Sécurité

Conformité

Accédez aux documents de conformité, aux certifications et aux accords de protection des données

Sécurité

En tant qu'entreprise ayant obtenu les certifications ISO 27001, SOC 2 Type II, CCPA, GDPR et HIPAA, nous comprenons l'importance cruciale de la sécurité de l'information à l'ère numérique d'aujourd'hui. La fréquence croissante et la sophistication des cyberattaques soulignent la nécessité pour les entreprises de donner la priorité à la sécurité pour protéger leurs données et garantir la confiance et la confiance de leurs clients. En mettant en œuvre des mesures de sécurité et des pratiques exemplaires conformes aux normes du secteur, nous démontrons notre engagement indéfectible envers la protection des informations sensibles et la préservation de l'intégrité de nos opérations. Nous sommes fiers des protocoles de sécurité rigoureux que nous avons mis en place et nous nous engageons à maintenir les normes les plus élevées d'excellence en matière de sécurité.

Comment cela a-t-il été accompli ?

En tant qu'organisation, nous comprenons l'importance de maintenir la conformité avec les pratiques et les normes de sécurité. C'est pourquoi nous utilisons des plateformes d'automatisation de la sécurité et de la conformité pour garantir notre conformité continue et notre adhérence aux protocoles de sécurité pertinents.

Nous disposons d'une plateforme centralisée qui automatise l'évaluation et la surveillance de divers contrôles et procédures de sécurité. En nous intégrant à nos systèmes et outils existants, nos plateformes nous fournissent une vue d'ensemble de notre posture de sécurité, identifiant les problèmes potentiels et garantissant notre conformité avec les derniers protocoles de sécurité et normes du secteur. Cela nous donne la confiance que nous suivons les pratiques exemplaires de l'industrie et que nous fournissons un environnement sécurisé pour nos clients et partenaires.

Que se passe-t-il si quelque chose devient non-conforme ?

Si quelque chose venait à ne plus être conforme, notre plateforme d'automatisation de la conformité détecterait le problème et nous alerterait immédiatement. Cela nous permettrait d'agir rapidement pour résoudre le problème et revenir en conformité rapidement. En utilisant une plateforme d'automatisation de la conformité comme celle-ci, nous pouvons rester au-dessus de nos obligations de conformité et prendre des mesures proactives pour garantir que nous restons en conformité avec les pratiques et normes de sécurité pertinentes. Cela nous donne la confiance que nous fournissons un environnement sécurisé pour nos clients et partenaires et nous aide à maintenir notre réputation en tant qu'organisation fiable et digne de confiance.

Procédures & contrôles

Politiques & procédures sécurisées

Des politiques et procédures de sécurité de l'information écrites garantissent que l'entreprise dispose de contrôles documentés et testés pour protéger les données client et répondre efficacement aux incidents de sécurité.

Tests de vulnérabilité & pénétration

Des tests réguliers de vulnérabilité et de pénétration aident à identifier et à traiter les faiblesses potentielles de sécurité avant qu'elles ne puissent être exploitées par des attaquants. Cal.com subit un test de pénétration externe de notre application web chaque année par une tierce partie pour identifier toute vulnérabilité de sécurité que nous pourrions avoir. Cela nous permet alors d'augmenter ces problèmes en interne et de les rectifier immédiatement. Un rapport officiel est créé pour Cal.com indiquant que les problèmes constatés sont maintenant résolus. Nous effectuons également des tests de pénétration internes réguliers. Nous employons également des analyses automatiques de vulnérabilités au sein de notre code et de ses dépendances.

Chiffrement des données

Le chiffrement des données sensibles aide à garantir que ces données ne peuvent pas être accessibles ou lues par des parties non autorisées. Le chiffrement de notre base de données permet aux clients de se sentir en sécurité lorsqu'ils utilisent notre produit car il protège les données en transit ou au repos.

Authentification multi-facteurs

L'authentification multi-facteurs aide à prévenir l'accès non autorisé aux systèmes de l'entreprise, ce qui peut aider à protéger les données des clients contre le vol ou la falsification.

Cycle de vie du développement sécurisé

L'authentification multi-facteurs aide à prévenir l'accès non autorisé aux systèmes de l'entreprise, ce qui peut aider à protéger les données des clients contre le vol ou la falsification. Toutes les modifications apportées à notre codebase sont protégées par une protection de branche, ce qui signifie que pour pouvoir pousser une nouvelle modification de code en production, la modification de code doit avoir été approuvée par un autre ingénieur, ainsi que la modification de code doit passer un nombre de tests automatiques qui vérifient les problèmes de sécurité introduits par le code ou ses dépendances, ainsi que des tests de bout en bout et plus encore. De cette façon, ni les mauvais acteurs internes ou externes à Cal.com ne peuvent repousser du code malveillant grâce à notre processus de révisions sécurisées.

Surveillance

La surveillance continue des journaux d'accès système et du trafic réseau aide à détecter et à répondre aux incidents de sécurité potentiels, réduisant la probabilité que les données clients soient compromises.

Formation & sensibilisation des employés

Des programmes réguliers de formation et de sensibilisation pour les employés aident à garantir qu'ils sont équipés pour gérer les données des clients de manière sécurisée, réduisant la probabilité d'erreurs humaines ou de violations intentionnelles des données. Nous faisons de cela une priorité pour qu'ils soient complétés tout de suite pour tous les nouveaux employés et complétés annuellement pour tous les employés existants.

Contrôles d'accès & vérifications des antécédents

Les contrôles d'accès et les vérifications des antécédents pour les employés, les fournisseurs tiers et les prestataires de services aident à garantir qu'ils sont dignes de confiance et peuvent être comptés sur pour manipuler les données des clients de manière sécurisée. Les vérifications des antécédents sont effectuées sur toutes les nouvelles embauches que l'entreprise peut effectuer en tant que moyen pour Cal.com d'établir la confiance dans l'employé que nous choisissons d'embaucher. De plus, ne donner l'accès aux applications que pour des applications particulières est important pour rester en conformité. Chaque trimestre, nous examinons l'accès aux applications et les niveaux d'accès pour tous les employés afin de nous assurer qu'ils n'ont accès qu'aux applications nécessaires à l'exercice de leur fonction.

Audits et évaluations tiers

Des audits et évaluations réguliers tiers fournissent une validation indépendante de l'efficacité des contrôles et procédures de sécurité de l'information de l'entreprise, offrant aux clients l'assurance que leurs données sont manipulées de manière sécurisée.

Détection d'intrusion

Cal.com utilise des systèmes de détection d'intrusion pour surveiller en continu nos systèmes pour des menaces potentielles qui pourraient survenir à tout moment. Savoir dès les premiers stades qu'une menace pourrait être critique nous permet d'agir rapidement et efficacement pour empêcher toute menace de causer des problèmes à court ou à long terme.

Divulgation des vulnérabilités

Chez Cal.com, nous considérons la sécurité de nos systèmes comme une priorité absolue. Mais peu importe combien d'efforts nous mettons dans la sécurité du système, des vulnérabilités peuvent encore être présentes.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin que nous puissions prendre des mesures pour la corriger aussi rapidement que possible. Nous vous demandons de nous aider à mieux protéger nos clients et nos systèmes.

Vulnérabilités hors du champ d'application :

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Attaques nécessitant une interception man-in-the-middle ou un accès physique à l'appareil d'un utilisateur.

• Toute activité pouvant conduire à la perturbation de notre service (DoS).

• Spoofing de contenu et problèmes d'injection de texte sans montrer un vecteur d'attaque/sans pouvoir modifier HTML/CSS.

• Usurpation d'email SPF

• Absence de DNSSEC, CAA, en-têtes CSP

• Absence de drapeau Secure ou uniquement HTTP sur les cookies non sensibles

• Liens morts

• Tout ce qui concerne la sécurité DNS ou email

• Limitation de débit

• XSS (Cross-Site Scripting)

Note : Cal.com se réserve le droit de désigner toute vulnérabilité signalée comme hors du champ.

Que faire et ne pas faire

• Ne pas exécuter de scanners automatisés sur notre infrastructure ou tableau de bord. Si vous souhaitez faire cela, contactez-nous et nous mettrons en place un bac à sable pour vous.

• Ne pas profiter de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autres personnes,

• Ne pas dévoiler le problème à d'autres avant qu'il ne soit résolu,

• Ne pas utiliser des attaques sur la sécurité physique, l'ingénierie sociale, le déni de service distribué, le spam ou les applications de tiers, et

Comment signaler une vulnérabilité

Vous pouvez signaler des vulnérabilités ici : https://github.com/calcom/cal.com/security/advisories. Une fois que nous avons reçu votre email, il peut y avoir un délai avant que nous ne revenions vers vous pendant que notre équipe classe l'incident.

Veuillez fournir des informations suffisantes pour reproduire le problème, afin que nous puissions le résoudre aussi rapidement que possible. Habituellement, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffiront, mais des vulnérabilités complexes peuvent nécessiter plus d'explications.

• Si vous avez suivi les instructions ci-dessus, nous n'engagerons aucune action en justice contre vous concernant le rapport

• Nous traiterons votre rapport avec une stricte confidentialité et ne transmettrons pas vos informations personnelles à des tiers sans votre permission

• Nous vous tiendrons informé des progrès vers la résolution du problème

• Dans les informations publiques concernant le problème signalé, nous citerons votre nom comme le découvreur du problème (sauf si vous souhaitez le contraire)

• Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous aimerions jouer un rôle actif dans la publication finale sur le problème une fois celui-ci résolu.