Proteggere i tuoi dati è la nostra massima priorità

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

1. Rapporto di conformità SOC 2
2. Riassunto della valutazione della vulnerabilità e del test di penetrazione
3. Rapporto del California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA).
4. Rapporto HIPAA (Health Insurance Portability and Accountability Act).
5. Relazione sulla valutazione dell'impatto sulla privacy dei dati del GDPR.
   

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

Scopri di più sulla conformità in AWS e Microsoft Azure.

Le protezioni di sicurezza fisiche, ambientali e infrastrutturali, compresi i piani di continuità e recupero, sono state convalidate in modo indipendente come parte delle loro certificazioni SOC 2 Type II e ISO 27001.

La sicurezza in loco di AWS e MS Azure include una serie di caratteristiche come guardie di sicurezza, recinzioni, feed di sicurezza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza.

AWS/MS Azure fornisce l'accesso fisico al data center solo ai dipendenti approvati. Tutti i dipendenti che hanno bisogno di accedere al data center devono prima richiedere l'accesso e fornire una valida giustificazione aziendale. Queste richieste sono concesse in base al principio del minimo privilegio, dove le richieste devono specificare a quale livello del data center l'individuo ha bisogno di accedere, e sono limitate nel tempo. Le richieste vengono esaminate e approvate dal personale autorizzato, e l'accesso viene revocato alla scadenza del tempo richiesto. Una volta concesso l'accesso, gli individui sono limitati alle aree specificate nelle loro autorizzazioni.

La nostra rete è protetta utilizzando servizi di sicurezza cloud essenziali, l'integrazione con le nostre reti di protezione edge Cloudflare, audit regolari e tecnologie di network intelligence, che monitorano e bloccano il traffico dannoso conosciuto e gli attacchi di rete.

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Il nostro sistema SIEM (Security Incident Event Management) raccoglie registri estesi da dispositivi di rete e sistemi host essenziali. Gli avvisi SIEM notificano il team di sicurezza sulla base di eventi correlati per l'indagine e la risposta.

I punti di ingresso e di uscita del servizio sono strumentati e monitorati per rilevare comportamenti anomali. Questi sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano soglie predeterminate e utilizzano firme regolarmente aggiornate in base alle nuove minacce. Questo include il monitoraggio del sistema 24/7.

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

L'accesso ai dati e ai sistemi si basa sui principi di minimo privilegio per l'accesso. Una soluzione di Identity and Access Management (IAM) è stata definita per gestire l'accesso degli utenti attraverso profili di accesso basati sui ruoli che supportano l'implementazione di accessi basati sui principi del need to know e supportano la segregazione dei compiti. I privilegi relativi all'amministrazione dei privilegi di accesso degli utenti e alle configurazioni dei ruoli sono diversi dall'approvatore autorizzato che approva le richieste di accesso. Gli approvatori sono i capi prodotto o i rispettivi capi funzione o i loro delegati autorizzati. 

In caso di un allarme di sistema, gli eventi vengono trasmessi ai nostri team 24 ore su 24, 7 giorni su 7, che forniscono la copertura delle operazioni, dell'ingegneria di rete e della sicurezza. I dipendenti sono formati sui processi di risposta agli incidenti di sicurezza, compresi i canali di comunicazione e i percorsi di escalation.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Crittografia in transito e a riposo

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default. 

Transport Layer Security (TLS) cripta e distribuisce le e-mail in modo sicuro, attenuando le intercettazioni tra i server di posta dove i servizi peer supportano questo protocollo. Le eccezioni per la crittografia possono includere qualsiasi uso della funzionalità SMS del prodotto, qualsiasi altra applicazione, integrazione o servizio di terze parti che gli abbonati possono scegliere di sfruttare a loro discrezione.

I dati del servizio sono crittografati a riposo in AWS utilizzando la crittografia a chiave AES-256.

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

I centri dati sono ospitati in strutture non descritte, con fasci di controllo perimetrale di livello militare con personale di sicurezza professionale che utilizza la videosorveglianza, sistemi di rilevamento delle intrusioni all'avanguardia e altri mezzi elettronici.

Oltre alla sicurezza fisica, le piattaforme Cloud forniscono anche una protezione significativa contro la sicurezza di rete tradizionale.

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors. 
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Il nostro reparto Quality Assurance (QA) rivede e testa la nostra base di codice. Gli ingegneri dedicati alla sicurezza delle applicazioni del nostro staff identificano, testano e risolvono le vulnerabilità di sicurezza nel codice.

Gli ambienti di test e staging sono logicamente separati dall'ambiente di produzione. Nessun dato di servizio viene utilizzato nei nostri ambienti di sviluppo o di test.

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices. 

Questi controlli coprono l'attacco DDoS, la protezione DB e un web application firewall dedicato, così come il firewall di rete con regole a grana fine configurato utilizzando i più alti standard del settore.

Abbiamo abilitato la politica delle password, e le password sono memorizzate dopo la crittografia per la massima sicurezza dei dati. La password deve avere un minimo di 8 caratteri e deve contenere almeno una lettera maiuscola, caratteri speciali tra '# $ % * &' e una cifra.

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Tutti i nostri gateway di pagamento sono conformi a PCI DSS.

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Tutti gli accessi amministrativi sono automaticamente registrati e monitorati dal nostro team di sicurezza interno. Le informazioni dettagliate su quando e perché le operazioni vengono effettuate sono documentate e notificate al team di sicurezza prima di effettuare qualsiasi modifica nell'ambiente di produzione.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.  

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Ogni dipendente, al momento dell'assunzione, firma un accordo di riservatezza e una politica di utilizzo accettabile, dopo di che viene sottoposto a una formazione sulla sicurezza delle informazioni, la privacy e la conformità. Inoltre, valutiamo la loro comprensione attraverso test e quiz per determinare quali argomenti hanno bisogno di ulteriore formazione. Forniamo formazione su aspetti specifici della sicurezza di cui possono avere bisogno in base ai loro ruoli.

Ogni dipendente è sottoposto a un processo di verifica del background. Assumiamo agenzie esterne rinomate per eseguire questo controllo per nostro conto. Lo facciamo per verificare i loro precedenti penali, i precedenti lavorativi, se presenti, e il loro background educativo. Finché questo controllo non viene eseguito, al dipendente non vengono assegnati compiti che possono comportare rischi per gli utenti.

Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza. Il dipendente accetta espressamente di non utilizzare le informazioni riservate fornite dall'azienda nello sviluppo o nella consegna o per un guadagno personale dalla fornitura di qualsiasi prodotto o servizio per conto proprio o per conto di terzi.