Sécurité

En tant qu'entreprise ayant obtenu les certifications ISO 27001, SOC 2 Type II, CCPA, GDPR et HIPAA, nous comprenons l'importance cruciale de la sécurité de l'information dans le paysage numérique d'aujourd'hui. La fréquence et la sophistication croissantes des cyberattaques soulignent la nécessité pour les entreprises de donner la priorité à la sécurité afin de protéger leurs données et de garantir la confiance et la certitude de leurs clients. En mettant en œuvre des mesures de sécurité conformes aux normes de l'industrie et des meilleures pratiques, nous démontrons notre engagement indéfectible à la protection des informations sensibles et à la préservation de l'intégrité de nos opérations. Nous sommes fiers des protocoles de sécurité rigoureux que nous avons en place et nous nous consacrons à maintenir les plus hauts standards d'excellence en matière de sécurité.

Comment cela a-t-il été accompli ?

En tant qu'organisation, nous comprenons l'importance de maintenir la conformité avec les pratiques et normes de sécurité. C'est pourquoi nous utilisons des plateformes d'automatisation de la sécurité et de la conformité pour assurer que nous restons continuellement conformes et adhérons aux protocoles de sécurité pertinents.

Nous avons une plateforme centralisée qui automatise l'évaluation et la surveillance de divers contrôles et procédures de sécurité. En intégrant nos systèmes et outils existants, nos plateformes nous fournissent une vue d'ensemble complète de notre posture de sécurité, identifiant les problèmes potentiels et garantissant que nous sommes toujours à jour avec les derniers protocoles de sécurité et les normes de l'industrie. Cela nous donne la confiance que nous suivons les meilleures pratiques de l'industrie et que nous offrons un environnement sécurisé pour nos clients et parties prenantes.

Que se passe-t-il si quelque chose devient non conforme ?

Si quelque chose venait à tomber en non-conformité, notre plateforme d'automatisation de la conformité détecterait le problème et nous alerterait immédiatement. Cela nous permettrait d'agir rapidement pour résoudre le problème et revenir à la conformité rapidement. En utilisant une plateforme d'automatisation de la conformité comme celle-ci, nous pouvons garder le contrôle de nos obligations de conformité et prendre des mesures proactives pour garantir que nous restons conformes aux pratiques et aux normes de sécurité pertinentes. Cela nous donne la confiance que nous fournissons un environnement sécurisé pour nos clients et parties prenantes et nous aide à maintenir notre réputation d'organisation fiable et digne de confiance.

Procédures & contrôles

Politiques & procédures sécurisées

Les politiques et procédures de sécurité de l'information écrites garantissent que l'entreprise dispose de contrôles documentés et testés en place pour protéger les données des clients et répondre efficacement aux incidents de sécurité.

Tests de vulnérabilité & de pénétration

Des tests réguliers de vulnérabilité et de pénétration aident à identifier et à traiter les faiblesses potentielles de sécurité avant qu'elles ne puissent être exploitées par des attaquants. Cal.com subit un test de pénétration externe de notre application web chaque année par un tiers pour identifier les vulnérabilités de sécurité que nous pourrions avoir, ce qui nous permettra ensuite d'élever ces problèmes en interne et de les remédier immédiatement. Un rapport officiel est créé pour Cal.com indiquant que les problèmes trouvés sont désormais corrigés. Nous effectuons également des tests de pénétration internes réguliers. Nous utilisons également un scan automatique des vulnérabilités dans notre code et ses dépendances.

Chiffrement des données

Le chiffrement des données sensibles aide à garantir que les données ne peuvent pas être accessibles ou lues par des parties non autorisées. Avoir notre base de données chiffrée permet aux clients de se sentir en sécurité lors de l'utilisation de notre produit, car cela sauvegarde les données lorsqu'elles transitent ou sont au repos.

Authentification à plusieurs facteurs

L'authentification à plusieurs facteurs aide à prévenir l'accès non autorisé aux systèmes de l'entreprise, ce qui peut aider à protéger les données des clients contre le vol ou la manipulation.

Cycle de vie de développement sécurisé

L'authentification à plusieurs facteurs aide à prévenir l'accès non autorisé aux systèmes de l'entreprise, ce qui peut aider à protéger les données des clients contre le vol ou la manipulation. Tous les changements de notre code source sont protégés par une protection de branche, ce qui signifie que pour pouvoir pousser un nouveau changement de code en production, le changement de code doit avoir été approuvé par un autre ingénieur, ainsi que le changement de code doit réussir un certain nombre de tests automatisés qui vérifient les problèmes de sécurité introduits par le code ou ses dépendances, ainsi que des tests de bout en bout et plus encore. De cette manière, aucun acteur malveillant à l'intérieur ou à l'extérieur de Cal.com n'est en mesure de pousser un code malveillant en raison de notre processus de révision sécurisé.

Surveillance

La surveillance continue des journaux d'accès aux systèmes et du trafic réseau aide à détecter et à répondre à des incidents de sécurité potentiels, réduisant ainsi la probabilité que les données des clients soient compromises.

Formation des employés & sensibilisation

Des programmes réguliers de formation et de sensibilisation pour les employés aident à garantir qu'ils sont équipés pour gérer les données des clients en toute sécurité, réduisant ainsi la probabilité d'erreurs humaines ou de violations intentionnelles des données. Nous en faisons une priorité que ces programmes soient complétés immédiatement pour tous les nouveaux employés et effectués chaque année pour tous les employés existants.

Contrôles d'accès & vérifications des antécédents

Les contrôles d'accès et les vérifications des antécédents pour les employés, les fournisseurs tiers et les prestataires de services aident à garantir qu'ils sont dignes de confiance et peuvent être fiables pour traiter les données des clients en toute sécurité. Des vérifications des antécédents sont effectuées sur tous les nouvelles recrues que l'entreprise peut embaucher comme moyen pour Cal.com d'établir la confiance dans l'employé que nous choisissons d'embaucher. De plus, donner accès uniquement aux applications pour certaines applications est important pour rester conforme. Chaque trimestre, nous examinons les accès aux applications et les niveaux d'accès pour tous les employés afin de nous assurer qu'ils n'ont accès qu'aux applications nécessaires pour effectuer leur rôle professionnel.

Audits et évaluations tiers

Des audits et évaluations tiers réguliers fournissent une validation indépendante de l'efficacité des contrôles et procédures de sécurité de l'information de l'entreprise, fournissant aux clients la confiance que leurs données sont traitées en toute sécurité.

Détection d'intrusion

Cal.com utilise des systèmes de détection d'intrusion pour surveiller en continu nos systèmes pour des menaces potentielles qui peuvent survenir à tout moment. Savoir rapidement qu'une menace pourrait être critique nous permet d'agir rapidement et efficacement pour empêcher toute menace de causer des problèmes à court ou à long terme.

Divulgation des vulnérabilités

Chez Cal.com, nous considérons la sécurité de nos systèmes comme une priorité absolue. Mais peu importe combien d'efforts nous mettons dans la sécurité du système, il peut toujours y avoir des vulnérabilités présentes.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin que nous puissions prendre des mesures pour y remédier le plus rapidement possible. Nous souhaitons vous demander de nous aider à mieux protéger nos clients et nos systèmes.

Vulnérabilités hors champ :

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Attaques nécessitant un MITM ou un accès physique à l'appareil d'un utilisateur.

• Toute activité pouvant entraîner la perturbation de notre service (DoS).

• Problèmes de falsification de contenu et d'injection de texte sans montrer un vecteur d'attaque/sans être en mesure de modifier HTML/CSS.

• Falsification d'email SPF

• Absence de DNSSEC, CAA, en-têtes CSP

• Absence de drapeau Secure ou HTTP seulement sur des cookies non sensibles

• Liens morts

• Tout ce qui concerne la sécurité DNS ou email

• Limitation de fréquence

• XSS (Cross-Site Scripting)

Note : Cal.com se réserve le droit de désigner toute vulnérabilité signalée comme hors champ.

Que faire et que ne pas faire

• Ne pas exécuter de scanners automatiques sur notre infrastructure ou notre tableau de bord. Si vous souhaitez le faire, contactez-nous et nous mettrons en place un environnement de test pour vous.

• Ne pas tirer parti de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autres personnes,

• Ne pas révéler le problème à d'autres jusqu'à ce qu'il ait été résolu,

• Ne pas utiliser d'attaques sur la sécurité physique, l'ingénierie sociale, les dénis de service distribués, le spam ou des applications de tiers, et

Comment signaler une vulnérabilité

Vous pouvez signaler des vulnérabilités ici : https://github.com/calcom/cal.com/security/advisories. Une fois que nous aurons reçu votre email, il peut y avoir un délai pour vous répondre pendant que notre équipe évalue le problème.

Veuillez fournir suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffiront, mais des vulnérabilités complexes peuvent nécessiter des explications supplémentaires.

• Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune mesure légale contre vous concernant le rapport

• Nous traiterons votre rapport de manière stricte et confidentielle, sans transmettre vos données personnelles à des tiers sans votre permission

• Nous vous tiendrons informé de l'avancement de la résolution du problème

• Dans les informations publiques concernant le problème signalé, nous indiquerons votre nom en tant que découvreur du problème (sauf si vous le désirez autrement)

• Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible, et nous aimerions jouer un rôle actif dans la publication ultime sur le problème après qu'il ait été résolu.