Sicurezza

Come azienda che ha ottenuto le certificazioni ISO 27001, SOC 2 Type II, CCPA, GDPR e HIPAA, comprendiamo l'importanza critica della sicurezza delle informazioni nell'attuale panorama digitale. La frequenza e la sofisticatezza crescenti degli attacchi informatici evidenziano la necessità per le aziende di dare priorità alla sicurezza per proteggere i propri dati e garantire la fiducia e la confidenza dei propri clienti. Implementando misure di sicurezza e pratiche migliori, dimostriamo il nostro impegno costante per la protezione delle informazioni sensibili e la preservazione dell'integrità delle nostre operazioni. Siamo orgogliosi dei rigorosi protocolli di sicurezza che abbiamo in atto e siamo dedicati a mantenere i più alti standard di eccellenza nella sicurezza.

Come è stato realizzato questo?

Come organizzazione, comprendiamo l'importanza di mantenere la conformità con le pratiche e gli standard di sicurezza. È per questo che utilizziamo piattaforme di automazione della sicurezza e della conformità per assicurarci di rimanere continuamente conformi e di rispettare i pertinenti protocolli di sicurezza.

Abbiamo una piattaforma centralizzata che automatizza la valutazione e il monitoraggio di vari controlli e procedure di sicurezza. Integrando i nostri sistemi e strumenti esistenti, le nostre piattaforme ci forniscono una visione completa della nostra posizione di sicurezza, identificando eventuali problemi potenziali e garantendo che siamo sempre aggiornati con i più recenti protocolli di sicurezza e standard del settore. Questo ci dà la fiducia che stiamo seguendo le migliori pratiche del settore e che stiamo fornendo un ambiente sicuro per i nostri clienti e stakeholder.

Cosa succede se qualcosa diventa non conforme?

Se qualcosa dovesse diventare non conforme, la nostra piattaforma di automazione della conformità rileverebbe il problema e ci allerterebbe immediatamente. Questo ci consentirebbe di agire rapidamente per affrontare il problema e riconquistare la conformità in tempi brevi. Utilizzando una piattaforma di automazione della conformità come questa, possiamo rimanere al passo con i nostri obblighi di conformità e prendere misure proattive per garantire che rimaniamo conformi alle pratiche e standard di sicurezza pertinenti. Questo ci dà la fiducia che stiamo fornendo un ambiente sicuro per i nostri clienti e stakeholder e ci aiuta a mantenere la nostra reputazione come organizzazione affidabile e dignitosa di fiducia.

Procedure & controlli

Politiche e procedure sicure

Politiche e procedure di sicurezza delle informazioni scritte assicurano che l'azienda abbia controlli documentati e testati in atto per proteggere i dati dei clienti e rispondere efficacemente agli incidenti di sicurezza.

Test di vulnerabilità e penetrazione

I regolari test di vulnerabilità e penetrazione aiutano a identificare e affrontare potenziali debolezze di sicurezza prima che possano essere sfruttate dagli aggressori. Cal.com sottopone la propria applicazione web a un test di penetrazione esterno annualmente da parte di una terza parte per identificare eventuali vulnerabilità di sicurezza che potremmo avere. Questo ci permetterà quindi di sollevare internamente questi problemi e rimediare immediatamente. Un rapporto ufficiale è creato per Cal.com indicando che i problemi trovati sono ora risolti. Conduciamo anche test di penetrazione interni regolari. Inoltre, utilizziamo la scansione automatizzata delle vulnerabilità all'interno del nostro codice e delle sue dipendenze.

Criptazione dei dati

La criptazione dei dati sensibili aiuta a garantire che i dati non possano essere accessibili o letti da parti non autorizzate. Avere il nostro database criptato consente ai clienti di sentirsi sicuri quando usano il nostro prodotto, poiché protegge i dati in transito o a riposo.

Autenticazione a più fattori

L'autenticazione a più fattori aiuta a prevenire accessi non autorizzati ai sistemi dell'azienda, il che può aiutare a proteggere i dati dei clienti da furti o manomissioni.

Lifecycle di sviluppo sicuro

L'autenticazione a più fattori aiuta a prevenire accessi non autorizzati ai sistemi dell'azienda, il che può aiutare a proteggere i dati dei clienti da furti o manomissioni. Tutte le modifiche al nostro codice sorgente sono protette con protezione di ramo, il che significa che per poter caricare una nuova modifica del codice in produzione, la modifica del codice deve essere stata approvata da un altro ingegnere e la modifica del codice deve superare una serie di test automatizzati che verificano i problemi di sicurezza introdotti dal codice o dalle sue dipendenze, così come test end-to-end e altro ancora. In questo modo, nessun attore malintenzionato interno o esterno a Cal.com è in grado di caricare codice malevolo grazie al nostro processo di revisione sicura.

Monitoraggio

Il monitoraggio continuo dei log di accesso di sistema e del traffico di rete aiuta a rilevare e rispondere a potenziali incidenti di sicurezza, riducendo la probabilità che i dati dei clienti vengano compromessi.

Formazione e consapevolezza dei dipendenti

Programmi regolari di formazione e consapevolezza per i dipendenti aiutano a garantire che siano in grado di gestire i dati dei clienti in modo sicuro, riducendo la probabilità di errori umani o violazioni intenzionali dei dati. Riteniamo sia una priorità che questi vengano completati immediatamente per tutti i nuovi dipendenti e completati annualmente per tutti i dipendenti esistenti.

Controlli di accesso e verifiche dei precedenti

I controlli di accesso e le verifiche dei precedenti per dipendenti, fornitori terzi e fornitori di servizi aiutano a garantire che siano affidabili e possano essere adoperati per gestire i dati dei clienti in modo sicuro. Le verifiche dei precedenti vengono eseguite su tutti i nuovi assunti che l'azienda può condurre come modo per Cal.com di stabilire fiducia nell'impiegato che stiamo scegliendo di assumere. Inoltre, concedere solo accesso a applicazioni per applicazioni particolari è importante per rimanere conformi. Ogni trimestre esaminiamo l'accesso alle applicazioni e i livelli di accesso per tutti i dipendenti per assicurarci che abbiano solo accesso alle applicazioni necessarie per svolgere il loro ruolo lavorativo.

Audit e valutazioni di terze parti

Audit e valutazioni regolari da parte di terzi forniscono una convalida indipendente dell'efficacia dei controlli e delle procedure di sicurezza delle informazioni dell'azienda, fornendo ai clienti fiducia che i loro dati vengono gestiti in modo sicuro.

Rilevamento delle intrusioni

Cal.com utilizza sistemi di rilevamento delle intrusioni per monitorare continuamente i nostri sistemi per potenziali minacce che possono verificarsi in qualsiasi momento. Sapere nelle fasi iniziali che una minaccia potrebbe essere critica ci consente di agire rapidamente ed efficacemente per prevenire minacce che possano causare problemi a breve o lungo termine.

Divulgazione delle vulnerabilità

Da Cal.com consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Ma non importa quanto sforzo poniamo nella sicurezza del sistema, potrebbero comunque esserci vulnerabilità presenti.

Se scopri una vulnerabilità, ci piacerebbe saperne di più in modo da poter prendere misure per affrontarla il più rapidamente possibile. Ti chiediamo di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori dall'ambito:

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente.

• Qualsiasi attività che potrebbe portare all'interruzione del nostro servizio (DoS).

• Problemi di spoofing dei contenuti e iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS.

• Spoofing email SPF

• Mancanza di DNSSEC, intestazioni CAA, CSP

• Mancanza di flag Sicuro o HTTP solo su cookie non sensibili

• Link morti

• Qualsiasi cosa relativa alla sicurezza DNS o email

• Limitazione della velocità

• XSS (Cross-Site Scripting)

Nota: Cal.com si riserva il diritto di designare qualsiasi vulnerabilità segnalata come fuori dall'ambito.

Cosa fare e cosa non fare

• Non eseguire scanner automatizzati sulla nostra infrastruttura o dashboard. Se desideri farlo, contattaci e creeremo un sandbox per te.

• Non sfruttare la vulnerabilità o il problema che hai scoperto, ad esempio, scaricando più dati del necessario per dimostrare la vulnerabilità o eliminando o modificando i dati di altre persone,

• Non rivelare il problema a altri finché non è stato risolto,

• Non utilizzare attacchi sulla sicurezza fisica, ingegneria sociale, denial of service distribuita, spam o applicazioni di terze parti, e

Come segnalare una vulnerabilità

Puoi segnalare vulnerabilità qui: https://github.com/calcom/cal.com/security/advisories. Una volta ricevuta la tua email, potrebbe esserci un ritardo nella risposta mentre il nostro team valuta il problema.

Si prega di fornire informazioni sufficienti per riprodurre il problema, in modo da poterlo risolvere il più rapidamente possibile. Di solito, l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità saranno sufficienti, ma le vulnerabilità complesse potrebbero richiedere ulteriori spiegazioni.

• Se hai seguito le istruzioni sopra, non intraprenderemo alcuna azione legale contro di te riguardo alla segnalazione

• Gestiremo la tua segnalazione con massima riservatezza e non passeremo i tuoi dati personali a terzi senza il tuo permesso

• Ti terremo aggiornato sui progressi verso la risoluzione del problema

• Nelle informazioni pubbliche riguardanti il problema segnalato, daremo il tuo nome come scopritore del problema (a meno che tu non desideri diversamente)

• Ci impegniamo a risolvere tutti i problemi il più rapidamente possibile, e ci piacerebbe giocare un ruolo attivo nella pubblicazione finale del problema dopo la sua risoluzione.