Der Schutz Ihrer Daten hat für uns oberste Priorität

The following resources may require an NDA on file. Please reach out to your Xoxoday representative.

1. SOC 2-Konformitätsbericht
2. Zusammenfassung der Schwachstellenbewertung und Penetrationstests
3. Bericht über das kalifornische Gesetz über den Schutz der Privatsphäre von Verbrauchern (CCPA) und das kalifornische Gesetz über die Rechte der Privatsphäre (CPRA).
4. Bericht zum Health Insurance Portability and Accountability Act (HIPAA).
5. GDPR-Bericht zur Datenschutz-Folgenabschätzung.
   

Xoxoday deploys products in AWS and Microsoft Azure data centres that have been certified as ISO 27001, PCI DSS Service Provider Level 1, and/or SOC 2 compliant. AWS and Microsoft Azure infrastructure services include backup power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data

Erfahren Sie mehr über Compliance bei AWS und Microsoft Azure.

Die physischen, umweltbezogenen und infrastrukturellen Sicherheitsvorkehrungen, einschließlich Kontinuitäts- und Wiederherstellungsplänen, wurden im Rahmen ihrer SOC 2 Typ II- und ISO 27001-Zertifizierungen unabhängig validiert.

AWS- und MS Azure-Sicherheit vor Ort umfasst eine Reihe von Merkmalen wie Sicherheitspersonal, Zäune, Sicherheitseinspeisungen, Technologie zur Erkennung von Eindringlingen und andere Sicherheitsmaßnahmen.

AWS/MS Azure bietet den physischen Zugang zum Rechenzentrum nur für zugelassene Mitarbeiter. Alle Mitarbeiter, die Zugang zum Rechenzentrum benötigen, müssen diesen zunächst beantragen und eine gültige geschäftliche Begründung vorlegen. Diese Anträge werden nach dem Prinzip des geringsten Privilegs gewährt, wobei in den Anträgen angegeben werden muss, auf welche Schicht des Rechenzentrums die betreffende Person Zugriff benötigt, und sie sind zeitlich begrenzt. Die Anträge werden von autorisiertem Personal geprüft und genehmigt, und der Zugang wird nach Ablauf der beantragten Zeit widerrufen. Sobald der Zutritt gewährt wurde, sind die Personen auf die in ihren Berechtigungen angegebenen Bereiche beschränkt.

Unser Netzwerk wird durch wichtige Cloud-Sicherheitsdienste, die Integration mit unseren Cloudflare-Edge-Schutznetzwerken, regelmäßige Audits und Netzwerkintelligenztechnologien geschützt, die bekannten bösartigen Datenverkehr und Netzwerkangriffe überwachen und blockieren.

Vulnerability scanning gives us deep insight for quick identification of out-of-compliance or potentially vulnerable systems. In addition to our extensive internal scanning and testing program, Xoxoday employs third-party security experts to perform a vulnerability assessment and penetration testing.

Our Bug Bounty Program gives security researchers and customers an avenue for safely testing and notifying Xoxoday of security vulnerabilities.

Please click here to know more about Xoxoday Bug Bounty Program

Unser Security Incident Event Management (SIEM)-System sammelt umfangreiche Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Die SIEM-Warnungen benachrichtigen das Sicherheitsteam auf der Grundlage korrelierter Ereignisse zur Untersuchung und Reaktion.

Die Eingangs- und Ausgangspunkte von Diensten werden instrumentiert und überwacht, um anomales Verhalten zu erkennen. Diese Systeme sind so konfiguriert, dass sie Warnmeldungen erzeugen, wenn Vorfälle und Werte vorgegebene Schwellenwerte überschreiten, und sie verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Dies umfasst eine 24/7-Systemüberwachung.

Access to the Xoxoday Production Network is restricted by an explicit need-to-know basis, utilizes least privilege, is frequently audited and monitored, and is controlled by our Operations Team. Employees accessing the Xoxoday Production Network are required to use multiple factors of authentication.

Der Zugang zu Daten und Systemen basiert auf dem Prinzip der geringsten Privilegien für den Zugang. Eine Lösung für das Identitäts- und Zugriffsmanagement (IAM) wurde definiert, um den Benutzerzugriff durch rollenbasierte Zugriffsprofile zu verwalten, die die Implementierung von Zugriffen auf der Grundlage des Prinzips der Notwendigkeit von Wissen unterstützen und die Aufgabentrennung fördern. Die Berechtigungen für die Verwaltung der Benutzerzugriffsrechte und Rollenkonfigurationen unterscheiden sich von den autorisierten Genehmigern, die die Zugriffsanträge genehmigen. Bei den Genehmigenden handelt es sich entweder um die Produktleiter oder die jeweiligen Funktionsleiter bzw. deren bevollmächtigte Delegierte. 

Im Falle eines Systemalarms werden die Ereignisse an unsere 24/7-Teams weitergeleitet, die den Betrieb, die Netzwerktechnik und die Sicherheit abdecken. Die Mitarbeiter werden in den Prozessen zur Reaktion auf Sicherheitsvorfälle geschult, einschließlich der Kommunikationskanäle und Eskalationspfade.

Xoxoday has defined the Security incident management process to classify and handle incidents and security breaches. The Information Security team is responsible for recording, reporting, tracking, responding, resolving, monitoring, reporting, and communicating the incidents to appropriate parties promptly. The process is reviewed as part of our periodic internal audit and audited as part of ISO 27001 and SOC 2 Type II assessment.

Verschlüsselung bei der Übermittlung und im Ruhezustand

Data is encrypted via industry-standard HTTPS/TLS (TLS 1.2 or higher) over public networks. This ensures that all traffic between you and Xoxoday is secure during transit. Additionally, for email, our product leverages opportunistic TLS by default. 

Transport Layer Security (TLS) verschlüsselt und überträgt E-Mails sicher und verhindert das Abhören zwischen Mailservern, wenn Peer-Dienste dieses Protokoll unterstützen. Zu den Ausnahmen für die Verschlüsselung gehören die Nutzung der produktinternen SMS-Funktionalität sowie andere Anwendungen, Integrationen oder Dienste von Drittanbietern, die der Abonnent nach eigenem Ermessen nutzen kann.

Die Service-Daten werden im Ruhezustand in AWS mit einem AES-256-Schlüssel verschlüsselt.

Xoxoday products are hosted on Amazon's AWS and MS Azure platforms. Xoxoday employees do not have any physical access to our production environment. As an Amazon and Azure customer, we benefit from a data center and network architecture built to meet the requirements of the most security-sensitive organizations.

Die Rechenzentren sind in unauffälligen Einrichtungen untergebracht, mit militärischen Kontrollbalken und professionellem Sicherheitspersonal, das Videoüberwachung, modernste Einbruchserkennungssysteme und andere elektronische Mittel einsetzt.

Neben der physischen Sicherheit bieten Cloud-Plattformen auch einen erheblichen Schutz vor der herkömmlichen Netzsicherheit.

Secure Code Training - At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors. 
‍
Secure Access - Xoxoday's application servers are all secure HTTPS. We use industry-standard encryption for data traversing to and from the application servers.

Unsere Qualitätssicherungsabteilung (QA) prüft und testet unsere Codebasis. Engagierte Anwendungssicherheitsingenieure identifizieren, testen und ordnen Sicherheitsschwachstellen im Code ein.

Test- und Staging-Umgebungen sind logisch von der Produktionsumgebung getrennt. In unseren Entwicklungs- und Testumgebungen werden keine Servicedaten verwendet.

In order to ensure we protect data entrusted to us; we implemented an array of security controls. Xoxoday security controls are designed to allow for a high level of employee efficiency without artificial roadblocks, while minimizing risk.

Xoxoday employs a dedicated, full-time security team to manage and continuously improve our security. The team protects Xoxoday infrastructure, network and data (including the data of our customers).

In addition to the security components provided by our top-level cloud providers (MS Azure and AWS), Xoxoday maintains its own dedicated controls by following the Industry best practices. 

Diese Kontrollen umfassen DDoS-Angriffe, DB-Schutz und eine spezielle Web Application Firewall sowie feinkörnige Regeln für die Netzwerk-Firewall, die nach den höchsten Industriestandards konfiguriert sind.

Wir haben die Kennwortrichtlinie aktiviert, und die Kennwörter werden nach der Verschlüsselung gespeichert, um die maximale Sicherheit der Daten zu gewährleisten. Das Passwort muss mindestens 8 Zeichen lang sein und mindestens einen Großbuchstaben, Sonderzeichen wie '# $ % * &' und eine Ziffer enthalten.

Our dedicated web application firewall acts as a strong barrier to protect Xoxoday’s application and microservices. It enforces security controls such as hardened TLS configuration (HSTS, strong encryption and hashing algorithms), overall protection against malicious activity (bad IP reputation detection, browser integrity checks, WAF rules) and multiple rate-limiting rules that prevent automated form submission on critical endpoints (password guessing attacks).

Xoxoday does not store, process or collect credit card information submitted to us by customers. We leverage trusted and PCI-compliant payment vendors to ensure that customers’ credit card information is processed securely and according to appropriate regulation and industry standards.

Alle unsere Zahlungsgateways sind PCI DSS-konform.

Xoxoday maintains a disaster recovery program to ensure services remain available or are easily recoverable in the case of a disaster. Customers can stay up-to-date on availability issues through a publicly available status website covering scheduled maintenance and service incident history.

The BCP and DR Plans are tested and reviewed every year. The Xoxoday BCP and DR plans are reviewed and audited as part of ISO 27001 standards and SOC 2 Type II covering availability as one of the trust service principles.

Xoxoday uses two-factor authentication to grant access to our administrative operations - both infrastructure and services. We ensure that administrative privileges are granted to only a few employees. Additionally, our use of role-based access ensures that users can perform operations as per the access control policy.

Alle administrativen Zugriffe werden automatisch protokolliert und von unserem internen Sicherheitsteam überwacht. Detaillierte Informationen darüber, wann und warum die Operationen durchgeführt werden, werden dokumentiert und dem Sicherheitsteam mitgeteilt, bevor Änderungen an der Produktionsumgebung vorgenommen werden.

Xoxoday has deployed an information technology network to facilitate its business and make it more efficient for various risks. And establish management direction, principles, and standard requirements to ensure that the appropriate protection of information on its networks is maintained and sustained.  

Xoxoday has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Xoxoday information assets.

Jeder Mitarbeiter unterschreibt bei seiner Einstellung eine Vertraulichkeitserklärung und eine Richtlinie zur akzeptablen Nutzung, woraufhin er eine Schulung in den Bereichen Informationssicherheit, Datenschutz und Compliance absolviert. Darüber hinaus bewerten wir ihr Verständnis durch Tests und Quizfragen, um festzustellen, in welchen Themen sie weitere Schulungen benötigen. Wir bieten Schulungen zu spezifischen Sicherheitsaspekten an, die sie je nach ihrer Rolle benötigen.

Jeder Mitarbeiter durchläuft einen Prozess der Hintergrundüberprüfung. Wir beauftragen renommierte externe Agenturen, diese Überprüfung in unserem Namen durchzuführen. Wir überprüfen dabei das Strafregister, etwaige frühere Beschäftigungsverhältnisse und den Bildungshintergrund. Solange diese Überprüfung nicht abgeschlossen ist, werden dem Mitarbeiter keine Aufgaben übertragen, die ein Risiko für die Benutzer darstellen könnten.

Alle neu eingestellten Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen. Der Mitarbeiter erklärt sich ausdrücklich damit einverstanden, dass er vertrauliche Informationen, die ihm das Unternehmen bei der Entwicklung oder Lieferung von Produkten oder Dienstleistungen für eigene oder fremde Rechnung zur Verfügung stellt, nicht zur persönlichen Bereicherung verwenden darf.