XoxodayFokus keselamatan utama adalah untuk melindungi data pelanggan dan pengguna kami. Itulah sebabnya Xoxoday telah melabur dalam sumber dan kawalan yang sesuai untuk melindungi dan memberi perkhidmatan kepada pelanggan kami. Kami memberi tumpuan kepada menentukan kawalan, pelaksanaan dan pengurusan sedia ada yang baru dan penapisan Xoxoday rangka kerja keselamatan, dan menyediakan struktur sokongan untuk memudahkan pematuhan yang berkesan dan pengurusan risiko.
Xoxoday komited untuk memastikan integriti, kerahsiaan, ketersediaan, dan keselamatan aset fizikal dan maklumatnya dan mengekalkan privasi apabila memenuhi keperluan pelanggan dan organisasi sambil memenuhi keperluan undang-undang, berkanun dan peraturan yang sesuai.
Untuk menyediakan perlindungan yang mencukupi untuk aset maklumat, Xoxoday telah membina Sistem Pengurusan Keselamatan Maklumat (ISMS), membolehkan semua orang mengikuti dasar ini dengan tekun, konsisten dan saksama. Xoxoday akan melaksanakan prosedur dan kawalan di semua peringkat untuk melindungi kerahsiaan dan integriti maklumat yang disimpan dan diproses pada sistemnya dan memastikan bahawa maklumat hanya tersedia untuk individu yang diberi kuasa apabila diperlukan.
Kami telah membangunkan rangka kerja pematuhan kami menggunakan amalan terbaik industri SaaS. Objektif utama kami termasuklah–
Xoxoday komited untuk mematuhi semua peraturan dan undang-undang tanah yang berkenaan di semua lokasi dan negara ia beroperasi dan memproses maklumat. Xoxoday memandang serius integriti dan keselamatan data. Lebih dua juta pelanggan di seluruh dunia mempercayai kami dengan keselamatan data mereka. Oleh kerana sifat produk dan perkhidmatan kami, kami mesti mengakui tanggungjawab kami sebagai pengawal data dan pemproses.
Keselamatan data pelanggan adalah bahagian penting dalam produk, proses, dan budaya pasukan kami. Kemudahan, proses, dan sistem kami boleh dipercayai, teguh, dan diuji oleh organisasi kawalan kualiti dan keselamatan data yang terkenal. Kami terus mencari peluang untuk meningkatkan landskap teknologi dinamik dan memberi anda sistem berskala yang sangat selamat yang memberikan pengalaman hebat.
Kami menggunakan amalan terbaik dan piawaian industri untuk mencapai pematuhan dengan keselamatan umum dan rangka kerja privasi yang diterima oleh industri.
Kami menggunakan ciri keselamatan bertaraf perusahaan dan menjalankan audit menyeluruh terhadap aplikasi, sistem dan rangkaian kami untuk melindungi data pelanggan dan perniagaan. Pelanggan kami tidak perlu bimbang mengetahui maklumat mereka selamat, interaksi mereka selamat, dan perniagaan mereka dilindungi.
Xoxoday diperakui ISO 27001:2013.
ISO/IEC 27001:2013 adalah spesifikasi untuk sistem pengurusan keselamatan maklumat (ISMS). ISMS adalah rangka kerja dasar dan prosedur untuk pengurusan risiko maklumat organisasi, termasuk kawalan undang-undang, fizikal, dan teknikal, yang digunakan untuk memastikan maklumat selamat.
Dengan ISMS yang mantap iso, anda mendapat jaminan tambahan bahawa kami telah melaksanakan spektrum penuh amalan terbaik keselamatan di seluruh organisasi.
Xoxoday diperakui ISO 27001:2013, dan kami komited untuk mengenal pasti risiko, menilai implikasi, dan menggunakan kawalan sistem yang memberi inspirasi kepada kepercayaan dalam semua yang kami lakukan - dari pangkalan kod kami ke infrastruktur fizikal dan amalan orang.
Xoxoday menjalankan audit tahunan SOC 2 menggunakan juruaudit pihak ketiga bebas. Laporan SOC 2 kami membuktikan bahawa kawalan kami, mengawal ketersediaan, kerahsiaan, dan keselamatan data pelanggan, memetakan kepada Prinsip Perkhidmatan Amanah (TSP) yang ditubuhkan oleh Institut Akauntan Awam Bertauliah Amerika (AICPA).
Keselamatan: Prinsip-prinsip ini mengukur bagaimana kami melindungi data anda dan sistem kami daripada akses yang tidak dibenarkan dan bagaimana kami menghalang kerosakan pendedahan maklumat kepada sistem yang melindungi ketersediaan, integriti, kerahsiaan, dan privasi maklumat anda.
Ketersediaan: Prinsip kepercayaan ini merangkumi sama ada maklumat dan sistem anda tersedia untuk operasi dan digunakan untuk memenuhi objektif syarikat anda.
Integriti pemprosesan: Prinsip ini menilai sama ada pemprosesan sistem anda lengkap dan tepat dan hanya memproses maklumat yang dibenarkan.
Kerahsiaan: Ini merangkumi sama ada maklumat sulit kekal benar-benar dilindungi.
Privasi: Prinsip kepercayaan terakhir ini melihat sama ada maklumat peribadi pengguna anda dikumpulkan, digunakan, dikekalkan, didedahkan, dan dimusnahkan mengikut notis privasi syarikat anda dan Prinsip Privasi yang Diterima Umum (GAPP).
Kami berbangga dengan kecemerlangan kawalan kami dan menjemput anda untuk mendapatkan salinan laporan SOC 2 Jenis I kami dengan menghubungi anda Xoxoday Wakil
Xoxoday ialah CCPA/CPRA Patuh.
CPRA telah mengubah, mengembangkan, dan menjelaskan hak privasi untuk penduduk California, dan ia mengambil inspirasi daripada dasar GDPR EU dalam pelbagai cara. CPRA mewujudkan kategori baru maklumat peribadi sensitif (SPI) yang dikawal selia secara berasingan dan lebih kuat daripada maklumat peribadi (PI).
Tujuan CPRA adalah untuk mentakrifkan semula dan memperluaskan Akta Privasi Pengguna California (CCPA) untuk mengukuhkan hak penduduk California. Ia menyediakan pengguna peluang yang lebih besar untuk memilih keluar dan memerlukan pengurusan privasi data yang disengajakan oleh perniagaan.
Xoxoday patuh HIPAA.
Jabatan Kesihatan &Perkhidmatan Manusia A.S. menubuhkan Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan, HIPAA, pada tahun 1996. Akta ini bertujuan untuk memastikan perlindungan maklumat penjagaan kesihatan pesakit daripada akses awam.
Mungkin terdapat keadaan apabila pelanggan boleh menggunakan beberapa produk kami untuk memproses Maklumat Kesihatan Peribadi elektronik (ePHI) dalam perjalanan biasa operasi perniagaan mereka. Mengikut HIPAA tahun 1996, sekiranya pelanggan kami dikategorikan sebagai Entiti Dilindungi atau Rakan Perniagaan, Xoxoday menghulurkan sokongan untuk pematuhan mereka terhadap HIPAA.
Kami membantu pelanggan menangani kewajipan HIPAA mereka dengan memanfaatkan pilihan konfigurasi keselamatan yang sesuai dalam Xoxoday Produk.
Xoxoday mematuhi GDPR.
Program pematuhan GDPR kami yang komprehensif disokong oleh prinsip privasi asas ini - Akauntabiliti, Privasi oleh Reka Bentuk dan Lalai, Pengurangan Data, dan Hak Akses Subjek, antara lain. Teknologi dan operasi yang berkaitan dengan perniagaan adalah tertakluk kepada program pemekaan biasa.
Xoxoday komited untuk menyediakan produk dan perkhidmatan yang selamat dengan melaksanakan dan mematuhi dasar pematuhan yang ditetapkan, baik sebagai pengawal data dan pemproses.
Penguatkuasaan GDPR adalah penting untuk misi kami untuk menyediakan EU dan semua pelanggan global kami dengan penyelesaian perniagaan yang selamat dan boleh dipercayai. Bagi menyokong komitmen ini, Xoxoday memperluaskan tahap privasi dan keselamatan yang sama kepada semua pelanggannya di seluruh dunia, tanpa mengira lokasi.
Untuk maklumat lanjut tentang Xoxoday GDPR, sila klik di sini
Xoxoday komited sepenuhnya untuk menegakkan hak-hak yang diberikan oleh subjek data di bawah undang-undang perlindungan data yang berkenaan dan menjaga data peribadi mereka dengan baik. Lebih daripada 2 juta pelanggan di seluruh dunia mempercayai kami dengan keselamatan data mereka. Oleh kerana sifat produk dan perkhidmatan yang kami sediakan, kami mengakui tanggungjawab kami sebagai pengawal data dan pemproses.
Keselamatan data pelanggan adalah bahagian penting dalam produk, proses, dan budaya pasukan kami. Kemudahan, proses, dan sistem kami boleh dipercayai, teguh, dan diuji oleh organisasi kawalan kualiti dan keselamatan data yang terkenal. Kami terus mencari peluang untuk meningkatkan landskap teknologi dinamik dan memberi anda sistem yang sangat selamat dan berskala yang memberikan pengalaman hebat.
Dasar Privasi - Ketahui lebih lanjut tentang Xoxoday Dasar Privasi
Dasar GDPR - Ketahui lebih lanjut tentang Xoxoday Dasar GDPR
Kami mempunyai beberapa sumber yang boleh kami sediakan atas permintaan.
Sumber berikut mungkin memerlukan NDA pada fail. Sila hubungi anda Xoxoday Wakil.
Xoxoday penyumberan luar hosting infrastruktur produknya kepada penyedia infrastruktur awan terkemuka. Pada dasarnya, Xoxoday produk memanfaatkan Amazon Web Services (AWS) dan Microsoft Azure untuk hosting infrastruktur. Penyedia infrastruktur awan mempunyai tahap keselamatan fizikal dan rangkaian yang tinggi dan kepelbagaian vendor penyedia hosting. AWS mengekalkan program keselamatan yang diaudit, termasuk pematuhan SOC 2 dan ISO 27001. Xoxoday tidak menjadi tuan rumah mana-mana sistem produk di pejabat korporatnya.
Xoxoday menggunakan produk dalam pusat data AWS dan Microsoft Azure yang telah diperakui sebagai ISO 27001, Pembekal Perkhidmatan PCI DSS Tahap 1 dan/atau patuh SOC 2. Perkhidmatan infrastruktur AWS dan Microsoft Azure termasuk kuasa sandaran, sistem HVAC dan peralatan pemadaman kebakaran untuk membantu melindungi pelayan dan akhirnya data anda
Ketahui lebih lanjut tentang Pematuhan di AWS dan Microsoft Azure.
Perlindungan keselamatan fizikal, alam sekitar, dan infrastruktur, termasuk kesinambungan dan pelan pemulihan, telah disahkan secara bebas sebagai sebahagian daripada pensijilan SOC 2 Type II dan ISO 27001 mereka.
Keselamatan di lokasi AWS dan MS Azure termasuk beberapa ciri seperti pengawal keselamatan, pagar, suapan keselamatan, teknologi pengesanan pencerobohan dan langkah keselamatan lain.
AWS/MS Azure menyediakan akses pusat data fizikal hanya kepada pekerja yang diluluskan. Semua pekerja yang memerlukan akses pusat data mesti terlebih dahulu memohon akses dan memberikan justifikasi perniagaan yang sah. Permintaan ini diberikan berdasarkan prinsip keistimewaan yang paling sedikit, di mana permintaan mesti menentukan lapisan pusat data mana individu memerlukan akses, dan terikat pada masa. Permintaan disemak dan diluluskan oleh kakitangan yang diberi kuasa, dan akses dibatalkan selepas masa yang diminta tamat. Sebaik sahaja dibenarkan kemasukan, individu dihadkan kepada kawasan yang dinyatakan dalam kebenaran mereka.
Rangkaian kami dilindungi menggunakan perkhidmatan keselamatan awan yang penting, integrasi dengan rangkaian perlindungan tepi Cloudflare kami, audit biasa, dan teknologi perisikan rangkaian, yang memantau dan menyekat trafik berniat jahat dan serangan rangkaian yang diketahui.
Pengimbasan kerentanan memberi kita gambaran mendalam untuk mengenal pasti sistem yang tidak mematuhi atau berpotensi terdedah. Sebagai tambahan kepada program pengimbasan dan ujian dalaman kami yang luas, Xoxoday menggunakan pakar keselamatan pihak ketiga untuk melakukan penilaian kerentanan dan ujian penembusan.
Program Bug Bounty kami memberi peluang kepada penyelidik dan pelanggan keselamatan untuk menguji dan memaklumkan dengan selamat Xoxoday kelemahan keselamatan.
Sila klik di sini untuk mengetahui lebih lanjut mengenai Xoxoday Bug Bounty Program
Sistem Pengurusan Acara Insiden Keselamatan (SIEM) kami mengumpulkan log yang luas dari peranti rangkaian penting dan sistem hos. Amaran SIEM memberitahu pasukan Keselamatan berdasarkan kejadian yang berkaitan untuk siasatan dan tindak balas.
Titik masuk dan keluar perkhidmatan diperincikan dan dipantau untuk mengesan tingkah laku anomali. Sistem ini dikonfigurasikan untuk menjana amaran apabila insiden dan nilai melebihi ambang yang telah ditetapkan dan menggunakan tandatangan yang dikemas kini secara berkala berdasarkan ancaman baharu. Ini termasuk pemantauan sistem 24/7.
Akses kepada Xoxoday Rangkaian Pengeluaran dihadkan oleh asas yang jelas perlu diketahui, menggunakan keistimewaan paling sedikit, sering diaudit dan dipantau, dan dikawal oleh Pasukan Operasi kami. Pekerja mengakses Xoxoday Rangkaian Pengeluaran dikehendaki menggunakan pelbagai faktor pengesahan.
Akses kepada data dan sistem adalah berdasarkan prinsip-prinsip keistimewaan yang paling sedikit untuk akses. Penyelesaian Identiti dan Pengurusan Akses (IAM) telah ditakrifkan untuk menguruskan akses pengguna melalui profil akses berasaskan peranan yang menyokong pelaksanaan akses berdasarkan prinsip perlu mengetahui asas dan menyokong pengasingan tugas. Keistimewaan yang berkaitan dengan Pentadbiran keistimewaan akses pengguna dan konfigurasi peranan adalah berbeza daripada pelulus yang dibenarkan yang meluluskan permintaan akses. Pelulus adalah sama ada Ketua Produk atau Ketua fungsi masing-masing adalah perwakilan mereka yang diberi kuasa.
Dalam kes amaran sistem, peristiwa dinaikkan kepada pasukan 24/7 kami yang menyediakan liputan Operasi, Kejuruteraan Rangkaian dan Keselamatan. Pekerja dilatih dalam proses tindak balas insiden keselamatan, termasuk saluran komunikasi dan laluan peningkatan.
Xoxoday telah menentukan proses pengurusan insiden Keselamatan untuk mengelaskan dan mengendalikan insiden dan pelanggaran keselamatan. Pasukan Keselamatan Maklumat bertanggungjawab untuk merakam, melaporkan, mengesan, bertindak balas, menyelesaikan, memantau, melaporkan, dan menyampaikan kejadian kepada pihak yang berkenaan dengan segera. Proses ini disemak sebagai sebahagian daripada audit dalaman berkala kami dan diaudit sebagai sebahagian daripada penilaian ISO 27001 dan SOC 2 Jenis II.
Data disulitkan melalui standard industri HTTPS/TLS (TLS 1.2 atau lebih tinggi) melalui rangkaian awam. Ini memastikan bahawa semua trafik antara anda dan Xoxoday selamat semasa transit. Selain itu, untuk e-mel, produk kami memanfaatkan TLS oportunistik secara lalai.
Keselamatan Lapisan Pengangkutan (TLS) menyulitkan dan menghantar e-mel dengan selamat, mengurangkan eavesdropping antara pelayan mel di mana perkhidmatan rakan sebaya menyokong protokol ini. Pengecualian untuk penyulitan mungkin termasuk sebarang penggunaan fungsi SMS dalam produk, mana-mana aplikasi, integrasi, atau perkhidmatan pihak ketiga lain yang pelanggan boleh memilih untuk memanfaatkan mengikut budi bicara mereka sendiri.
Data Perkhidmatan disulitkan semasa rehat di AWS menggunakan penyulitan kunci AES-256.
Kami mengambil langkah-langkah untuk membangunkan dan menguji ancaman keselamatan dengan selamat untuk memastikan keselamatan data pelanggan kami. Kami mengekalkan Kitaran Hayat Pembangunan Selamat, di mana latihan kepada pembangun kami dan melakukan reka bentuk dan ulasan kod mengambil peranan utama. Selain itu Xoxoday menggunakan pakar keselamatan pihak ketiga untuk melakukan ujian penembusan terperinci pada aplikasi yang berbeza.
Xoxoday produk dihoskan di platform AWS dan MS Azure Amazon. Xoxoday Pekerja tidak mempunyai akses fizikal ke persekitaran pengeluaran kami. Sebagai pelanggan Amazon dan Azure, kami mendapat manfaat daripada pusat data dan seni bina rangkaian yang dibina untuk memenuhi keperluan organisasi yang paling sensitif terhadap keselamatan.
Pusat data ditempatkan di kemudahan nondescript, dengan rasuk kawalan perimeter gred tentera dengan kakitangan keselamatan profesional menggunakan pengawasan video, sistem pengesanan pencerobohan terkini, dan cara elektronik lain.
Selain keselamatan fizikal, platform Cloud juga memberikan perlindungan yang ketara terhadap keselamatan rangkaian tradisional.
Latihan Kod Selamat - Sekurang-kurangnya setiap tahun, jurutera mengambil bahagian dalam latihan kod selamat yang meliputi risiko keselamatan OWASP Top 10 , vektor serangan biasa.
Akses Selamat - XoxodayPelayan aplikasi semuanya selamat HTTPS. Kami menggunakan penyulitan standard industri untuk melintasi data ke dan dari pelayan aplikasi.
Jabatan Jaminan Kualiti (QA) kami menyemak dan menguji pangkalan kod kami. Jurutera keselamatan aplikasi khusus pada kakitangan mengenal pasti, menguji, dan kelemahan keselamatan triage dalam kod.
Persekitaran ujian dan pementasan secara logik dipisahkan dari persekitaran Pengeluaran. Tiada Data Perkhidmatan digunakan dalam persekitaran pembangunan atau ujian kami.
Untuk memastikan kami melindungi data yang diamanahkan kepada kami; Kami melaksanakan pelbagai kawalan keselamatan. Xoxoday Kawalan keselamatan direka untuk membolehkan tahap kecekapan pekerja yang tinggi tanpa sekatan jalan tiruan, sambil meminimumkan risiko.
Xoxoday menggunakan pasukan keselamatan sepenuh masa yang berdedikasi untuk mengurus dan terus meningkatkan keselamatan kami. Pasukan melindungi Xoxoday infrastruktur, rangkaian dan data (termasuk data pelanggan kami).
Sebagai tambahan kepada komponen keselamatan yang disediakan oleh pembekal awan peringkat tinggi kami (MS Azure dan AWS), Xoxoday mengekalkan kawalan khusus sendiri dengan mengikuti amalan terbaik Industri.
Kawalan ini meliputi serangan DDoS, perlindungan DB dan firewall aplikasi web khusus, serta peraturan firewall rangkaian halus yang dikonfigurasikan menggunakan piawaian industri tertinggi.
Kekunci SSH diperlukan untuk mendapatkan akses konsol ke pelayan kami, dan setiap log masuk dikenal pasti oleh pengguna. Semua operasi kritikal dilog masuk ke pelayan log pusat, dan pelayan kami boleh diakses hanya dari IP yang terhad dan selamat.
Hos dibahagikan dan akses dihadkan berdasarkan kefungsian. Permintaan permohonan hanya dibenarkan dari AWS ELB, dan pelayan pangkalan data boleh diakses hanya dari pelayan aplikasi.
Kami telah mendayakan dasar kata laluan, dan kata laluan disimpan selepas penyulitan untuk keselamatan data maksimum. Kata laluan perlu mempunyai sekurang-kurangnya 8 aksara dan mesti mengandungi sekurang-kurangnya satu huruf besar, aksara khas antara '# $ % * &' dan satu digit.
Firewall aplikasi web kami yang berdedikasi bertindak sebagai penghalang yang kuat untuk melindungi XoxodayAplikasi dan perkhidmatan mikro. Ia menguatkuasakan kawalan keselamatan seperti konfigurasi TLS yang keras (HSTS, penyulitan kuat dan algoritma hashing), perlindungan keseluruhan terhadap aktiviti berniat jahat (pengesanan reputasi IP buruk, pemeriksaan integriti penyemak imbas, peraturan WAF) dan pelbagai peraturan mengehadkan kadar yang menghalang penyerahan borang automatik pada titik akhir kritikal (serangan meneka kata laluan).
Xoxoday tidak menyimpan, memproses atau mengumpul maklumat kad kredit yang dikemukakan kepada kami oleh pelanggan. Kami memanfaatkan vendor pembayaran yang dipercayai dan mematuhi PCI untuk memastikan maklumat kad kredit pelanggan diproses dengan selamat dan mengikut peraturan dan piawaian industri yang sesuai.
Semua gerbang pembayaran kami mematuhi PCI DSS.
Xoxoday Mengekalkan program pemulihan bencana untuk memastikan perkhidmatan kekal tersedia atau mudah dipulihkan sekiranya berlaku bencana. Pelanggan boleh mengikuti perkembangan terkini mengenai isu ketersediaan melalui laman web status yang tersedia untuk umum yang meliputi sejarah insiden penyelenggaraan dan perkhidmatan berjadual.
Pelan BCP dan DR diuji dan disemak setiap tahun. The Xoxoday Pelan BCP dan DR disemak dan diaudit sebagai sebahagian daripada piawaian ISO 27001 dan SOC 2 Jenis II yang meliputi ketersediaan sebagai salah satu prinsip perkhidmatan amanah.
Xoxoday menggunakan pengesahan dua faktor untuk memberikan akses kepada operasi pentadbiran kami - infrastruktur dan perkhidmatan. Kami memastikan bahawa keistimewaan pentadbiran diberikan kepada hanya beberapa pekerja. Di samping itu, penggunaan akses berasaskan peranan kami memastikan pengguna boleh melaksanakan operasi mengikut dasar kawalan akses.
Semua akses pentadbiran dilog dan dipantau secara automatik oleh pasukan keselamatan dalaman kami. Maklumat terperinci tentang bila dan mengapa operasi dijalankan didokumenkan dan dimaklumkan kepada pasukan keselamatan sebelum membuat sebarang perubahan dalam persekitaran pengeluaran.
Xoxoday telah menggunakan rangkaian teknologi maklumat untuk memudahkan perniagaannya dan menjadikannya lebih cekap untuk pelbagai risiko. Dan mewujudkan arah pengurusan, prinsip, dan keperluan standard untuk memastikan perlindungan maklumat yang sesuai pada rangkaiannya dikekalkan dan dikekalkan.
Xoxoday telah membangunkan satu set dasar keselamatan yang komprehensif yang meliputi pelbagai topik. Dasar-dasar ini dikongsi dan disediakan untuk semua pekerja dan kontraktor dengan akses kepada Xoxoday aset maklumat.
Setiap pekerja, apabila dilantik, menandatangani perjanjian kerahsiaan dan dasar penggunaan yang boleh diterima, selepas itu mereka menjalani latihan dalam keselamatan maklumat, privasi, dan pematuhan. Tambahan pula, kami menilai pemahaman mereka melalui ujian dan kuiz untuk menentukan topik mana yang mereka perlukan latihan lanjut. Kami menyediakan latihan mengenai aspek keselamatan tertentu yang mungkin mereka perlukan berdasarkan peranan mereka.
Setiap pekerja menjalani proses pengesahan latar belakang. Kami mengupah agensi luar yang terkenal untuk melaksanakan pemeriksaan ini bagi pihak kami. Kami melakukan ini untuk mengesahkan rekod jenayah mereka, rekod pekerjaan terdahulu, jika ada, dan latar belakang pendidikan. Sehingga pemeriksaan ini dilakukan, pekerja tidak diberikan tugas yang mungkin menimbulkan risiko kepada pengguna.
Semua pekerja baru dikehendaki menandatangani perjanjian Kerahsiaan dan Pendedahan. Pekerja dengan jelas bersetuju bahawa dia tidak akan menggunakan Maklumat Sulit yang diberikan oleh syarikat dalam pembangunan atau penghantaran atau untuk keuntungan peribadi daripada menyediakan sebarang produk atau perkhidmatan untuk akaunnya sendiri atau untuk akaun mana-mana pihak ketiga.