เทศกาลนี้แสดงให้เห็นว่าคุณใส่ใจ

การรักษาความปลอดภัยข้อมูลของคุณเป็นสิ่งสําคัญที่สุดของเรา

การปฏิบัติตามกฎระเบียบ

การมุ่งเน้นด้านความปลอดภัยหลักของ Xoxoday คือการปกป้องข้อมูลของลูกค้าและผู้ใช้ของเรา นั่นเป็นเหตุผลที่ Xoxoday ได้ลงทุนในทรัพยากรและการควบคุมที่เหมาะสมเพื่อปกป้องและให้บริการลูกค้าของเรา เรามุ่งเน้นการกําหนดการควบคุมที่มีอยู่ใหม่และปรับแต่งการใช้และจัดการกรอบการรักษาความปลอดภัย Xoxoday และให้โครงสร้างการสนับสนุนเพื่ออํานวยความสะดวกในการปฏิบัติตามและการจัดการความเสี่ยงที่มีประสิทธิภาพ

Xoxoday มุ่งมั่นที่จะสร้างความมั่นใจในความซื่อสัตย์การรักษาความลับความพร้อมใช้งานและความปลอดภัยของสินทรัพย์ทางกายภาพและข้อมูลและรักษาความเป็นส่วนตัวเมื่อตอบสนองความต้องการของลูกค้าและองค์กรในขณะที่ปฏิบัติตามข้อกําหนดทางกฎหมายกฎหมายและข้อบังคับที่เหมาะสม

เพื่อให้การปกป้องทรัพย์สินข้อมูลอย่างเพียงพอ Xoxoday ได้สร้างระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ทําให้ทุกคนสามารถปฏิบัติตามนโยบายเหล่านี้ได้อย่างขยันขันดีสม่ําเสมอและเป็นกลาง Xoxoday จะใช้ขั้นตอนและการควบคุมในทุกระดับเพื่อปกป้องความลับและความสมบูรณ์ของข้อมูลที่จัดเก็บและประมวลผลในระบบของตนและตรวจสอบให้แน่ใจว่าข้อมูลมีให้เฉพาะบุคคลที่ได้รับอนุญาตตามและเมื่อจําเป็น

วัตถุ ประสงค์

เราได้พัฒนากรอบการปฏิบัติตามกฎระเบียบของเราโดยใช้แนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม SaaS วัตถุประสงค์หลักของเราได้แก่ 

  • ความไว้วางใจและการปกป้องลูกค้า - ส่งมอบผลิตภัณฑ์และบริการที่เหนือกว่าให้กับลูกค้าของเราอย่างต่อเนื่องในขณะที่ปกป้องความเป็นส่วนตัวและการรักษาความลับของข้อมูลของพวกเขา
  • ความสมบูรณ์ของข้อมูลและบริการ – การใช้การควบคุมความปลอดภัยที่เน้นความสมบูรณ์ของข้อมูลเพื่อป้องกันไม่ให้ข้อมูลถูกแก้ไขหรือใช้ในทางที่ผิดโดยบุคคลที่ไม่ได้รับอนุญาต
  • ความพร้อมใช้งานและความต่อเนื่องของบริการ - สร้างความมั่นใจในความพร้อมของบริการและข้อมูลอย่างต่อเนื่องแก่บุคคลที่ได้รับอนุญาตและลดความเสี่ยงด้านความปลอดภัยที่คุกคามความต่อเนื่องของบริการในเชิงรุก
  • การปฏิบัติตามมาตรฐาน - การนํากระบวนการและการควบคุมมาใช้เพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดของกฎระเบียบและอุตสาหกรรมระหว่างประเทศในปัจจุบันและแนวทางที่ดีที่สุดสําหรับการรักษาความปลอดภัยบนคลาวด์โดยใช้ประโยชน์จากมาตรฐานเช่น Cloud Security Alliance (CSA), ISO 27001; 2013, SOC 2, HIPAA, CCPA, CPRA เป็นต้น

คําสัญญาของซอกโซเดย์

Xoxoday มุ่งมั่นที่จะปฏิบัติตามกฎระเบียบและกฎหมายที่เกี่ยวข้องทั้งหมดของที่ดินในทุกสถานที่และทุกประเทศที่ดําเนินการและประมวลผลข้อมูล Xoxoday ให้ความสําคัญกับความสมบูรณ์ของข้อมูลและความปลอดภัยอย่างจริงจัง ลูกค้ากว่าสองล้านคนทั่วโลกไว้วางใจเราด้วยความปลอดภัยของข้อมูล เนื่องจากลักษณะของผลิตภัณฑ์และบริการของเราเราต้องยอมรับความรับผิดชอบของเราทั้งในฐานะผู้ควบคุมข้อมูลและผู้ประมวลผล

ความปลอดภัยของข้อมูลลูกค้าเป็นส่วนสําคัญของผลิตภัณฑ์กระบวนการและวัฒนธรรมของทีม สิ่งอํานวยความสะดวกกระบวนการและระบบของเรามีความน่าเชื่อถือแข็งแกร่งและผ่านการทดสอบโดยองค์กรควบคุมคุณภาพที่มีชื่อเสียงและความปลอดภัยของข้อมูล เรามองหาโอกาสในการปรับปรุงภูมิทัศน์เทคโนโลยีแบบไดนามิกอย่างต่อเนื่องและให้ระบบที่ปลอดภัยและปรับขนาดได้ซึ่งมอบประสบการณ์ที่ยอดเยี่ยม

การรับรองการปฏิบัติตามกฎระเบียบ

เราใช้แนวทางปฏิบัติที่ดีที่สุดและมาตรฐานอุตสาหกรรมเพื่อให้สอดคล้องกับกรอบความปลอดภัยและความเป็นส่วนตัวทั่วไปที่ได้รับการยอมรับจากอุตสาหกรรม

เราใช้คุณสมบัติด้านความปลอดภัยระดับองค์กรและดําเนินการตรวจสอบแอปพลิเคชันระบบและเครือข่ายของเราอย่างครอบคลุมเพื่อปกป้องข้อมูลลูกค้าและธุรกิจ ลูกค้าของเราพักผ่อนได้ง่ายเมื่อรู้ว่าข้อมูลของพวกเขาปลอดภัยการโต้ตอบของพวกเขามีความปลอดภัยและธุรกิจของพวกเขาได้รับการคุ้มครอง

ISO 27001:2013 - ระบบการจัดการความปลอดภัยของข้อมูล (ISMS)

Xoxoday ได้รับการรับรองมาตรฐาน ISO 27001: 2013 

ISO/IEC 27001:2013 เป็นข้อกําหนดสําหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ISMS เป็นกรอบของนโยบายและขั้นตอนสําหรับการจัดการความเสี่ยงด้านข้อมูลขององค์กร รวมถึงการควบคุมทางกฎหมาย ทางกายภาพ และทางเทคนิค ที่ใช้ในการรักษาข้อมูลให้ปลอดภัย

ด้วย ISMS ที่แข็งแกร่งของ ISO คุณจะได้รับความมั่นใจเพิ่มเติมว่าเราได้ใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วทั้งองค์กร

Xoxoday ได้รับการรับรองมาตรฐาน ISO 27001: 2013 และเรามุ่งมั่นที่จะระบุความเสี่ยงประเมินผลกระทบและการใช้การควบคุมระบบที่สร้างแรงบันดาลใจในทุกสิ่งที่เราทําตั้งแต่ฐานรหัสของเราไปจนถึงโครงสร้างพื้นฐานทางกายภาพและการปฏิบัติของผู้คน

เป้าหมายหลักของ ISO 27001 คือการปกป้องข้อมูลสามด้าน:
  • การรักษาความลับ: เฉพาะผู้มีอํานาจเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูล
  • ความซื่อสัตย์: เฉพาะผู้มีอํานาจเท่านั้นที่สามารถเปลี่ยนแปลงข้อมูลได้
  • ความพร้อมใช้งาน: ผู้มีอํานาจต้องเข้าถึงข้อมูลได้ตลอดเวลา

SOC 2 - การควบคุมองค์กรบริการ 

Xoxoday ดําเนินการตรวจสอบ SOC 2 ประจําปีโดยใช้ผู้สอบบัญชีอิสระของบุคคลที่สาม รายงาน SOC 2 ของเรายืนยันว่าการควบคุมของเราควบคุมความพร้อมใช้งานการรักษาความลับและความปลอดภัยของข้อมูลลูกค้าแผนที่ไปยังหลักการบริการที่เชื่อถือได้ (TSP) ที่จัดตั้งขึ้นโดยสถาบันนักบัญชีสาธารณะที่ได้รับการรับรองจากสหรัฐอเมริกา (AICPA)

หลักการความน่าเชื่อถือ SOC 2 ห้าประการ:

ความปลอดภัย: หลักการเหล่านี้วัดวิธีที่เราปกป้องข้อมูลของคุณและระบบของเราจากการเข้าถึงโดยไม่ได้รับอนุญาตและวิธีที่เราป้องกันความเสียหายในการเปิดเผยข้อมูลต่อระบบที่ปกป้องความพร้อมใช้งานความสมบูรณ์การรักษาความลับและความเป็นส่วนตัวของข้อมูลของคุณ

ความสะดวก: หลักการความน่าเชื่อถือนี้ครอบคลุมว่าข้อมูลและระบบของคุณพร้อมสําหรับการดําเนินงานและการใช้งานเพื่อให้เป็นไปตามวัตถุประสงค์ของบริษัทของคุณหรือไม่

ความสมบูรณ์ของการประมวลผล: หลักการนี้จะประเมินว่าการประมวลผลของระบบของคุณสมบูรณ์และถูกต้องและประมวลผลข้อมูลที่ได้รับอนุญาตเท่านั้นหรือไม่

การรักษาความลับ: สิ่งนี้ครอบคลุมว่าข้อมูลที่เป็นความลับได้รับการคุ้มครองอย่างแท้จริงหรือไม่

ความเป็นส่วนตัว: หลักการความน่าเชื่อถือขั้นสุดท้ายนี้จะดูว่าข้อมูลส่วนบุคคลของผู้ใช้ของคุณถูกรวบรวมใช้เก็บรักษาเปิดเผยและทําลายตามประกาศความเป็นส่วนตัวของ บริษัท ของคุณและหลักการความเป็นส่วนตัวที่ยอมรับโดยทั่วไป (GAPP) หรือไม่

เราภูมิใจในความเป็นเลิศของการควบคุมของเราและเชิญคุณเพื่อรับสําเนารายงาน SOC 2 Type I ของเราโดยติดต่อตัวแทน Xoxoday ของคุณ

พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA) / พระราชบัญญัติสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย (CPRA)

Xoxoday เป็นไปตามมาตรฐาน CCPA / CPRA 

CPRA ได้แก้ไขขยายและชี้แจงสิทธิความเป็นส่วนตัวสําหรับผู้อยู่อาศัยในแคลิฟอร์เนียและได้รับแรงบันดาลใจจากนโยบาย GDPR ของสหภาพยุโรปในหลากหลายวิธี CPRA สร้างข้อมูลส่วนบุคคลที่ละเอียดอ่อน (SPI) ประเภทใหม่ซึ่งได้รับการควบคุมแยกต่างหากและแข็งแกร่งกว่าข้อมูลส่วนบุคคล (PI)

วัตถุประสงค์ของ CPRA คือการกําหนดและขยายพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย (CCPA) เพื่อเสริมสร้างสิทธิของผู้อยู่อาศัยในแคลิฟอร์เนีย มันเปิดโอกาสให้ผู้บริโภคเลือกไม่รับและต้องการการจัดการความเป็นส่วนตัวของข้อมูลโดยเจตนาโดยธุรกิจ

พระราชบัญญัติการพกพาและความรับผิดชอบของการประกันสุขภาพ (HIPAA)

Xoxoday ได้รับการรับรองจาก HIPAA 

กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกาได้จัดตั้งพระราชบัญญัติการพกพาและความรับผิดชอบของการประกันสุขภาพ HIPAA ในปี 1996 พระราชบัญญัตินี้มีวัตถุประสงค์เพื่อให้แน่ใจว่ามีการคุ้มครองข้อมูลการดูแลสุขภาพของผู้ป่วยจากการเข้าถึงสาธารณะ

อาจมีบางกรณีที่ลูกค้าอาจใช้ผลิตภัณฑ์ของเราบางส่วนเพื่อประมวลผลข้อมูลสุขภาพส่วนบุคคลอิเล็กทรอนิกส์ (ePHI) ในหลักสูตรปกติของการดําเนินธุรกิจของพวกเขา ตาม HIPAA ของปี 1996 ลูกค้าของเราควรได้รับการจัดประเภทเป็นหน่วยงานที่ครอบคลุมหรือผู้ร่วมธุรกิจ Xoxoday ขยายการสนับสนุนสําหรับการปฏิบัติตาม HIPAA

เราช่วยให้ลูกค้าปฏิบัติตามภาระหน้าที่ HIPAA ของพวกเขาโดยใช้ประโยชน์จากตัวเลือกการกําหนดค่าความปลอดภัยที่เหมาะสมในผลิตภัณฑ์ Xoxoday

ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)

Xoxoday เป็นไปตาม GDPR

โปรแกรมการปฏิบัติตาม GDPR ที่ครอบคลุมของเราได้รับการสนับสนุนโดยหลักการความเป็นส่วนตัวขั้นพื้นฐานเหล่านี้ - ความรับผิดชอบความเป็นส่วนตัวโดยการออกแบบและค่าเริ่มต้นการลดข้อมูลและสิทธิ์การเข้าถึงหัวเรื่องและอื่น ๆ เทคโนโลยีและการดําเนินงานที่เกี่ยวข้องกับธุรกิจอยู่ภายใต้โปรแกรมการรับรู้ปกติ

Xoxoday มุ่งมั่นที่จะจัดหาผลิตภัณฑ์และบริการที่ปลอดภัยโดยการนําและยึดมั่นในนโยบายการปฏิบัติตามกฎระเบียบที่กําหนดทั้งในฐานะผู้ควบคุมข้อมูลและผู้ประมวลผล

การบังคับใช้ GDPR มีความสําคัญต่อภารกิจของเราในการให้บริการแก่สหภาพยุโรปและลูกค้าทั่วโลกของเราด้วยโซลูชั่นทางธุรกิจที่ปลอดภัยและเชื่อถือได้ เพื่อสนับสนุนความมุ่งมั่นนี้ Xoxoday ขยายความเป็นส่วนตัวและความปลอดภัยในระดับเดียวกันให้กับลูกค้าทุกคนทั่วโลกโดยไม่คํานึงถึงสถานที่

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Xoxoday GDPR โปรด คลิกที่นี่

พันธมิตรด้านความปลอดภัยบนคลาวด์ (CSA) - STAR ระดับ 1

Xoxoday เป็นไปตามมาตรฐาน STAR ระดับ 1

CSA STAR ครอบคลุมหลักการพื้นฐานของความโปร่งใสการตรวจสอบอย่างเข้มงวดและการประสานมาตรฐานที่ระบุไว้ในเมทริกซ์การควบคุมระบบคลาวด์ (CCM) และ CAIQ Xoxoday เป็นสมาชิกของ Cloud Security Alliance (CSA) ซึ่งเป็นองค์กรที่ไม่แสวงหาผลกําไรโดยมีภารกิจในการส่งเสริมแนวทางปฏิบัติที่ดีที่สุดสําหรับการให้การประกันความปลอดภัยภายใน Cloud Computing 

CSA ได้เปิดตัว Security, Trust &Assurance Registry (STAR) ซึ่งเป็นรีจิสทรีที่เข้าถึงได้โดยสาธารณะซึ่งบันทึกการควบคุมความปลอดภัยที่จัดทําโดยข้อเสนอการประมวลผลแบบคลาวด์ต่างๆ จากผลการประเมินตนเองเนื่องจากความขยันหมั่นเพียรของเราเราได้ทําแบบสอบถามโครงการประเมินฉันทามติ (CAI) ที่เปิดเผยต่อสาธารณชน

CSA CAIQ พร้อมให้ดาวน์โหลด ได้ที่นี่.

ความเป็นส่วนตัวและการปกป้องข้อมูล

Xoxoday มุ่งมั่นที่จะรักษาสิทธิ์ที่เจ้าของข้อมูลได้รับภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้และดูแลข้อมูลส่วนบุคคลของพวกเขาอย่างมาก ลูกค้ากว่า 2 ล้านคนทั่วโลกไว้วางใจเราด้วยความปลอดภัยของข้อมูล เนื่องจากลักษณะของผลิตภัณฑ์และบริการที่เราให้บริการเรารับทราบความรับผิดชอบของเราทั้งในฐานะผู้ควบคุมข้อมูลและผู้ประมวลผล 

ความปลอดภัยของข้อมูลลูกค้าเป็นส่วนสําคัญของผลิตภัณฑ์กระบวนการและวัฒนธรรมของทีม สิ่งอํานวยความสะดวกกระบวนการและระบบของเรามีความน่าเชื่อถือแข็งแกร่งและผ่านการทดสอบโดยองค์กรควบคุมคุณภาพที่มีชื่อเสียงและความปลอดภัยของข้อมูล เรามองหาโอกาสในการปรับปรุงภูมิทัศน์เทคโนโลยีแบบไดนามิกอย่างต่อเนื่องและให้ระบบที่ปลอดภัยและปรับขนาดได้สูงซึ่งมอบประสบการณ์ที่ยอดเยี่ยม

นโยบายความเป็นส่วนตัว - เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายความเป็นส่วนตัวของ Xoxoday

นโยบาย GDPR - เรียนรู้เพิ่มเติมเกี่ยวกับนโยบาย GDPR ของ Xoxoday

สิ่ง ประดิษฐ์

เรามีทรัพยากรจํานวนมากที่เราสามารถให้ได้ตามคําขอ

ทรัพยากรการดาวน์โหลดโดยตรง (ไม่ใช่ NDA)

เมื่อต้องการเข้าถึงทรัพยากรที่สามารถดาวน์โหลดได้ต่อไปนี้ โปรดคลิกปุ่มด้านล่าง:

  1. ใบรับรอง Xoxoday ISO 27001: 2013 – คลิกที่นี่
  2. ใบรับรองการประเมินความเปราะบางและการทดสอบการเจาะ (VAPT) -
    พลัม Xoxoday - คลิกที่นี่
    •Xoxoday Empuls - เว็บแอป, iOS และ Android
    • เข็มทิศ Xoxoday - คลิกที่นี่
  1. ข้อตกลงระดับการให้บริการ (SLA) – คลิกที่นี่

ทรัพยากร NDA

ทรัพยากรต่อไปนี้อาจต้องการ NDA ในไฟล์ โปรดติดต่อตัวแทน Xoxoday ของคุณ

  1. รายงานการปฏิบัติตาม SOC 2
  2. สรุปการประเมินช่องโหว่และการเจาะ
  3. รายงานพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA) / พระราชบัญญัติสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย (CPRA)
  4. รายงานพระราชบัญญัติการพกพาและความรับผิดชอบของการประกันสุขภาพ (HIPAA)
  5. รายงานการประเมินผลกระทบด้านความเป็นส่วนตัวของข้อมูล GDPR

ความปลอดภัยของระบบคลาวด์

Xoxoday จ้างโฮสติ้งโครงสร้างพื้นฐานผลิตภัณฑ์ให้กับผู้ให้บริการโครงสร้างพื้นฐานคลาวด์ชั้นนํา ผลิตภัณฑ์ Xoxoday ใช้ประโยชน์จาก Amazon Web Services (AWS) และ Microsoft Azure เป็นหลักสําหรับการโฮสต์โครงสร้างพื้นฐาน ผู้ให้บริการโครงสร้างพื้นฐานคลาวด์มีความปลอดภัยทางกายภาพและเครือข่ายในระดับสูงและความหลากหลายของผู้ให้บริการโฮสติ้ง AWS ยังคงรักษาโปรแกรมความปลอดภัยที่ผ่านการตรวจสอบรวมถึงการปฏิบัติตาม SOC 2 และ ISO 27001 Xoxoday ไม่ได้โฮสต์ระบบผลิตภัณฑ์ใด ๆ ภายในสํานักงานขององค์กร

ศูนย์ข้อมูล

Xoxoday ปรับใช้ผลิตภัณฑ์ในศูนย์ข้อมูล AWS และ Microsoft Azure ที่ได้รับการรับรองมาตรฐาน ISO 27001, ผู้ให้บริการ PCI DSS ระดับ 1 และ/หรือ SOC 2 บริการโครงสร้างพื้นฐานของ AWS และ Microsoft Azure ประกอบด้วยพลังงานสํารอง ระบบ HVAC และอุปกรณ์ดับเพลิงเพื่อช่วยปกป้องเซิร์ฟเวอร์และข้อมูลของคุณในที่สุด

เรียนรู้เพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎระเบียบที่AWSและMicrosoft Azure

ความปลอดภัย

การป้องกันความปลอดภัยของทางกายภาพสิ่งแวดล้อมและโครงสร้างพื้นฐานรวมถึงแผนความต่อเนื่องและการกู้คืนได้รับการตรวจสอบอย่างอิสระซึ่งเป็นส่วนหนึ่งของการรับรอง SOC 2 Type II และ ISO 27001

การรักษาความปลอดภัยในสถานที่ของ AWS และ MS Azure ประกอบด้วยฟีเจอร์มากมาย เช่น เจ้าหน้าที่รักษาความปลอดภัย ฟันดาบ ฟีดความปลอดภัย เทคโนโลยีการตรวจจับการบุกรุก และมาตรการรักษาความปลอดภัยอื่นๆ

AWS/MS Azure ให้การเข้าถึงศูนย์ข้อมูลทางกายภาพแก่พนักงานที่ได้รับอนุมัติเท่านั้น พนักงานทุกคนที่ต้องการการเข้าถึงศูนย์ข้อมูลจะต้องยื่นขอเข้าถึงก่อนและระบุเหตุผลทางธุรกิจที่ถูกต้อง คําขอเหล่านี้จะได้รับตามหลักการของสิทธิ์ที่น้อยที่สุดซึ่งคําขอต้องระบุชั้นของศูนย์ข้อมูลที่บุคคลต้องการการเข้าถึงและผูกพันกับเวลา คําขอจะได้รับการตรวจสอบและอนุมัติโดยบุคลากรที่ได้รับอนุญาตและการเข้าถึงจะถูกเพิกถอนหลังจากเวลาที่ร้องขอหมดอายุ เมื่อได้รับการยอมรับแล้วบุคคลจะถูก จํากัด เฉพาะพื้นที่ที่ระบุไว้ในสิทธิ์ของพวกเขา

การป้องกันเครือข่าย

เครือข่ายของเราได้รับการคุ้มครองโดยใช้บริการรักษาความปลอดภัยบนคลาวด์ที่จําเป็นการรวมเข้ากับเครือข่ายการป้องกันขอบ Cloudflare การตรวจสอบปกติและเทคโนโลยีข่าวกรองเครือข่ายซึ่งตรวจสอบและบล็อกการรับส่งข้อมูลที่เป็นอันตรายและการโจมตีเครือข่ายที่รู้จัก

การจัดการช่องโหว่ - การสแกนช่องโหว่

การสแกนช่องโหว่ช่วยให้เราเข้าใจอย่างลึกซึ้งสําหรับการระบุระบบที่ไม่ปฏิบัติตามหรืออาจมีความเสี่ยงอย่างรวดเร็ว นอกเหนือจากโปรแกรมการสแกนและทดสอบภายในที่กว้างขวางของเราแล้ว Xoxoday ยังจ้างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของบุคคลที่สามเพื่อทําการประเมินช่องโหว่และการทดสอบการเจาะ

โปรแกรมค่าหัวบั๊ก

โปรแกรม Bug Bounty ของเราช่วยให้นักวิจัยด้านความปลอดภัยและลูกค้ามีช่องทางในการทดสอบอย่างปลอดภัยและแจ้ง Xoxoday เกี่ยวกับช่องโหว่ด้านความปลอดภัย

กรุณา คลิกที่นี่เพื่อ ทราบข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมค่าหัว Xoxoday Bug

การจัดการเหตุการณ์การรักษาความปลอดภัย

ระบบการจัดการเหตุการณ์การรักษาความปลอดภัย (SIEM) ของเรารวบรวมบันทึกที่กว้างขวางจากอุปกรณ์เครือข่ายที่จําเป็นและระบบโฮสต์ การแจ้งเตือนของ SIEM จะแจ้งให้ทีมรักษาความปลอดภัยทราบตามเหตุการณ์ที่มีความสัมพันธ์กันเพื่อการตรวจสอบและการตอบสนอง

การตรวจจับและป้องกันการบุกรุก

การเข้าและจุดออกของบริการเป็นเครื่องมือและตรวจสอบเพื่อตรวจจับพฤติกรรมที่ผิดปกติ ระบบเหล่านี้ได้รับการกําหนดค่าให้สร้างการแจ้งเตือนเมื่อเหตุการณ์และค่าเกินเกณฑ์ที่กําหนดไว้ล่วงหน้าและใช้ลายเซ็นที่อัปเดตเป็นประจําตามภัยคุกคามใหม่ ซึ่งรวมถึงการตรวจสอบระบบตลอด 24 ชั่วโมง

การเข้าถึงแบบลอจิคัล

การเข้าถึงเครือข่ายการผลิต Xoxoday ถูก จํากัด โดยพื้นฐานที่จําเป็นต้องรู้อย่างชัดเจนใช้สิทธิ์น้อยที่สุดได้รับการตรวจสอบและตรวจสอบบ่อยครั้งและถูกควบคุมโดยทีมปฏิบัติการของเรา พนักงานที่เข้าถึงเครือข่ายการผลิต Xoxoday จําเป็นต้องใช้ปัจจัยหลายประการในการรับรองความถูกต้อง

การเข้าถึงข้อมูลและระบบจะขึ้นอยู่กับหลักการของสิทธิ์น้อยที่สุดสําหรับการเข้าถึง โซลูชัน Identity and Access Management (IAM) ถูกกําหนดให้จัดการการเข้าถึงของผู้ใช้ผ่านโปรไฟล์การเข้าถึงตามบทบาทที่สนับสนุนการดําเนินการเข้าถึงตามหลักการที่จําเป็นต้องรู้พื้นฐานและสนับสนุนการแบ่งแยกหน้าที่ สิทธิ์พิเศษที่เกี่ยวข้องกับการดูแลสิทธิ์การเข้าถึงของผู้ใช้และการกําหนดค่าบทบาทจะแตกต่างจากผู้อนุมัติที่ได้รับอนุญาตที่อนุมัติการร้องขอการเข้าถึง ผู้อนุมัติเป็นหัวหน้าผลิตภัณฑ์หรือหัวหน้าหน้าที่ที่เกี่ยวข้องเป็นผู้มีอํานาจ 

การจัดการเหตุการณ์ด้านความปลอดภัยและการละเมิด

ในกรณีที่มีการแจ้งเตือนระบบเหตุการณ์จะเพิ่มขึ้นเป็นทีม 24/7 ของเราที่ให้การดําเนินงานวิศวกรรมเครือข่ายและความปลอดภัย พนักงานได้รับการฝึกอบรมเกี่ยวกับกระบวนการแก้ไขปัญหาด้านความปลอดภัย รวมถึงช่องทางการสื่อสารและเส้นทางการยกระดับ

Xoxoday ได้กําหนดกระบวนการจัดการเหตุการณ์ด้านความปลอดภัยเพื่อจัดประเภทและจัดการเหตุการณ์และการละเมิดความปลอดภัย ทีมรักษาความปลอดภัยข้อมูลมีหน้าที่ในการบันทึกรายงานติดตามตอบสนองแก้ไขติดตามรายงานและสื่อสารเหตุการณ์ไปยังฝ่ายที่เหมาะสมทันที กระบวนการนี้ได้รับการตรวจสอบเป็นส่วนหนึ่งของการตรวจสอบภายในเป็นระยะของเราและได้รับการตรวจสอบเป็นส่วนหนึ่งของการประเมิน ISO 27001 และ SOC 2 Type II

การเข้ารหัส

การเข้ารหัสระหว่างการขนส่งและส่วนที่เหลือ

ข้อมูลจะถูกเข้ารหัสผ่าน HTTPS/TLS มาตรฐานอุตสาหกรรม (TLS 1.2 หรือสูงกว่า) ผ่านเครือข่ายสาธารณะ สิ่งนี้ทําให้มั่นใจได้ว่าการจราจรทั้งหมดระหว่างคุณและ Xoxoday มีความปลอดภัยในระหว่างการขนส่ง นอกจากนี้สําหรับอีเมลผลิตภัณฑ์ของเราใช้ประโยชน์จาก TLS ฉวยโอกาสโดยค่าเริ่มต้น 

Transport Layer Security (TLS) เข้ารหัสและส่งอีเมลอย่างปลอดภัยและบรรเทาการดักฟังระหว่างเซิร์ฟเวอร์อีเมลที่บริการเพียร์สนับสนุนโปรโตคอลนี้ ข้อยกเว้นสําหรับการเข้ารหัสอาจรวมถึงการใช้ฟังก์ชัน SMS ในผลิตภัณฑ์แอพการรวมหรือบริการอื่น ๆ ของบุคคลที่สามที่สมาชิกอาจเลือกที่จะใช้ประโยชน์จากดุลยพินิจของตนเอง

ข้อมูลบริการจะถูกเข้ารหัสส่วนที่เหลือใน AWS โดยใช้การเข้ารหัสคีย์ AES-256

ความปลอดภัยของผลิตภัณฑ์

เราดําเนินการเพื่อพัฒนาและทดสอบภัยคุกคามด้านความปลอดภัยอย่างปลอดภัยเพื่อความปลอดภัยของข้อมูลลูกค้าของเรา เรารักษาวงจรชีวิตการพัฒนาที่ปลอดภัยซึ่งการฝึกอบรมนักพัฒนาของเราและการดําเนินการออกแบบและการตรวจสอบรหัสมีบทบาทหลัก นอกจากนี้ Xoxoday ยังจ้างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของบุคคลที่สามเพื่อทําการทดสอบการเจาะอย่างละเอียดในการใช้งานที่แตกต่างกัน

ความปลอดภัยของเครือข่าย

ผลิตภัณฑ์ Xoxoday โฮสต์บนแพลตฟอร์ม AWS และ MS Azure ของ Amazon พนักงาน Xoxoday ไม่สามารถเข้าถึงสภาพแวดล้อมการผลิตของเราได้ ในฐานะลูกค้า Amazon และ Azure เราจะได้รับประโยชน์จากศูนย์ข้อมูลและสถาปัตยกรรมเครือข่ายที่สร้างขึ้นเพื่อตอบสนองความต้องการขององค์กรที่ให้ความสําคัญกับความปลอดภัยมากที่สุด

ศูนย์ข้อมูลตั้งอยู่ในสถานที่ที่ไม่มีคําอธิบายด้วยคานควบคุมปริมณฑลระดับทหารพร้อมเจ้าหน้าที่รักษาความปลอดภัยมืออาชีพที่ใช้การเฝ้าระวังวิดีโอระบบตรวจจับการบุกรุกที่ทันสมัยและวิธีการทางอิเล็กทรอนิกส์อื่น ๆ

นอกเหนือจากความปลอดภัยทางกายภาพแล้วแพลตฟอร์มคลาวด์ยังให้การป้องกันที่สําคัญต่อความปลอดภัยของเครือข่ายแบบดั้งเดิม

การพัฒนาที่ปลอดภัย (SDLC)

การฝึกอบรมรหัสที่ปลอดภัย - อย่างน้อยทุกปีวิศวกรมีส่วนร่วมในการฝึกอบรมรหัสที่ปลอดภัยซึ่งครอบคลุมความเสี่ยงด้านความปลอดภัย OWASP Top 10 เวกเตอร์การโจมตีทั่วไป

การเข้าถึงที่ปลอดภัย - เซิร์ฟเวอร์แอปพลิเคชันของ Xoxoday มี HTTPS ที่ปลอดภัยทั้งหมด เราใช้การเข้ารหัสมาตรฐานอุตสาหกรรมสําหรับการท่องข้อมูลไปและกลับจากเซิร์ฟเวอร์แอปพลิเคชัน

การประกันคุณภาพ (QA)

แผนกประกันคุณภาพ (QA) ของเราตรวจสอบและทดสอบฐานรหัสของเรา วิศวกรรักษาความปลอดภัยแอปพลิเคชันโดยเฉพาะเกี่ยวกับพนักงานระบุทดสอบและช่องโหว่ด้านความปลอดภัย triage ในรหัส

สภาพแวดล้อมที่แยกจากกัน

สภาพแวดล้อมการทดสอบและการจัดเตรียมจะถูกแยกออกจากสภาพแวดล้อมการผลิตอย่างมีเหตุผล ไม่มีการใช้ข้อมูลบริการในสภาพแวดล้อมการพัฒนาหรือทดสอบของเรา

ความปลอดภัยของโปรแกรมประยุกต์

เพื่อให้แน่ใจว่าเราปกป้องข้อมูลที่มอบให้กับเรา เราใช้การควบคุมความปลอดภัยที่หลากหลาย การควบคุมความปลอดภัย Xoxoday ได้รับการออกแบบมาเพื่อให้พนักงานมีประสิทธิภาพสูงโดยไม่มีสิ่งกีดขวางบนถนนเทียมในขณะที่ลดความเสี่ยง

Xoxoday มีทีมรักษาความปลอดภัยเต็มเวลาโดยเฉพาะเพื่อจัดการและปรับปรุงความปลอดภัยของเราอย่างต่อเนื่อง ทีมงานปกป้องโครงสร้างพื้นฐานเครือข่ายและข้อมูลของ Xoxoday (รวมถึงข้อมูลของลูกค้าของเรา)

นอกเหนือจากส่วนประกอบด้านความปลอดภัยที่ผู้ให้บริการคลาวด์ระดับสูงของเรา (MS Azure และ AWS) ของเราจัดหาให้แล้ว Xoxoday ยังรักษาการควบคุมเฉพาะของตนเองโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม 

การควบคุมเหล่านี้ครอบคลุมการโจมตี DDoS การป้องกัน DB และไฟร์วอลล์เว็บแอปพลิเคชันเฉพาะรวมถึงกฎที่ละเอียดของไฟร์วอลล์เครือข่ายที่กําหนดค่าโดยใช้มาตรฐานอุตสาหกรรมสูงสุด

ความปลอดภัยของโฮสต์

คีย์ SSH จะต้องได้รับคอนโซลเข้าถึงเซิร์ฟเวอร์ของเราและการเข้าสู่ระบบแต่ละครั้งจะถูกระบุโดยผู้ใช้ การดําเนินการที่สําคัญทั้งหมดจะถูกบันทึกไปยังเซิร์ฟเวอร์บันทึกกลางและเซิร์ฟเวอร์ของเราสามารถเข้าถึงได้จาก IP ที่ถูก จํากัด และปลอดภัยเท่านั้น

โฮสต์จะถูกแบ่งเป็นส่วนๆ และการเข้าถึงจะถูกจํากัดตามฟังก์ชันการทํางาน คําขอแอปพลิเคชันได้รับอนุญาตจาก AWS ELB เท่านั้น และเซิร์ฟเวอร์ฐานข้อมูลสามารถเข้าถึงได้จากเซิร์ฟเวอร์แอปพลิเคชันเท่านั้น

นโยบายรหัสผ่าน

เราได้เปิดใช้งานนโยบายรหัสผ่านและรหัสผ่านจะถูกเก็บไว้หลังจากการเข้ารหัสเพื่อความปลอดภัยสูงสุดของข้อมูล รหัสผ่านต้องมีอย่างน้อย 8 ตัวอักษรและต้องมีตัวอักษรพิมพ์ใหญ่อย่างน้อยหนึ่งตัวอักขระพิเศษระหว่าง '# $ % * *&' และตัวเลขหนึ่งหลัก

ไฟร์วอลล์โปรแกรมประยุกต์บนเว็บ (WAF)

ไฟร์วอลล์เว็บแอปพลิเคชันเฉพาะของเราทําหน้าที่เป็นอุปสรรคที่แข็งแกร่งในการปกป้องแอปพลิเคชันและไมโครเซอร์วิสของ Xoxoday มันบังคับใช้การควบคุมความปลอดภัยเช่นการกําหนดค่า TLS ที่แข็งตัว (HSTS การเข้ารหัสที่แข็งแกร่งและอัลกอริทึมการแฮช) การป้องกันโดยรวมจากกิจกรรมที่เป็นอันตราย (การตรวจจับชื่อเสียง IP ที่ไม่ดีการตรวจสอบความสมบูรณ์ของเบราว์เซอร์กฎ WAF) และกฎจํากัดอัตราหลายข้อที่ป้องกันไม่ให้ส่งแบบฟอร์มอัตโนมัติบนปลายทางที่สําคัญ (การโจมตีเดารหัสผ่าน)

การคุ้มครองข้อมูลบัตรเครดิต

Xoxoday ไม่จัดเก็บประมวลผลหรือรวบรวมข้อมูลบัตรเครดิตที่ลูกค้าส่งถึงเรา เราใช้ประโยชน์จากผู้ให้บริการการชําระเงินที่เชื่อถือได้และเป็นไปตาม PCI เพื่อให้แน่ใจว่าข้อมูลบัตรเครดิตของลูกค้าได้รับการประมวลผลอย่างปลอดภัยและเป็นไปตามกฎระเบียบและมาตรฐานอุตสาหกรรมที่เหมาะสม

เกตเวย์การชําระเงินทั้งหมดของเราเป็นไปตามมาตรฐาน PCI DSS

ความพร้อมใช้งานและความต่อเนื่องทางธุรกิจ

Xoxoday รักษาโปรแกรมกู้คืนความเสียหายเพื่อให้แน่ใจว่าบริการยังคงพร้อมใช้งานหรือกู้คืนได้ง่ายในกรณีที่เกิดภัยพิบัติ ลูกค้าสามารถติดตามปัญหาความพร้อมใช้งานผ่านเว็บไซต์สถานะที่เปิดเผยต่อสาธารณะซึ่งครอบคลุมประวัติการบํารุงรักษาและเหตุการณ์การบริการตามกําหนดเวลา

แผน BCP และ DR ได้รับการทดสอบและตรวจสอบทุกปี แผน Xoxoday BCP และ DR ได้รับการตรวจสอบและตรวจสอบเป็นส่วนหนึ่งของมาตรฐาน ISO 27001 และ SOC 2 Type II ครอบคลุมความพร้อมใช้งานเป็นหนึ่งในหลักการบริการที่เชื่อถือได้

การดําเนินงานด้านการบริหาร

Xoxoday ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้สามารถเข้าถึงการดําเนินการด้านการดูแลระบบของเราทั้งโครงสร้างพื้นฐานและบริการ เรามั่นใจว่าสิทธิพิเศษของผู้ดูแลระบบจะได้รับแก่พนักงานเพียงไม่กี่คน นอกจากนี้การใช้การเข้าถึงตามบทบาทของเราช่วยให้มั่นใจได้ว่าผู้ใช้สามารถดําเนินการได้ตามนโยบายการควบคุมการเข้าถึง

การเข้าถึงระดับผู้ดูแลทั้งหมดจะถูกบันทึกและตรวจสอบโดยอัตโนมัติโดยทีมรักษาความปลอดภัยภายในของเรา ข้อมูลรายละเอียดเกี่ยวกับเวลาและเหตุผลที่ดําเนินการจะถูกจัดทําเป็นเอกสารและแจ้งให้ทีมรักษาความปลอดภัยทราบก่อนที่จะทําการเปลี่ยนแปลงใด ๆ ในสภาพแวดล้อมการผลิต

Xoxoday ได้ปรับใช้เครือข่ายเทคโนโลยีสารสนเทศเพื่ออํานวยความสะดวกทางธุรกิจและทําให้มีประสิทธิภาพมากขึ้นสําหรับความเสี่ยงต่างๆ หลักการ และข้อกําหนดมาตรฐานเพื่อให้มั่นใจว่าการปกป้องข้อมูลบนเครือข่ายที่เหมาะสมได้รับการดูแลรักษาและยั่งยืน  

ความปลอดภัยของทรัพยากรบุคคล

การรับรู้ความปลอดภัย - นโยบาย 

Xoxoday ได้พัฒนาชุดนโยบายความปลอดภัยที่ครอบคลุมซึ่งครอบคลุมหัวข้อต่างๆ นโยบายเหล่านี้แบ่งปันและพร้อมใช้งานสําหรับพนักงานและผู้รับเหมาทุกคนที่สามารถเข้าถึงสินทรัพย์ข้อมูล Xoxoday

การฝึกอบรมการรับรู้ 

พนักงานแต่ละคนเมื่อได้รับการชักนําให้ลงนามในข้อตกลงการรักษาความลับและนโยบายการใช้งานที่ยอมรับได้หลังจากนั้นพวกเขาได้รับการฝึกอบรมด้านความปลอดภัยของข้อมูลความเป็นส่วนตัวและการปฏิบัติตามกฎระเบียบ นอกจากนี้เรายังประเมินความเข้าใจของพวกเขาผ่านการทดสอบและแบบทดสอบเพื่อกําหนดหัวข้อที่พวกเขาต้องการการฝึกอบรมเพิ่มเติม เราให้การฝึกอบรมเกี่ยวกับด้านเฉพาะของการรักษาความปลอดภัยที่พวกเขาอาจต้องการตามบทบาทของพวกเขา

การตรวจสอบพนักงาน

พนักงานแต่ละคนผ่านกระบวนการตรวจสอบประวัติ เราจ้างหน่วยงานภายนอกที่มีชื่อเสียงเพื่อทําการตรวจสอบนี้ในนามของเรา เราทําเช่นนี้เพื่อตรวจสอบประวัติอาชญากรรมบันทึกการจ้างงานก่อนหน้านี้ถ้ามีและวุฒิการศึกษา พนักงานจะไม่ได้รับมอบหมายงานที่อาจก่อให้เกิดความเสี่ยงต่อผู้ใช้จนกว่าจะมีการตรวจสอบนี้

ข้อตกลงการไม่เปิดเผยข้อมูล

พนักงานใหม่ทุกคนจะต้องลงนามในข้อตกลงการไม่เปิดเผยข้อมูลและการรักษาความลับ พนักงานตกลงอย่างชัดแจ้งว่าจะไม่ใช้ข้อมูลที่เป็นความลับที่บริษัทให้ไว้ในการพัฒนาหรือส่งมอบหรือเพื่อประโยชน์ส่วนตัวจากการจัดหาผลิตภัณฑ์หรือบริการใด ๆ สําหรับบัญชีของตนเองหรือสําหรับบัญชีของบุคคลที่สาม