XoxodayL'obiettivo principale della sicurezza di è la salvaguardia dei dati dei nostri clienti e utenti. Per questo Xoxoday ha investito in risorse e controlli adeguati per proteggere e assistere i nostri clienti. Ci concentriamo sulla definizione di nuovi controlli e sull'affinamento di quelli esistenti, sull'implementazione e sulla gestione del framework di sicurezza di Xoxoday e sulla fornitura di una struttura di supporto per facilitare un'efficace gestione della conformità e del rischio.
Xoxoday si impegna a garantire l'integrità, la riservatezza, la disponibilità e la sicurezza dei propri beni fisici e informativi e a mantenere la privacy quando serve i clienti e le esigenze dell'organizzazione, soddisfacendo al contempo i requisiti legali, statutari e normativi.
Per fornire un'adeguata protezione delle risorse informative, Xoxoday ha creato il Sistema di Gestione della Sicurezza delle Informazioni (ISMS), che consente a tutti di seguire queste politiche in modo diligente, coerente e imparziale. Xoxoday implementerà procedure e controlli a tutti i livelli per proteggere la riservatezza e l'integrità delle informazioni memorizzate ed elaborate sui propri sistemi e garantire che le informazioni siano disponibili solo alle persone autorizzate, come e quando richiesto.
.svg){kind=icon}
Abbiamo sviluppato il nostro quadro di conformità utilizzando le migliori pratiche del settore SaaS. I nostri obiettivi chiave includono
Xoxoday si impegna a rispettare tutte le normative e le leggi vigenti in tutti i luoghi e paesi in cui opera e tratta le informazioni. Xoxoday prende sul serio l'integrità e la sicurezza dei dati. Oltre due milioni di clienti in tutto il mondo ci affidano la sicurezza dei loro dati. Data la natura dei nostri prodotti e servizi, dobbiamo riconoscere le nostre responsabilità sia come controllore che come responsabile del trattamento dei dati.
La sicurezza dei dati dei clienti è una parte essenziale del nostro prodotto, dei processi e della cultura del nostro team. Le nostre strutture, i processi e i sistemi sono affidabili, robusti e testati da rinomate organizzazioni di controllo qualità e sicurezza dei dati. Cerchiamo continuamente opportunità per migliorare il panorama tecnologico dinamico e darvi un sistema altamente sicuro e scalabile che offra una grande esperienza.
Utilizziamo le migliori pratiche e gli standard del settore per ottenere la conformità con i quadri generali di sicurezza e privacy accettati dal settore.
Utilizziamo funzioni di sicurezza di classe enterprise e conduciamo audit completi delle nostre applicazioni, sistemi e reti per proteggere i dati dei clienti e delle imprese. I nostri clienti stanno tranquilli sapendo che le loro informazioni sono al sicuro, le loro interazioni sono sicure e le loro attività sono protette.
Xoxoday è certificato ISO 27001:2013.
ISO/IEC 27001:2013 è una specifica per un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è un quadro di politiche e procedure per la gestione del rischio delle informazioni organizzative, compresi i controlli legali, fisici e tecnici, utilizzati per mantenere le informazioni sicure.
Con il solido ISMS di ISO, si ottiene l'ulteriore rassicurazione che abbiamo implementato uno spettro completo di best practice di sicurezza in tutta l'organizzazione.
Xoxoday è certificata ISO 27001:2013 e ci impegniamo a identificare i rischi, valutare le implicazioni e utilizzare controlli sistematici che ispirino fiducia in tutto ciò che facciamo, dalla nostra base di codice all'infrastruttura fisica e alle pratiche del personale.
Xoxoday conduce audit annuali SOC 2 avvalendosi di un revisore indipendente. Il nostro rapporto SOC 2 attesta che i nostri controlli, che regolano la disponibilità, la riservatezza e la sicurezza dei dati dei clienti, sono conformi ai Trust Service Principles (TSP) stabiliti dall'American Institute of Certified Public Accountants (AICPA).
Sicurezza: Questi principi misurano il modo in cui proteggiamo i tuoi dati e i nostri sistemi da accessi non autorizzati e il modo in cui impediamo che le informazioni vengano divulgate danneggiando i sistemi che proteggono la disponibilità, l'integrità, la riservatezza e la privacy delle tue informazioni.
Disponibilità: Questo principio di fiducia copre se le vostre informazioni e i vostri sistemi sono disponibili per il funzionamento e l'uso per soddisfare gli obiettivi della vostra azienda.
Integrità dell'elaborazione: Questo principio valuta se l'elaborazione del tuo sistema è completa e accurata e se elabora solo informazioni autorizzate.
Riservatezza: Questo riguarda il fatto che le informazioni confidenziali rimangano veramente protette.
Privacy: Questo principio di fiducia finale guarda se le informazioni personali dei tuoi utenti sono raccolte, usate, conservate, divulgate e distrutte secondo l'avviso sulla privacy della tua azienda e i principi di privacy generalmente accettati (GAPP).
Siamo orgogliosi dell'eccellenza dei nostri controlli e vi invitiamo a ottenere una copia del nostro rapporto SOC 2 Tipo I contattando il vostro rappresentante Xoxoday .
Xoxoday è conforme a CCPA/CPRA.
Il CPRA ha modificato, ampliato e chiarito i diritti alla privacy per i residenti della California, e si ispira alla politica GDPR dell'UE in vari modi. Il CPRA crea la nuova categoria di informazioni personali sensibili (SPI) che è regolata separatamente e più forte delle informazioni personali (PI).
Lo scopo del CPRA è di ridefinire ed espandere il California Consumer Privacy Act (CCPA) per rafforzare i diritti dei residenti della California. Fornisce ai consumatori maggiori opportunità di opt-out e richiede una gestione deliberata della privacy dei dati da parte delle imprese.
Xoxoday è conforme alla normativa HIPAA.
Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha stabilito l'Health Insurance Portability and Accountability Act, HIPAA, nel 1996. Questo atto mirava a garantire la protezione delle informazioni sanitarie di un paziente dall'accesso pubblico.
In alcuni casi, i clienti possono utilizzare alcuni dei nostri prodotti per elaborare informazioni sanitarie elettroniche personali (ePHI) nel corso delle loro operazioni commerciali. In base alla normativa HIPAA del 1996, se i nostri clienti vengono classificati come Covered Entity o Business Associate, Xoxoday fornisce assistenza per la loro conformità alla normativa HIPAA.
Aiutiamo i clienti ad adempiere agli obblighi HIPAA sfruttando le opzioni di configurazione di sicurezza appropriate nei prodotti Xoxoday .
Xoxoday è conforme al GDPR.
Il nostro programma completo di conformità al GDPR è supportato da questi principi fondamentali sulla privacy - Responsabilità, Privacy by Design e Default, Minimizzazione dei dati e Diritti di accesso del soggetto, tra gli altri. La tecnologia e le operazioni relative al business sono soggette a regolari programmi di sensibilizzazione.
Xoxoday si impegna a fornire prodotti e servizi sicuri implementando e rispettando le politiche di conformità prescritte, sia come responsabile del trattamento dei dati che come incaricato del trattamento.
L'applicazione del GDPR è fondamentale per la nostra missione di fornire all'UE e a tutti i nostri clienti globali soluzioni aziendali sicure e affidabili. A sostegno di questo impegno, Xoxoday estende lo stesso livello di privacy e sicurezza a tutti i suoi clienti in tutto il mondo, indipendentemente dalla loro ubicazione.
Per ulteriori informazioni su Xoxoday GDPR, fare clic qui.
Xoxoday si impegna a rispettare i diritti riconosciuti agli interessati dalle leggi vigenti in materia di protezione dei dati e a prendersi cura dei loro dati personali. Oltre 2 milioni di clienti in tutto il mondo ci affidano la sicurezza dei loro dati. Data la natura dei prodotti e dei servizi che forniamo, riconosciamo le nostre responsabilità sia come responsabili del trattamento dei dati che come incaricati del trattamento.
La sicurezza dei dati dei clienti è una parte essenziale dei nostri prodotti, processi e cultura del team. Le nostre strutture, i processi e i sistemi sono affidabili, robusti e testati da rinomate organizzazioni di controllo della qualità e sicurezza dei dati. Cerchiamo continuamente opportunità per migliorare il dinamico panorama tecnologico e darvi un sistema altamente sicuro e scalabile che offra una grande esperienza.
Informativa sulla privacy - Per saperne di più sull'informativa sulla privacy di Xoxoday
Politica GDPR - Per saperne di più sulla politica GDPR di Xoxoday
Abbiamo una serie di risorse che possiamo fornire su richiesta.
Le seguenti risorse potrebbero richiedere un NDA su file. Rivolgetevi al vostro rappresentante Xoxoday .
Xoxoday esternalizza l'hosting dell'infrastruttura dei suoi prodotti ai principali fornitori di infrastrutture cloud. Principalmente, il prodotto Xoxoday utilizza Amazon Web Services (AWS) e Microsoft Azure per l'hosting dell'infrastruttura. I fornitori di infrastrutture cloud presentano alti livelli di sicurezza fisica e di rete e una diversità di fornitori di hosting. AWS mantiene un programma di sicurezza sottoposto a revisione, compresa la conformità SOC 2 e ISO 27001. Xoxoday non ospita sistemi di prodotti all'interno dei suoi uffici aziendali.
Xoxoday distribuisce i prodotti nei data center AWS e Microsoft Azure che hanno ottenuto la certificazione ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. I servizi di infrastruttura AWS e Microsoft Azure includono alimentazione di riserva, sistemi HVAC e attrezzature antincendio per proteggere i server e, in ultima analisi, i vostri dati.
Scopri di più sulla conformità in AWS e Microsoft Azure.
Le protezioni di sicurezza fisiche, ambientali e infrastrutturali, compresi i piani di continuità e recupero, sono state convalidate in modo indipendente come parte delle loro certificazioni SOC 2 Type II e ISO 27001.
La sicurezza in loco di AWS e MS Azure include una serie di caratteristiche come guardie di sicurezza, recinzioni, feed di sicurezza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza.
AWS/MS Azure fornisce l'accesso fisico al data center solo ai dipendenti approvati. Tutti i dipendenti che hanno bisogno di accedere al data center devono prima richiedere l'accesso e fornire una valida giustificazione aziendale. Queste richieste sono concesse in base al principio del minimo privilegio, dove le richieste devono specificare a quale livello del data center l'individuo ha bisogno di accedere, e sono limitate nel tempo. Le richieste vengono esaminate e approvate dal personale autorizzato, e l'accesso viene revocato alla scadenza del tempo richiesto. Una volta concesso l'accesso, gli individui sono limitati alle aree specificate nelle loro autorizzazioni.
La nostra rete è protetta utilizzando servizi di sicurezza cloud essenziali, l'integrazione con le nostre reti di protezione edge Cloudflare, audit regolari e tecnologie di network intelligence, che monitorano e bloccano il traffico dannoso conosciuto e gli attacchi di rete.
La scansione delle vulnerabilità ci offre una visione approfondita per identificare rapidamente i sistemi non conformi o potenzialmente vulnerabili. Oltre al nostro vasto programma di scansione e test interno, Xoxoday si avvale di esperti di sicurezza di terze parti per eseguire una valutazione delle vulnerabilità e un test di penetrazione.
Il nostro programma Bug Bounty offre ai ricercatori di sicurezza e ai clienti una via per testare e segnalare in modo sicuro a Xoxoday le vulnerabilità di sicurezza.
Fare clic qui per saperne di più sul programma Bug Bounty di Xoxoday .
Il nostro sistema SIEM (Security Incident Event Management) raccoglie registri estesi da dispositivi di rete e sistemi host essenziali. Gli avvisi SIEM notificano il team di sicurezza sulla base di eventi correlati per l'indagine e la risposta.
I punti di ingresso e di uscita del servizio sono strumentati e monitorati per rilevare comportamenti anomali. Questi sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano soglie predeterminate e utilizzano firme regolarmente aggiornate in base alle nuove minacce. Questo include il monitoraggio del sistema 24/7.
L'accesso alla rete di produzione di Xoxoday è limitato in base a un'esplicita necessità di sapere, utilizza il privilegio minimo, è sottoposto a frequenti verifiche e monitoraggi ed è controllato dal nostro team operativo. I dipendenti che accedono alla rete di produzione Xoxoday devono utilizzare più fattori di autenticazione.
L'accesso ai dati e ai sistemi si basa sui principi di minimo privilegio per l'accesso. Una soluzione di Identity and Access Management (IAM) è stata definita per gestire l'accesso degli utenti attraverso profili di accesso basati sui ruoli che supportano l'implementazione di accessi basati sui principi del need to know e supportano la segregazione dei compiti. I privilegi relativi all'amministrazione dei privilegi di accesso degli utenti e alle configurazioni dei ruoli sono diversi dall'approvatore autorizzato che approva le richieste di accesso. Gli approvatori sono i capi prodotto o i rispettivi capi funzione o i loro delegati autorizzati.
In caso di un allarme di sistema, gli eventi vengono trasmessi ai nostri team 24 ore su 24, 7 giorni su 7, che forniscono la copertura delle operazioni, dell'ingegneria di rete e della sicurezza. I dipendenti sono formati sui processi di risposta agli incidenti di sicurezza, compresi i canali di comunicazione e i percorsi di escalation.
Xoxoday ha definito il processo di gestione degli incidenti di sicurezza per classificare e gestire gli incidenti e le violazioni della sicurezza. Il team di sicurezza informatica è responsabile della registrazione, della segnalazione, del tracciamento, della risposta, della risoluzione, del monitoraggio, della segnalazione e della comunicazione tempestiva degli incidenti alle parti interessate. Il processo viene esaminato nell'ambito del nostro audit interno periodico e verificato nell'ambito della valutazione ISO 27001 e SOC 2 Type II.
I dati sono crittografati tramite lo standard industriale HTTPS/TLS (TLS 1.2 o superiore) su reti pubbliche. Questo garantisce che tutto il traffico tra l'utente e Xoxoday sia sicuro durante il transito. Inoltre, per le e-mail, il nostro prodotto sfrutta il protocollo TLS opportunistico per impostazione predefinita.
Transport Layer Security (TLS) cripta e distribuisce le e-mail in modo sicuro, attenuando le intercettazioni tra i server di posta dove i servizi peer supportano questo protocollo. Le eccezioni per la crittografia possono includere qualsiasi uso della funzionalità SMS del prodotto, qualsiasi altra applicazione, integrazione o servizio di terze parti che gli abbonati possono scegliere di sfruttare a loro discrezione.
I dati del servizio sono crittografati a riposo in AWS utilizzando la crittografia a chiave AES-256.
Adottiamo misure per sviluppare e testare in modo sicuro contro le minacce alla sicurezza per garantire la sicurezza dei dati dei nostri clienti. Manteniamo un ciclo di vita di sviluppo sicuro, in cui la formazione dei nostri sviluppatori e l'esecuzione di revisioni del progetto e del codice assumono un ruolo primario. Inoltre, Xoxoday si avvale di esperti di sicurezza di terze parti per eseguire test di penetrazione dettagliati su diverse applicazioni.
Xoxoday I prodotti sono ospitati sulle piattaforme AWS di Amazon e MS Azure. I dipendenti di Xoxoday non hanno accesso fisico al nostro ambiente di produzione. In quanto clienti di Amazon e Azure, beneficiamo di un data center e di un'architettura di rete costruiti per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
I centri dati sono ospitati in strutture non descritte, con fasci di controllo perimetrale di livello militare con personale di sicurezza professionale che utilizza la videosorveglianza, sistemi di rilevamento delle intrusioni all'avanguardia e altri mezzi elettronici.
Oltre alla sicurezza fisica, le piattaforme Cloud forniscono anche una protezione significativa contro la sicurezza di rete tradizionale.
Formazione sul codice sicuro - Almeno una volta all'anno, gli ingegneri partecipano a una formazione sul codice sicuro che copre i 10 rischi di sicurezza OWASP e i vettori di attacco più comuni.
Accesso sicuro - I server applicativi di Xoxoday sono tutti HTTPS sicuri. Utilizziamo la crittografia standard del settore per il passaggio dei dati da e verso i server delle applicazioni.
Il nostro reparto Quality Assurance (QA) rivede e testa la nostra base di codice. Gli ingegneri dedicati alla sicurezza delle applicazioni del nostro staff identificano, testano e risolvono le vulnerabilità di sicurezza nel codice.
Gli ambienti di test e staging sono logicamente separati dall'ambiente di produzione. Nessun dato di servizio viene utilizzato nei nostri ambienti di sviluppo o di test.
Per garantire la protezione dei dati che ci vengono affidati, abbiamo implementato una serie di controlli di sicurezza. Xoxoday controlli di sicurezza sono progettati per consentire un elevato livello di efficienza dei dipendenti senza ostacoli artificiali, riducendo al minimo i rischi.
Xoxoday impiega un team di sicurezza dedicato e a tempo pieno per gestire e migliorare continuamente la nostra sicurezza. Il team protegge l'infrastruttura, la rete e i dati di Xoxoday (compresi i dati dei nostri clienti).
Oltre ai componenti di sicurezza forniti dai nostri provider cloud di primo livello (MS Azure e AWS), Xoxoday mantiene i propri controlli dedicati seguendo le best practice del settore.
Questi controlli coprono l'attacco DDoS, la protezione DB e un web application firewall dedicato, così come il firewall di rete con regole a grana fine configurato utilizzando i più alti standard del settore.
Le chiavi SSH sono necessarie per ottenere l'accesso alla console dei nostri server, e ogni login è identificato da un utente. Tutte le operazioni critiche sono registrate su un server di log centrale, e i nostri server sono accessibili solo da IP limitati e sicuri.
Gli host sono segmentati e gli accessi sono limitati in base alla funzionalità. Le richieste delle applicazioni sono consentite solo da AWS ELB, e i server di database sono accessibili solo dai server delle applicazioni.
Abbiamo abilitato la politica delle password, e le password sono memorizzate dopo la crittografia per la massima sicurezza dei dati. La password deve avere un minimo di 8 caratteri e deve contenere almeno una lettera maiuscola, caratteri speciali tra '# $ % * &' e una cifra.
Il nostro firewall dedicato alle applicazioni web agisce come una solida barriera per proteggere le applicazioni e i microservizi di Xoxoday. Applica controlli di sicurezza come la configurazione TLS rinforzata (HSTS, crittografia forte e algoritmi di hashing), la protezione generale contro le attività dannose (rilevamento della cattiva reputazione dell'IP, controlli di integrità del browser, regole WAF) e regole multiple di limitazione della velocità che impediscono l'invio automatico di moduli su endpoint critici (attacchi di indovinare la password).
Xoxoday non memorizza, elabora o raccoglie le informazioni sulle carte di credito inviateci dai clienti. Ci avvaliamo di fornitori di pagamenti fidati e conformi allo standard PCI per garantire che i dati della carta di credito dei clienti vengano elaborati in modo sicuro e in conformità alle normative e agli standard del settore.
Tutti i nostri gateway di pagamento sono conformi a PCI DSS.
Xoxoday mantiene un programma di disaster recovery per garantire che i servizi rimangano disponibili o siano facilmente recuperabili in caso di disastro. I clienti possono rimanere aggiornati sui problemi di disponibilità attraverso un sito web di stato disponibile al pubblico, che copre la manutenzione programmata e lo storico degli incidenti di servizio.
I piani BCP e DR vengono testati e rivisti ogni anno. I piani BCP e DR di Xoxoday sono rivisti e verificati nell'ambito degli standard ISO 27001 e SOC 2 Type II, che prevedono la disponibilità come uno dei principi del servizio fiduciario.
Xoxoday utilizza l'autenticazione a due fattori per garantire l'accesso alle nostre operazioni amministrative, sia all'infrastruttura che ai servizi. Ci assicuriamo che i privilegi amministrativi siano concessi solo a pochi dipendenti. Inoltre, l'uso dell'accesso basato sui ruoli garantisce che gli utenti possano eseguire le operazioni in base alla politica di controllo degli accessi.
Tutti gli accessi amministrativi sono automaticamente registrati e monitorati dal nostro team di sicurezza interno. Le informazioni dettagliate su quando e perché le operazioni vengono effettuate sono documentate e notificate al team di sicurezza prima di effettuare qualsiasi modifica nell'ambiente di produzione.
Xoxoday ha implementato una rete informatica per facilitare le proprie attività e renderle più efficienti per i vari rischi. Stabilire una direzione, dei principi e dei requisiti standard per assicurare che la protezione delle informazioni sulle reti sia mantenuta e sostenuta.
Xoxoday ha sviluppato una serie completa di politiche di sicurezza che coprono una serie di argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e agli appaltatori che hanno accesso alle risorse informative di Xoxoday .
Ogni dipendente, al momento dell'assunzione, firma un accordo di riservatezza e una politica di utilizzo accettabile, dopo di che viene sottoposto a una formazione sulla sicurezza delle informazioni, la privacy e la conformità. Inoltre, valutiamo la loro comprensione attraverso test e quiz per determinare quali argomenti hanno bisogno di ulteriore formazione. Forniamo formazione su aspetti specifici della sicurezza di cui possono avere bisogno in base ai loro ruoli.
Ogni dipendente è sottoposto a un processo di verifica del background. Assumiamo agenzie esterne rinomate per eseguire questo controllo per nostro conto. Lo facciamo per verificare i loro precedenti penali, i precedenti lavorativi, se presenti, e il loro background educativo. Finché questo controllo non viene eseguito, al dipendente non vengono assegnati compiti che possono comportare rischi per gli utenti.
Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza. Il dipendente accetta espressamente di non utilizzare le informazioni riservate fornite dall'azienda nello sviluppo o nella consegna o per un guadagno personale dalla fornitura di qualsiasi prodotto o servizio per conto proprio o per conto di terzi.
