Seguridad

Conformidad

Acceder a documentos de conformidad, certificaciones y acuerdos de protección de datos

Seguridad

Como una empresa que ha logrado certificaciones ISO 27001, SOC 2 Tipo II, CCPA, GDPR y HIPAA, entendemos la importancia crítica de la seguridad de la información en el panorama digital actual. La creciente frecuencia y sofisticación de los ciberataques resaltan la necesidad de que las empresas prioricen la seguridad para proteger sus datos y asegurar la confianza de sus clientes. Al implementar medidas de seguridad estándar de la industria y mejores prácticas, demostramos nuestro firme compromiso con la protección de la información sensible y la preservación de la integridad de nuestras operaciones. Nos enorgullece tener protocolos de seguridad rigurosos y estamos dedicados a mantener los más altos estándares de excelencia en seguridad.

¿Cómo se ha logrado esto?

Como organización, entendemos la importancia de mantener la conformidad con las prácticas y estándares de seguridad. Es por eso que utilizamos plataformas de automatización de seguridad y conformidad para asegurar que permanezcamos continuamente en conformidad y cumplamos con los protocolos de seguridad relevantes.

Contamos con una plataforma centralizada que automatiza la evaluación y el monitoreo de diversos controles y procedimientos de seguridad. Al integrarse con nuestros sistemas y herramientas existentes, nuestras plataformas nos proporcionan una visión completa de nuestra postura de seguridad, identificando posibles problemas y asegurando que siempre estemos actualizados con los últimos protocolos de seguridad y estándares de la industria. Esto nos da confianza de que estamos siguiendo las mejores prácticas de la industria y de que estamos proporcionando un entorno seguro para nuestros clientes y partes interesadas.

¿Qué sucede si algo está fuera de conformidad?

Si algo llegara a no cumplir con la conformidad, nuestra plataforma de automatización de conformidad detectaría el problema y nos alertaría de inmediato. Esto nos permitiría tomar medidas rápidas para abordar el problema y volver a la conformidad rápidamente. Al usar una plataforma de automatización de conformidad como esta, podemos mantenernos al tanto de nuestras obligaciones de conformidad y tomar medidas proactivas para asegurar que permanezcamos conformes con las prácticas y estándares de seguridad relevantes. Esto nos da confianza de que estamos proporcionando un entorno seguro para nuestros clientes y partes interesadas y nos ayuda a mantener nuestra reputación como una organización confiable y digna de confianza.

Procedimientos y controles

Políticas y procedimientos seguros

Las políticas y procedimientos de seguridad de la información escritos aseguran que la empresa tenga controles documentados y probados para proteger los datos de los clientes y responder efectivamente a incidentes de seguridad.

Pruebas de vulnerabilidad y penetración

Las pruebas regulares de vulnerabilidad y penetración ayudan a identificar y abordar posibles debilidades de seguridad antes de que puedan ser explotadas por atacantes. Cal.com se somete anualmente a una prueba de penetración externa de nuestra aplicación web por parte de un tercero para identificar cualquier vulnerabilidad de seguridad que podamos tener, lo que nos permite luego abordar estos problemas internamente y remediarlos de inmediato. Se crea un informe oficial para Cal.com que indica que los problemas encontrados ya están resueltos. También realizamos pruebas internas de penetración regularmente. Además, empleamos escaneos automáticos de vulnerabilidades dentro de nuestro código y sus dependencias.

Cifrado de datos

El cifrado de datos sensibles ayuda a garantizar que los datos no puedan ser accedidos o leídos por partes no autorizadas. Tener nuestra base de datos cifrada permite a los clientes sentirse seguros al usar nuestro producto al salvaguardar los datos en tránsito o en reposo.

Autenticación multifactor

La autenticación multifactor ayuda a prevenir el acceso no autorizado a los sistemas de la empresa, lo que puede ayudar a proteger los datos de los clientes contra robos o manipulaciones.

Ciclo de vida de desarrollo seguro

La autenticación multifactor ayuda a prevenir el acceso no autorizado a los sistemas de la empresa, lo que puede ayudar a proteger los datos de los clientes contra robos o manipulaciones. Todos los cambios en nuestra base de código están protegidos con protección de rama, lo que significa que para poder aplicar un nuevo cambio de código a producción, el cambio de código debe haber sido aprobado por otro ingeniero, y también el cambio de código debe pasar una serie de pruebas automatizadas que verifican los problemas de seguridad introducidos por el código o sus dependencias, así como pruebas de extremo a extremo y más. De esta manera, ningún actor malintencionado interno o externo a Cal.com puede implementar código malicioso gracias a nuestro proceso de revisiones seguro.

Monitoreo

El monitoreo continuo de los registros de acceso del sistema y del tráfico de la red ayuda a detectar y responder a posibles incidentes de seguridad, reduciendo la probabilidad de que los datos de los clientes sean comprometidos.

Capacitación y concienciación de los empleados

Los programas regulares de capacitación y concienciación para empleados ayudan a asegurar que estén equipados para manejar los datos de los clientes de manera segura, reduciendo la probabilidad de errores humanos o violaciones intencionales de datos. Hacemos una prioridad que estos se completen de inmediato para todos los nuevos empleados y se completen anualmente para todos los empleados existentes.

Controles de acceso y verificaciones de antecedentes

Los controles de acceso y las verificaciones de antecedentes para empleados, proveedores externos y proveedores de servicios ayudan a garantizar que sean confiables y puedan ser considerados para manejar los datos de los clientes de manera segura. Se realizan verificaciones de antecedentes a todos los nuevos contratados que la empresa pueda llevar a cabo como una forma para que Cal.com establezca confianza en el empleado que estamos eligiendo contratar. Además, solo dar acceso a aplicaciones para aplicaciones particulares es importante para mantener la conformidad. Cada trimestre revisamos el acceso a las aplicaciones y los niveles de acceso para todos los empleados para asegurarnos de que solo tengan acceso a las aplicaciones que se requieren para realizar su función laboral.

Auditorías y evaluaciones de terceros

Las auditorías y evaluaciones regulares de terceros proporcionan una validación independiente de la efectividad de los controles y procedimientos de seguridad de la información de la empresa, brindando a los clientes la confianza de que sus datos están siendo manejados de manera segura.

Detección de intrusiones

Cal.com utiliza sistemas de detección de intrusiones para monitorear continuamente nuestros sistemas en busca de amenazas potenciales que puedan ocurrir en cualquier momento. Conocer en las primeras etapas que una amenaza podría ser crítica nos permite actuar rápida y eficientemente para prevenir que las amenazas causen problemas a corto o largo plazo.

Divulgación de vulnerabilidades

En Cal.com, consideramos la seguridad de nuestros sistemas una prioridad principal. Pero no importa cuánto esfuerzo pongamos en la seguridad del sistema, aún pueden estar presentes vulnerabilidades.

Si descubres una vulnerabilidad, nos gustaría saberlo para que podamos tomar medidas para abordarla lo más rápido posible. Nos gustaría pedirte que nos ayudes a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera del alcance:

• Clickjacking.

• Falsificación de solicitud entre sitios (CSRF)

• Ataques que requieren MITM o acceso físico al dispositivo de un usuario.

• Cualquier actividad que pueda llevar a la interrupción de nuestro servicio (DoS).

• Falsificación de contenido y problemas de inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.

• Suplantación de correo electrónico SPF

• Falta de DNSSEC, encabezados CAA, CSP

• Falta de bandera Segura o solo HTTP en cookies no sensibles

• Enlaces muertos

• Cualquier cosa relacionada con la seguridad DNS o de correo electrónico

• Limitación de tasa

• XSS (Cross-Site Scripting)

Nota: Cal.com se reserva el derecho de designar cualquier vulnerabilidad reportada como fuera del alcance.

Qué hacer y qué no hacer

• No ejecutes escáneres automatizados en nuestra infraestructura o panel. Si deseas hacer esto, contáctanos y configuraremos un entorno seguro para ti.

• No te aproveches de la vulnerabilidad o problema que hayas descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando datos de otras personas,

• No reveles el problema a otros hasta que haya sido resuelto,

• No utilices ataques a la seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros, y

Cómo reportar una vulnerabilidad

Puedes reportar vulnerabilidades aquí: https://github.com/calcom/cal.com/security/advisories. Una vez que hayamos recibido tu correo electrónico, puede haber un retraso en responder mientras nuestro equipo evalúa el problema.

Por favor, proporciona suficiente información para reproducir el problema, para que podamos resolverlo lo más rápido posible. Generalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir una explicación adicional.

• Si has seguido las instrucciones anteriores, no tomaremos acciones legales en tu contra en relación con el informe

• Manejaremos tu informe con estricta confidencialidad y no pasaremos tus datos personales a terceros sin tu permiso

• Te mantendremos informado sobre el progreso hacia la resolución del problema

• En la información pública sobre el problema reportado, te mencionaremos como el descubridor del problema (a menos que desees lo contrario)

• Nuestro objetivo es resolver todos los problemas lo más rápido posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema una vez que se resuelva.