mungkin mereka butuhkan berdasarkan peran mereka.
Setiap karyawan menjalani proses verifikasi latar belakang. Kami menyewa agen eksternal terkenal untuk melakukan pemeriksaan ini atas nama kami. Kami melakukan ini untuk memverifikasi catatan kriminal mereka, catatan pekerjaan sebelumnya, jika ada, dan latar belakang pendidikan. Sampai pemeriksaan ini dilakukan, karyawan tidak diberi tugas yang dapat menimbulkan risiko bagi pengguna.
Semua karyawan baru diwajibkan untuk menandatangani perjanjian Non-Disclosure dan Confidentiality. Karyawan secara tegas setuju bahwa ia tidak akan menggunakan Informasi Rahasia yang diberikan oleh perusahaan dalam pengembangan atau pengiriman atau untuk keuntungan pribadi dari menyediakan produk atau layanan apa pun untuk akunnya sendiri atau untuk akun pihak ketiga mana pun.
