Sicherheit

Compliance

Zugriff auf Compliance-Dokumente, Zertifizierungen und Datenschutzvereinbarungen

Sicherheit

Als ein Unternehmen, das ISO 27001, SOC 2 Typ II, CCPA, GDPR und HIPAA Zertifizierungen erreicht hat, verstehen wir die entscheidende Bedeutung von Informationssicherheit im heutigen digitalen Umfeld. Die zunehmende Häufigkeit und Komplexität von Cyberangriffen unterstreicht die Notwendigkeit für Unternehmen, Sicherheit zu priorisieren, um ihre Daten zu schützen und das Vertrauen und die Zuversicht ihrer Kunden zu gewährleisten. Durch die Implementierung von branchenüblichen Sicherheitsmaßnahmen und Best Practices zeigen wir unser unerschütterliches Engagement für den Schutz sensibler Informationen und die Wahrung der Integrität unserer Abläufe. Wir sind stolz auf die strengen Sicherheitsprotokolle, die wir eingeführt haben und widmen uns der Aufrechterhaltung der höchsten Standards der Sicherheitsqualität.

Wie wurde dies erreicht?

Als Organisation verstehen wir die Bedeutung der Einhaltung von Sicherheitspraktiken und Standards. Deshalb nutzen wir Sicherheits- und Compliance-Automatisierungsplattformen, um sicherzustellen, dass wir kontinuierlich konform sind und die relevanten Sicherheitsprotokolle einhalten.

Wir haben eine zentrale Plattform, die die Bewertung und Überwachung verschiedener Sicherheitskontrollen und -verfahren automatisiert. Indem wir sie in unsere bestehenden Systeme und Tools integrieren, bieten uns unsere Plattformen einen umfassenden Überblick über unsere Sicherheitslage, indem sie potenzielle Probleme identifizieren und sicherstellen, dass wir immer mit den neuesten Sicherheitsprotokollen und Industriestandards auf dem Laufenden sind. Dies gibt uns das Vertrauen, dass wir den besten Praktiken der Branche folgen und eine sichere Umgebung für unsere Kunden und Stakeholder bereitstellen.

Was passiert, wenn etwas nicht mehr konform ist?

Wenn etwas nicht mehr konform wäre, würde unsere Compliance-Automatisierungsplattform das Problem erkennen und uns sofort benachrichtigen. Dies würde uns ermöglichen, schnell Maßnahmen zu ergreifen, um das Problem zu beheben und schnell wieder konform zu werden. Durch den Einsatz einer solchen Compliance-Automatisierungsplattform können wir unsere Compliance-Verpflichtungen stets erfüllen und proaktive Schritte unternehmen, um sicherzustellen, dass wir konform mit den relevanten Sicherheitspraktiken und Standards bleiben. Dies gibt uns die Sicherheit, dass wir eine sichere Umgebung für unsere Kunden und Stakeholder bereitstellen und hilft uns, unseren Ruf als zuverlässige und vertrauenswürdige Organisation aufrechtzuerhalten.

Verfahren & Kontrollen

Sichere Richtlinien & Verfahren

Schriftliche Informationssicherheitsrichtlinien und -verfahren gewährleisten, dass das Unternehmen dokumentierte und getestete Kontrollen inplace hat, um Kundendaten zu schützen und Sicherheitsvorfälle effektiv zu bewältigen.

Verwundbarkeits- & Penetrationstests

Regelmäßige Verwundbarkeits- und Penetrationstests helfen dabei, potenzielle Sicherheitslücken zu erkennen und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Cal.com unterzieht sich jährlich einem externen Penetrationstest unserer Webanwendung durch Dritte, um etwaige Sicherheitslücken zu identifizieren, die dann intern behoben werden. Ein offizieller Bericht wird an Cal.com gestellt, der besagt, dass die gefundenen Probleme jetzt behoben sind. Wir führen auch regelmäßig interne Penetrationstests durch. Außerdem nutzen wir automatisierte Verwundbarkeitsscans innerhalb unseres Codes und dessen Abhängigkeiten.

Datenverschlüsselung

Die Verschlüsselung sensibler Daten hilft sicherzustellen, dass die Daten nicht von Unbefugten eingesehen oder gelesen werden können. Die Verschlüsselung unserer Datenbank ermöglicht es Kunden, sich sicher zu fühlen bei der Nutzung unseres Produkts, da es Daten beim Übergang oder im Ruhezustand schützt.

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung hilft, unbefugten Zugriff auf die Systeme des Unternehmens zu verhindern, was dazu beitragen kann, Kundendaten vor Diebstahl oder Manipulation zu schützen.

Sicherer Entwicklungslebenszyklus

Multi-Faktor-Authentifizierung hilft, unbefugten Zugriff auf die Systeme des Unternehmens zu verhindern, was dazu beitragen kann, Kundendaten vor Diebstahl oder Manipulation zu schützen. Alle Änderungen an unserem Code sind durch Zweigschutz geschützt, was bedeutet, dass um eine neue Codeänderung in die Produktion zu bringen, die Codeänderung von einem anderen Ingenieur genehmigt werden muss und eine Reihe automatisierter Tests, die nach durch den Code oder dessen Abhängigkeiten eingeführten Sicherheitsproblemen suchen, bestehen muss, sowie End-to-End-Tests und mehr. Auf diese Weise können keine schlechten Akteure intern oder extern zu Cal.com bösartigen Code einschleusen aufgrund unseres sicheren Prüfungsprozesses.

Überwachung

Die fortlaufende Überwachung von Systemzugriffslogs und Netzwerkverkehr hilft, potenzielle Sicherheitsvorfälle zu erkennen und zu reagieren, was die Wahrscheinlichkeit von kompromittierten Kundendaten verringert.

Schulung & Bewusstsein der Mitarbeiter

Regelmäßige Schulungen und Bewusstseinsprogramme für Mitarbeiter helfen sicherzustellen, dass sie in der Lage sind, Kundendaten sicher zu handhaben, was die Wahrscheinlichkeit von menschlichem Fehler oder absichtlichen Datenverletzungen verringert. Wir legen Wert darauf, dass diese sofort für alle neuen Mitarbeiter abgeschlossen werden und jährlich für alle Bestandsmitarbeiter durchgeführt werden.

Zugangskontrollen & Hintergrundüberprüfungen

Zugangskontrollen und Hintergrundüberprüfungen für Mitarbeiter, Drittanbieter und Dienstleister helfen zu gewährleisten, dass sie vertrauenswürdig sind und sicher mit Kundendaten umgegangen werden kann. Hintergrundüberprüfungen werden für alle neuen Mitarbeiter des Unternehmens durchgeführt, um Vertrauen in den Mitarbeiter aufzubauen, den wir einstellen möchten. Zusätzlich ist es wichtig, den Zugang zu Anwendungen nur für bestimmte Anwendungen zu gewähren, um konform zu bleiben. Vierteljährlich überprüfen wir den Zugang zu Anwendungen und die Zugriffsebenen für alle Mitarbeitern, um sicherzustellen, dass sie nur für die für ihre Arbeitsrolle erforderlichen Anwendungen Zugang haben.

Drittanbieter-Prüfungen und Bewertungen

Regelmäßige Prüfungen und Bewertungen durch Dritte bieten eine unabhängige Validierung der Wirksamkeit der Informationssicherheitskontrollen und -verfahren des Unternehmens, was Kunden das Vertrauen gibt, dass ihre Daten sicher behandelt werden.

Eindringungserkennung

Cal.com nutzt Eindringungserkennungssysteme, um unsere Systeme kontinuierlich auf potenzielle Bedrohungen zu überwachen, die jederzeit auftreten können. Zu wissen, in den frühen Stadien, dass eine Bedrohung kritisch sein könnte, erlaubt uns, schnell und effizient zu handeln, um zu verhindern, dass Bedrohungen kurzfristige oder langfristige Probleme verursachen.

Offenlegung von Verwundbarkeiten

Bei Cal.com betrachten wir die Sicherheit unserer Systeme als oberste Priorität. Dennoch können, egal wie viel Aufwand wir in die Systemsicherheit stecken, immer noch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir Schritte unternehmen können, um diese so schnell wie möglich zu beheben. Wir möchten Sie bitten, uns dabei zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Außerhalb des Umfangs liegende Schwachstellen:

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Angriffe, die MITM oder physischen Zugriff auf ein Gerät eines Benutzers erfordern.

• Jegliche Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte (DoS).

• Inhaltsspoofing und Textinjektionsprobleme ohne Angriffsvektor/ohne Möglichkeit zur Änderung von HTML/CSS.

• SPF E-Mail-Spoofing

• Fehlende DNSSEC-, CAA-, CSP-Header

• Fehlen der sicheren oder HTTP-Only-Flagge für nicht sensible Cookies

• Deadlinks

• Alles, was mit DNS- oder E-Mail-Sicherheit zu tun hat

• Rate Limiting

• XSS (Cross-Site Scripting)

Hinweis: Cal.com behält sich das Recht vor, jede gemeldete Schwachstelle als außerhalb des Umfangs liegend zu kennzeichnen.

Was zu tun und was nicht zu tun

• Führen Sie keine automatisierten Scanner auf unserer Infrastruktur oder unserem Dashboard aus. Wenn Sie dies tun möchten, kontaktieren Sie uns und wir werden für Sie eine Sandbox einrichten.

• Nützen Sie die entdeckte Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise mehr Daten als notwendig herunterladen, um die Schwachstelle nachzuweisen, oder indem Sie Daten anderer Personen löschen oder modifizieren,

• Geben Sie das Problem nicht an andere weiter, bis es behoben ist,

• Verwenden Sie keine Angriffe auf physische Sicherheit, Social Engineering, verteilte Dienstverweigerung, Spam oder Anwendungen von Drittanbietern, und

Wie man eine Schwachstelle meldet

Sie können Schwachstellen hier melden: https://github.com/calcom/cal.com/security/advisories. Sobald wir Ihre E-Mail erhalten haben, kann es zu Verzögerungen kommen, während unser Team das Problem triagiert.

Bitte geben Sie ausreichend Informationen zur Reproduktion des Problems, damit wir es so schnell wie möglich lösen können. Im Allgemeinen reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen können zusätzliche Erklärungen erfordern.

• Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie hinsichtlich des Berichts unternehmen

• Wir werden Ihren Bericht mit strenger Vertraulichkeit behandeln und Ihre persönlichen Daten ohne Ihre Erlaubnis nicht an Dritte weitergeben

• Wir werden Sie über den Fortschritt zur Lösung des Problems informieren

• In den öffentlichen Informationen über das gemeldete Problem werden wir Ihren Namen als Entdecker des Problems angeben (es sei denn, Sie wünschen etwas anderes)

• Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung über das Problem spielen, nachdem es gelöst ist.