De beveiliging van uw gegevens is onze topprioriteit

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

1. SOC 2 nalevingsrapport
2. Overzicht van kwetsbaarheidsbeoordeling en penetratietest
3. California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA) Rapport.
4. Verslag over de HIPAA (Health Insurance Portability and Accountability Act).
5. GDPR Data Privacy Impact Assessment Report.
   

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

Meer informatie over compliance bij AWS en Microsoft Azure.

De fysieke, omgevings- en infrastructuurbeveiligingen, inclusief continuïteits- en herstelplannen, zijn onafhankelijk gevalideerd als onderdeel van hun SOC 2 Type II en ISO 27001 certificeringen.
‍
AWS en MS Azure beveiliging op locatie omvat een aantal functies zoals bewakers, omheiningen, beveiligingsfeeds, inbraakdetectietechnologie en andere beveiligingsmaatregelen.

AWS/MS Azure biedt fysieke toegang tot het datacenter alleen aan goedgekeurde medewerkers. Alle medewerkers die toegang tot het datacenter nodig hebben, moeten eerst toegang aanvragen en een geldige zakelijke rechtvaardiging geven. Deze verzoeken worden toegekend op basis van het principe van de laagste privileges, waarbij verzoeken moeten specificeren tot welke laag van het datacenter de persoon toegang nodig heeft, en zijn tijdsgebonden. Verzoeken worden beoordeeld en goedgekeurd door bevoegd personeel en de toegang wordt ingetrokken nadat de gevraagde tijd is verstreken. Zodra toegang is verleend, zijn individuen beperkt tot gebieden die in hun machtigingen zijn gespecificeerd.

Ons netwerk wordt beschermd met behulp van essentiële cloudservices voor beveiliging, integratie met onze Cloudflare edge-protectienetwerken, regelmatige audits en netwerkintelligentietechnologieën die bekend schadelijk verkeer en netwerkaanvallen monitoren en blokkeren.

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Ons Security Incident Event Management (SIEM)-systeem verzamelt uitgebreide logbestanden van essentiële netwerkapparaten en hostsystemen. De SIEM-waarschuwingen waarschuwen het beveiligingsteam op basis van gecorreleerde gebeurtenissen voor onderzoek en reactie.

In- en uitgangen van services worden geïnstrumenteerd en bewaakt om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen te genereren wanneer incidenten en waarden vooraf bepaalde drempels overschrijden en gebruiken regelmatig bijgewerkte handtekeningen op basis van nieuwe bedreigingen. Dit omvat 24/7 systeembewaking.

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

Toegang tot gegevens en systemen is gebaseerd op de principes van 'least privilege' voor toegang. Er is een oplossing voor Identity and Access Management (IAM) gedefinieerd om gebruikerstoegang te beheren via rolgebaseerde toegangsprofielen die de implementatie van toegangen op basis van de principes van need-to-know ondersteunen en de scheiding van taken ondersteunen. Bevoegdheden met betrekking tot het beheer van toegangsrechten voor gebruikers en rolconfiguraties verschillen van de bevoegde goedkeurder die toegangsaanvragen goedkeurt. De goedkeurders zijn ofwel de producthoofden of respectievelijke functiehoofden of hun geautoriseerde afgevaardigden. 

In geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze 24/7 teams die dekking bieden voor Operations, Network Engineering en Security. Medewerkers worden getraind in de processen voor het reageren op beveiligingsincidenten, inclusief communicatiekanalen en escalatiepaden.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Encryptie onderweg en in rust

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default. 

Transport Layer Security (TLS) versleutelt en levert e-mail veilig af, waardoor afluisteren tussen mailservers wordt beperkt als peer services dit protocol ondersteunen. Uitzonderingen voor versleuteling zijn onder andere het gebruik van sms-functionaliteit in het product en andere apps, integraties of diensten van derden die abonnees naar eigen goeddunken kunnen gebruiken.

Servicegegevens worden in rust versleuteld in AWS met AES-256-sleutelversleuteling.

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

De datacenters zijn gehuisvest in onopvallende faciliteiten, met perimetercontrole van militaire kwaliteit en professionele beveiligingsmedewerkers die gebruik maken van videobewaking, ultramoderne inbraakdetectiesystemen en andere elektronische middelen.

Naast fysieke beveiliging bieden Cloud-platforms ook aanzienlijke bescherming tegen traditionele netwerkbeveiliging.

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors. 
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Onze afdeling Quality Assurance (QA) controleert en test onze codebase. Toegewijde applicatiebeveiligingsengineers identificeren, testen en verhelpen kwetsbaarheden in de code.

Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen servicegegevens gebruikt in onze ontwikkel- of testomgevingen.

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices. 

Deze controles omvatten DDoS-aanvallen, DB-bescherming en een speciale firewall voor webtoepassingen, evenals fijnmazige regels voor netwerkfirewalls die zijn geconfigureerd volgens de hoogste industrienormen.

We hebben het wachtwoordbeleid ingeschakeld en wachtwoorden worden versleuteld opgeslagen voor maximale beveiliging van gegevens. Het wachtwoord moet minimaal 8 tekens lang zijn en ten minste één hoofdletter, speciale tekens zoals '# $ % * &' en één cijfer bevatten.

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Al onze betalingsgateways voldoen aan PCI DSS.

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Alle administratieve toegang wordt automatisch gelogd en gecontroleerd door ons interne beveiligingsteam. Gedetailleerde informatie over wanneer en waarom de bewerkingen worden uitgevoerd, wordt gedocumenteerd en aan het beveiligingsteam doorgegeven voordat er wijzigingen in de productieomgeving worden aangebracht.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.  

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Elke werknemer ondertekent bij indiensttreding een geheimhoudingsverklaring en een beleid voor aanvaardbaar gebruik, waarna ze een training volgen in informatiebeveiliging, privacy en naleving. Bovendien evalueren we hun begrip door middel van tests en quizzen om te bepalen in welke onderwerpen ze verdere training nodig hebben. We bieden training over specifieke beveiligingsaspecten die ze nodig hebben op basis van hun functie.

Elke werknemer ondergaat een proces van achtergrondverificatie. We huren gerenommeerde externe bureaus in om deze controle namens ons uit te voeren. We doen dit om hun strafblad, eventuele eerdere arbeidsgegevens en opleidingsachtergrond te verifiëren. Totdat deze controle is uitgevoerd, krijgt de medewerker geen taken toegewezen die risico's voor gebruikers kunnen opleveren.

Alle nieuwe medewerkers moeten een geheimhoudings- en vertrouwelijkheidsovereenkomst ondertekenen. De medewerker stemt er uitdrukkelijk mee in dat hij/zij geen gebruik zal maken van vertrouwelijke informatie die door het bedrijf is verstrekt bij de ontwikkeling of levering of voor persoonlijk gewin bij het leveren van producten of diensten voor eigen rekening of voor rekening van derden.