Beveiliging

Naleving

Toegang tot nalevingsdocumenten, certificeringen en gegevensbeschermingsovereenkomsten

Beveiliging

Als een bedrijf dat ISO 27001-, SOC 2 Type II-, CCPA-, GDPR- en HIPAA-certificeringen heeft behaald, begrijpen we het cruciale belang van informatiebeveiliging in het huidige digitale landschap. De toenemende frequentie en verfijning van cyberaanvallen benadrukken de noodzaak voor bedrijven om prioriteit te geven aan beveiliging om hun gegevens te beschermen en het vertrouwen van hun klanten te waarborgen. Door implementatie van beveiligingsmaatregelen en beste praktijken volgens de industriestandaard tonen we onze onwankelbare inzet voor de bescherming van gevoelige informatie en het behoud van de integriteit van onze operaties. We zijn trots op de strenge beveiligingsprotocollen die we hebben en zijn toegewijd aan het handhaven van de hoogste normen van beveiligingsexcellence.

Hoe is dit bereikt?

Als organisatie begrijpen we het belang van het handhaven van naleving met beveiligingspraktijken en normen. Daarom maken we gebruik van beveiligings- en nalevingsautomatiseringsplatforms om ervoor te zorgen dat we continu voldoen aan de relevante veiligheidsprotocollen.

We hebben een gecentraliseerd platform dat de beoordeling en monitoring van verschillende beveiligingscontroles en procedures automatiseert. Door integratie met onze bestaande systemen en tools, bieden onze platforms ons een uitgebreid overzicht van onze beveiligingspositie, identificeren eventuele potentiële problemen en zorgen ervoor dat we altijd up-to-date zijn met de nieuwste beveiligingsprotocollen en industrienormen. Dit geeft ons de zekerheid dat we de industriestandaard beste praktijken volgen en dat we een veilige omgeving bieden voor onze klanten en belanghebbenden.

Wat gebeurt er als iets niet meer voldoet?

Als iets niet meer voldoet, zou ons nalevingsautomatiseringsplatform het probleem detecteren en ons onmiddellijk waarschuwen. Hierdoor kunnen we snel actie ondernemen om het probleem aan te pakken en snel weer in overeenstemming te komen. Door het gebruik van een dergelijk nalevingsautomatiseringsplatform kunnen we op de hoogte blijven van onze nalevingsverplichtingen en proactieve stappen ondernemen om te waarborgen dat we voldoen aan de relevante veiligheidspraktijken en normen. Dit geeft ons de zekerheid dat we een veilige omgeving bieden voor onze klanten en belanghebbenden en helpt ons onze reputatie als betrouwbare en betrouwbare organisatie te behouden.

Procedures & controles

Veilige beleidsregels & procedures

Geschreven informatiebeveiligingsbeleid en procedures zorgen ervoor dat het bedrijf gedocumenteerde en geteste controles heeft om klantgegevens te beschermen en effectief te reageren op beveiligingsincidenten.

Scheurbaarheid & penetratietesten

Regelmatige kwetsbaarheids- en penetratietesten helpen om potentiële beveiligingszwaktes te identificeren en aan te pakken voordat ze door aanvallers kunnen worden uitgebuit. Cal.com ondergaat jaarlijks door een externe partij een penetratietest van onze webapplicatie om eventuele beveiligingslekken te identificeren, wat ons in staat stelt deze problemen intern aan te kaarten en onmiddellijk op te lossen. Er wordt een officieel rapport gemaakt voor Cal.com waarin staat dat de gevonden problemen nu zijn opgelost. We voeren ook regelmatig interne penetratietesten uit. Daarnaast maken we gebruik van geautomatiseerde kwetsbaarheidsscanning binnen onze code en de afhankelijkheden daarvan.

Gegevensversleuteling

Versleuteling van gevoelige gegevens zorgt ervoor dat de gegevens niet kunnen worden benaderd of gelezen door onbevoegde partijen. Het versleutelde hebben van onze database stelt klanten gerust bij het gebruik van ons product omdat het gegevens beschermt tijdens het transport of in rust.

Multi-factor authenticatie

Multi-factor authenticatie helpt om ongeautoriseerde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of knoeien.

Veilige ontwikkelingscyclus

Multi-factor authenticatie helpt om ongeautoriseerde toegang tot de systemen van het bedrijf te voorkomen, wat kan helpen om klantgegevens te beschermen tegen diefstal of knoeien. Alle wijzigingen in onze codebase worden beschermd met branchbescherming, wat betekent dat om een nieuwe codewijziging naar productie te pushen, de codewijziging moet zijn goedgekeurd door een andere engineer, en de codewijziging moet een aantal geautomatiseerde tests doorstaan die controleren op beveiligingsproblemen die door de code of de afhankelijkheden daarvan worden geïntroduceerd, evenals end-to-end tests en meer. Op deze manier kan geen enkele kwaadwillende intern of extern aan Cal.com schadelijke code pushen dankzij ons beveiligde beoordelingsproces.

Bewaking

Voortdurende bewaking van systeembereiklogboeken en netwerkverkeer helpt bij het detecteren en reageren op potentiële beveiligingsincidenten, waardoor de kans op compromittering van klantgegevens afneemt.

Opleiding & bewustwording van medewerkers

Regelmatige opleidings- en bewustmakingsprogramma's voor medewerkers helpen ervoor te zorgen dat zij zijn uitgerust om veilig met klantgegevens om te gaan, waardoor de kans op menselijke fouten of opzettelijke gegevenslekken afneemt. We geven prioriteit aan het onmiddellijk voltooien hiervan voor alle nieuwe medewerkers en jaarlijks voor alle bestaande medewerkers.

Toegangscontroles & achtergrondcontroles

Toegangscontroles en achtergrondcontroles voor medewerkers, externe verkopers en dienstverleners helpen ervoor te zorgen dat zij betrouwbaar zijn en met klantgegevens veilig kunnen omgaan. Achtergrondcontroles worden uitgevoerd bij alle nieuwe medewerkers die het bedrijf kan aannemen als manier voor Cal.com om vertrouwen in de medewerker op te bouwen. Bovendien is het van belang om alleen toegang te geven tot toepassingen voor specifieke toepassingen om compliant te blijven. Elk kwartaal beoordelen wij de toegangsrechten en toegangsniveaus voor alle medewerkers om ervoor te zorgen dat zij alleen toegang hebben tot toepassingen die nodig zijn voor hun functie.

Externe audits en beoordelingen

Regelmatige externe audits en beoordelingen bieden een onafhankelijke validatie van de effectiviteit van de informatiebeveiligingsmaatregelen en procedures van het bedrijf, wat klanten vertrouwen geeft dat hun gegevens veilig worden verwerkt.

Intrusiemelding

Cal.com maakt gebruik van indringingsdetectiesystemen om onze systemen continu te monitoren op mogelijke bedreigingen die op elk moment kunnen optreden. Het kennen van bedreigingen in een vroeg stadium kan cruciaal zijn en stelt ons in staat snel en efficiënt te handelen om te voorkomen dat bedreigingen kortetermijn- of langetermijnproblemen veroorzaken.

Openbaarmaking van kwetsbaarheden

Bij Cal.com beschouwen we de beveiliging van onze systemen als de hoogste prioriteit. Maar hoeveel moeite we ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Als u een kwetsbaarheid ontdekt, willen we dit graag weten, zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We vragen u ons te helpen onze klanten en systemen beter te beschermen.

Buiten de scope kwetsbaarheden:

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Aanvallen die MITM of fysieke toegang tot een tweede apparaat vereisen.

• Elke activiteit die kan leiden tot de verstoring van onze dienst (DoS).

• Content-spoofing en tekstinjectieproblemen zonder een aanvalsvector/zonder in staat te zijn HTML/CSS te wijzigen.

• SPF e-mailspoofing

• Ontbrekende DNSSEC-, CAA-, CSP-koppen

• Gebrek aan veilige of HTTP-only vlag op niet-gevoelige cookies

• Dode linken

• Alles wat verband houdt met DNS of e-mailbeveiliging

• Limiet instellen

• XSS (Cross-Site Scripting)

Opmerking: Cal.com behoudt zich het recht voor om gerapporteerde kwetsbaarheden als buiten de scope te beschouwen.

Wat te doen en wat niet te doen

• Voer geen geautomatiseerde scanners uit op onze infrastructuur of dashboard. Als u dit wenst te doen, neem contact met ons op en we zullen een sandbox voor u opzetten.

• Maak geen misbruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid te demonstreren of gegevens van anderen te verwijderen of wijzigen,

• Maak het probleem niet bekend aan anderen tot het is opgelost,

• Gebruik geen aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial of service, spam of toepassingen van derden, en

Hoe een kwetsbaarheid te melden

U kunt kwetsbaarheden hier melden: https://github.com/calcom/cal.com/security/advisories. Zodra we uw e-mail hebben ontvangen, kan er vertraging optreden bij het terugkomen naar u terwijl ons team het probleem beoordeelt.

Geef voldoende informatie op om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Gewoonlijk is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.

• Als u de bovenstaande instructies hebt gevolgd, zullen wij geen juridische stappen tegen u ondernemen met betrekking tot het rapport

• Wij zullen uw rapport met strikte vertrouwelijkheid behandelen, en uw persoonlijke gegevens niet aan derden doorgeven zonder uw toestemming

• Wij houden u op de hoogte van de voortgang bij het oplossen van het probleem

• In de openbare informatie over het gerapporteerde probleem zullen we uw naam geven als de ontdekker van het probleem (tenzij u anders wilt)

• Wij streven ernaar om alle problemen zo snel mogelijk op te lossen, en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.