La sécurisation de vos données est notre priorité absolue

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

1. Rapport de conformité SOC 2
2. Résumé de l'évaluation des vulnérabilités et des tests de pénétration
3. Rapport sur le California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA).
4. Rapport sur la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA).
5. Rapport d'évaluation de l'impact du GDPR sur la confidentialité des données.
   

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

En savoir plus sur la conformité chez AWS et Microsoft Azure.

Les protections physiques, environnementales et de sécurité de l'infrastructure, y compris les plans de continuité et de reprise, ont été validées de manière indépendante dans le cadre de leurs certifications SOC 2 Type II et ISO 27001.

La sécurité sur site d'AWS et de MS Azure comprend un certain nombre de caractéristiques telles que des gardes de sécurité, des clôtures, des flux de sécurité, une technologie de détection des intrusions et d'autres mesures de sécurité.

AWS/MS Azure fournit un accès physique au centre de données uniquement aux employés approuvés. Tous les employés qui ont besoin d'accéder au centre de données doivent d'abord faire une demande d'accès et fournir une justification commerciale valable. Ces demandes sont accordées sur la base du principe du moindre privilège, où les demandes doivent préciser à quelle couche du centre de données l'individu doit accéder, et sont limitées dans le temps. Les demandes sont examinées et approuvées par le personnel autorisé, et l'accès est révoqué après l'expiration du délai demandé. Une fois l'accès accordé, les individus sont limités aux zones spécifiées dans leurs permissions.

Notre réseau est protégé à l'aide de services essentiels de sécurité en nuage, de l'intégration avec nos réseaux de protection en périphérie Cloudflare, d'audits réguliers et de technologies d'intelligence réseau, qui surveillent et bloquent le trafic malveillant et les attaques réseau connues.

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Notre système de gestion des incidents et des événements de sécurité (SIEM) recueille des journaux détaillés à partir de périphériques réseau et de systèmes hôtes essentiels. Les alertes du SIEM notifient l'équipe de sécurité sur la base d'événements corrélés pour enquête et réponse.

Les points d'entrée et de sortie des services sont instrumentés et surveillés pour détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes lorsque les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance du système 24 heures sur 24 et 7 jours sur 7.

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

L'accès aux données et aux systèmes est basé sur le principe du moindre privilège pour l'accès. Une solution de gestion des identités et des accès (IAM) a été définie pour gérer l'accès des utilisateurs par le biais de profils d'accès basés sur les rôles, qui prennent en charge la mise en œuvre des accès sur la base des principes du besoin de savoir et de la séparation des tâches. Les privilèges relatifs à l'administration des privilèges d'accès des utilisateurs et à la configuration des rôles sont différents de ceux de l'approbateur autorisé qui approuve les demandes d'accès. Les approbateurs sont soit les chefs de produit, soit les chefs de fonction respectifs, soit leurs délégués autorisés. 

En cas d'alerte système, les événements sont transmis à nos équipes 24 heures sur 24 et 7 jours sur 7, qui assurent la couverture des opérations, de l'ingénierie réseau et de la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, y compris les canaux de communication et les voies d'escalade.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Cryptage en transit et au repos

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default. 

Le protocole TLS (Transport Layer Security) permet de crypter et d'envoyer des e-mails en toute sécurité, en limitant les écoutes entre les serveurs de messagerie lorsque les services homologues prennent en charge ce protocole. Les exceptions au cryptage peuvent inclure l'utilisation de la fonctionnalité SMS intégrée au produit ou de toute autre application, intégration ou service tiers que les abonnés peuvent choisir d'exploiter à leur gré.

Les données du service sont cryptées au repos dans AWS à l'aide d'une clé de cryptage AES-256.

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

Les centres de données sont hébergés dans des installations anonymes, avec des faisceaux de contrôle du périmètre de niveau militaire et un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques.

Outre la sécurité physique, les plateformes en nuage offrent également une protection importante contre la sécurité des réseaux traditionnels.

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors. 
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Notre département d'assurance qualité (QA) examine et teste notre base de code. Des ingénieurs spécialisés dans la sécurité des applications identifient, testent et corrigent les failles de sécurité dans le code.

Les environnements de test et de préparation sont logiquement séparés de l'environnement de production. Aucune donnée de service n'est utilisée dans nos environnements de développement ou de test.

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices. 

Ces contrôles couvrent l'attaque DDoS, la protection des bases de données et un pare-feu d'application web dédié, ainsi que des règles fines de pare-feu de réseau configurées selon les normes industrielles les plus élevées.

Nous avons activé la politique de mot de passe, et les mots de passe sont stockés après cryptage pour une sécurité maximale des données. Le mot de passe doit avoir un minimum de 8 caractères et doit contenir au moins une lettre majuscule, des caractères spéciaux parmi '# $ % * &' et un chiffre.

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Toutes nos passerelles de paiement sont conformes à la norme PCI DSS.

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Tous les accès administratifs sont automatiquement enregistrés et surveillés par notre équipe de sécurité interne. Des informations détaillées sur le moment et la raison des opérations sont documentées et notifiées à l'équipe de sécurité avant d'effectuer des changements dans l'environnement de production.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.  

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Lors de son entrée en fonction, chaque employé signe un accord de confidentialité et une politique d'utilisation acceptable, après quoi il suit une formation sur la sécurité des informations, la confidentialité et la conformité. En outre, nous évaluons leur compréhension au moyen de tests et de questionnaires afin de déterminer les sujets sur lesquels ils doivent poursuivre leur formation. Nous leur fournissons une formation sur les aspects spécifiques de la sécurité dont ils peuvent avoir besoin en fonction de leur rôle.

Chaque employé est soumis à un processus de vérification des antécédents. Nous faisons appel à des agences externes réputées pour effectuer cette vérification en notre nom. Nous vérifions ainsi leur casier judiciaire, leurs antécédents professionnels, le cas échéant, et leur formation. Tant que cette vérification n'est pas effectuée, l'employé ne se voit pas confier de tâches susceptibles de présenter des risques pour les utilisateurs.

Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité. L'employé accepte expressément de ne pas utiliser les informations confidentielles fournies par la société dans le cadre du développement ou de la livraison de produits ou de services pour son propre compte ou pour le compte d'un tiers, ni d'en tirer un profit personnel.