De beveiliging van uw gegevens is onze topprioriteit

Naleving

Xoxoday's primaire focus op beveiliging is het beschermen van de gegevens van onze klanten en gebruikers. Daarom heeft Xoxoday geïnvesteerd in de juiste middelen en controles om onze klanten te beschermen en van dienst te zijn. We richten ons op het definiëren van nieuwe en het verfijnen van bestaande controles, het implementeren en beheren van het Xoxoday-beveiligingsraamwerk en het bieden van een ondersteuningsstructuur om effectieve naleving en risicobeheer te faciliteren.

Xoxoday zet zich in om de integriteit, vertrouwelijkheid, beschikbaarheid en beveiliging van zijn fysieke en informatiemiddelen te waarborgen en de privacy te handhaven bij het voorzien in de behoeften van de klanten en de organisatie, terwijl tegelijkertijd wordt voldaan aan de toepasselijke wettelijke, statutaire en regelgevende vereisten.

Om adequate bescherming voor informatiemiddelen te bieden, heeft Xoxoday het Information Security Management System (ISMS) gebouwd, dat iedereen in staat stelt dit beleid ijverig, consistent en onpartijdig te volgen. Xoxoday zal op alle niveaus procedures en controles implementeren om de vertrouwelijkheid en integriteit van informatie die is opgeslagen en verwerkt op zijn systemen te beschermen en ervoor te zorgen dat informatie alleen beschikbaar is voor geautoriseerde personen als en wanneer dat nodig is.

Doelstellingen

We hebben ons nalevingsraamwerk ontwikkeld op basis van best practices uit de SaaS-branche. Onze belangrijkste doelstellingen zijn- 

  • Vertrouwen in en bescherming van de klant - consequent superieure producten en service leveren aan onze klanten en tegelijkertijd de privacy en vertrouwelijkheid van hun informatie beschermen.
  • Integriteit van informatie en services - Beveiligingscontroles gebruiken die gericht zijn op gegevensintegriteit om te voorkomen dat gegevens worden gewijzigd of misbruikt door onbevoegden.
  • Beschikbaarheid en continuïteit van de dienstverlening - Continue beschikbaarheid van diensten en gegevens voor geautoriseerde personen garanderen en beveiligingsrisico's die de continuïteit van de dienstverlening bedreigen proactief minimaliseren.
  • Naleving van standaarden - Implementeren van processen en controles om aan te sluiten bij de huidige internationale regelgeving en best practices in de sector en de beste richtlijnen voor cloudbeveiliging door gebruik te maken van standaarden zoals Cloud Security Alliance (CSA), ISO 27001;2013, SOC 2, HIPAA, CCPA, CPRA, enz.

De belofte van Xoxoday

Xoxoday zet zich in om te voldoen aan alle toepasselijke regelgeving en wetten van het land op alle locaties en in alle landen waar het actief is en informatie verwerkt. Xoxoday neemt gegevensintegriteit en -beveiliging serieus. Meer dan twee miljoen klanten over de hele wereld vertrouwen ons de beveiliging van hun gegevens toe. Vanwege de aard van onze producten en diensten moeten wij onze verantwoordelijkheden als gegevensbeheerder en -verwerker erkennen.

De beveiliging van klantgegevens is een essentieel onderdeel van ons product, onze processen en onze teamcultuur. Onze faciliteiten, processen en systemen zijn betrouwbaar, robuust en getest door gerenommeerde organisaties voor kwaliteitscontrole en gegevensbeveiliging. We zijn voortdurend op zoek naar mogelijkheden om het dynamische technologielandschap te verbeteren en u een zeer veilig, schaalbaar systeem te bieden dat een geweldige ervaring biedt.

Certificeringen voor naleving

We gebruiken best practices en industrienormen om te voldoen aan algemeen aanvaarde beveiligings- en privacyraamwerken binnen de sector.

We gebruiken beveiligingsfuncties van enterpriseklasse en voeren uitgebreide audits uit op onze applicaties, systemen en netwerken om klant- en bedrijfsgegevens te beschermen. Onze klanten kunnen gerust zijn in de wetenschap dat hun informatie veilig is, hun interacties beveiligd zijn en hun bedrijven beschermd zijn.

ISO 27001:2013 - Beheersysteem voor informatiebeveiliging (ISMS)

Xoxoday is ISO 27001:2013 gecertificeerd. 

ISO/IEC 27001:2013 is een specificatie voor een beheersysteem voor informatiebeveiliging (ISMS). Een ISMS is een raamwerk van beleidsregels en procedures voor het beheer van informatierisico's van organisaties, waaronder juridische, fysieke en technische controles, die worden gebruikt om informatie veilig te houden.

Met het robuuste ISMS van ISO krijgt u de extra zekerheid dat we een volledig spectrum van best practices op het gebied van beveiliging in de hele organisatie hebben geïmplementeerd.

Xoxoday is ISO 27001:2013 gecertificeerd en we zetten ons in om risico's te identificeren, gevolgen te beoordelen en systematische controles te gebruiken die vertrouwen wekken in alles wat we doen - van onze codebase tot de fysieke infrastructuur en de werkwijzen van onze mensen.

Het primaire doel van ISO 27001 is het beschermen van drie aspecten van informatie:
  • Vertrouwelijkheid: alleen bevoegde personen hebben recht op toegang tot informatie.
  • Integriteit: alleen bevoegde personen kunnen informatie wijzigen.
  • Beschikbaarheid: bevoegde personen moeten altijd toegang hebben tot informatie.

SOC 2 - controles serviceorganisatie 

Xoxoday voert jaarlijks een SOC 2-audit uit met behulp van een onafhankelijke derde partij. Ons SOC 2-rapport verklaart dat onze controles op de beschikbaarheid, vertrouwelijkheid en beveiliging van klantgegevens in overeenstemming zijn met de Trust Service Principles (TSP's) die zijn opgesteld door het American Institute of Certified Public Accountants (AICPA).

Een SOC 2 vijf vertrouwensprincipes:

Beveiliging: Deze principes meten hoe we jouw gegevens en onze systemen beschermen tegen ongeautoriseerde toegang en hoe we voorkomen dat de systemen die de beschikbaarheid, integriteit, vertrouwelijkheid en privacy van jouw gegevens beschermen, worden beschadigd door openbaarmaking van informatie.

Beschikbaarheid: Dit vertrouwensprincipe gaat over de vraag of je informatie en systemen beschikbaar zijn voor gebruik om de doelstellingen van je bedrijf te halen.

Integriteit van de verwerking: Dit principe beoordeelt of de verwerking van je systeem volledig en accuraat is en alleen geautoriseerde informatie verwerkt.

Vertrouwelijkheid: Dit betreft de vraag of vertrouwelijke informatie echt beschermd blijft.

Privacy: Bij dit laatste vertrouwensprincipe wordt gekeken of de persoonlijke gegevens van je gebruikers worden verzameld, gebruikt, bewaard, bekendgemaakt en vernietigd volgens de privacyverklaring van je bedrijf en de algemeen aanvaarde privacybeginselen (GAPP).

We zijn trots op de uitmuntendheid van onze controles en nodigen u uit om een kopie van ons SOC 2 Type I-rapport aan te vragen door contact op te nemen met uw Xoxoday-vertegenwoordiger.

Privacywet voor consumenten van Californië (CCPA) / Privacy Rights Act voor consumenten van Californië (CPRA)

Xoxoday voldoet aan de CCPA/CPRA-normen. 

De CPRA heeft de privacyrechten voor inwoners van Californië gewijzigd, uitgebreid en verduidelijkt en is op verschillende manieren geïnspireerd op het GDPR-beleid van de EU. De CPRA creëert de nieuwe categorie gevoelige persoonlijke informatie (SPI) die apart en strenger wordt gereguleerd dan persoonlijke informatie (PI).

Het doel van CPRA is om de California Consumer Privacy Act (CCPA) opnieuw te definiëren en uit te breiden om de rechten van inwoners van Californië te versterken. De wet biedt consumenten meer mogelijkheden om zich af te melden en vereist weloverwogen privacybeheer door bedrijven.

Wet Portabiliteit en Verantwoording Gezondheidsverzekeringen (HIPAA)

Xoxoday voldoet aan de HIPAA-richtlijnen. 

Het Amerikaanse ministerie van Volksgezondheid en Human Services heeft in 1996 de Health Insurance Portability and Accountability Act, HIPAA, in het leven geroepen. Deze wet moest ervoor zorgen dat de gezondheidsinformatie van een patiënt beschermd werd tegen publieke toegang.

Het kan voorkomen dat klanten sommige van onze producten gebruiken om elektronische persoonlijke gezondheidsinformatie (ePHI) te verwerken in het kader van hun normale bedrijfsvoering. Als onze klanten volgens de HIPAA van 1996 worden gecategoriseerd als Covered Entity of Business Associate, biedt Xoxoday ondersteuning voor hun naleving van de HIPAA.

Wij helpen klanten hun HIPAA-verplichtingen na te komen door gebruik te maken van de juiste beveiligingsconfiguratieopties in Xoxoday-producten.

Algemene verordening gegevensbescherming (GDPR)

Xoxoday voldoet aan GDPR.

Ons uitgebreide GDPR-complianceprogramma wordt ondersteund door deze fundamentele privacyprincipes - onder andere Accountability, Privacy by Design and Default, Data Minimization en Subject Access Rights. Technologie en bedrijfsactiviteiten zijn onderhevig aan regelmatige bewustwordingsprogramma's.

Xoxoday zet zich in voor het leveren van veilige producten en diensten door het implementeren en naleven van het voorgeschreven nalevingsbeleid, zowel als gegevensbeheerder als -verwerker.

De handhaving van GDPR is cruciaal voor onze missie om de EU en al onze wereldwijde klanten te voorzien van veilige en betrouwbare zakelijke oplossingen. Ter ondersteuning van dit streven biedt Xoxoday hetzelfde niveau van privacy en beveiliging aan al zijn klanten wereldwijd, ongeacht hun locatie.

Voor meer informatie over Xoxoday GDPR, klik hier

Privacy en gegevensbescherming

Xoxoday is volledig toegewijd aan het handhaven van de rechten die betrokkenen krijgen onder de toepasselijke wetgeving voor gegevensbescherming en aan het zorgvuldig omgaan met hun persoonlijke gegevens. Meer dan 2 miljoen klanten over de hele wereld vertrouwen ons de beveiliging van hun gegevens toe. Vanwege de aard van de producten en diensten die wij leveren, erkennen wij onze verantwoordelijkheden als gegevensbeheerder en -verwerker. 

De beveiliging van klantgegevens is een essentieel onderdeel van onze producten, processen en teamcultuur. Onze faciliteiten, processen en systemen zijn betrouwbaar, robuust en getest door gerenommeerde organisaties voor kwaliteitscontrole en gegevensbeveiliging. We zijn voortdurend op zoek naar mogelijkheden om het dynamische technologielandschap te verbeteren en u een zeer veilig en schaalbaar systeem te bieden dat een geweldige ervaring biedt.

Privacybeleid - Meer informatie over het privacybeleid van Xoxoday

GDPR-beleid - Meer informatie over het GDPR-beleid van Xoxoday

Artefacten

We hebben een aantal bronnen die we op verzoek kunnen verstrekken.

Bronnen voor direct downloaden (Non-NDA)

Klik op de knop hieronder om toegang te krijgen tot de volgende downloadbare bronnen:
1. Xoxoday ISO 27001:2013 certificaat - Klik hier
2. Certificaat voor kwetsbaarheidsanalyse en penetratietesten (VAPT) - Klik hier.
- Xoxoday Plum - Klik hier
- Xoxoday Empuls - Web App, iOS & Android
- Xoxoday Compass - Klik hier
3. Service Level Agreement (SLA) - Klik hier

NDA-middelen

Voor de volgende bronnen is mogelijk een NDA vereist. Neem contact op met uw Xoxoday-vertegenwoordiger.

  1. SOC 2 nalevingsrapport
  2. Overzicht van kwetsbaarheidsbeoordeling en penetratietest
  3. California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA) Rapport.
  4. Verslag over de HIPAA (Health Insurance Portability and Accountability Act).
  5. GDPR Data Privacy Impact Assessment Report.

Cloudbeveiliging

Xoxoday besteedt de hosting van zijn productinfrastructuur uit aan toonaangevende aanbieders van cloudinfrastructuur. Het Xoxoday-product maakt voornamelijk gebruik van Amazon Web Services (AWS) en Microsoft Azure voor het hosten van de infrastructuur. De aanbieders van cloudinfrastructuur hebben een hoog niveau van fysieke en netwerkbeveiliging en diversiteit in hostingleveranciers. AWS heeft een geauditeerd beveiligingsprogramma, inclusief SOC 2 en ISO 27001 compliance. Xoxoday host geen productsystemen binnen zijn bedrijfskantoren.

Datacentrum

Xoxoday zet producten in AWS en Microsoft Azure datacenters in die gecertificeerd zijn als ISO 27001, PCI DSS Service Provider Level 1 en/of SOC 2 compliant. De infrastructuurdiensten van AWS en Microsoft Azure omvatten noodstroomvoorziening, HVAC-systemen en brandbestrijdingsapparatuur om servers en uiteindelijk uw gegevens te beschermen.

Meer informatie over compliance bij AWS en Microsoft Azure.

Beveiliging

De fysieke, omgevings- en infrastructuurbeveiligingen, inclusief continuïteits- en herstelplannen, zijn onafhankelijk gevalideerd als onderdeel van hun SOC 2 Type II en ISO 27001 certificeringen.

AWS en MS Azure beveiliging op locatie omvat een aantal functies zoals bewakers, omheiningen, beveiligingsfeeds, inbraakdetectietechnologie en andere beveiligingsmaatregelen.

AWS/MS Azure biedt fysieke toegang tot het datacenter alleen aan goedgekeurde medewerkers. Alle medewerkers die toegang tot het datacenter nodig hebben, moeten eerst toegang aanvragen en een geldige zakelijke rechtvaardiging geven. Deze verzoeken worden toegekend op basis van het principe van de laagste privileges, waarbij verzoeken moeten specificeren tot welke laag van het datacenter de persoon toegang nodig heeft, en zijn tijdsgebonden. Verzoeken worden beoordeeld en goedgekeurd door bevoegd personeel en de toegang wordt ingetrokken nadat de gevraagde tijd is verstreken. Zodra toegang is verleend, zijn individuen beperkt tot gebieden die in hun machtigingen zijn gespecificeerd.

Netwerkbeveiliging

Ons netwerk wordt beschermd met behulp van essentiële cloudservices voor beveiliging, integratie met onze Cloudflare edge-protectienetwerken, regelmatige audits en netwerkintelligentietechnologieën die bekend schadelijk verkeer en netwerkaanvallen monitoren en blokkeren.

Kwetsbaarheidsbeheer - Kwetsbaarheden scannen

Het scannen van kwetsbaarheden geeft ons diepgaand inzicht voor een snelle identificatie van systemen die niet aan de eisen voldoen of mogelijk kwetsbaar zijn. Naast ons uitgebreide interne scan- en testprogramma maakt Xoxoday gebruik van beveiligingsdeskundigen van derden om een kwetsbaarheidsanalyse en penetratietests uit te voeren.

Bug Bounty-programma

Ons Bug Bounty Programma biedt beveiligingsonderzoekers en klanten een manier om veilig kwetsbaarheden in de beveiliging te testen en aan Xoxoday te melden.

Klik hier voor meer informatie over het Xoxoday Bug Bounty Programma

Gebeurtenissenbeheer beveiligingsincidenten

Ons Security Incident Event Management (SIEM)-systeem verzamelt uitgebreide logbestanden van essentiële netwerkapparaten en hostsystemen. De SIEM-waarschuwingen waarschuwen het beveiligingsteam op basis van gecorreleerde gebeurtenissen voor onderzoek en reactie.

Inbraakdetectie en -preventie

In- en uitgangen van services worden geïnstrumenteerd en bewaakt om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen te genereren wanneer incidenten en waarden vooraf bepaalde drempels overschrijden en gebruiken regelmatig bijgewerkte handtekeningen op basis van nieuwe bedreigingen. Dit omvat 24/7 systeembewaking.

Logische toegang

Toegang tot het Xoxoday-productienetwerk wordt beperkt door een expliciete 'need-to-know'-basis, maakt gebruik van 'least privilege', wordt regelmatig gecontroleerd en bewaakt, en wordt gecontroleerd door ons operationeel team. Werknemers die toegang hebben tot het Xoxoday-productienetwerk moeten meerdere verificatiefactoren gebruiken.

Toegang tot gegevens en systemen is gebaseerd op de principes van 'least privilege' voor toegang. Er is een oplossing voor Identity and Access Management (IAM) gedefinieerd om gebruikerstoegang te beheren via rolgebaseerde toegangsprofielen die de implementatie van toegangen op basis van de principes van need-to-know ondersteunen en de scheiding van taken ondersteunen. Bevoegdheden met betrekking tot het beheer van toegangsrechten voor gebruikers en rolconfiguraties verschillen van de bevoegde goedkeurder die toegangsaanvragen goedkeurt. De goedkeurders zijn ofwel de producthoofden of respectievelijke functiehoofden of hun geautoriseerde afgevaardigden. 

Beheer van beveiligingsincidenten en inbreuken

In geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze 24/7 teams die dekking bieden voor Operations, Network Engineering en Security. Medewerkers worden getraind in de processen voor het reageren op beveiligingsincidenten, inclusief communicatiekanalen en escalatiepaden.

Xoxoday heeft het Security incident management proces gedefinieerd om incidenten en inbreuken op de beveiliging te classificeren en af te handelen. Het Information Security-team is verantwoordelijk voor het registreren, rapporteren, volgen, reageren, oplossen, monitoren, rapporteren en onmiddellijk communiceren van de incidenten naar de juiste partijen. Het proces wordt beoordeeld als onderdeel van onze periodieke interne audit en gecontroleerd als onderdeel van de ISO 27001 en SOC 2 Type II beoordeling.

Encryptie

Encryptie onderweg en in rust

Gegevens worden versleuteld via industriestandaard HTTPS/TLS (TLS 1.2 of hoger) over openbare netwerken. Dit zorgt ervoor dat al het verkeer tussen u en Xoxoday veilig is tijdens het transport. Daarnaast maakt ons product voor e-mail standaard gebruik van opportunistische TLS. 

Transport Layer Security (TLS) versleutelt en levert e-mail veilig af, waardoor afluisteren tussen mailservers wordt beperkt als peer services dit protocol ondersteunen. Uitzonderingen voor versleuteling zijn onder andere het gebruik van sms-functionaliteit in het product en andere apps, integraties of diensten van derden die abonnees naar eigen goeddunken kunnen gebruiken.

Servicegegevens worden in rust versleuteld in AWS met AES-256-sleutelversleuteling.

Product Veiligheid

We nemen maatregelen om veilig te ontwikkelen en te testen tegen beveiligingsrisico's om de veiligheid van de gegevens van onze klanten te garanderen. Wij hanteren een Secure Development Lifecycle, waarin het trainen van onze ontwikkelaars en het uitvoeren van ontwerp- en codebeoordelingen een primaire rol spelen. Daarnaast maakt Xoxoday gebruik van externe beveiligingsexperts om gedetailleerde penetratietests uit te voeren op verschillende applicaties.

Netwerkbeveiliging

Xoxoday producten worden gehost op Amazon's AWS en MS Azure platforms. Medewerkers van Xoxoday hebben geen fysieke toegang tot onze productieomgeving. Als klant van Amazon en Azure profiteren we van een datacenter en netwerkarchitectuur die gebouwd zijn om te voldoen aan de eisen van de meest veiligheidsgevoelige organisaties.

De datacenters zijn gehuisvest in onopvallende faciliteiten, met perimetercontrole van militaire kwaliteit en professionele beveiligingsmedewerkers die gebruik maken van videobewaking, ultramoderne inbraakdetectiesystemen en andere elektronische middelen.

Naast fysieke beveiliging bieden Cloud-platforms ook aanzienlijke bescherming tegen traditionele netwerkbeveiliging.

Veilige ontwikkeling (SDLC)

Training over veilige code - Ten minste eenmaal per jaar nemen technici deel aan een training over veilige code waarin de OWASP Top 10 beveiligingsrisico's en veelvoorkomende aanvalsvectoren aan bod komen.

Beveiligde toegang - Alle applicatieservers van Xoxoday zijn beveiligd met HTTPS. We gebruiken encryptie volgens de industriestandaard voor gegevens die van en naar de applicatieservers worden verzonden.

Kwaliteitsborging (QA)

Onze afdeling Quality Assurance (QA) controleert en test onze codebase. Toegewijde applicatiebeveiligingsengineers identificeren, testen en verhelpen kwetsbaarheden in de code.

Gescheiden omgevingen

Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen servicegegevens gebruikt in onze ontwikkel- of testomgevingen.

Beveiliging van toepassingen

Om ervoor te zorgen dat we de aan ons toevertrouwde gegevens beschermen, hebben we een reeks beveiligingsmaatregelen geïmplementeerd. De beveiligingscontroles van Xoxoday zijn zo ontworpen dat medewerkers efficiënt kunnen werken zonder kunstmatige blokkades, terwijl de risico's tot een minimum worden beperkt.

Xoxoday heeft een toegewijd, fulltime beveiligingsteam in dienst om onze beveiliging te beheren en continu te verbeteren. Het team beschermt de infrastructuur, het netwerk en de gegevens van Xoxoday (inclusief de gegevens van onze klanten).

Naast de beveiligingscomponenten die worden geleverd door onze cloudproviders van topniveau (MS Azure en AWS), onderhoudt Xoxoday zijn eigen specifieke controles door de best practices van de sector te volgen. 

Deze controles omvatten DDoS-aanvallen, DB-bescherming en een speciale firewall voor webtoepassingen, evenals fijnmazige regels voor netwerkfirewalls die zijn geconfigureerd volgens de hoogste industrienormen.

Hostbeveiliging

SSH-sleutels zijn nodig om toegang te krijgen tot onze servers en elke login wordt geïdentificeerd door een gebruiker. Alle kritieke activiteiten worden gelogd op een centrale logserver en onze servers zijn alleen toegankelijk vanaf beperkte en beveiligde IP's.

Hosts zijn gesegmenteerd en de toegang is beperkt op basis van functionaliteit. Applicatieverzoeken zijn alleen toegestaan vanaf AWS ELB en databaseservers zijn alleen toegankelijk vanaf applicatieservers.

Wachtwoordbeleid

We hebben het wachtwoordbeleid ingeschakeld en wachtwoorden worden versleuteld opgeslagen voor maximale beveiliging van gegevens. Het wachtwoord moet minimaal 8 tekens lang zijn en ten minste één hoofdletter, speciale tekens zoals '# $ % * &' en één cijfer bevatten.

Webtoepassingsfirewall (WAF)

Onze speciale firewall voor webtoepassingen fungeert als een sterke barrière om de toepassingen en microservices van Xoxoday te beschermen. Het dwingt veiligheidscontroles af zoals een verharde TLS-configuratie (HSTS, sterke encryptie en hashing-algoritmen), algehele bescherming tegen kwaadwillige activiteiten (detectie van slechte IP-reputatie, browserintegriteitscontroles, WAF-regels) en meerdere snelheidsbeperkende regels die automatische indiening van formulieren op kritieke eindpunten voorkomen (aanvallen waarbij wachtwoorden worden geraden).

Bescherming creditcardgegevens

Xoxoday bewaart, verwerkt of verzamelt geen creditcardgegevens die klanten aan ons verstrekken. Wij maken gebruik van betrouwbare en PCI-compliant betalingsleveranciers om ervoor te zorgen dat de creditcardgegevens van klanten veilig en volgens de geldende regelgeving en industrienormen worden verwerkt.

Al onze betalingsgateways voldoen aan PCI DSS.

Beschikbaarheid en bedrijfscontinuïteit

Xoxoday onderhoudt een disaster recovery programma om ervoor te zorgen dat services beschikbaar blijven of eenvoudig te herstellen zijn in het geval van een ramp. Klanten kunnen op de hoogte blijven van beschikbaarheidskwesties via een publiek toegankelijke statuswebsite met gepland onderhoud en de geschiedenis van service-incidenten.

De BCP- en DR-plannen worden elk jaar getest en herzien. De BCP- en DR-plannen van Xoxoday worden beoordeeld en geaudit als onderdeel van de ISO 27001-normen en SOC 2 Type II, waarbij beschikbaarheid een van de vertrouwensprincipes van de service is.

Administratieve activiteiten

Xoxoday gebruikt twee-factor authenticatie om toegang te verlenen tot onze administratieve activiteiten - zowel infrastructuur als diensten. We zorgen ervoor dat administratieve privileges worden toegekend aan slechts enkele medewerkers. Daarnaast zorgt ons gebruik van rolgebaseerde toegang ervoor dat gebruikers handelingen kunnen uitvoeren volgens het toegangscontrolebeleid.

Alle administratieve toegang wordt automatisch gelogd en gecontroleerd door ons interne beveiligingsteam. Gedetailleerde informatie over wanneer en waarom de bewerkingen worden uitgevoerd, wordt gedocumenteerd en aan het beveiligingsteam doorgegeven voordat er wijzigingen in de productieomgeving worden aangebracht.

Xoxoday heeft een informatietechnologisch netwerk opgezet om zijn activiteiten te vergemakkelijken en efficiënter te maken voor verschillende risico's. En stel managementrichtlijnen, -principes en -standaardvereisten vast om ervoor te zorgen dat de juiste bescherming van informatie op de netwerken wordt gehandhaafd en gehandhaafd.  

Personeelsbeveiliging

Veiligheidsbewustzijn - Beleid 

Xoxoday heeft een uitgebreide set beveiligingsbeleidsregels ontwikkeld die een groot aantal onderwerpen bestrijken. Dit beleid wordt gedeeld met en beschikbaar gesteld aan alle werknemers en contractanten met toegang tot informatiemiddelen van Xoxoday.

Bewustzijnstraining 

Elke werknemer ondertekent bij indiensttreding een geheimhoudingsverklaring en een beleid voor aanvaardbaar gebruik, waarna ze een training volgen in informatiebeveiliging, privacy en naleving. Bovendien evalueren we hun begrip door middel van tests en quizzen om te bepalen in welke onderwerpen ze verdere training nodig hebben. We bieden training over specifieke beveiligingsaspecten die ze nodig hebben op basis van hun functie.

Doorlichting van werknemers

Elke werknemer ondergaat een proces van achtergrondverificatie. We huren gerenommeerde externe bureaus in om deze controle namens ons uit te voeren. We doen dit om hun strafblad, eventuele eerdere arbeidsgegevens en opleidingsachtergrond te verifiëren. Totdat deze controle is uitgevoerd, krijgt de medewerker geen taken toegewezen die risico's voor gebruikers kunnen opleveren.

Non Disclosure Overeenkomst

Alle nieuwe medewerkers moeten een geheimhoudings- en vertrouwelijkheidsovereenkomst ondertekenen. De medewerker stemt er uitdrukkelijk mee in dat hij/zij geen gebruik zal maken van vertrouwelijke informatie die door het bedrijf is verstrekt bij de ontwikkeling of levering of voor persoonlijk gewin bij het leveren van producten of diensten voor eigen rekening of voor rekening van derden.