การรักษาความปลอดภัยข้อมูลของคุณเป็นสิ่งสําคัญที่สุดของเรา

เมื่อต้องการเข้าถึงทรัพยากรที่สามารถดาวน์โหลดได้ต่อไปนี้ โปรดคลิกปุ่มด้านล่าง:

1. ใบรับรอง Xoxoday ISO 27001: 2013 – คลิกที่นี่
2. ใบรับรองการประเมินความเปราะบางและการทดสอบการเจาะ (VAPT) -
   • พลัม Xoxoday - คลิกที่นี่
   •Xoxoday Empuls - เว็บแอป, iOS และ Android
   • เข็มทิศ Xoxoday - คลิกที่นี่

3. ข้อตกลงระดับการให้บริการ (SLA) – คลิกที่นี่

‍

ทรัพยากรต่อไปนี้อาจต้องการ NDA ในไฟล์ โปรดติดต่อตัวแทน Xoxoday ของคุณ

1. รายงานการปฏิบัติตาม SOC 2
2. สรุปการประเมินช่องโหว่และการเจาะ
3. รายงานพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA) / พระราชบัญญัติสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย (CPRA)
4. รายงานพระราชบัญญัติการพกพาและความรับผิดชอบของการประกันสุขภาพ (HIPAA)
5. รายงานการประเมินผลกระทบด้านความเป็นส่วนตัวของข้อมูล GDPR
   

Xoxoday ปรับใช้ผลิตภัณฑ์ในศูนย์ข้อมูล AWS และ Microsoft Azure ที่ได้รับการรับรองมาตรฐาน ISO 27001, ผู้ให้บริการ PCI DSS ระดับ 1 และ/หรือ SOC 2 บริการโครงสร้างพื้นฐานของ AWS และ Microsoft Azure ประกอบด้วยพลังงานสํารอง ระบบ HVAC และอุปกรณ์ดับเพลิงเพื่อช่วยปกป้องเซิร์ฟเวอร์และข้อมูลของคุณในที่สุด

เรียนรู้เพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎระเบียบที่AWSและMicrosoft Azure

การป้องกันความปลอดภัยของทางกายภาพสิ่งแวดล้อมและโครงสร้างพื้นฐานรวมถึงแผนความต่อเนื่องและการกู้คืนได้รับการตรวจสอบอย่างอิสระซึ่งเป็นส่วนหนึ่งของการรับรอง SOC 2 Type II และ ISO 27001
‍
การรักษาความปลอดภัยในสถานที่ของ AWS และ MS Azure ประกอบด้วยฟีเจอร์มากมาย เช่น เจ้าหน้าที่รักษาความปลอดภัย ฟันดาบ ฟีดความปลอดภัย เทคโนโลยีการตรวจจับการบุกรุก และมาตรการรักษาความปลอดภัยอื่นๆ

AWS/MS Azure ให้การเข้าถึงศูนย์ข้อมูลทางกายภาพแก่พนักงานที่ได้รับอนุมัติเท่านั้น พนักงานทุกคนที่ต้องการการเข้าถึงศูนย์ข้อมูลจะต้องยื่นขอเข้าถึงก่อนและระบุเหตุผลทางธุรกิจที่ถูกต้อง คําขอเหล่านี้จะได้รับตามหลักการของสิทธิ์ที่น้อยที่สุดซึ่งคําขอต้องระบุชั้นของศูนย์ข้อมูลที่บุคคลต้องการการเข้าถึงและผูกพันกับเวลา คําขอจะได้รับการตรวจสอบและอนุมัติโดยบุคลากรที่ได้รับอนุญาตและการเข้าถึงจะถูกเพิกถอนหลังจากเวลาที่ร้องขอหมดอายุ เมื่อได้รับการยอมรับแล้วบุคคลจะถูก จํากัด เฉพาะพื้นที่ที่ระบุไว้ในสิทธิ์ของพวกเขา

เครือข่ายของเราได้รับการคุ้มครองโดยใช้บริการรักษาความปลอดภัยบนคลาวด์ที่จําเป็นการรวมเข้ากับเครือข่ายการป้องกันขอบ Cloudflare การตรวจสอบปกติและเทคโนโลยีข่าวกรองเครือข่ายซึ่งตรวจสอบและบล็อกการรับส่งข้อมูลที่เป็นอันตรายและการโจมตีเครือข่ายที่รู้จัก

การสแกนช่องโหว่ช่วยให้เราเข้าใจอย่างลึกซึ้งสําหรับการระบุระบบที่ไม่ปฏิบัติตามหรืออาจมีความเสี่ยงอย่างรวดเร็ว นอกเหนือจากโปรแกรมการสแกนและทดสอบภายในที่กว้างขวางของเราแล้ว Xoxoday ยังจ้างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของบุคคลที่สามเพื่อทําการประเมินช่องโหว่และการทดสอบการเจาะ

โปรแกรม Bug Bounty ของเราช่วยให้นักวิจัยด้านความปลอดภัยและลูกค้ามีช่องทางในการทดสอบอย่างปลอดภัยและแจ้ง Xoxoday เกี่ยวกับช่องโหว่ด้านความปลอดภัย

กรุณา คลิกที่นี่เพื่อ ทราบข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมค่าหัว Xoxoday Bug

ระบบการจัดการเหตุการณ์การรักษาความปลอดภัย (SIEM) ของเรารวบรวมบันทึกที่กว้างขวางจากอุปกรณ์เครือข่ายที่จําเป็นและระบบโฮสต์ การแจ้งเตือนของ SIEM จะแจ้งให้ทีมรักษาความปลอดภัยทราบตามเหตุการณ์ที่มีความสัมพันธ์กันเพื่อการตรวจสอบและการตอบสนอง

การเข้าและจุดออกของบริการเป็นเครื่องมือและตรวจสอบเพื่อตรวจจับพฤติกรรมที่ผิดปกติ ระบบเหล่านี้ได้รับการกําหนดค่าให้สร้างการแจ้งเตือนเมื่อเหตุการณ์และค่าเกินเกณฑ์ที่กําหนดไว้ล่วงหน้าและใช้ลายเซ็นที่อัปเดตเป็นประจําตามภัยคุกคามใหม่ ซึ่งรวมถึงการตรวจสอบระบบตลอด 24 ชั่วโมง

การเข้าถึงเครือข่ายการผลิต Xoxoday ถูก จํากัด โดยพื้นฐานที่จําเป็นต้องรู้อย่างชัดเจนใช้สิทธิ์น้อยที่สุดได้รับการตรวจสอบและตรวจสอบบ่อยครั้งและถูกควบคุมโดยทีมปฏิบัติการของเรา พนักงานที่เข้าถึงเครือข่ายการผลิต Xoxoday จําเป็นต้องใช้ปัจจัยหลายประการในการรับรองความถูกต้อง

การเข้าถึงข้อมูลและระบบจะขึ้นอยู่กับหลักการของสิทธิ์น้อยที่สุดสําหรับการเข้าถึง โซลูชัน Identity and Access Management (IAM) ถูกกําหนดให้จัดการการเข้าถึงของผู้ใช้ผ่านโปรไฟล์การเข้าถึงตามบทบาทที่สนับสนุนการดําเนินการเข้าถึงตามหลักการที่จําเป็นต้องรู้พื้นฐานและสนับสนุนการแบ่งแยกหน้าที่ สิทธิ์พิเศษที่เกี่ยวข้องกับการดูแลสิทธิ์การเข้าถึงของผู้ใช้และการกําหนดค่าบทบาทจะแตกต่างจากผู้อนุมัติที่ได้รับอนุญาตที่อนุมัติการร้องขอการเข้าถึง ผู้อนุมัติเป็นหัวหน้าผลิตภัณฑ์หรือหัวหน้าหน้าที่ที่เกี่ยวข้องเป็นผู้มีอํานาจ 

ในกรณีที่มีการแจ้งเตือนระบบเหตุการณ์จะเพิ่มขึ้นเป็นทีม 24/7 ของเราที่ให้การดําเนินงานวิศวกรรมเครือข่ายและความปลอดภัย พนักงานได้รับการฝึกอบรมเกี่ยวกับกระบวนการแก้ไขปัญหาด้านความปลอดภัย รวมถึงช่องทางการสื่อสารและเส้นทางการยกระดับ

Xoxoday ได้กําหนดกระบวนการจัดการเหตุการณ์ด้านความปลอดภัยเพื่อจัดประเภทและจัดการเหตุการณ์และการละเมิดความปลอดภัย ทีมรักษาความปลอดภัยข้อมูลมีหน้าที่ในการบันทึกรายงานติดตามตอบสนองแก้ไขติดตามรายงานและสื่อสารเหตุการณ์ไปยังฝ่ายที่เหมาะสมทันที กระบวนการนี้ได้รับการตรวจสอบเป็นส่วนหนึ่งของการตรวจสอบภายในเป็นระยะของเราและได้รับการตรวจสอบเป็นส่วนหนึ่งของการประเมิน ISO 27001 และ SOC 2 Type II

การเข้ารหัสระหว่างการขนส่งและส่วนที่เหลือ

ข้อมูลจะถูกเข้ารหัสผ่าน HTTPS/TLS มาตรฐานอุตสาหกรรม (TLS 1.2 หรือสูงกว่า) ผ่านเครือข่ายสาธารณะ สิ่งนี้ทําให้มั่นใจได้ว่าการจราจรทั้งหมดระหว่างคุณและ Xoxoday มีความปลอดภัยในระหว่างการขนส่ง นอกจากนี้สําหรับอีเมลผลิตภัณฑ์ของเราใช้ประโยชน์จาก TLS ฉวยโอกาสโดยค่าเริ่มต้น 

Transport Layer Security (TLS) เข้ารหัสและส่งอีเมลอย่างปลอดภัยและบรรเทาการดักฟังระหว่างเซิร์ฟเวอร์อีเมลที่บริการเพียร์สนับสนุนโปรโตคอลนี้ ข้อยกเว้นสําหรับการเข้ารหัสอาจรวมถึงการใช้ฟังก์ชัน SMS ในผลิตภัณฑ์แอพการรวมหรือบริการอื่น ๆ ของบุคคลที่สามที่สมาชิกอาจเลือกที่จะใช้ประโยชน์จากดุลยพินิจของตนเอง

ข้อมูลบริการจะถูกเข้ารหัสส่วนที่เหลือใน AWS โดยใช้การเข้ารหัสคีย์ AES-256

ผลิตภัณฑ์ Xoxoday โฮสต์บนแพลตฟอร์ม AWS และ MS Azure ของ Amazon พนักงาน Xoxoday ไม่สามารถเข้าถึงสภาพแวดล้อมการผลิตของเราได้ ในฐานะลูกค้า Amazon และ Azure เราจะได้รับประโยชน์จากศูนย์ข้อมูลและสถาปัตยกรรมเครือข่ายที่สร้างขึ้นเพื่อตอบสนองความต้องการขององค์กรที่ให้ความสําคัญกับความปลอดภัยมากที่สุด

ศูนย์ข้อมูลตั้งอยู่ในสถานที่ที่ไม่มีคําอธิบายด้วยคานควบคุมปริมณฑลระดับทหารพร้อมเจ้าหน้าที่รักษาความปลอดภัยมืออาชีพที่ใช้การเฝ้าระวังวิดีโอระบบตรวจจับการบุกรุกที่ทันสมัยและวิธีการทางอิเล็กทรอนิกส์อื่น ๆ

นอกเหนือจากความปลอดภัยทางกายภาพแล้วแพลตฟอร์มคลาวด์ยังให้การป้องกันที่สําคัญต่อความปลอดภัยของเครือข่ายแบบดั้งเดิม

การฝึกอบรมรหัสที่ปลอดภัย - อย่างน้อยทุกปีวิศวกรมีส่วนร่วมในการฝึกอบรมรหัสที่ปลอดภัยซึ่งครอบคลุมความเสี่ยงด้านความปลอดภัย OWASP Top 10 เวกเตอร์การโจมตีทั่วไป
‍
การเข้าถึงที่ปลอดภัย - เซิร์ฟเวอร์แอปพลิเคชันของ Xoxoday มี HTTPS ที่ปลอดภัยทั้งหมด เราใช้การเข้ารหัสมาตรฐานอุตสาหกรรมสําหรับการท่องข้อมูลไปและกลับจากเซิร์ฟเวอร์แอปพลิเคชัน

แผนกประกันคุณภาพ (QA) ของเราตรวจสอบและทดสอบฐานรหัสของเรา วิศวกรรักษาความปลอดภัยแอปพลิเคชันโดยเฉพาะเกี่ยวกับพนักงานระบุทดสอบและช่องโหว่ด้านความปลอดภัย triage ในรหัส

สภาพแวดล้อมการทดสอบและการจัดเตรียมจะถูกแยกออกจากสภาพแวดล้อมการผลิตอย่างมีเหตุผล ไม่มีการใช้ข้อมูลบริการในสภาพแวดล้อมการพัฒนาหรือทดสอบของเรา

เพื่อให้แน่ใจว่าเราปกป้องข้อมูลที่มอบให้กับเรา เราใช้การควบคุมความปลอดภัยที่หลากหลาย การควบคุมความปลอดภัย Xoxoday ได้รับการออกแบบมาเพื่อให้พนักงานมีประสิทธิภาพสูงโดยไม่มีสิ่งกีดขวางบนถนนเทียมในขณะที่ลดความเสี่ยง

Xoxoday มีทีมรักษาความปลอดภัยเต็มเวลาโดยเฉพาะเพื่อจัดการและปรับปรุงความปลอดภัยของเราอย่างต่อเนื่อง ทีมงานปกป้องโครงสร้างพื้นฐานเครือข่ายและข้อมูลของ Xoxoday (รวมถึงข้อมูลของลูกค้าของเรา)

นอกเหนือจากส่วนประกอบด้านความปลอดภัยที่ผู้ให้บริการคลาวด์ระดับสูงของเรา (MS Azure และ AWS) ของเราจัดหาให้แล้ว Xoxoday ยังรักษาการควบคุมเฉพาะของตนเองโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม 

การควบคุมเหล่านี้ครอบคลุมการโจมตี DDoS การป้องกัน DB และไฟร์วอลล์เว็บแอปพลิเคชันเฉพาะรวมถึงกฎที่ละเอียดของไฟร์วอลล์เครือข่ายที่กําหนดค่าโดยใช้มาตรฐานอุตสาหกรรมสูงสุด

คีย์ SSH จะต้องได้รับคอนโซลเข้าถึงเซิร์ฟเวอร์ของเราและการเข้าสู่ระบบแต่ละครั้งจะถูกระบุโดยผู้ใช้ การดําเนินการที่สําคัญทั้งหมดจะถูกบันทึกไปยังเซิร์ฟเวอร์บันทึกกลางและเซิร์ฟเวอร์ของเราสามารถเข้าถึงได้จาก IP ที่ถูก จํากัด และปลอดภัยเท่านั้น

โฮสต์จะถูกแบ่งเป็นส่วนๆ และการเข้าถึงจะถูกจํากัดตามฟังก์ชันการทํางาน คําขอแอปพลิเคชันได้รับอนุญาตจาก AWS ELB เท่านั้น และเซิร์ฟเวอร์ฐานข้อมูลสามารถเข้าถึงได้จากเซิร์ฟเวอร์แอปพลิเคชันเท่านั้น

เราได้เปิดใช้งานนโยบายรหัสผ่านและรหัสผ่านจะถูกเก็บไว้หลังจากการเข้ารหัสเพื่อความปลอดภัยสูงสุดของข้อมูล รหัสผ่านต้องมีอย่างน้อย 8 ตัวอักษรและต้องมีตัวอักษรพิมพ์ใหญ่อย่างน้อยหนึ่งตัวอักขระพิเศษระหว่าง '# $ % * *&' และตัวเลขหนึ่งหลัก

ไฟร์วอลล์เว็บแอปพลิเคชันเฉพาะของเราทําหน้าที่เป็นอุปสรรคที่แข็งแกร่งในการปกป้องแอปพลิเคชันและไมโครเซอร์วิสของ Xoxoday มันบังคับใช้การควบคุมความปลอดภัยเช่นการกําหนดค่า TLS ที่แข็งตัว (HSTS การเข้ารหัสที่แข็งแกร่งและอัลกอริทึมการแฮช) การป้องกันโดยรวมจากกิจกรรมที่เป็นอันตราย (การตรวจจับชื่อเสียง IP ที่ไม่ดีการตรวจสอบความสมบูรณ์ของเบราว์เซอร์กฎ WAF) และกฎจํากัดอัตราหลายข้อที่ป้องกันไม่ให้ส่งแบบฟอร์มอัตโนมัติบนปลายทางที่สําคัญ (การโจมตีเดารหัสผ่าน)

Xoxoday ไม่จัดเก็บประมวลผลหรือรวบรวมข้อมูลบัตรเครดิตที่ลูกค้าส่งถึงเรา เราใช้ประโยชน์จากผู้ให้บริการการชําระเงินที่เชื่อถือได้และเป็นไปตาม PCI เพื่อให้แน่ใจว่าข้อมูลบัตรเครดิตของลูกค้าได้รับการประมวลผลอย่างปลอดภัยและเป็นไปตามกฎระเบียบและมาตรฐานอุตสาหกรรมที่เหมาะสม

เกตเวย์การชําระเงินทั้งหมดของเราเป็นไปตามมาตรฐาน PCI DSS

Xoxoday รักษาโปรแกรมกู้คืนความเสียหายเพื่อให้แน่ใจว่าบริการยังคงพร้อมใช้งานหรือกู้คืนได้ง่ายในกรณีที่เกิดภัยพิบัติ ลูกค้าสามารถติดตามปัญหาความพร้อมใช้งานผ่านเว็บไซต์สถานะที่เปิดเผยต่อสาธารณะซึ่งครอบคลุมประวัติการบํารุงรักษาและเหตุการณ์การบริการตามกําหนดเวลา

แผน BCP และ DR ได้รับการทดสอบและตรวจสอบทุกปี แผน Xoxoday BCP และ DR ได้รับการตรวจสอบและตรวจสอบเป็นส่วนหนึ่งของมาตรฐาน ISO 27001 และ SOC 2 Type II ครอบคลุมความพร้อมใช้งานเป็นหนึ่งในหลักการบริการที่เชื่อถือได้

Xoxoday ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้สามารถเข้าถึงการดําเนินการด้านการดูแลระบบของเราทั้งโครงสร้างพื้นฐานและบริการ เรามั่นใจว่าสิทธิพิเศษของผู้ดูแลระบบจะได้รับแก่พนักงานเพียงไม่กี่คน นอกจากนี้การใช้การเข้าถึงตามบทบาทของเราช่วยให้มั่นใจได้ว่าผู้ใช้สามารถดําเนินการได้ตามนโยบายการควบคุมการเข้าถึง

การเข้าถึงระดับผู้ดูแลทั้งหมดจะถูกบันทึกและตรวจสอบโดยอัตโนมัติโดยทีมรักษาความปลอดภัยภายในของเรา ข้อมูลรายละเอียดเกี่ยวกับเวลาและเหตุผลที่ดําเนินการจะถูกจัดทําเป็นเอกสารและแจ้งให้ทีมรักษาความปลอดภัยทราบก่อนที่จะทําการเปลี่ยนแปลงใด ๆ ในสภาพแวดล้อมการผลิต

Xoxoday ได้ปรับใช้เครือข่ายเทคโนโลยีสารสนเทศเพื่ออํานวยความสะดวกทางธุรกิจและทําให้มีประสิทธิภาพมากขึ้นสําหรับความเสี่ยงต่างๆ หลักการ และข้อกําหนดมาตรฐานเพื่อให้มั่นใจว่าการปกป้องข้อมูลบนเครือข่ายที่เหมาะสมได้รับการดูแลรักษาและยั่งยืน  

Xoxoday ได้พัฒนาชุดนโยบายความปลอดภัยที่ครอบคลุมซึ่งครอบคลุมหัวข้อต่างๆ นโยบายเหล่านี้แบ่งปันและพร้อมใช้งานสําหรับพนักงานและผู้รับเหมาทุกคนที่สามารถเข้าถึงสินทรัพย์ข้อมูล Xoxoday

พนักงานแต่ละคนเมื่อได้รับการชักนําให้ลงนามในข้อตกลงการรักษาความลับและนโยบายการใช้งานที่ยอมรับได้หลังจากนั้นพวกเขาได้รับการฝึกอบรมด้านความปลอดภัยของข้อมูลความเป็นส่วนตัวและการปฏิบัติตามกฎระเบียบ นอกจากนี้เรายังประเมินความเข้าใจของพวกเขาผ่านการทดสอบและแบบทดสอบเพื่อกําหนดหัวข้อที่พวกเขาต้องการการฝึกอบรมเพิ่มเติม เราให้การฝึกอบรมเกี่ยวกับด้านเฉพาะของการรักษาความปลอดภัยที่พวกเขาอาจต้องการตามบทบาทของพวกเขา

พนักงานแต่ละคนผ่านกระบวนการตรวจสอบประวัติ เราจ้างหน่วยงานภายนอกที่มีชื่อเสียงเพื่อทําการตรวจสอบนี้ในนามของเรา เราทําเช่นนี้เพื่อตรวจสอบประวัติอาชญากรรมบันทึกการจ้างงานก่อนหน้านี้ถ้ามีและวุฒิการศึกษา พนักงานจะไม่ได้รับมอบหมายงานที่อาจก่อให้เกิดความเสี่ยงต่อผู้ใช้จนกว่าจะมีการตรวจสอบนี้

พนักงานใหม่ทุกคนจะต้องลงนามในข้อตกลงการไม่เปิดเผยข้อมูลและการรักษาความลับ พนักงานตกลงอย่างชัดแจ้งว่าจะไม่ใช้ข้อมูลที่เป็นความลับที่บริษัทให้ไว้ในการพัฒนาหรือส่งมอบหรือเพื่อประโยชน์ส่วนตัวจากการจัดหาผลิตภัณฑ์หรือบริการใด ๆ สําหรับบัญชีของตนเองหรือสําหรับบัญชีของบุคคลที่สาม