Mengamankan Data Anda adalah Prioritas Utama Kami

Kepatuhan

Xoxoday's primary security focus is to safeguard our customers' and users' data. That's why Xoxoday has invested in the appropriate resources and controls to protect and service our customers. We focus on defining new and refining existing controls, implementing and managing the Xoxoday security framework, and providing a support structure to facilitate effective compliance and risk management.

Xoxoday is committed to ensuring the integrity, confidentiality, availability, and security of its physical and information assets and maintaining privacy when serving the customers and organization's needs while meeting appropriate legal, statutory, and regulatory requirements.

To provide adequate protection for information assets, Xoxoday has built the Information Security Management System (ISMS), enabling everyone to follow these policies diligently, consistently, and impartially. Xoxoday will implement procedures and controls at all levels to protect the confidentiality and integrity of information stored and processed on its systems and ensure that information is available only to authorized individuals as and when required.

Tujuan

Kami telah mengembangkan kerangka kepatuhan kami menggunakan praktik terbaik industri SaaS. Tujuan utama kami meliputi:

Kepercayaan dan Perlindungan Pelanggan – secara konsisten memberikan produk dan layanan unggulan kepada pelanggan kami sambil melindungi privasi dan kerahasiaan informasi mereka.
Integritas Informasi dan Layanan – Menggunakan kontrol keamanan yang berfokus pada integritas data untuk mencegah data dimodifikasi atau disalahgunakan oleh pihak yang tidak berwenang. ‍
Ketersediaan dan Kontinuitas Layanan – Memastikan ketersediaan layanan dan data yang berkelanjutan kepada individu yang berwenang dan secara proaktif meminimalkan risiko keamanan yang mengancam kelangsungan layanan. ‍
Kepatuhan terhadap Standar – Menerapkan proses dan kontrol agar selaras dengan praktik terbaik peraturan dan industri internasional saat ini dan pedoman terbaik untuk keamanan cloud dengan memanfaatkan standar seperti Cloud Security Alliance (CSA), ISO 27001; 2013, SOC 2, HIPAA, CCPA, CPRA, dll.

The Xoxoday promise

Xoxoday is committed to complying with all applicable regulations and laws of the land in all locations and countries it operates and processes information. Xoxoday takes data integrity and security seriously. Over two million customers across the globe trust us with their data security. Due to the nature of our products and services, we must acknowledge our responsibilities both as a data controller and processor.

Keamanan data pelanggan adalah bagian penting dari produk, proses, dan budaya tim kami. Fasilitas, proses, dan sistem kami dapat diandalkan, kuat, dan diuji oleh organisasi kontrol kualitas dan keamanan data yang terkenal. Kami terus mencari peluang untuk meningkatkan lanskap teknologi dinamis dan memberi Anda sistem yang sangat aman dan terukur yang memberikan pengalaman hebat.

Sertifikasi kepatuhan

Kami menggunakan praktik terbaik dan standar industri untuk mencapai kepatuhan terhadap kerangka kerja keamanan dan privasi umum yang diterima industri.

Kami menggunakan fitur keamanan kelas perusahaan dan melakukan audit komprehensif terhadap aplikasi, sistem, dan jaringan kami untuk melindungi data pelanggan dan bisnis. Pelanggan kami tenang mengetahui informasi mereka aman, interaksi mereka aman, dan bisnis mereka dilindungi.

ISO 27001: 2013 - Sistem manajemen keamanan informasi (ISMS)

Xoxoday is ISO 27001:2013 certified.

ISO / IEC 27001: 2013 adalah spesifikasi untuk sistem manajemen keamanan informasi (ISMS). ISMS adalah kerangka kebijakan dan prosedur untuk manajemen risiko informasi organisasi, termasuk kontrol hukum, fisik, dan teknis, yang digunakan untuk menjaga informasi tetap aman.

Dengan ISMS ISO yang kuat, Anda mendapatkan jaminan tambahan bahwa kami telah menerapkan spektrum penuh praktik terbaik keamanan di seluruh organisasi.

Xoxoday is ISO 27001:2013 certified, and we are committed to identifying risks, assessing implications, and using systemized controls that inspire trust in everything we do - right from our codebase to physical infrastructure and people practices.

Tujuan utama ISO 27001 adalah untuk melindungi tiga aspek informasi:

Kerahasiaan: hanya orang yang berwenang yang memiliki hak untuk mengakses informasi.
Integritas: hanya orang yang berwenang yang dapat mengubah informasi.
Ketersediaan: orang yang berwenang harus memiliki akses ke informasi kapan saja.

SOC 2 - Kontrol Organisasi Layanan

Xoxoday conducts annual SOC 2 audits using an independent third-party auditor. Our SOC 2 report attests that our controls, governing the availability, confidentiality, and security of customer data, map to Trust Service Principles (TSPs) established by the American Institute of Certified Public Accountants (AICPA).

Prinsip kepercayaan SOC 2 fives:

Keamanan: Prinsip-prinsip ini mengukur bagaimana kami melindungi data Anda dan sistem kami terhadap akses yang tidak sah dan bagaimana kami mencegah kerusakan pengungkapan informasi pada sistem yang melindungi ketersediaan, integritas, kerahasiaan, dan privasi informasi Anda.

Ketersediaan: Prinsip kepercayaan ini mencakup apakah informasi dan sistem Anda tersedia untuk operasi dan digunakan untuk memenuhi tujuan perusahaan Anda.

Integritas pemrosesan: Prinsip ini menilai apakah pemrosesan sistem Anda lengkap dan akurat dan hanya memproses informasi yang berwenang.

Kerahasiaan: Ini mencakup apakah informasi rahasia tetap benar-benar dilindungi.

Privasi: Prinsip kepercayaan akhir ini melihat apakah informasi pribadi pengguna Anda dikumpulkan, digunakan, disimpan, diungkapkan, dan dihancurkan sesuai pemberitahuan privasi perusahaan Anda dan Prinsip Privasi yang Diterima Secara Umum (GAPP).

We are proud of the excellence of our controls and invite you to obtain a copy of our SOC 2 Type I report by contacting your Xoxoday representative

Undang-Undang Privasi Konsumen California (CCPA) / Undang-Undang Hak Privasi California (CPRA)

Xoxoday is CCPA/CPRA Compliant.

CPRA telah memodifikasi, memperluas, dan mengklarifikasi hak privasi bagi penduduk California, dan mengambil inspirasi dari kebijakan GDPR UE dalam berbagai cara. CPRA menciptakan kategori baru informasi pribadi sensitif (SPI) yang diatur secara terpisah dan lebih kuat dari informasi pribadi (PI).

Tujuan CPRA adalah untuk mendefinisikan kembali dan memperluas Undang-Undang Privasi Konsumen California (CCPA) untuk memperkuat hak-hak penduduk California. Ini memberi konsumen kesempatan lebih besar untuk memilih keluar dan membutuhkan manajemen privasi data yang disengaja oleh bisnis.

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA)

Xoxoday is HIPAA compliant.

Departemen Kesehatan & Layanan Kemanusiaan A.S. menetapkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, HIPAA, pada tahun 1996. Tindakan ini bertujuan untuk memastikan perlindungan informasi kesehatan pasien dari akses publik.

There could be instances when customers may use some of our products to process electronic Personal Health Information (ePHI) in the ordinary course of their business operations. As per HIPAA of 1996, should our customers get categorized as either Covered Entity or Business Associate, Xoxoday extends support for their compliance towards HIPAA.

We help customers address their HIPAA obligations by leveraging appropriate security configuration options in Xoxoday products.

Peraturan Perlindungan Data Umum (GDPR)

Xoxoday is GDPR compliant.

Program kepatuhan GDPR kami yang komprehensif didukung oleh prinsip-prinsip privasi dasar ini - Akuntabilitas, Privasi berdasarkan Desain dan Default, Minimalisasi Data, dan Hak Akses Subjek, antara lain. Teknologi dan operasi yang terkait dengan bisnis tunduk pada program sensitisasi reguler.

Xoxoday is committed to providing secure products and services by implementing and adhering to prescribed compliance policies, both as a data controller and processor.

The enforcement of GDPR is critical to our mission of providing the EU and all our global customers with safe and dependable business solutions. In support of this commitment, Xoxoday extends the same level of privacy and security to all its customers worldwide, irrespective of location.

For more information about Xoxoday GDPR, please click here

Privasi dan Perlindungan data

Xoxoday is fully committed to upholding the rights that data subjects are granted under the applicable data protection laws and taking great care of their personal data. Over 2 million customers across the globe trust us with their data security. Due to the nature of the products and services we provide, we acknowledge our responsibilities both as a data controller and processor.

GDPR Policy - Learn more about Xoxoday GDPR Policy

Artefak

Kami memiliki sejumlah sumber daya yang dapat kami sediakan berdasarkan permintaan.

Sumber daya Unduh Langsung (Non-NDA)

Untuk mendapatkan akses ke sumber daya yang dapat diunduh berikut, silakan klik tombol di bawah ini:

1. Xoxoday ISO 27001:2013 certificate – Click here

2. Vulnerability Assessment and Penetration Testing (VAPT) Certificate –
    • Xoxoday Plum - Click here
    • Xoxoday Empuls - Web App, iOS & Android
    • Xoxoday Compass - Click here

3. Perjanjian Tingkat Layanan (SLA) - Klik di sini

Sumber Daya NDA

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

Laporan Kepatuhan SOC 2
Penilaian Kerentanan dan Ringkasan Uji Penetrasi
Laporan Undang-Undang Privasi Konsumen California (CCPA) / Undang-Undang Hak Privasi California (CPRA).
Laporan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).
Laporan Penilaian Dampak Privasi Data GDPR.

Keamanan Cloud

Xoxoday outsources the hosting of its product infrastructure to leading cloud infrastructure providers. Principally, the Xoxoday product leverages Amazon Web Services (AWS) and Microsoft Azure for infrastructure hosting. The cloud infrastructure providers have high levels of physical and network security and hosting provider vendor diversity. AWS maintains an audited security program, including SOC 2 and ISO 27001 compliance. Xoxoday does not host any product systems within its corporate offices.

Pusat data

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

Pelajari kepatuhan di AWS dan Microsoft Azure lebih lanjut.

Keamanan

Perlindungan keamanan fisik, lingkungan, dan infrastruktur, termasuk rencana kontinuitas dan pemulihan, telah divalidasi secara independen sebagai bagian dari sertifikasi SOC 2 Tipe II dan ISO 27001 mereka.
‍
Keamanan di tempat AWS dan MS Azure mencakup sejumlah fitur seperti penjaga keamanan, pagar, umpan keamanan, teknologi deteksi intrusi, dan langkah-langkah keamanan lainnya.

AWS/MS Azure hanya menyediakan akses pusat data fisik untuk karyawan yang disetujui. Semua karyawan yang membutuhkan akses pusat data harus terlebih dahulu mengajukan permohonan akses dan memberikan pembenaran bisnis yang valid. Permintaan ini diberikan berdasarkan prinsip hak istimewa paling sedikit, di mana permintaan harus menentukan ke lapisan pusat data mana yang perlu diakses individu, dan terikat waktu. Permintaan ditinjau dan disetujui oleh personel yang berwenang, dan akses dicabut setelah waktu yang diminta berakhir. Setelah diberikan penerimaan, individu dibatasi untuk area yang ditentukan dalam izin mereka.

Perlindungan Jaringan

Jaringan kami dilindungi menggunakan layanan keamanan cloud penting, integrasi dengan jaringan perlindungan tepi Cloudflare kami, audit reguler, dan teknologi intelijen jaringan, yang memantau dan memblokir lalu lintas berbahaya dan serangan jaringan yang diketahui.

Manajemen Kerentanan - Pemindaian Kerentanan

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Bug Bounty Program

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Manajemen Peristiwa Insiden Keamanan

Sistem Security Incident Event Management (SIEM) kami mengumpulkan log ekstensif dari perangkat jaringan penting dan sistem host. Peringatan SIEM memberi tahu tim Keamanan berdasarkan peristiwa berkorelasi untuk penyelidikan dan respons.

Deteksi dan Pencegahan Intrusi

Titik masuk dan keluar layanan diinstrumentasi dan dipantau untuk mendeteksi perilaku anomali. Sistem ini dikonfigurasi untuk menghasilkan peringatan ketika insiden dan nilai melebihi ambang batas yang telah ditentukan dan menggunakan tanda tangan yang diperbarui secara teratur berdasarkan ancaman baru. Ini termasuk pemantauan sistem 24/7.

Akses Logis

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

Akses ke data dan sistem didasarkan pada prinsip-prinsip hak istimewa paling sedikit untuk akses. Solusi Identity and Access Management (IAM) telah didefinisikan untuk mengelola akses pengguna melalui profil akses berbasis peran yang mendukung implementasi akses berdasarkan prinsip-prinsip kebutuhan untuk mengetahui dasar dan mendukung segregasi tugas. Hak istimewa yang berkaitan dengan Administrasi hak akses pengguna dan konfigurasi peran berbeda dari pemberi persetujuan resmi yang menyetujui permintaan akses. Pemberi persetujuan adalah Kepala Produk atau Kepala fungsi masing-masing adalah delegasi resmi mereka.

Insiden Keamanan dan Manajemen Pelanggaran

Dalam hal peringatan sistem, peristiwa meningkat ke tim 24/7 kami yang menyediakan cakupan Operasi, Rekayasa Jaringan, dan Keamanan. Karyawan dilatih tentang proses respons insiden keamanan, termasuk saluran komunikasi dan jalur eskalasi.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Enkripsi

Enkripsi dalam Transit dan saat Istirahat

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default.

Transport Layer Security (TLS) mengenkripsi dan mengirimkan email dengan aman, mengurangi penyadapan antara server email di mana layanan rekan mendukung protokol ini. Pengecualian untuk enkripsi dapat mencakup penggunaan fungsi SMS dalam produk, aplikasi, integrasi, atau layanan pihak ketiga lainnya yang dapat dipilih pelanggan untuk dimanfaatkan atas kebijakan mereka sendiri.

Data Layanan dienkripsi saat tidak aktif di AWS menggunakan enkripsi kunci AES-256.

Keamanan Produk

We take steps to securely develop and test against security threats to ensure the safety of our customer data. We maintain a Secure Development Lifecycle, in which training our developers and performing design and code reviews takes a primary role. In addition, Xoxoday employs third-party security experts to perform detailed penetration tests on different applications.

Keamanan jaringan

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

Pusat data ditempatkan di fasilitas yang tidak mencolok, dengan balok kontrol perimeter kelas militer dengan staf keamanan profesional yang memanfaatkan pengawasan video, sistem deteksi intrusi canggih, dan sarana elektronik lainnya.

Selain keamanan fisik, platform Cloud juga memberikan perlindungan yang signifikan terhadap keamanan jaringan tradisional.

Pengembangan aman (SDLC)

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors.
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Jaminan Kualitas (QA)

Departemen Jaminan Kualitas (QA) kami meninjau dan menguji basis kode kami. Insinyur keamanan aplikasi khusus pada staf mengidentifikasi, menguji, dan menguji kerentanan keamanan triase dalam kode.

Lingkungan Terpisah

Lingkungan pengujian dan pementasan secara logis dipisahkan dari lingkungan Produksi. Tidak ada Data Layanan yang digunakan dalam lingkungan pengembangan atau pengujian kami.

Keamanan Aplikasi

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices.

Kontrol ini mencakup serangan DDoS, perlindungan DB dan firewall aplikasi web khusus, serta aturan berbutir halus firewall jaringan yang dikonfigurasi menggunakan standar industri tertinggi.

Keamanan Tuan Rumah

Kunci SSH diperlukan untuk mendapatkan akses konsol ke server kami, dan setiap login diidentifikasi oleh pengguna. Semua operasi penting dicatat ke server log pusat, dan server kami hanya dapat diakses dari IP yang dibatasi dan aman.

Host tersegmentasi, dan akses dibatasi berdasarkan fungsionalitas. Permintaan aplikasi hanya diizinkan dari AWS ELB, dan server database hanya dapat diakses dari server aplikasi.

Kebijakan Kata Sandi

Kami telah mengaktifkan kebijakan kata sandi, dan kata sandi disimpan setelah enkripsi untuk keamanan data maksimum. Kata sandi harus memiliki minimal 8 karakter dan harus berisi setidaknya satu huruf kapital, karakter khusus di antara '# $ % * &' dan satu digit.

Firewall Aplikasi Web (WAF)

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Perlindungan Informasi Kartu Kredit

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Semua gateway pembayaran kami sesuai dengan PCI DSS.

Ketersediaan dan kelangsungan bisnis

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Operasi administratif

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Semua akses administratif secara otomatis dicatat dan dipantau oleh tim keamanan internal kami. Informasi terperinci tentang kapan dan mengapa operasi dilakukan didokumentasikan dan diberitahukan kepada tim keamanan sebelum membuat perubahan dalam lingkungan produksi.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.

Keamanan Sumber Daya Manusia

Kesadaran keamanan - Kebijakan

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Pelatihan Kesadaran

Setiap karyawan, ketika dilantik, menandatangani perjanjian kerahasiaan dan kebijakan penggunaan yang dapat diterima, setelah itu mereka menjalani pelatihan dalam keamanan informasi, privasi, dan kepatuhan. Selain itu, kami mengevaluasi pemahaman mereka melalui tes dan kuis untuk menentukan topik mana yang mereka butuhkan pelatihan lebih lanjut. Kami memberikan pelatihan tentang aspek-aspek tertentu dari keamanan yang mungkin mereka butuhkan berdasarkan peran mereka.

Pemeriksaan Karyawan

Setiap karyawan menjalani proses verifikasi latar belakang. Kami menyewa agen eksternal terkenal untuk melakukan pemeriksaan ini atas nama kami. Kami melakukan ini untuk memverifikasi catatan kriminal mereka, catatan pekerjaan sebelumnya, jika ada, dan latar belakang pendidikan. Sampai pemeriksaan ini dilakukan, karyawan tidak diberi tugas yang dapat menimbulkan risiko bagi pengguna.

Perjanjian Non Disclosure

Semua karyawan baru diwajibkan untuk menandatangani perjanjian Non-Disclosure dan Confidentiality. Karyawan secara tegas setuju bahwa ia tidak akan menggunakan Informasi Rahasia yang diberikan oleh perusahaan dalam pengembangan atau pengiriman atau untuk keuntungan pribadi dari menyediakan produk atau layanan apa pun untuk akunnya sendiri atau untuk akun pihak ketiga mana pun.

Want to learn more about Xoxoday Data Privacy and Security?

Xoxoday Privacy

Kami berkomitmen untuk menghormati privasi Anda saat menggunakan situs web dan produk kami.

Pelajari Cara >

Xoxoday GDPR Compliance

Xoxoday is providing safe and dependable business solutions to all customers worldwide, irrespective of location.

Baca lebih lanjut >

Xoxoday Security and compliance documentation

Learn how we safeguard Xoxoday's customers or users' data.

Masuk ke > Dokumentasi