XoxodayDe primaire beveiligingsfocus van is het beschermen van de gegevens van onze klanten en gebruikers. Daarom heeft Xoxoday geïnvesteerd in de juiste middelen en controles om onze klanten te beschermen en van dienst te zijn. We richten ons op het definiëren van nieuwe en het verfijnen van bestaande controles, het implementeren en beheren van het Xoxoday beveiligingsraamwerk en het bieden van een ondersteuningsstructuur om effectieve naleving en risicobeheer te faciliteren.
Xoxoday streeft ernaar de integriteit, vertrouwelijkheid, beschikbaarheid en beveiliging van zijn fysieke en informatiemiddelen te garanderen en de privacy te handhaven bij het voldoen aan de behoeften van de klanten en de organisatie, en tegelijkertijd te voldoen aan de toepasselijke wettelijke, statutaire en regelgevende vereisten.
Om een adequate bescherming van informatiemiddelen te bieden, heeft Xoxoday het Information Security Management System (ISMS) opgezet, zodat iedereen dit beleid ijverig, consequent en onpartijdig kan volgen. Xoxoday zal op alle niveaus procedures en controles implementeren om de vertrouwelijkheid en integriteit van informatie die is opgeslagen en verwerkt op haar systemen te beschermen en ervoor te zorgen dat informatie alleen beschikbaar is voor bevoegde personen als en wanneer dat nodig is.
.svg){kind=icon}
We hebben ons nalevingsraamwerk ontwikkeld op basis van best practices uit de SaaS-branche. Onze belangrijkste doelstellingen zijn-
Xoxoday zet zich in om te voldoen aan alle toepasselijke regels en wetten van het land op alle locaties en in alle landen waar het actief is en informatie verwerkt. Xoxoday neemt gegevensintegriteit en -beveiliging serieus. Meer dan twee miljoen klanten over de hele wereld vertrouwen ons de beveiliging van hun gegevens toe. Door de aard van onze producten en services moeten we onze verantwoordelijkheden als gegevensbeheerder en -verwerker erkennen.
De beveiliging van klantgegevens is een essentieel onderdeel van ons product, onze processen en onze teamcultuur. Onze faciliteiten, processen en systemen zijn betrouwbaar, robuust en getest door gerenommeerde organisaties voor kwaliteitscontrole en gegevensbeveiliging. We zijn voortdurend op zoek naar mogelijkheden om het dynamische technologielandschap te verbeteren en u een zeer veilig, schaalbaar systeem te bieden dat een geweldige ervaring biedt.
We gebruiken best practices en industrienormen om te voldoen aan algemeen aanvaarde beveiligings- en privacyraamwerken binnen de sector.
We gebruiken beveiligingsfuncties van enterpriseklasse en voeren uitgebreide audits uit op onze applicaties, systemen en netwerken om klant- en bedrijfsgegevens te beschermen. Onze klanten kunnen gerust zijn in de wetenschap dat hun informatie veilig is, hun interacties beveiligd zijn en hun bedrijven beschermd zijn.
Xoxoday is ISO 27001:2013 gecertificeerd.
ISO/IEC 27001:2013 is een specificatie voor een beheersysteem voor informatiebeveiliging (ISMS). Een ISMS is een raamwerk van beleidsregels en procedures voor het beheer van informatierisico's van organisaties, waaronder juridische, fysieke en technische controles, die worden gebruikt om informatie veilig te houden.
Met het robuuste ISMS van ISO krijgt u de extra zekerheid dat we een volledig spectrum van best practices op het gebied van beveiliging in de hele organisatie hebben geïmplementeerd.
Xoxoday is ISO 27001:2013 gecertificeerd en we zetten ons in om risico's te identificeren, gevolgen te beoordelen en systematische controles te gebruiken die vertrouwen wekken in alles wat we doen - van onze codebase tot fysieke infrastructuur en menselijke praktijken.
Xoxoday voert jaarlijks een SOC 2-audit uit door een onafhankelijke derde partij. Ons SOC 2-rapport verklaart dat onze controles op de beschikbaarheid, vertrouwelijkheid en beveiliging van klantgegevens in overeenstemming zijn met de Trust Service Principles (TSP's) die zijn opgesteld door het American Institute of Certified Public Accountants (AICPA).
Beveiliging: Deze principes meten hoe we jouw gegevens en onze systemen beschermen tegen ongeautoriseerde toegang en hoe we voorkomen dat de systemen die de beschikbaarheid, integriteit, vertrouwelijkheid en privacy van jouw gegevens beschermen, worden beschadigd door openbaarmaking van informatie.
Beschikbaarheid: Dit vertrouwensprincipe gaat over de vraag of je informatie en systemen beschikbaar zijn voor gebruik om de doelstellingen van je bedrijf te halen.
Integriteit van de verwerking: Dit principe beoordeelt of de verwerking van je systeem volledig en accuraat is en alleen geautoriseerde informatie verwerkt.
Vertrouwelijkheid: Dit betreft de vraag of vertrouwelijke informatie echt beschermd blijft.
Privacy: Bij dit laatste vertrouwensprincipe wordt gekeken of de persoonlijke gegevens van je gebruikers worden verzameld, gebruikt, bewaard, bekendgemaakt en vernietigd volgens de privacyverklaring van je bedrijf en de algemeen aanvaarde privacybeginselen (GAPP).
We zijn trots op de uitmuntendheid van onze controles en nodigen u uit om een kopie van ons SOC 2 Type I-rapport aan te vragen door contact op te nemen met uw Xoxoday vertegenwoordiger.
Xoxoday voldoet aan CCPA/CPRA.
De CPRA heeft de privacyrechten voor inwoners van Californië gewijzigd, uitgebreid en verduidelijkt en is op verschillende manieren geïnspireerd op het GDPR-beleid van de EU. De CPRA creëert de nieuwe categorie gevoelige persoonlijke informatie (SPI) die apart en strenger wordt gereguleerd dan persoonlijke informatie (PI).
Het doel van CPRA is om de California Consumer Privacy Act (CCPA) opnieuw te definiëren en uit te breiden om de rechten van inwoners van Californië te versterken. De wet biedt consumenten meer mogelijkheden om zich af te melden en vereist weloverwogen privacybeheer door bedrijven.
Xoxoday voldoet aan HIPAA.
Het Amerikaanse ministerie van Volksgezondheid en Human Services heeft in 1996 de Health Insurance Portability and Accountability Act, HIPAA, in het leven geroepen. Deze wet moest ervoor zorgen dat de gezondheidsinformatie van een patiënt beschermd werd tegen publieke toegang.
Het kan voorkomen dat klanten sommige van onze producten gebruiken om elektronische persoonlijke gezondheidsinformatie (ePHI) te verwerken in het kader van hun normale bedrijfsactiviteiten. Als onze klanten volgens de HIPAA van 1996 worden gecategoriseerd als Covered Entity of Business Associate, biedt Xoxoday ondersteuning voor hun naleving van de HIPAA.
We helpen klanten hun HIPAA-verplichtingen na te komen door gebruik te maken van de juiste beveiligingsconfiguratieopties in Xoxoday producten.
Xoxoday GDPR-compliant is.
Ons uitgebreide GDPR-complianceprogramma wordt ondersteund door deze fundamentele privacyprincipes - onder andere Accountability, Privacy by Design and Default, Data Minimization en Subject Access Rights. Technologie en bedrijfsactiviteiten zijn onderhevig aan regelmatige bewustwordingsprogramma's.
Xoxoday zet zich in voor het leveren van veilige producten en diensten door het implementeren en naleven van het voorgeschreven nalevingsbeleid, zowel als gegevensbeheerder als -verwerker.
De handhaving van GDPR is cruciaal voor onze missie om de EU en al onze wereldwijde klanten veilige en betrouwbare bedrijfsoplossingen te bieden. Ter ondersteuning van dit streven biedt Xoxoday hetzelfde niveau van privacy en beveiliging aan al haar klanten wereldwijd, ongeacht hun locatie.
Klik hier voor meer informatie over Xoxoday GDPR.
Xoxoday is volledig toegewijd aan het handhaven van de rechten die betrokkenen krijgen onder de toepasselijke wetten voor gegevensbescherming en aan het zorgvuldig omgaan met hun persoonlijke gegevens. Meer dan 2 miljoen klanten over de hele wereld vertrouwen ons de beveiliging van hun gegevens toe. Door de aard van de producten en diensten die we leveren, erkennen we onze verantwoordelijkheden als gegevensbeheerder en -verwerker.
De beveiliging van klantgegevens is een essentieel onderdeel van onze producten, processen en teamcultuur. Onze faciliteiten, processen en systemen zijn betrouwbaar, robuust en getest door gerenommeerde organisaties voor kwaliteitscontrole en gegevensbeveiliging. We zijn voortdurend op zoek naar mogelijkheden om het dynamische technologielandschap te verbeteren en u een zeer veilig en schaalbaar systeem te bieden dat een geweldige ervaring biedt.
Privacybeleid - Meer informatie over Xoxoday privacybeleid
GDPR-beleid - Meer informatie over Xoxoday GDPR-beleid
We hebben een aantal bronnen die we op verzoek kunnen verstrekken.
Voor de volgende bronnen is mogelijk een NDA vereist. Neem contact op met uw Xoxoday vertegenwoordiger.
Xoxoday besteedt de hosting van zijn productinfrastructuur uit aan toonaangevende aanbieders van cloudinfrastructuur. Het Xoxoday product maakt voornamelijk gebruik van Amazon Web Services (AWS) en Microsoft Azure voor het hosten van de infrastructuur. De aanbieders van cloudinfrastructuur hebben een hoog niveau van fysieke en netwerkbeveiliging en diversiteit in hostingleveranciers. AWS heeft een geauditeerd beveiligingsprogramma, inclusief SOC 2 en ISO 27001 compliance. Xoxoday host geen productsystemen binnen zijn bedrijfskantoren.
Xoxoday zet producten in AWS- en Microsoft Azure-datacenters in die gecertificeerd zijn als ISO 27001, PCI DSS Service Provider Level 1 en/of SOC 2-compatibel. De infrastructuurservices van AWS en Microsoft Azure omvatten back-upstroom, HVAC-systemen en brandbestrijdingsapparatuur om servers en uiteindelijk uw gegevens te helpen beschermen.
Meer informatie over compliance bij AWS en Microsoft Azure.
De fysieke, omgevings- en infrastructuurbeveiligingen, inclusief continuïteits- en herstelplannen, zijn onafhankelijk gevalideerd als onderdeel van hun SOC 2 Type II en ISO 27001 certificeringen.
AWS en MS Azure beveiliging op locatie omvat een aantal functies zoals bewakers, omheiningen, beveiligingsfeeds, inbraakdetectietechnologie en andere beveiligingsmaatregelen.
AWS/MS Azure biedt fysieke toegang tot het datacenter alleen aan goedgekeurde medewerkers. Alle medewerkers die toegang tot het datacenter nodig hebben, moeten eerst toegang aanvragen en een geldige zakelijke rechtvaardiging geven. Deze verzoeken worden toegekend op basis van het principe van de laagste privileges, waarbij verzoeken moeten specificeren tot welke laag van het datacenter de persoon toegang nodig heeft, en zijn tijdsgebonden. Verzoeken worden beoordeeld en goedgekeurd door bevoegd personeel en de toegang wordt ingetrokken nadat de gevraagde tijd is verstreken. Zodra toegang is verleend, zijn individuen beperkt tot gebieden die in hun machtigingen zijn gespecificeerd.
Ons netwerk wordt beschermd met behulp van essentiële cloudservices voor beveiliging, integratie met onze Cloudflare edge-protectienetwerken, regelmatige audits en netwerkintelligentietechnologieën die bekend schadelijk verkeer en netwerkaanvallen monitoren en blokkeren.
Het scannen van kwetsbaarheden geeft ons diepgaand inzicht voor een snelle identificatie van systemen die niet aan de eisen voldoen of mogelijk kwetsbaar zijn. Naast ons uitgebreide interne scan- en testprogramma, maakt Xoxoday gebruik van externe beveiligingsexperts om een kwetsbaarheidsanalyse en penetratietests uit te voeren.
Ons Bug Bounty-programma biedt beveiligingsonderzoekers en klanten een manier om veilig kwetsbaarheden in de beveiliging te testen en te melden aan Xoxoday .
Klik hier voor meer informatie over Xoxoday Bug Bounty Programma
Ons Security Incident Event Management (SIEM)-systeem verzamelt uitgebreide logbestanden van essentiële netwerkapparaten en hostsystemen. De SIEM-waarschuwingen waarschuwen het beveiligingsteam op basis van gecorreleerde gebeurtenissen voor onderzoek en reactie.
In- en uitgangen van services worden geïnstrumenteerd en bewaakt om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen te genereren wanneer incidenten en waarden vooraf bepaalde drempels overschrijden en gebruiken regelmatig bijgewerkte handtekeningen op basis van nieuwe bedreigingen. Dit omvat 24/7 systeembewaking.
Toegang tot het Xoxoday productienetwerk is beperkt door een expliciete 'need-to-know' basis, maakt gebruik van 'least privilege', wordt regelmatig gecontroleerd en gemonitord en wordt gecontroleerd door ons operationeel team. Werknemers die toegang hebben tot het Xoxoday productienetwerk moeten meerdere verificatiefactoren gebruiken.
Toegang tot gegevens en systemen is gebaseerd op de principes van 'least privilege' voor toegang. Er is een oplossing voor Identity and Access Management (IAM) gedefinieerd om gebruikerstoegang te beheren via rolgebaseerde toegangsprofielen die de implementatie van toegangen op basis van de principes van need-to-know ondersteunen en de scheiding van taken ondersteunen. Bevoegdheden met betrekking tot het beheer van toegangsrechten voor gebruikers en rolconfiguraties verschillen van de bevoegde goedkeurder die toegangsaanvragen goedkeurt. De goedkeurders zijn ofwel de producthoofden of respectievelijke functiehoofden of hun geautoriseerde afgevaardigden.
In geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze 24/7 teams die dekking bieden voor Operations, Network Engineering en Security. Medewerkers worden getraind in de processen voor het reageren op beveiligingsincidenten, inclusief communicatiekanalen en escalatiepaden.
Xoxoday heeft het Security incident management proces gedefinieerd om incidenten en inbreuken op de beveiliging te classificeren en af te handelen. Het Information Security-team is verantwoordelijk voor het registreren, rapporteren, volgen, reageren, oplossen, bewaken, rapporteren en onmiddellijk communiceren van de incidenten aan de juiste partijen. Het proces wordt beoordeeld als onderdeel van onze periodieke interne audit en gecontroleerd als onderdeel van de ISO 27001 en SOC 2 Type II beoordeling.
Gegevens worden versleuteld via industriestandaard HTTPS/TLS (TLS 1.2 of hoger) over openbare netwerken. Dit zorgt ervoor dat al het verkeer tussen jou en Xoxoday veilig is tijdens het transport. Daarnaast maakt ons product voor e-mail standaard gebruik van opportunistische TLS.
Transport Layer Security (TLS) versleutelt en levert e-mail veilig af, waardoor afluisteren tussen mailservers wordt beperkt als peer services dit protocol ondersteunen. Uitzonderingen voor versleuteling zijn onder andere het gebruik van sms-functionaliteit in het product en andere apps, integraties of diensten van derden die abonnees naar eigen goeddunken kunnen gebruiken.
Servicegegevens worden in rust versleuteld in AWS met AES-256-sleutelversleuteling.
We nemen maatregelen om veilig te ontwikkelen en te testen tegen beveiligingsrisico's om de veiligheid van de gegevens van onze klanten te garanderen. We hanteren een Secure Development Lifecycle, waarin het trainen van onze ontwikkelaars en het uitvoeren van ontwerp- en codebeoordelingen een primaire rol spelen. Daarnaast maakt Xoxoday gebruik van externe beveiligingsexperts om gedetailleerde penetratietests uit te voeren op verschillende applicaties.
Xoxoday producten worden gehost op Amazon's AWS en MS Azure platforms. Xoxoday medewerkers hebben geen fysieke toegang tot onze productieomgeving. Als klant van Amazon en Azure profiteren we van een datacenter en netwerkarchitectuur die zijn gebouwd om te voldoen aan de eisen van de meest veiligheidsgevoelige organisaties.
De datacenters zijn gehuisvest in onopvallende faciliteiten, met perimetercontrole van militaire kwaliteit en professionele beveiligingsmedewerkers die gebruik maken van videobewaking, ultramoderne inbraakdetectiesystemen en andere elektronische middelen.
Naast fysieke beveiliging bieden Cloud-platforms ook aanzienlijke bescherming tegen traditionele netwerkbeveiliging.
Training over veilige code - Minstens eenmaal per jaar nemen technici deel aan een training over veilige code waarin de OWASP Top 10 beveiligingsrisico's en veelvoorkomende aanvalsvectoren aan bod komen.
Beveiligde toegang - Xoxoday's applicatieservers zijn allemaal beveiligd HTTPS. We gebruiken encryptie volgens de industrienorm voor gegevens die van en naar de applicatieservers worden verzonden.
Onze afdeling Quality Assurance (QA) controleert en test onze codebase. Toegewijde applicatiebeveiligingsengineers identificeren, testen en verhelpen kwetsbaarheden in de code.
Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen servicegegevens gebruikt in onze ontwikkel- of testomgevingen.
Om ervoor te zorgen dat we de aan ons toevertrouwde gegevens beschermen, hebben we een reeks beveiligingscontroles geïmplementeerd. Xoxoday beveiligingscontroles zijn ontworpen om een hoog efficiëntieniveau van medewerkers mogelijk te maken zonder kunstmatige wegversperringen, terwijl de risico's tot een minimum worden beperkt.
Xoxoday heeft een toegewijd, fulltime beveiligingsteam om onze beveiliging te beheren en continu te verbeteren. Het team beschermt de infrastructuur, het netwerk en de gegevens van Xoxoday (inclusief de gegevens van onze klanten).
Naast de beveiligingscomponenten die worden geleverd door onze cloudproviders van topniveau (MS Azure en AWS), onderhoudt Xoxoday zijn eigen specifieke controles door de best practices van de sector te volgen.
Deze controles omvatten DDoS-aanvallen, DB-bescherming en een speciale firewall voor webtoepassingen, evenals fijnmazige regels voor netwerkfirewalls die zijn geconfigureerd volgens de hoogste industrienormen.
SSH-sleutels zijn nodig om toegang te krijgen tot onze servers en elke login wordt geïdentificeerd door een gebruiker. Alle kritieke activiteiten worden gelogd op een centrale logserver en onze servers zijn alleen toegankelijk vanaf beperkte en beveiligde IP's.
Hosts zijn gesegmenteerd en de toegang is beperkt op basis van functionaliteit. Applicatieverzoeken zijn alleen toegestaan vanaf AWS ELB en databaseservers zijn alleen toegankelijk vanaf applicatieservers.
We hebben het wachtwoordbeleid ingeschakeld en wachtwoorden worden versleuteld opgeslagen voor maximale beveiliging van gegevens. Het wachtwoord moet minimaal 8 tekens lang zijn en ten minste één hoofdletter, speciale tekens zoals '# $ % * &' en één cijfer bevatten.
Onze speciale webtoepassingsfirewall fungeert als een sterke barrière om Xoxodaytoepassingen en microservices te beschermen. Het dwingt beveiligingscontroles af zoals een verharde TLS-configuratie (HSTS, sterke encryptie en hashing-algoritmen), algehele bescherming tegen kwaadwillige activiteiten (detectie van slechte IP-reputatie, browserintegriteitscontroles, WAF-regels) en meerdere regels voor het beperken van de snelheid die automatische indiening van formulieren op kritieke eindpunten voorkomen (aanvallen waarbij wachtwoorden worden geraden).
Xoxoday bewaart, verwerkt of verzamelt geen creditcardgegevens die klanten aan ons verstrekken. We maken gebruik van betrouwbare en PCI-compliant betalingsleveranciers om ervoor te zorgen dat de creditcardgegevens van klanten veilig en volgens de geldende regelgeving en industrienormen worden verwerkt.
Al onze betalingsgateways voldoen aan PCI DSS.
Xoxoday onderhoudt een disaster recovery programma om ervoor te zorgen dat services beschikbaar blijven of eenvoudig te herstellen zijn in het geval van een ramp. Klanten kunnen op de hoogte blijven van beschikbaarheidskwesties via een publiek toegankelijke statuswebsite met gepland onderhoud en de geschiedenis van service-incidenten.
De BCP- en DR-plannen worden elk jaar getest en herzien. De BCP- en DR-plannen op Xoxoday worden beoordeeld en geaudit als onderdeel van de ISO 27001-normen en SOC 2 Type II, waarbij beschikbaarheid een van de principes van vertrouwensdiensten is.
Xoxoday gebruikt twee-factor authenticatie om toegang te verlenen tot onze administratieve activiteiten - zowel infrastructuur als diensten. We zorgen ervoor dat administratieve privileges worden toegekend aan slechts enkele medewerkers. Daarnaast zorgt ons gebruik van rolgebaseerde toegang ervoor dat gebruikers handelingen kunnen uitvoeren volgens het toegangscontrolebeleid.
Alle administratieve toegang wordt automatisch gelogd en gecontroleerd door ons interne beveiligingsteam. Gedetailleerde informatie over wanneer en waarom de bewerkingen worden uitgevoerd, wordt gedocumenteerd en aan het beveiligingsteam doorgegeven voordat er wijzigingen in de productieomgeving worden aangebracht.
Xoxoday een informatietechnologisch netwerk heeft geïmplementeerd om de bedrijfsvoering te vergemakkelijken en efficiënter te maken voor verschillende risico's. En managementrichtlijnen, principes en standaardvereisten vast te stellen om ervoor te zorgen dat de juiste bescherming van informatie op haar netwerken wordt gehandhaafd en gehandhaafd.
Xoxoday heeft een uitgebreide reeks beveiligingsbeleidsregels ontwikkeld die een groot aantal onderwerpen bestrijken. Dit beleid wordt gedeeld met en beschikbaar gesteld aan alle werknemers en contractanten met toegang tot Xoxoday informatiemiddelen.
Elke werknemer ondertekent bij indiensttreding een geheimhoudingsverklaring en een beleid voor aanvaardbaar gebruik, waarna ze een training volgen in informatiebeveiliging, privacy en naleving. Bovendien evalueren we hun begrip door middel van tests en quizzen om te bepalen in welke onderwerpen ze verdere training nodig hebben. We bieden training over specifieke beveiligingsaspecten die ze nodig hebben op basis van hun functie.
Elke werknemer ondergaat een proces van achtergrondverificatie. We huren gerenommeerde externe bureaus in om deze controle namens ons uit te voeren. We doen dit om hun strafblad, eventuele eerdere arbeidsgegevens en opleidingsachtergrond te verifiëren. Totdat deze controle is uitgevoerd, krijgt de medewerker geen taken toegewezen die risico's voor gebruikers kunnen opleveren.
Alle nieuwe medewerkers moeten een geheimhoudings- en vertrouwelijkheidsovereenkomst ondertekenen. De medewerker stemt er uitdrukkelijk mee in dat hij/zij geen gebruik zal maken van vertrouwelijke informatie die door het bedrijf is verstrekt bij de ontwikkeling of levering of voor persoonlijk gewin bij het leveren van producten of diensten voor eigen rekening of voor rekening van derden.
