Seguridad

Como empresa que ha logrado las certificaciones ISO 27001, SOC 2 Tipo II, CCPA, GDPR y HIPAA, entendemos la importancia crítica de la seguridad de la información en el panorama digital actual. La creciente frecuencia y sofisticación de los ciberataques destacan la necesidad de que las empresas prioricen la seguridad para salvaguardar sus datos y garantizar la confianza y la credibilidad de sus clientes. Al implementar medidas de seguridad y mejores prácticas estándar en la industria, demostramos nuestro inquebrantable compromiso con la protección de la información sensible y la preservación de la integridad de nuestras operaciones. Nos enorgullecemos de los rigurosos protocolos de seguridad que tenemos en su lugar y estamos dedicados a mantener los más altos estándares de excelencia en seguridad.

¿Cómo se ha logrado esto?

Como organización, entendemos la importancia de mantener la conformidad con las prácticas y estándares de seguridad. Es por eso que utilizamos plataformas de automatización de seguridad y cumplimiento para asegurarnos de que nos mantenemos continuamente conformes y adherimos a los protocolos de seguridad relevantes.

Contamos con una plataforma centralizada que automatiza la evaluación y el monitoreo de varios controles y procedimientos de seguridad. Al integrarse con nuestros sistemas y herramientas existentes, nuestras plataformas nos proporcionan una vista completa de nuestra postura de seguridad, identificando cualquier problema potencial y asegurando que siempre estemos al día con los últimos protocolos de seguridad y estándares de la industria. Esto nos brinda la confianza de que estamos siguiendo las mejores prácticas de la industria y que estamos proporcionando un entorno seguro para nuestros clientes y partes interesadas.

¿Qué sucede si algo queda fuera de cumplimiento?

Si algo llegara a caer fuera de cumplimiento, nuestra plataforma de automatización de cumplimiento detectaría el problema y nos alertaría de inmediato. Esto nos permitiría tomar medidas rápidas para abordar el problema y volver a la conformidad rápidamente. Al usar una plataforma de automatización de cumplimiento como esta, podemos mantenernos al tanto de nuestras obligaciones de cumplimiento y tomar medidas proactivas para garantizar que permanezcamos conformes con las prácticas y estándares de seguridad relevantes. Esto nos da la confianza de que estamos proporcionando un entorno seguro para nuestros clientes y partes interesadas y nos ayuda a mantener nuestra reputación como una organización confiable y digna de confianza.

Procedimientos y controles

Políticas y procedimientos seguros

Las políticas y procedimientos de seguridad de la información por escrito aseguran que la empresa tenga controles documentados y probados para proteger los datos de los clientes y responder a los incidentes de seguridad de manera efectiva.

Pruebas de vulnerabilidad y penetración

Las pruebas periódicas de vulnerabilidad y penetración ayudan a identificar y abordar debilidades de seguridad potenciales antes de que puedan ser explotadas por atacantes. Cal.com se somete a una prueba de penetración externa de nuestra aplicación web anualmente por parte de un tercero para identificar cualquier vulnerabilidad de seguridad que podamos tener, esto nos permitirá entonces plantear estos problemas internamente y remediarlos de inmediato. Se crea un informe oficial para Cal.com indicando que los problemas encontrados están ahora corregidos. También realizamos pruebas de penetración internas regulares. Además, empleamos un escaneo de vulnerabilidades automatizado dentro de nuestro código y sus dependencias.

Cifrado de datos

El cifrado de datos sensibles ayuda a garantizar que los datos no puedan ser accedidos ni leídos por partes no autorizadas. Tener nuestra base de datos cifrada permite a los clientes sentirse seguros al usar nuestro producto, ya que protege los datos en tránsito o en reposo.

Autenticación multifactor

La autenticación multifactor ayuda a prevenir el acceso no autorizado a los sistemas de la empresa, lo que puede contribuir a proteger los datos de los clientes de robo o manipulación.

Ciclo de vida de desarrollo seguro

La autenticación multifactor ayuda a prevenir el acceso no autorizado a los sistemas de la empresa, lo que puede contribuir a proteger los datos de los clientes de robo o manipulación. Todos los cambios en nuestra base de código están protegidos con protección de ramas, lo que significa que para poder enviar un nuevo cambio de código a producción, el cambio de código debe haber sido aprobado por otro ingeniero, así como el cambio de código tiene que pasar una serie de pruebas automatizadas que chequean si hay problemas de seguridad introducidos por el código o sus dependencias, así como pruebas de extremo a extremo y más. De esta manera, ningún actor malintencionado interno o externo a Cal.com puede enviar código malicioso debido a nuestro proceso de revisiones seguro.

Monitoreo

El monitoreo continuo de los registros de acceso del sistema y del tráfico de red ayuda a detectar y responder a incidentes de seguridad potenciales, reduciendo la probabilidad de que los datos del cliente sean comprometidos.

Capacitación y concienciación de empleados

Los programas de capacitación y concienciación regulares para los empleados ayudan a garantizar que estén capacitados para manejar los datos de los clientes de manera segura, reduciendo la probabilidad de errores humanos o brechas de datos intencionadas. Hacemos que sea una prioridad que estos se completen de inmediato para todos los nuevos empleados y se completen anualmente para todos los empleados existentes.

Controles de acceso y verificaciones de antecedentes

Los controles de acceso y las verificaciones de antecedentes para empleados, proveedores externos y prestadores de servicios ayudan a garantizar que sean confiables y que se pueda contar con ellos para manejar los datos de los clientes de manera segura. Se realizan verificaciones de antecedentes a todos los nuevos contratados que la empresa puede realizar como una forma para que Cal.com establezca confianza en el empleado que elegimos contratar. Además, otorgar acceso solo a aplicaciones específicas es importante para mantenerse conforme. Cada trimestre revisamos el acceso a aplicaciones y los niveles de acceso para todos los empleados para asegurarnos de que solo tengan acceso a las aplicaciones que son necesarias para desempeñar su rol laboral.

Auditorías y evaluaciones de terceros

Las auditorías y evaluaciones de terceros regulares proporcionan una validación independiente de la efectividad de los controles y procedimientos de seguridad de la información de la empresa, proporcionando a los clientes la confianza de que sus datos están siendo manejados de forma segura.

Detección de intrusiones

Cal.com utiliza sistemas de detección de intrusiones para monitorear continuamente nuestros sistemas en busca de amenazas potenciales que puedan ocurrir en cualquier momento. Saber en las primeras etapas que una amenaza podría ser crítica nos permite actuar rápida y eficientemente para prevenir que cualquier amenaza cause problemas a corto o largo plazo.

Divulgación de vulnerabilidades

En Cal.com, consideramos que la seguridad de nuestros sistemas es una prioridad principal. Pero no importa cuánto esfuerzo pongamos en la seguridad del sistema, todavía pueden estar presentes vulnerabilidades.

Si descubre una vulnerabilidad, nos gustaría saber sobre ella para que podamos tomar medidas para abordarla lo más rápido posible. Nos gustaría pedirle que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera de alcance:

• Clickjacking.

• Falsificación de solicitud entre sitios (CSRF)

• ataques que requieren MITM o acceso físico al dispositivo de un usuario.

• Cualquier actividad que pudiera llevar a la interrupción de nuestro servicio (DoS).

• Suplantación de contenido y problemas de inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.

• Suplantación de correo electrónico SPF

• Falta de DNSSEC, CAA, cabeceras CSP

• Falta de la bandera Segura o solo HTTP en las cookies no sensibles

• Enlaces rotos

• Cualquier cosa relacionada con la seguridad de DNS o correo electrónico

• Limitación de velocidad

• XSS (Cross-Site Scripting)

Nota: Cal.com se reserva el derecho de designar cualquier vulnerabilidad reportada como fuera de alcance.

Qué hacer y qué no hacer

• No ejecute escáneres automáticos en nuestra infraestructura o panel de control. Si desea hacerlo, contáctenos y configuraremos un sandbox para usted.

• No aproveche la vulnerabilidad o el problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando datos de otras personas.

• No revele el problema a otros hasta que haya sido resuelto.

• No utilice ataques a la seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros, y

Cómo reportar una vulnerabilidad

Puede reportar vulnerabilidades aquí: https://github.com/calcom/cal.com/security/advisories. Una vez que hayamos recibido su correo electrónico, puede haber un retraso en responderle mientras nuestro equipo analiza el problema.

Proporcione suficiente información para reproducir el problema, para que podamos resolverlo lo más rápido posible. Por lo general, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir una explicación adicional.

• Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal en su contra respecto al informe

• Manejaremos su informe con estricta confidencialidad y no pasaremos sus datos personales a terceros sin su permiso

• Lo mantendremos informado del progreso hacia la resolución del problema

• En la información pública relacionada con el problema reportado, daremos su nombre como el descubridor del problema (a menos que desee lo contrario)

• Nos esforzamos por resolver todos los problemas lo más rápido posible, y nos gustaría desempeñar un papel activo en la publicación final del problema una vez sea resuelto.