al estar del lado del servidor los datos puede estar tanto en XML como en una base de datos, mientras los mismos no sean accesibles desde el document_root del sitio son seguros, XML no te proporciona ninguna noción de seguridad eso depende de la correcta configuración y manipulación de los datos.