Sicherheit

Als ein Unternehmen, das die ISO 27001, SOC 2 Typ II, CCPA, GDPR und HIPAA-Zertifikate erreicht hat, verstehen wir die entscheidende Bedeutung der Informationssicherheit in der heutigen digitalen Landschaft. Die zunehmende Häufigkeit und Sophistizierung von Cyberangriffen verdeutlicht die Notwendigkeit für Unternehmen, Sicherheitsmaßnahmen zu priorisieren, um ihre Daten zu schützen und das Vertrauen und die Zuversicht ihrer Kunden zu gewährleisten. Durch die Implementierung von branchenüblichen Sicherheitsmaßnahmen und Best Practices demonstrieren wir unser unermüdliches Engagement für den Schutz sensibler Informationen und die Wahrung der Integrität unserer Betriebsabläufe. Wir sind stolz auf die strengen Sicherheitsprotokolle, die wir etabliert haben, und sind bestrebt, die höchsten Standards von Sicherheitsexzellenz aufrechtzuerhalten.

Wie wurde dies erreicht?

Als Organisation verstehen wir die Bedeutung der Einhaltung von Sicherheitspraktiken und -standards. Deshalb nutzen wir Automatisierungsplattformen für Sicherheit und Compliance, um sicherzustellen, dass wir kontinuierlich konform sind und die relevanten Sicherheitsprotokolle einhalten.

Wir haben eine zentralisierte Plattform, die die Bewertung und Überwachung verschiedener Sicherheitskontrollen und -verfahren automatisiert. Durch die Integration mit unseren bestehenden Systemen und Werkzeugen bieten unsere Plattformen uns einen umfassenden Überblick über unsere Sicherheitslage, identifizieren potenzielle Probleme und stellen sicher, dass wir immer auf dem neuesten Stand bezüglich der neuesten Sicherheitsprotokolle und Branchenstandards sind. Dies gibt uns das Vertrauen, dass wir branchenübliche Best Practices befolgen und eine sichere Umgebung für unsere Kunden und Interessengruppen bieten.

Was passiert, wenn etwas aus der Compliance fällt?

Wenn etwas aus der Compliance fällt, würde unsere Compliance-Automatisierungsplattform das Problem sofort feststellen und uns alarmieren. Dadurch könnten wir umgehend Maßnahmen ergreifen, um das Problem zu beheben und schnell wieder in die Compliance zu gelangen. Durch die Nutzung einer solchen Compliance-Automatisierungsplattform können wir unsere Compliance-Verpflichtungen im Blick behalten und proaktive Schritte ergreifen, um sicherzustellen, dass wir weiterhin konform mit den relevanten Sicherheitspraktiken und -standards sind. Dies gibt uns das Vertrauen, dass wir unseren Kunden und Interessengruppen eine sichere Umgebung bieten und hilft uns, unseren Ruf als zuverlässige und vertrauenswürdige Organisation aufrechtzuerhalten.

Verfahren & Kontrollen

Gesicherte Richtlinien & Verfahren

Schriftliche Informationssicherheitsrichtlinien und -verfahren stellen sicher, dass das Unternehmen dokumentierte und getestete Kontrollen eingeführt hat, um die Daten der Kunden zu schützen und wirksam auf Sicherheitsvorfälle zu reagieren.

Schwachstellen & Penetrationstests

Regelmäßige Schwachstellen- und Penetrationstests helfen, potenzielle Sicherheitsanfälligkeiten zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Cal.com unterzieht sich jährlich einem externen Penetrationstest unserer Webanwendung durch einen Dritten, um mögliche Sicherheitsanfälligkeiten zu identifizieren, was uns dann ermöglicht, diese Probleme intern anzusprechen und umgehend zu beheben. Ein offizieller Bericht wird für Cal.com erstellt, in dem bestätigt wird, dass die gefundenen Probleme nun behoben sind. Wir führen auch regelmäßige interne Penetrationstests durch. Zusätzlich setzen wir automatisierte Schwachstellenscans innerhalb unseres Codes und seiner Abhängigkeiten ein.

Datenverschlüsselung

Die Verschlüsselung sensibler Daten hilft sicherzustellen, dass die Daten nicht von unbefugten Parteien erreicht oder gelesen werden können. Eine verschlüsselte Datenbank ermöglicht es den Kunden, sich sicher zu fühlen, wenn sie unser Produkt verwenden, da sie die Daten sowohl während der Übertragung als auch im Ruhemodus schützt.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung hilft, unbefugten Zugriff auf die Systeme des Unternehmens zu verhindern, was helfen kann, die Daten der Kunden vor Diebstahl oder Manipulation zu schützen.

Sichere Entwicklungslebenszyklus

Die Multi-Faktor-Authentifizierung hilft, unbefugten Zugriff auf die Systeme des Unternehmens zu verhindern, was helfen kann, die Daten der Kunden vor Diebstahl oder Manipulation zu schützen. Alle Änderungen an unserem Code werden durch Branchenschutz geschützt, was bedeutet, dass eine neue Codeänderung in die Produktion nur dann gepusht werden kann, wenn die Codeänderung von einem anderen Ingenieur genehmigt wurde und die Codeänderung eine Reihe automatisierter Tests bestanden hat, die auf Sicherheitsprobleme prüfen, die durch den Code oder dessen Abhängigkeiten eingeführt werden, sowie End-to-End-Tests und mehr. So können keine böswilligen Akteure, egal ob intern oder extern bei Cal.com, schädlichen Code aufgrund unseres sicheren Prüfprozesses pushen.

Überwachung

Die fortlaufende Überwachung von Systemzugriffprotokollen und Netzwerkverkehr hilft, potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren, was die Wahrscheinlichkeit verringert, dass die Daten der Kunden kompromittiert werden.

Mitarbeiterschulung & Bewusstsein

Regelmäßige Schulungs- und Sensibilisierungsprogramme für Mitarbeiter helfen sicherzustellen, dass sie dafür ausgestattet sind, die Daten der Kunden sicher zu behandeln, was die Wahrscheinlichkeit menschlicher Fehler oder absichtlicher Datenverletzungen verringert. Wir legen großen Wert darauf, dass diese sofort von allen neuen Mitarbeitern abgeschlossen werden und jährlich von allen bestehenden Mitarbeitern durchgeführt werden.

Zugriffskontrollen & Hintergrundprüfungen

Zugriffskontrollen und Hintergrundprüfungen für Mitarbeiter, Drittanbieter und Dienstleister helfen sicherzustellen, dass sie vertrauenswürdig sind und sich darauf verlassen lassen, die Daten der Kunden sicher zu behandeln. Hintergrundprüfungen werden für alle neuen Einstellungen durchgeführt, die das Unternehmen möglicherweise vornimmt, als Möglichkeit für Cal.com, Vertrauen in die Mitarbeiter zu etablieren, die wir einstellen. Darüber hinaus ist es wichtig, den Zugriff auf Anwendungen auf bestimmte Anwendungen zu beschränken, um konform zu bleiben. Jedes Quartal überprüfen wir den Anwendungszugriff und die Zugriffslevels für alle Mitarbeiter, um sicherzustellen, dass sie nur Zugriff auf Anwendungen haben, die erforderlich sind, um ihre Aufgaben zu erfüllen.

Drittanbieter-Audits und Bewertungen

Regelmäßige Drittanbieter-Audits und Bewertungen bieten eine unabhängige Validierung der Wirksamkeit der Informationssicherheitskontrollen und -verfahren des Unternehmens und geben den Kunden das Vertrauen, dass ihre Daten sicher behandelt werden.

Einbruchserkennung

Cal.com nutzt Einbruchserkennungssysteme, um unsere Systeme kontinuierlich auf potenzielle Bedrohungen zu überwachen, die jederzeit auftreten können. Frühe Kenntnisse über potenzielle Bedrohungen ermöglichen es uns, schnell und effizient zu handeln, um zu verhindern, dass Bedrohungen kurz- oder langfristige Probleme verursachen.

Schwachstellendrohung

Bei Cal.com betrachten wir die Sicherheit unserer Systeme als oberste Priorität. Aber egal, wie viel Mühe wir in die Systemsicherheit stecken, es können dennoch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, möchten wir darüber informiert werden, damit wir Maßnahmen ergreifen können, um sie so schnell wie möglich zu beheben. Wir möchten Sie bitten, uns zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Vom Geltungsbereich ausgeschlossene Schwachstellen:

• Klickbetrug.

• Cross-Site Request Forgery (CSRF)

• Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern.

• Jede Aktivität, die zu einer Störung unseres Dienstes führen könnte (DoS).

• Inhaltsspoofing und Textinjektionsprobleme, ohne einen Angriffsvektor zu zeigen/ohne die Möglichkeit, HTML/CSS zu ändern.

• SPF-E-Mail-Spoofing

• Fehlende DNSSEC-, CAA-, CSP-Header

• Fehlendes Secure- oder nur-HTTP-Flag bei nicht sensiblen Cookies

• Tote Links

• Alles, was mit DNS oder E-Mail-Sicherheit zu tun hat

• Rate Limiting

• XSS (Cross-Site Scripting)

Hinweis: Cal.com behält sich das Recht vor, jede gemeldete Schwachstelle als außerhalb des Geltungsbereichs zu kennzeichnen.

Was zu tun ist und was nicht zu tun ist

• Führen Sie keine automatisierten Scanner auf unserer Infrastruktur oder unserem Dashboard aus. Wenn Sie dies wünschen, kontaktieren Sie uns und wir richten eine Sandbox für Sie ein.

• Nutzen Sie die Schwachstelle oder das Problem, das Sie entdeckt haben, nicht aus, zum Beispiel indem Sie mehr Daten herunterladen als nötig, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder ändern.

• Geben Sie das Problem nicht weiter, bis es gelöst ist.

• Verwenden Sie keine Angriffe auf physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Dritten.

Wie man eine Schwachstelle meldet

Sie können Schwachstellen hier melden: https://github.com/calcom/cal.com/security/advisories. Sobald wir Ihre E-Mail erhalten haben, kann es zu einer Verzögerung bei unserer Rückmeldung kommen, während unser Team das Problem triagiert.

Bitte geben Sie genügend Informationen an, um das Problem zu reproduzieren, damit wir es schnellstmöglich beheben können. In der Regel genügt die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle, aber komplexe Schwachstellen können eine weitere Erklärung erfordern.

• Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht unternehmen.

• Wir behandeln Ihren Bericht vertraulich und geben Ihre persönlichen Daten ohne Ihre Erlaubnis nicht an Dritte weiter.

• Wir halten Sie über den Fortschritt der Problemlösung informiert.

• Im öffentlichen Informationen zu dem gemeldeten Problem werden wir Ihren Namen als Entdecker des Problems angeben (es sei denn, Sie wünschen etwas anderes).

• Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und möchten eine aktive Rolle bei der ultimativen Veröffentlichung des Problems nach dessen Behebung spielen.