XoxodayEl principal objetivo de seguridad de es salvaguardar los datos de nuestros clientes y usuarios. Por eso Xoxoday ha invertido en los recursos y controles adecuados para proteger y dar servicio a nuestros clientes. Nos centramos en definir nuevos controles y en perfeccionar los existentes, en implantar y gestionar el marco de seguridad de Xoxoday y en proporcionar una estructura de apoyo que facilite una gestión eficaz del cumplimiento y de los riesgos.
Xoxoday se compromete a garantizar la integridad, confidencialidad, disponibilidad y seguridad de sus activos físicos y de información y a mantener la privacidad a la hora de atender las necesidades de los clientes y de la organización, cumpliendo al mismo tiempo los requisitos legales, estatutarios y reglamentarios pertinentes.
Para proporcionar una protección adecuada a los activos de información, Xoxoday ha creado el Sistema de Gestión de la Seguridad de la Información (SGSI), que permite a todos seguir estas políticas con diligencia, coherencia e imparcialidad. Xoxoday aplicará procedimientos y controles a todos los niveles para proteger la confidencialidad e integridad de la información almacenada y procesada en sus sistemas y garantizar que la información sólo esté disponible para las personas autorizadas en la forma y el momento necesarios.
Hemos desarrollado nuestro marco de cumplimiento utilizando las mejores prácticas de la industria del SaaS. Nuestros objetivos clave incluyen
Xoxoday se compromete a cumplir todas las normativas y leyes nacionales aplicables en todos los lugares y países en los que opera y procesa información. Xoxoday se toma muy en serio la integridad y seguridad de los datos. Más de dos millones de clientes de todo el mundo nos confían la seguridad de sus datos. Debido a la naturaleza de nuestros productos y servicios, debemos reconocer nuestras responsabilidades como responsables y encargados del tratamiento de datos.
La seguridad de los datos del cliente es una parte esencial de nuestro producto, procesos y cultura de equipo. Nuestras instalaciones, procesos y sistemas son fiables, robustos y han sido probados por reputadas organizaciones de control de calidad y seguridad de datos. Buscamos continuamente oportunidades para mejorar el dinámico panorama tecnológico y ofrecerle un sistema altamente seguro y escalable que le proporcione una gran experiencia.
Utilizamos las mejores prácticas y las normas del sector para lograr el cumplimiento de los marcos generales de seguridad y privacidad aceptados por la industria.
Utilizamos elementos de seguridad de clase empresarial y realizamos auditorías exhaustivas de nuestras aplicaciones, sistemas y redes para proteger los datos de los clientes y las empresas. Nuestros clientes están tranquilos sabiendo que su información está a salvo, sus interacciones son seguras y sus negocios están protegidos.
Xoxoday cuenta con la certificación ISO 27001:2013.
ISO/IEC 27001:2013 es una especificación para un sistema de gestión de la seguridad de la información (SGSI). Un SGSI es un marco de políticas y procedimientos para la gestión de los riesgos de la información de la organización, que incluye controles legales, físicos y técnicos, utilizados para mantener la información segura.
Con el sólido SGSI de ISO, usted obtiene la garantía adicional de que hemos implementado un espectro completo de mejores prácticas de seguridad en toda la organización.
Xoxoday cuenta con la certificación ISO 27001:2013, y nos comprometemos a identificar los riesgos, evaluar las implicaciones y utilizar controles sistematizados que inspiren confianza en todo lo que hacemos, desde nuestra base de código hasta la infraestructura física y las prácticas de las personas.
Xoxoday realiza auditorías anuales SOC 2 recurriendo a un auditor externo independiente. Nuestro informe SOC 2 certifica que nuestros controles, que regulan la disponibilidad, confidencialidad y seguridad de los datos de los clientes, se ajustan a los Principios de Servicios de Confianza (TSP) establecidos por el Instituto Americano de Contables Públicos Certificados (AICPA).
Seguridad: Estos principios miden cómo protegemos sus datos y nuestros sistemas contra el acceso no autorizado y cómo evitamos que la divulgación de información dañe los sistemas que protegen la disponibilidad, integridad, confidencialidad y privacidad de su información.
Disponibilidad: Este principio de confianza cubre si su información y sistemas están disponibles para su funcionamiento y uso para cumplir con los objetivos de su empresa.
Integridad del procesamiento: Este principio evalúa si el procesamiento de su sistema es completo y preciso y sólo procesa información autorizada.
Confidencialidad: Se refiere a si la información confidencial queda realmente protegida.
Privacidad: Este último principio de confianza examina si la información personal de tus usuarios se recopila, utiliza, conserva, divulga y destruye según el aviso de privacidad de tu empresa y los Principios de Privacidad Generalmente Aceptados (PGA).
Estamos orgullosos de la excelencia de nuestros controles y le invitamos a obtener una copia de nuestro informe SOC 2 Tipo I poniéndose en contacto con su representante en Xoxoday .
Xoxoday cumple las normas CCPA/CPRA.
La CPRA ha modificado, ampliado y aclarado los derechos de privacidad de los residentes de California, y se inspira en la política del GDPR de la UE de diversas maneras. La CPRA crea la nueva categoría información personal sensible (SPI) que se regula de forma separada y más fuerte que la información personal (PI).
El objetivo de la CPRA es redefinir y ampliar la Ley de Privacidad del Consumidor de California (CCPA) para reforzar los derechos de los residentes de California. Ofrece a los consumidores mayores oportunidades de exclusión y exige a las empresas una gestión deliberada de la privacidad de los datos.
Xoxoday cumple la HIPAA.
El Departamento de Salud y Servicios Humanos de EE.UU. estableció la Ley de Portabilidad y Responsabilidad del Seguro Médico, HIPAA, en 1996. Esta ley pretendía garantizar la protección de la información sanitaria de los pacientes frente al acceso público.
Puede haber casos en los que los clientes utilicen algunos de nuestros productos para procesar información médica personal electrónica (ePHI) en el curso ordinario de sus operaciones comerciales. De acuerdo con la ley HIPAA de 1996, en caso de que nuestros clientes se clasifiquen como entidad cubierta o asociado comercial, Xoxoday les prestará asistencia para el cumplimiento de la ley HIPAA.
Ayudamos a los clientes a cumplir sus obligaciones en virtud de la HIPAA aprovechando las opciones de configuración de seguridad adecuadas de los productos de Xoxoday .
Xoxoday cumple la normativa GDPR.
Nuestro programa integral de cumplimiento del RGPD se apoya en estos principios fundamentales de privacidad: responsabilidad, privacidad por diseño y por defecto, minimización de datos y derechos de acceso del sujeto, entre otros. La tecnología y las operaciones relacionadas con el negocio son objeto de programas de sensibilización periódicos.
Xoxoday se compromete a proporcionar productos y servicios seguros aplicando y respetando las políticas de cumplimiento prescritas, tanto en calidad de responsable como de encargado del tratamiento de datos.
La aplicación del GDPR es fundamental para nuestra misión de proporcionar a la UE y a todos nuestros clientes globales soluciones empresariales seguras y fiables. En apoyo de este compromiso, Xoxoday extiende el mismo nivel de privacidad y seguridad a todos sus clientes en todo el mundo, independientemente de su ubicación.
Para más información sobre Xoxoday GDPR, haga clic aquí.
Xoxoday se compromete plenamente a defender los derechos que la legislación aplicable en materia de protección de datos reconoce a los interesados y a cuidar con esmero sus datos personales. Más de 2 millones de clientes de todo el mundo nos confían la seguridad de sus datos. Debido a la naturaleza de los productos y servicios que ofrecemos, reconocemos nuestras responsabilidades como responsables y encargados del tratamiento de datos.
La seguridad de los datos de los clientes es una parte esencial de nuestros productos, procesos y cultura de equipo. Nuestras instalaciones, procesos y sistemas son fiables, robustos y han sido probados por reputadas organizaciones de control de calidad y seguridad de datos. Buscamos continuamente oportunidades para mejorar el dinámico panorama tecnológico y ofrecerle un sistema altamente seguro y escalable que le proporcione una gran experiencia.
Política de privacidad - Más información sobre la política de privacidad de Xoxoday
Política GDPR - Más información sobre Xoxoday Política GDPR
Disponemos de una serie de recursos que podemos facilitar si se nos solicita.
Los siguientes recursos pueden requerir un acuerdo de confidencialidad. Póngase en contacto con su representante en Xoxoday .
Xoxoday subcontrata el alojamiento de la infraestructura de sus productos a los principales proveedores de infraestructuras en la nube. Principalmente, el producto Xoxoday aprovecha Amazon Web Services (AWS) y Microsoft Azure para el alojamiento de infraestructuras. Los proveedores de infraestructuras en la nube cuentan con altos niveles de seguridad física y de red, así como con diversidad de proveedores de alojamiento. AWS mantiene un programa de seguridad auditado, que incluye el cumplimiento de las normas SOC 2 e ISO 27001. Xoxoday no aloja ningún sistema de productos en sus oficinas corporativas.
Xoxoday despliega productos en centros de datos de AWS y Microsoft Azure que han obtenido la certificación ISO 27001, PCI DSS Service Provider Level 1 y/o SOC 2. Los servicios de infraestructura de AWS y Microsoft Azure incluyen energía de reserva, sistemas de climatización y equipos de extinción de incendios para ayudar a proteger los servidores y, en última instancia, sus datos.
Más información sobre la conformidad en AWS y Microsoft Azure.
Las protecciones de seguridad física, ambiental y de infraestructura, incluidos los planes de continuidad y recuperación, han sido validadas de forma independiente como parte de sus certificaciones SOC 2 Tipo II e ISO 27001.
La seguridad in situ de AWS y MS Azure incluye una serie de características como guardias de seguridad, cercado, alimentación de seguridad, tecnología de detección de intrusos y otras medidas de seguridad.
AWS/MS Azure proporciona acceso al centro de datos físico solo a los empleados aprobados. Todos los empleados que necesitan acceso al centro de datos deben solicitarlo primero y proporcionar una justificación empresarial válida. Estas solicitudes se conceden basándose en el principio de mínimo privilegio, donde las solicitudes deben especificar a qué capa del centro de datos necesita acceder el individuo, y están limitadas en el tiempo. Las solicitudes son revisadas y aprobadas por el personal autorizado, y el acceso se revoca una vez transcurrido el tiempo solicitado. Una vez concedido el acceso, los individuos están restringidos a las áreas especificadas en sus permisos.
Nuestra red está protegida mediante servicios esenciales de seguridad en la nube, la integración con nuestras redes de protección de borde de Cloudflare, auditorías periódicas y tecnologías de inteligencia de red, que supervisan y bloquean el tráfico malicioso conocido y los ataques a la red.
El escaneado de vulnerabilidades nos proporciona una visión profunda para la rápida identificación de sistemas no conformes o potencialmente vulnerables. Además de nuestro amplio programa interno de análisis y pruebas, Xoxoday emplea a expertos en seguridad externos para realizar una evaluación de vulnerabilidades y pruebas de penetración.
Nuestro programa Bug Bounty ofrece a los investigadores de seguridad y a los clientes una vía para probar y notificar de forma segura a Xoxoday las vulnerabilidades de seguridad.
Haga clic aquí para obtener más información sobre el programa de recompensas por fallos de Xoxoday .
Nuestro sistema de gestión de eventos de seguridad (SIEM) recopila amplios registros de dispositivos de red y sistemas de host esenciales. Las alertas del SIEM notifican al equipo de seguridad en función de los eventos correlacionados para su investigación y respuesta.
Los puntos de entrada y salida del servicio están instrumentados y monitorizados para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y los valores superan los umbrales predeterminados y utilizan firmas actualizadas periódicamente en función de las nuevas amenazas. Esto incluye la supervisión del sistema las 24 horas del día, los 7 días de la semana.
El acceso a la red de producción Xoxoday está restringido en función de la necesidad explícita de conocer, utiliza privilegios mínimos, se audita y supervisa con frecuencia y está controlado por nuestro equipo de operaciones. Los empleados que acceden a la red de producción Xoxoday deben utilizar varios factores de autenticación.
El acceso a los datos y sistemas se basa en los principios de mínimo privilegio para el acceso. Se ha definido una solución de Gestión de Identidades y Accesos (IAM) para gestionar el acceso de los usuarios a través de perfiles de acceso basados en roles que apoyan la implementación de accesos basados en los principios de necesidad de conocimiento y apoyan la segregación de funciones. Los privilegios relativos a la administración de los privilegios de acceso de los usuarios y las configuraciones de los roles son diferentes del aprobador autorizado que aprueba las solicitudes de acceso. Los aprobadores son los Jefes de Producto o los respectivos Jefes de Función son sus delegados autorizados.
En caso de que se produzca una alerta en el sistema, los sucesos se comunican a nuestros equipos de operaciones, ingeniería de redes y seguridad, que están disponibles las 24 horas del día, todos los días de la semana. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las vías de escalado.
Xoxoday ha definido el proceso de gestión de incidentes de seguridad para clasificar y gestionar los incidentes y las violaciones de la seguridad. El equipo de Seguridad de la Información es responsable de registrar, notificar, rastrear, responder, resolver, supervisar, informar y comunicar los incidentes a las partes apropiadas con prontitud. El proceso se revisa como parte de nuestra auditoría interna periódica y se audita como parte de la evaluación ISO 27001 y SOC 2 Tipo II.
Los datos se cifran a través de HTTPS/TLS (TLS 1.2 o superior), estándar del sector, en redes públicas. Esto garantiza que todo el tráfico entre usted y Xoxoday es seguro durante el tránsito. Además, para el correo electrónico, nuestro producto utiliza TLS oportunista por defecto.
La seguridad de la capa de transporte (TLS) encripta y entrega el correo electrónico de forma segura, mitigando las escuchas entre servidores de correo cuando los servicios pares admiten este protocolo. Las excepciones para el cifrado pueden incluir cualquier uso de la funcionalidad de SMS en el producto, cualquier otra aplicación de terceros, la integración o el servicio que los suscriptores pueden optar por aprovechar a su propia discreción.
Los datos del servicio se encriptan en reposo en AWS utilizando un cifrado de clave AES-256.
Tomamos medidas para desarrollar de forma segura y realizar pruebas contra las amenazas a la seguridad para garantizar la seguridad de los datos de nuestros clientes. Mantenemos un ciclo de vida de desarrollo seguro, en el que la formación de nuestros desarrolladores y la realización de revisiones del diseño y el código desempeñan un papel primordial. Además, Xoxoday emplea a expertos en seguridad externos para realizar pruebas de penetración detalladas en distintas aplicaciones.
Xoxoday Los productos se alojan en las plataformas AWS de Amazon y Azure de MS. Los empleados de Xoxoday no tienen acceso físico a nuestro entorno de producción. Como cliente de Amazon y Azure, nos beneficiamos de un centro de datos y una arquitectura de red creados para satisfacer los requisitos de las organizaciones más sensibles a la seguridad.
Los centros de datos están alojados en instalaciones anodinas, con vigas de control perimetral de grado militar con personal de seguridad profesional que utiliza la videovigilancia, sistemas de detección de intrusos de última generación y otros medios electrónicos.
Además de la seguridad física, las plataformas en la nube también ofrecen una importante protección contra la seguridad de la red tradicional.
Formación sobre código seguro - Al menos una vez al año, los ingenieros participan en una formación sobre código seguro que cubre los 10 principales riesgos de seguridad de OWASP y los vectores de ataque más comunes.
Acceso seguro - Todos los servidores de aplicaciones de Xoxoday son HTTPS seguros. Utilizamos el cifrado estándar del sector para los datos que entran y salen de los servidores de aplicaciones.
Nuestro departamento de control de calidad (QA) revisa y prueba nuestro código. Los ingenieros de seguridad de las aplicaciones identifican, prueban y eliminan las vulnerabilidades de seguridad del código.
Los entornos de prueba y de ensayo están lógicamente separados del entorno de producción. No se utilizan datos de servicio en nuestros entornos de desarrollo o de prueba.
Para garantizar la protección de los datos que se nos confían, hemos implantado una serie de controles de seguridad. Los controles de seguridad de Xoxoday están diseñados para permitir un alto nivel de eficiencia de los empleados sin obstáculos artificiales, al tiempo que se minimizan los riesgos.
Xoxoday emplea a un equipo de seguridad dedicado a tiempo completo para gestionar y mejorar continuamente nuestra seguridad. El equipo protege la infraestructura, la red y los datos de Xoxoday (incluidos los datos de nuestros clientes).
Además de los componentes de seguridad proporcionados por nuestros proveedores de nube de primer nivel (MS Azure y AWS), Xoxoday mantiene sus propios controles dedicados siguiendo las mejores prácticas del sector.
Estos controles cubren el ataque DDoS, la protección de la base de datos y un cortafuegos de aplicaciones web dedicado, así como las reglas de grano fino del cortafuegos de red configuradas utilizando los más altos estándares de la industria.
Se requieren claves SSH para acceder a la consola de nuestros servidores, y cada inicio de sesión está identificado por un usuario. Todas las operaciones críticas se registran en un servidor de registro central, y sólo se puede acceder a nuestros servidores desde IPs restringidas y seguras.
Los hosts están segmentados y los accesos están restringidos en función de la funcionalidad. Las solicitudes de aplicaciones solo se permiten desde AWS ELB, y solo se puede acceder a los servidores de bases de datos desde los servidores de aplicaciones.
Hemos habilitado la política de contraseñas, y las contraseñas se almacenan después de la encriptación para la máxima seguridad de los datos. La contraseña debe tener un mínimo de 8 caracteres y debe contener al menos una letra mayúscula, caracteres especiales entre '# $ % * &' y un dígito.
Nuestro cortafuegos de aplicaciones web dedicado actúa como una fuerte barrera para proteger las aplicaciones y microservicios de Xoxoday. Aplica controles de seguridad como la configuración TLS reforzada (HSTS, cifrado fuerte y algoritmos hash), protección general contra actividades maliciosas (detección de mala reputación de IP, comprobaciones de integridad del navegador, reglas WAF) y múltiples reglas de limitación de velocidad que impiden el envío automatizado de formularios en endpoints críticos (ataques de adivinación de contraseñas).
Xoxoday no almacena, procesa ni recopila la información de las tarjetas de crédito que nos envían los clientes. Utilizamos proveedores de pago de confianza que cumplen la normativa PCI para garantizar que la información de las tarjetas de crédito de los clientes se procesa de forma segura y de acuerdo con la normativa y los estándares del sector.
Todas nuestras pasarelas de pago cumplen con la norma PCI DSS.
Xoxoday mantiene un programa de recuperación en caso de catástrofe para garantizar que los servicios sigan disponibles o sean fácilmente recuperables en caso de catástrofe. Los clientes pueden mantenerse al día sobre los problemas de disponibilidad a través de un sitio web de estado disponible públicamente que cubre el mantenimiento programado y el historial de incidencias del servicio.
Los planes BCP y DR se prueban y revisan cada año. Los planes BCP y DR de Xoxoday se revisan y auditan como parte de las normas ISO 27001 y SOC 2 Tipo II, que cubren la disponibilidad como uno de los principios del servicio de confianza.
Xoxoday utiliza la autenticación de dos factores para conceder acceso a nuestras operaciones administrativas, tanto de infraestructura como de servicios. Garantizamos que los privilegios administrativos sólo se conceden a unos pocos empleados. Además, nuestro uso del acceso basado en funciones garantiza que los usuarios puedan realizar operaciones según la política de control de acceso.
Todos los accesos administrativos se registran automáticamente y son supervisados por nuestro equipo de seguridad interno. La información detallada sobre cuándo y por qué se realizan las operaciones se documenta y se notifica al equipo de seguridad antes de realizar cualquier cambio en el entorno de producción.
Xoxoday ha desplegado una red de tecnología de la información para facilitar su actividad y hacerla más eficiente frente a diversos riesgos. Y establecer la dirección de gestión, los principios y los requisitos estándar para garantizar que se mantiene y sostiene la protección adecuada de la información en sus redes.
Xoxoday ha desarrollado un amplio conjunto de políticas de seguridad que abarcan una serie de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Xoxoday .
Cada empleado, en el momento de su incorporación, firma un acuerdo de confidencialidad y una política de uso aceptable, tras lo cual recibe formación sobre seguridad de la información, privacidad y cumplimiento de la normativa. Además, evaluamos su comprensión mediante pruebas y cuestionarios para determinar los temas en los que necesitan más formación. Proporcionamos formación sobre aspectos específicos de la seguridad que puedan necesitar en función de sus funciones.
Cada empleado se somete a un proceso de verificación de antecedentes. Contratamos a reputadas agencias externas para que realicen esta comprobación en nuestro nombre. Lo hacemos para verificar sus antecedentes penales, su historial laboral, si lo hay, y su formación. Hasta que no se realiza esta comprobación, no se asignan al empleado tareas que puedan suponer un riesgo para los usuarios.
Todas las nuevas contrataciones deben firmar acuerdos de no divulgación y confidencialidad. El Empleado acepta expresamente que no utilizará la Información Confidencial proporcionada por la empresa en el desarrollo o la entrega o en beneficio personal de la prestación de cualquier producto o servicio por cuenta propia o por cuenta de terceros.