Melindungi Data Anda Adalah Keutamaan Kami

Pematuhan

Xoxoday's primary security focus is to safeguard our customers' and users' data. That's why Xoxoday has invested in the appropriate resources and controls to protect and service our customers. We focus on defining new and refining existing controls, implementing and managing the Xoxoday security framework, and providing a support structure to facilitate effective compliance and risk management.

Xoxoday is committed to ensuring the integrity, confidentiality, availability, and security of its physical and information assets and maintaining privacy when serving the customers and organization's needs while meeting appropriate legal, statutory, and regulatory requirements.

To provide adequate protection for information assets, Xoxoday has built the Information Security Management System (ISMS), enabling everyone to follow these policies diligently, consistently, and impartially. Xoxoday will implement procedures and controls at all levels to protect the confidentiality and integrity of information stored and processed on its systems and ensure that information is available only to authorized individuals as and when required.

Objektif

Kami telah membangunkan rangka kerja pematuhan kami menggunakan amalan terbaik industri SaaS. Objektif utama kami termasuklah–

Kepercayaan dan Perlindungan Pelanggan - secara konsisten memberikan produk dan perkhidmatan yang unggul kepada pelanggan kami sambil melindungi privasi dan kerahsiaan maklumat mereka.
Maklumat dan Integriti Perkhidmatan - Menggunakan kawalan keselamatan yang tertumpu pada integriti data untuk mengelakkan data diubah suai atau disalahgunakan oleh mana-mana pihak yang tidak dibenarkan. ‍
Ketersediaan dan Kesinambungan Perkhidmatan – Memastikan ketersediaan perkhidmatan dan data yang berterusan kepada individu yang diberi kuasa dan secara proaktif meminimumkan risiko keselamatan yang mengancam kesinambungan perkhidmatan. ‍
Pematuhan dengan Piawaian - Melaksanakan proses dan kawalan untuk sejajar dengan amalan terbaik pengawalseliaan antarabangsa dan industri semasa dan garis panduan terbaik untuk keselamatan awan dengan memanfaatkan piawaian seperti Cloud Security Alliance (CSA), ISO 27001;2013, SOC 2, HIPAA, CCPA, CPRA, dll.

The Xoxoday promise

Xoxoday is committed to complying with all applicable regulations and laws of the land in all locations and countries it operates and processes information. Xoxoday takes data integrity and security seriously. Over two million customers across the globe trust us with their data security. Due to the nature of our products and services, we must acknowledge our responsibilities both as a data controller and processor.

Keselamatan data pelanggan adalah bahagian penting dalam produk, proses, dan budaya pasukan kami. Kemudahan, proses, dan sistem kami boleh dipercayai, teguh, dan diuji oleh organisasi kawalan kualiti dan keselamatan data yang terkenal. Kami terus mencari peluang untuk meningkatkan landskap teknologi dinamik dan memberi anda sistem berskala yang sangat selamat yang memberikan pengalaman hebat.

Pensijilan pematuhan

Kami menggunakan amalan terbaik dan piawaian industri untuk mencapai pematuhan dengan keselamatan umum dan rangka kerja privasi yang diterima oleh industri.

Kami menggunakan ciri keselamatan bertaraf perusahaan dan menjalankan audit menyeluruh terhadap aplikasi, sistem dan rangkaian kami untuk melindungi data pelanggan dan perniagaan. Pelanggan kami tidak perlu bimbang mengetahui maklumat mereka selamat, interaksi mereka selamat, dan perniagaan mereka dilindungi.

ISO 27001:2013 - Sistem pengurusan keselamatan maklumat (ISMS)

Xoxoday is ISO 27001:2013 certified.

ISO/IEC 27001:2013 adalah spesifikasi untuk sistem pengurusan keselamatan maklumat (ISMS). ISMS adalah rangka kerja dasar dan prosedur untuk pengurusan risiko maklumat organisasi, termasuk kawalan undang-undang, fizikal, dan teknikal, yang digunakan untuk memastikan maklumat selamat.

Dengan ISMS yang mantap iso, anda mendapat jaminan tambahan bahawa kami telah melaksanakan spektrum penuh amalan terbaik keselamatan di seluruh organisasi.

Xoxoday is ISO 27001:2013 certified, and we are committed to identifying risks, assessing implications, and using systemized controls that inspire trust in everything we do - right from our codebase to physical infrastructure and people practices.

Matlamat utama ISO 27001 adalah untuk melindungi tiga aspek maklumat:

Kerahsiaan: hanya orang yang diberi kuasa mempunyai hak untuk mengakses maklumat.
Integriti: hanya orang yang diberi kuasa boleh menukar maklumat.
Ketersediaan: orang yang diberi kuasa mesti mempunyai akses kepada maklumat pada bila-bila masa.

SOC 2 - Kawalan Organisasi Perkhidmatan

Xoxoday conducts annual SOC 2 audits using an independent third-party auditor. Our SOC 2 report attests that our controls, governing the availability, confidentiality, and security of customer data, map to Trust Service Principles (TSPs) established by the American Institute of Certified Public Accountants (AICPA).

Prinsip amanah limas SOC 2:

Keselamatan: Prinsip-prinsip ini mengukur bagaimana kami melindungi data anda dan sistem kami daripada akses yang tidak dibenarkan dan bagaimana kami menghalang kerosakan pendedahan maklumat kepada sistem yang melindungi ketersediaan, integriti, kerahsiaan, dan privasi maklumat anda.

Ketersediaan: Prinsip kepercayaan ini merangkumi sama ada maklumat dan sistem anda tersedia untuk operasi dan digunakan untuk memenuhi objektif syarikat anda.

Integriti pemprosesan: Prinsip ini menilai sama ada pemprosesan sistem anda lengkap dan tepat dan hanya memproses maklumat yang dibenarkan.

Kerahsiaan: Ini merangkumi sama ada maklumat sulit kekal benar-benar dilindungi.

Privasi: Prinsip kepercayaan terakhir ini melihat sama ada maklumat peribadi pengguna anda dikumpulkan, digunakan, dikekalkan, didedahkan, dan dimusnahkan mengikut notis privasi syarikat anda dan Prinsip Privasi yang Diterima Umum (GAPP).

We are proud of the excellence of our controls and invite you to obtain a copy of our SOC 2 Type I report by contacting your Xoxoday representative

Akta Privasi Pengguna California (CCPA) / Akta Hak Privasi California (CPRA)

Xoxoday is CCPA/CPRA Compliant.

CPRA telah mengubah, mengembangkan, dan menjelaskan hak privasi untuk penduduk California, dan ia mengambil inspirasi daripada dasar GDPR EU dalam pelbagai cara. CPRA mewujudkan kategori baru maklumat peribadi sensitif (SPI) yang dikawal selia secara berasingan dan lebih kuat daripada maklumat peribadi (PI).

Tujuan CPRA adalah untuk mentakrifkan semula dan memperluaskan Akta Privasi Pengguna California (CCPA) untuk mengukuhkan hak penduduk California. Ia menyediakan pengguna peluang yang lebih besar untuk memilih keluar dan memerlukan pengurusan privasi data yang disengajakan oleh perniagaan.

Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan (HIPAA)

Xoxoday is HIPAA compliant.

Jabatan Kesihatan &Perkhidmatan Manusia A.S. menubuhkan Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan, HIPAA, pada tahun 1996. Akta ini bertujuan untuk memastikan perlindungan maklumat penjagaan kesihatan pesakit daripada akses awam.

There could be instances when customers may use some of our products to process electronic Personal Health Information (ePHI) in the ordinary course of their business operations. As per HIPAA of 1996, should our customers get categorized as either Covered Entity or Business Associate, Xoxoday extends support for their compliance towards HIPAA.

We help customers address their HIPAA obligations by leveraging appropriate security configuration options in Xoxoday products.

Peraturan Perlindungan Data Umum (GDPR)

Xoxoday is GDPR compliant.

Program pematuhan GDPR kami yang komprehensif disokong oleh prinsip privasi asas ini - Akauntabiliti, Privasi oleh Reka Bentuk dan Lalai, Pengurangan Data, dan Hak Akses Subjek, antara lain. Teknologi dan operasi yang berkaitan dengan perniagaan adalah tertakluk kepada program pemekaan biasa.

Xoxoday is committed to providing secure products and services by implementing and adhering to prescribed compliance policies, both as a data controller and processor.

The enforcement of GDPR is critical to our mission of providing the EU and all our global customers with safe and dependable business solutions. In support of this commitment, Xoxoday extends the same level of privacy and security to all its customers worldwide, irrespective of location.

For more information about Xoxoday GDPR, please click here

Privasi dan Perlindungan data

Xoxoday is fully committed to upholding the rights that data subjects are granted under the applicable data protection laws and taking great care of their personal data. Over 2 million customers across the globe trust us with their data security. Due to the nature of the products and services we provide, we acknowledge our responsibilities both as a data controller and processor.

Keselamatan data pelanggan adalah bahagian penting dalam produk, proses, dan budaya pasukan kami. Kemudahan, proses, dan sistem kami boleh dipercayai, teguh, dan diuji oleh organisasi kawalan kualiti dan keselamatan data yang terkenal. Kami terus mencari peluang untuk meningkatkan landskap teknologi dinamik dan memberi anda sistem yang sangat selamat dan berskala yang memberikan pengalaman hebat.

GDPR Policy - Learn more about Xoxoday GDPR Policy

Artifak

Kami mempunyai beberapa sumber yang boleh kami sediakan atas permintaan.

Sumber Muat Turun Langsung (Non-NDA)

Untuk mendapatkan akses kepada sumber yang boleh dimuat turun berikut, sila klik butang di bawah:

1. Xoxoday ISO 27001:2013 certificate – Click here

2. Vulnerability Assessment and Penetration Testing (VAPT) Certificate –
    • Xoxoday Plum - Click here
    • Xoxoday Empuls - Web App, iOS & Android
    • Xoxoday Compass - Click here

3. Perjanjian Tahap Perkhidmatan (SLA) - Klik di sini

Sumber NDA

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

Laporan Pematuhan SOC 2
Ringkasan Ujian Penilaian Kerentanan dan Penembusan
Laporan Akta Privasi Pengguna California (CCPA) / Akta Hak Privasi California (CPRA).
Laporan Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan (HIPAA).
Laporan Penilaian Kesan Privasi Data GDPR.

Keselamatan Awan

Xoxoday outsources the hosting of its product infrastructure to leading cloud infrastructure providers. Principally, the Xoxoday product leverages Amazon Web Services (AWS) and Microsoft Azure for infrastructure hosting. The cloud infrastructure providers have high levels of physical and network security and hosting provider vendor diversity. AWS maintains an audited security program, including SOC 2 and ISO 27001 compliance. Xoxoday does not host any product systems within its corporate offices.

Pusat data

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

Ketahui lebih lanjut tentang Pematuhan di AWS dan Microsoft Azure.

Keselamatan

Perlindungan keselamatan fizikal, alam sekitar, dan infrastruktur, termasuk kesinambungan dan pelan pemulihan, telah disahkan secara bebas sebagai sebahagian daripada pensijilan SOC 2 Type II dan ISO 27001 mereka.
‍
Keselamatan di lokasi AWS dan MS Azure termasuk beberapa ciri seperti pengawal keselamatan, pagar, suapan keselamatan, teknologi pengesanan pencerobohan dan langkah keselamatan lain.

AWS/MS Azure menyediakan akses pusat data fizikal hanya kepada pekerja yang diluluskan. Semua pekerja yang memerlukan akses pusat data mesti terlebih dahulu memohon akses dan memberikan justifikasi perniagaan yang sah. Permintaan ini diberikan berdasarkan prinsip keistimewaan yang paling sedikit, di mana permintaan mesti menentukan lapisan pusat data mana individu memerlukan akses, dan terikat pada masa. Permintaan disemak dan diluluskan oleh kakitangan yang diberi kuasa, dan akses dibatalkan selepas masa yang diminta tamat. Sebaik sahaja dibenarkan kemasukan, individu dihadkan kepada kawasan yang dinyatakan dalam kebenaran mereka.

Perlindungan Rangkaian

Rangkaian kami dilindungi menggunakan perkhidmatan keselamatan awan yang penting, integrasi dengan rangkaian perlindungan tepi Cloudflare kami, audit biasa, dan teknologi perisikan rangkaian, yang memantau dan menyekat trafik berniat jahat dan serangan rangkaian yang diketahui.

Pengurusan Kerentanan - Pengimbasan Kelemahan

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Bug Bounty Program

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Pengurusan Acara Insiden Keselamatan

Sistem Pengurusan Acara Insiden Keselamatan (SIEM) kami mengumpulkan log yang luas dari peranti rangkaian penting dan sistem hos. Amaran SIEM memberitahu pasukan Keselamatan berdasarkan kejadian yang berkaitan untuk siasatan dan tindak balas.

Pengesanan dan Pencegahan Pencerobohan

Titik masuk dan keluar perkhidmatan diperincikan dan dipantau untuk mengesan tingkah laku anomali. Sistem ini dikonfigurasikan untuk menjana amaran apabila insiden dan nilai melebihi ambang yang telah ditetapkan dan menggunakan tandatangan yang dikemas kini secara berkala berdasarkan ancaman baharu. Ini termasuk pemantauan sistem 24/7.

Capaian Logik

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

Akses kepada data dan sistem adalah berdasarkan prinsip-prinsip keistimewaan yang paling sedikit untuk akses. Penyelesaian Identiti dan Pengurusan Akses (IAM) telah ditakrifkan untuk menguruskan akses pengguna melalui profil akses berasaskan peranan yang menyokong pelaksanaan akses berdasarkan prinsip perlu mengetahui asas dan menyokong pengasingan tugas. Keistimewaan yang berkaitan dengan Pentadbiran keistimewaan akses pengguna dan konfigurasi peranan adalah berbeza daripada pelulus yang dibenarkan yang meluluskan permintaan akses. Pelulus adalah sama ada Ketua Produk atau Ketua fungsi masing-masing adalah perwakilan mereka yang diberi kuasa.

Pengurusan Insiden dan Pelanggaran Keselamatan

Dalam kes amaran sistem, peristiwa dinaikkan kepada pasukan 24/7 kami yang menyediakan liputan Operasi, Kejuruteraan Rangkaian dan Keselamatan. Pekerja dilatih dalam proses tindak balas insiden keselamatan, termasuk saluran komunikasi dan laluan peningkatan.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Penyulitan

Penyulitan dalam Transit dan Berehat

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default.

Keselamatan Lapisan Pengangkutan (TLS) menyulitkan dan menghantar e-mel dengan selamat, mengurangkan eavesdropping antara pelayan mel di mana perkhidmatan rakan sebaya menyokong protokol ini. Pengecualian untuk penyulitan mungkin termasuk sebarang penggunaan fungsi SMS dalam produk, mana-mana aplikasi, integrasi, atau perkhidmatan pihak ketiga lain yang pelanggan boleh memilih untuk memanfaatkan mengikut budi bicara mereka sendiri.

Data Perkhidmatan disulitkan semasa rehat di AWS menggunakan penyulitan kunci AES-256.

Keselamatan Produk

We take steps to securely develop and test against security threats to ensure the safety of our customer data. We maintain a Secure Development Lifecycle, in which training our developers and performing design and code reviews takes a primary role. In addition, Xoxoday employs third-party security experts to perform detailed penetration tests on different applications.

Keselamatan rangkaian

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

Pusat data ditempatkan di kemudahan nondescript, dengan rasuk kawalan perimeter gred tentera dengan kakitangan keselamatan profesional menggunakan pengawasan video, sistem pengesanan pencerobohan terkini, dan cara elektronik lain.

Selain keselamatan fizikal, platform Cloud juga memberikan perlindungan yang ketara terhadap keselamatan rangkaian tradisional.

Pembangunan selamat (SDLC)

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors.
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Jaminan Kualiti (QA)

Jabatan Jaminan Kualiti (QA) kami menyemak dan menguji pangkalan kod kami. Jurutera keselamatan aplikasi khusus pada kakitangan mengenal pasti, menguji, dan kelemahan keselamatan triage dalam kod.

Persekitaran Berasingan

Persekitaran ujian dan pementasan secara logik dipisahkan dari persekitaran Pengeluaran. Tiada Data Perkhidmatan digunakan dalam persekitaran pembangunan atau ujian kami.

Keselamatan Aplikasi

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices.

Kawalan ini meliputi serangan DDoS, perlindungan DB dan firewall aplikasi web khusus, serta peraturan firewall rangkaian halus yang dikonfigurasikan menggunakan piawaian industri tertinggi.

Keselamatan Hos

Kekunci SSH diperlukan untuk mendapatkan akses konsol ke pelayan kami, dan setiap log masuk dikenal pasti oleh pengguna. Semua operasi kritikal dilog masuk ke pelayan log pusat, dan pelayan kami boleh diakses hanya dari IP yang terhad dan selamat.

Hos dibahagikan dan akses dihadkan berdasarkan kefungsian. Permintaan permohonan hanya dibenarkan dari AWS ELB, dan pelayan pangkalan data boleh diakses hanya dari pelayan aplikasi.

Dasar Kata Laluan

Kami telah mendayakan dasar kata laluan, dan kata laluan disimpan selepas penyulitan untuk keselamatan data maksimum. Kata laluan perlu mempunyai sekurang-kurangnya 8 aksara dan mesti mengandungi sekurang-kurangnya satu huruf besar, aksara khas antara '# $ % * &' dan satu digit.

Firewall Aplikasi Web (WAF)

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Perlindungan Maklumat Kad Kredit

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Semua gerbang pembayaran kami mematuhi PCI DSS.

Ketersediaan dan kesinambungan perniagaan

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Operasi pentadbiran

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Semua akses pentadbiran dilog dan dipantau secara automatik oleh pasukan keselamatan dalaman kami. Maklumat terperinci tentang bila dan mengapa operasi dijalankan didokumenkan dan dimaklumkan kepada pasukan keselamatan sebelum membuat sebarang perubahan dalam persekitaran pengeluaran.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.

Keselamatan Sumber Manusia

Kesedaran keselamatan - Dasar

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Latihan Kesedaran

Setiap pekerja, apabila dilantik, menandatangani perjanjian kerahsiaan dan dasar penggunaan yang boleh diterima, selepas itu mereka menjalani latihan dalam keselamatan maklumat, privasi, dan pematuhan. Tambahan pula, kami menilai pemahaman mereka melalui ujian dan kuiz untuk menentukan topik mana yang mereka perlukan latihan lanjut. Kami menyediakan latihan mengenai aspek keselamatan tertentu yang mungkin mereka perlukan berdasarkan peranan mereka.

Pemeriksaan Pekerja

Setiap pekerja menjalani proses pengesahan latar belakang. Kami mengupah agensi luar yang terkenal untuk melaksanakan pemeriksaan ini bagi pihak kami. Kami melakukan ini untuk mengesahkan rekod jenayah mereka, rekod pekerjaan terdahulu, jika ada, dan latar belakang pendidikan. Sehingga pemeriksaan ini dilakukan, pekerja tidak diberikan tugas yang mungkin menimbulkan risiko kepada pengguna.

Perjanjian Tanpa Pendedahan

Semua pekerja baru dikehendaki menandatangani perjanjian Kerahsiaan dan Pendedahan. Pekerja dengan jelas bersetuju bahawa dia tidak akan menggunakan Maklumat Sulit yang diberikan oleh syarikat dalam pembangunan atau penghantaran atau untuk keuntungan peribadi daripada menyediakan sebarang produk atau perkhidmatan untuk akaunnya sendiri atau untuk akaun mana-mana pihak ketiga.

Want to learn more about Xoxoday Data Privacy and Security?

Xoxoday Privacy

Kami komited untuk menghormati privasi anda semasa menggunakan laman web dan produk kami.

Ketahui Cara >

Xoxoday GDPR Compliance

Xoxoday is providing safe and dependable business solutions to all customers worldwide, irrespective of location.

Baca lagi >

Xoxoday Security and compliance documentation

Learn how we safeguard Xoxoday's customers or users' data.

Pergi Ke > Dokumentasi