Sicurezza

Conformità

Accedi ai documenti di conformità, alle certificazioni e agli accordi di protezione dei dati

Sicurezza

Come azienda che ha ottenuto le certificazioni ISO 27001, SOC 2 Tipo II, CCPA, GDPR e HIPAA, comprendiamo l'importanza fondamentale della sicurezza delle informazioni nell'attuale panorama digitale. La crescente frequenza e sofisticazione degli attacchi informatici sottolinea la necessità per le aziende di dare priorità alla sicurezza per proteggere i propri dati e garantire la fiducia e la sicurezza dei propri clienti. Implementando misure di sicurezza standard e migliori pratiche del settore, dimostriamo il nostro impegno incrollabile verso la protezione delle informazioni sensibili e la preservazione dell'integrità delle nostre operazioni. Siamo orgogliosi dei rigorosi protocolli di sicurezza che abbiamo in atto e ci dedichiamo a mantenere i più alti standard di eccellenza in sicurezza.

Come è stato raggiunto?

Come organizzazione, comprendiamo l'importanza di mantenere la conformità con le pratiche e gli standard di sicurezza. Per questo utilizziamo piattaforme di automazione della sicurezza e della conformità per assicurarci di rimanere continuamente conformi e di aderire ai protocolli di sicurezza pertinenti.

Abbiamo una piattaforma centralizzata che automatizza la valutazione e il monitoraggio di vari controlli e procedure di sicurezza. Integrando con i nostri sistemi e strumenti esistenti, le nostre piattaforme ci forniscono una visione completa della nostra postura di sicurezza, identificando eventuali problemi potenziali e assicurandoci di essere sempre aggiornati con gli ultimi protocolli di sicurezza e standard del settore. Questo ci dà la fiducia che stiamo seguendo le migliori pratiche del settore e che stiamo fornendo un ambiente sicuro per i nostri clienti e stakeholder.

Cosa succede se qualcosa diventa non conforme?

Se qualcosa dovesse cadere fuori dalla conformità, la nostra piattaforma di automazione della conformità rileverà il problema e ci avviserà immediatamente. Questo ci permette di agire prontamente per affrontare il problema e tornare rapidamente nella conformità. Utilizzando una piattaforma di automazione della conformità come questa, possiamo rimanere aggiornati con i nostri obblighi di conformità e prendere misure proattive per assicurarci di rimanere conformi alle pratiche e agli standard di sicurezza pertinenti. Questo ci dà la fiducia che stiamo fornendo un ambiente sicuro per i nostri clienti e stakeholder e ci aiuta a mantenere la nostra reputazione come organizzazione affidabile e degna di fiducia.

Procedure e controlli

Politiche e procedure sicure

Le politiche e procedure di sicurezza delle informazioni scritte garantiscono che l'azienda abbia controlli documentati e testati per proteggere i dati dei clienti e rispondere efficacemente agli incidenti di sicurezza.

Test di vulnerabilità e penetrazione

I test regolari di vulnerabilità e penetrazione aiutano a identificare e affrontare potenziali debolezze di sicurezza prima che possano essere sfruttate dagli attaccanti. Cal.com si sottopone annualmente a un test di penetrazione esterno della nostra applicazione web da parte di un terzo per identificare eventuali vulnerabilità di sicurezza che potremmo avere, il che ci consente di sollevare questi problemi internamente e risolverli immediatamente. Un rapporto ufficiale è creato per Cal.com che attesta che i problemi riscontrati sono stati risolti. Inoltre, conduciamo regolarmente test di penetrazione interni. Impieghiamo anche la scansione automatizzata delle vulnerabilità nel nostro codice e nelle sue dipendenze.

Crittografia dei dati

La crittografia dei dati sensibili aiuta a garantire che i dati non possano essere accessibili o letti da parti non autorizzate. La crittografia del nostro database consente ai clienti di sentirsi al sicuro quando utilizzano il nostro prodotto in quanto protegge i dati durante il trasferimento o quando sono a riposo.

Autenticazione multi-fattore

L'autenticazione multi-fattore aiuta a prevenire l'accesso non autorizzato ai sistemi dell'azienda, il che può aiutare a proteggere i dati dei clienti da furti o manomissioni.

Ciclo di vita di sviluppo sicuro

L'autenticazione multi-fattore aiuta a prevenire l'accesso non autorizzato ai sistemi dell'azienda, il che può aiutare a proteggere i dati dei clienti da furti o manomissioni. Tutte le modifiche al nostro codice sono protette con protezione delle branche, il che significa che per essere in grado di apportare una nuova modifica al codice in produzione, la modifica del codice deve essere stata approvata da un altro ingegnere, oltre a dover superare una serie di test automatizzati che verificano eventuali problemi di sicurezza introdotti dal codice o dalle sue dipendenze, oltre ai test end-to-end e altro. In questo modo, nessun attore malintenzionato interno o esterno a Cal.com può inserire codice dannoso grazie al nostro processo di revisione sicuro.

Monitoraggio

Il monitoraggio continuo dei log di accesso al sistema e del traffico di rete aiuta a rilevare e rispondere a potenziali incidenti di sicurezza, riducendo la probabilità che i dati dei clienti siano compromessi.

Formazione e consapevolezza dei dipendenti

I programmi di formazione e di sensibilizzazione regolari per i dipendenti aiutano a garantire che siano attrezzati per gestire i dati dei clienti in modo sicuro, riducendo la probabilità di errori umani o violazioni intenzionali dei dati. Facciamo in modo che queste siano completate immediatamente per tutti i nuovi dipendenti e completate annualmente per tutti i dipendenti esistenti.

Controlli di accesso e controlli di background

I controlli di accesso e i controlli di background per i dipendenti, i fornitori terzi e i fornitori di servizi aiutano a garantire che siano affidabili e possano essere considerati affidabili per gestire i dati dei clienti in modo sicuro. I controlli di background vengono effettuati su tutte le nuove assunzioni che l'azienda può effettuare come modo per Cal.com di stabilire fiducia nel dipendente che stiamo scegliendo di assumere. Inoltre, è importante dare accesso alle applicazioni solo per particolari applicazioni per rimanere conformi. Ogni trimestre esaminiamo l'accesso alle applicazioni e i livelli di accesso per tutti i dipendenti per assicurarci che abbiano solo accesso alle applicazioni necessarie per svolgere il loro ruolo lavorativo.

Audit e valutazioni di terze parti

Gli audit e le valutazioni regolari di terze parti forniscono una validazione indipendente dell'efficacia dei controlli e delle procedure di sicurezza delle informazioni dell'azienda, fornendo ai clienti la fiducia che i loro dati siano gestiti in modo sicuro.

Rilevamento delle intrusioni

Cal.com utilizza sistemi di rilevamento delle intrusioni per monitorare continuamente i nostri sistemi in cerca di minacce potenziali che possono avvenire in qualsiasi momento. Sapere nelle fasi iniziali che una minaccia potrebbe essere critica ci permette di agire rapidamente ed efficientemente per impedire che le minacce causino problemi a breve o lungo termine.

Divulgazione delle vulnerabilità

Da Cal.com, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Ma, indipendentemente da quanto sforzo mettiamo nella sicurezza del sistema, ci possono comunque essere vulnerabilità presenti.

Se scopri una vulnerabilità, ci piacerebbe saperlo in modo da poter prendere misure per affrontarla il più rapidamente possibile. Ti chiediamo di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori ambito:

• Clickjacking.

• Richiesta cross-site forgery (CSRF)

• Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente.

• Qualsiasi attività che potrebbe portare alla interruzione del nostro servizio (DoS).

• Problemi di spoofing dei contenuti e iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS.

• Spoofing Email SPF

• Mancanza di header DNSSEC, CAA, CSP

• Mancanza di flag Secure o HTTP solo su cookie non sensibili

• Link morti

• Qualsiasi cosa relativa alla sicurezza DNS o email

• Limitazione delle velocità

• XSS (Cross-Site Scripting)

Nota: Cal.com si riserva il diritto di designare qualsiasi vulnerabilità segnalata come fuori ambito.

Cosa fare e cosa non fare

• Non eseguire scanner automatizzati sulla nostra infrastruttura o dashboard. Se desideri farlo, contattaci e ti allestiremo un sandbox.

• Non approfittarti della vulnerabilità o problema che hai scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellare o modificare i dati di altre persone,

• Non rivelare il problema ad altri finché non è stato risolto,

• Non utilizzare attacchi sulla sicurezza fisica, ingegneria sociale, negazione distribuita del servizio, spam o applicazioni di terze parti, e

Come segnalare una vulnerabilità

Puoi segnalare vulnerabilità qui: https://github.com/calcom/cal.com/security/advisories. Una volta ricevuta la tua email, potrebbe esserci un ritardo nel risponderti mentre il nostro team valuta il problema.

Fornisci informazioni sufficienti per riprodurre il problema, in modo da poter risolverlo il più velocemente possibile. Di solito, l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità saranno sufficienti, ma le vulnerabilità complesse potrebbero richiedere ulteriori spiegazioni.

• Se hai seguito le istruzioni sopra, non intraprenderemo alcuna azione legale contro di te riguardo alla segnalazione

• Tratteremo il tuo report con la massima riservatezza e non trasmetteremo i tuoi dati personali a terze parti senza il tuo permesso

• Ti terremo informato sui progressi verso la risoluzione del problema

• Nelle informazioni pubbliche riguardanti il problema segnalato, ti nomineremo come scopritore del problema (a meno che tu non desideri diversamente)

• Ci impegniamo a risolvere tutti i problemi il più rapidamente possibile e vorremmo partecipare attivamente alla pubblicazione finale del problema una volta risolto.