Beveiliging

Als een bedrijf dat ISO 27001, SOC 2 Type II, CCPA, GDPR en HIPAA-certificeringen heeft behaald, begrijpen we het cruciale belang van informatiebeveiliging in het digitale landschap van vandaag. De toenemende frequentie en verfijning van cyberaanvallen benadrukken de noodzaak voor bedrijven om beveiliging prioriteit te geven om hun gegevens te beschermen en het vertrouwen en de zekerheid van hun klanten te waarborgen. Door het implementeren van beveiligingsmaatregelen en best practices op industrieniveau tonen we onze niet aflatende inzet voor de bescherming van gevoelige informatie en het behoud van de integriteit van onze operaties. We zijn trots op de rigoureuze veiligheidsprotocollen die we hebben geïmplementeerd en zijn toegewijd aan het handhaven van de hoogste normen voor beveiligingsexellentie.

Hoe is dit bereikt?

Als organisatie begrijpen we het belang van het handhaven van compliance met beveiligingspraktijken en -normen. Daarom maken we gebruik van beveiligings- en compliance-automatiseringsplatforms om ervoor te zorgen dat we voortdurend compliant blijven en voldoen aan de relevante beveiligingsprotocollen.

We hebben een gecentraliseerd platform dat de beoordeling en monitoring van verschillende beveiligingscontroles en -procedures automatiseert. Door te integreren met onze bestaande systemen en tools, bieden onze platforms ons een uitgebreid overzicht van onze beveiligingshouding, identificeren ze eventuele potentiële problemen en zorgen ze ervoor dat we altijd up-to-date zijn met de nieuwste beveiligingsprotocollen en industriële normen. Dit geeft ons het vertrouwen dat we de best practices in de industrie volgen en dat we een veilige omgeving bieden voor onze klanten en belanghebbenden.

Wat gebeurt er als iets niet meer compliant is?

Als iets niet meer compliant zou zijn, zou ons compliance-automatiseringsplatform het probleem detecteren en ons onmiddellijk waarschuwen. Dit zou ons in staat stellen om snel actie te ondernemen om het probleem op te lossen en snel weer compliant te worden. Door een compliance-automatiseringsplatform zoals dit te gebruiken, kunnen we onze compliance-verplichtingen beter in de gaten houden en proactieve stappen ondernemen om ervoor te zorgen dat we voldoen aan de relevante beveiligingspraktijken en -normen. Dit geeft ons het vertrouwen dat we een veilige omgeving bieden voor onze klanten en belanghebbenden en helpt ons om onze reputatie als een betrouwbare en trouwe organisatie te behouden.

Procedures & controles

Veilige beleidslijnen & procedures

Geschreven informatiebeveiligingsbeleid en -procedures zorgen ervoor dat het bedrijf gedocumenteerde en geteste controles heeft om klantgegevens te beschermen en effectief te reageren op beveiligingsincidenten.

Kwetsbaarheids- & penetratietesten

Regelmatige kwetsbaarheids- en penetratietesten helpen om potentiële beveiligingszwaktes te identificeren en aan te pakken voordat ze door aanvallers kunnen worden uitgebuit. Cal.com ondergaat jaarlijks een externe penetratietest van onze webapplicatie door een derde partij om eventuele beveiligingskwetsbaarheden die we mogelijk hebben te identificeren, waardoor we deze problemen intern kunnen bespreken en onmiddellijk kunnen verhelpen. Er wordt een officieel rapport opgesteld voor Cal.com waarin staat dat de gevonden problemen nu zijn verholpen. We voeren ook regelmatig interne penetratietests uit. Daarnaast maken we gebruik van geautomatiseerde kwetsbaarheidsscanning binnen onze code en de afhankelijkheden daarvan.

Gegevensencryptie

Encryptie van gevoelige gegevens helpt ervoor te zorgen dat de gegevens niet kunnen worden benaderd of gelezen door niet-geautoriseerde partijen. Het hebben van onze database gecodeerd geeft klanten een veilig gevoel bij het gebruik van ons product, aangezien het gegevens beschermt tijdens verzending of in rust.

Multi-factor authenticatie

Multi-factor authenticatie helpt ongeautoriseerde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of manipulatie.

Veilige ontwikkelingscyclus

Multi-factor authenticatie helpt om ongeautoriseerde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of manipulatie. Alle wijzigingen in onze codebase zijn beschermd met branch-protectie, wat betekent dat om een nieuwe codewijziging naar productie te kunnen pushen, de codewijziging goedgekeurd moet zijn door een andere ingenieur, en de codewijziging moet slagen voor een aantal geautomatiseerde tests die controleren op beveiligingsproblemen die door de code of de afhankelijkheden daarvan zijn geïntroduceerd, evenals end-to-end testen en meer. Op deze manier kunnen geen kwaadwillende actoren, intern of extern bij Cal.com, kwaadaardige code pushen vanwege ons veilige beoordelingsproces.

Monitoring

Voortdurende monitoring van systeemtoeganglogs en netwerkverkeer helpt om potentiële beveiligingsincidenten te detecteren en te reageren, waardoor de kans vermindert dat klantgegevens worden gecompromitteerd.

Medewerker training & bewustzijn

Regelmatige trainings- en bewustwordingsprogramma's voor medewerkers helpen ervoor te zorgen dat zij zijn uitgerust om klantgegevens veilig te behandelen, waardoor de kans op menselijke fouten of opzettelijke datalekken wordt verminderd. We maken er een prioriteit van dat deze training onmiddellijk wordt voltooid voor alle nieuwe medewerkers en jaarlijks voor alle bestaande medewerkers.

Toegangscontrole & achtergrondcontroles

Toegangscontrole en achtergrondcontroles voor medewerkers, externe leveranciers en dienstverleners helpen ervoor te zorgen dat zij betrouwbaar zijn en kunnen worden vertrouwd om klantgegevens veilig te behandelen. Achtergrondcontroles worden uitgevoerd op alle nieuwe medewerkers die het bedrijf mogelijk aanneemt als een manier voor Cal.com om vertrouwen te vestigen in de medewerker die we kiezen om in dienst te nemen. Bovendien is het belangrijk om alleen toegang te geven tot applicaties voor specifieke toepassingen om compliant te blijven. Elk kwartaal beoordelen we de toegang tot applicaties en de toegangsniveaus voor alle medewerkers om ervoor te zorgen dat ze alleen toegang hebben tot applicaties die vereist zijn om hun functie uit te oefenen.

Externe audits en beoordelingen

Regelmatige externe audits en beoordelingen bieden een onafhankelijke validatie van de effectiviteit van de informatiebeveiligingscontroles en -procedures van het bedrijf, en bieden klanten het vertrouwen dat hun gegevens veilig worden behandeld.

Inbraakdetectie

Cal.com maakt gebruik van inbraakdetectiesystemen om onze systemen continu te monitoren op potentiële bedreigingen die op elk moment kunnen optreden. Het vroegtijdig weten dat een bedreiging zou kunnen optreden, stelt ons in staat om snel en efficiënt te handelen om te voorkomen dat bedreigingen kort- of langetermijnproblemen veroorzaken.

Kwantitatieve openbaarmaking

Bij Cal.com beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar ongeacht hoeveel moeite we in systeembeveiliging steken, kunnen er nog steeds kwetsbaarheden aanwezig zijn.

Als je een kwetsbaarheid ontdekt, willen we daar graag van horen, zodat we stappen kunnen ondernemen om het zo snel mogelijk op te lossen. We willen je vragen om ons te helpen onze klanten en systemen beter te beschermen.

Buiten scope kwetsbaarheden:

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Aanvallen die MITM of fysieke toegang tot het apparaat van een gebruiker vereisen.

• Elke activiteit die kan leiden tot de verstoring van onze service (DoS).

• Inhoudspoofing en tekstinvoeringsproblemen zonder een aanvalsvector te tonen/zonder in staat te zijn om HTML/CSS te wijzigen.

• SPF-e-mailspoofing

• Ontbrekende DNSSEC, CAA, CSP-headers

• Het ontbreken van een Secure of HTTP-only-vlag op niet-gevoelige cookies

• Deadlinks

• Alles wat betrekking heeft op DNS- of e-mailbeveiliging

• Rate Limiting

• XSS (Cross-Site Scripting)

Opmerking: Cal.com behoudt zich het recht voor om elke gemelde kwetsbaarheid als buiten scope aan te wijzen.

Wat te doen en wat niet te doen

• Voer geen geautomatiseerde scanners uit op onze infrastructuur of dashboard. Als je dit wilt doen, neem dan contact met ons op en we zullen een sandbox voor je opzetten.

• Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen.

• Maak het probleem niet openbaar aan anderen totdat het is opgelost.

• Gebruik geen aanvallen op fysieke beveiliging, sociale engineering, gedistribueerde ontzegging van service, spam of toepassingen van derden, en

Hoe een kwetsbaarheid te melden

Je kunt kwetsbaarheden hier melden: https://github.com/calcom/cal.com/security/advisories. Zodra we je e-mail hebben ontvangen, kan er een vertraging optreden voordat we je terug bellen terwijl ons team het probleem beoordeelt.

Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Gewoonlijk is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.

• Als je de bovenstaande instructies hebt gevolgd, zullen we geen juridische stappen tegen je ondernemen met betrekking tot het rapport

• We zullen je rapport strikt vertrouwelijk behandelen en je persoonlijke gegevens niet aan derden doorgeven zonder jouw toestemming

• We zullen je op de hoogte houden van de voortgang bij het oplossen van het probleem

• In de openbare informatie over het gerapporteerde probleem zullen we je naam vermelden als de ontdekker van het probleem (tenzij je anders wenst)

• We streven ernaar om alle problemen zo snel mogelijk op te lossen, en we willen een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.