Segurança

Como uma empresa que alcançou as certificações ISO 27001, SOC 2 Tipo II, CCPA, GDPR e HIPAA, entendemos a importância crítica da segurança da informação no panorama digital atual. A frequência e sofisticação crescentes dos ataques cibernéticos destacam a necessidade de as empresas priorizarem a segurança para proteger seus dados e garantir a confiança e a segurança de seus clientes. Ao implementar medidas de segurança e melhores práticas padrão da indústria, demonstramos nosso compromisso inabalável com a proteção de informações sensíveis e a preservação da integridade de nossas operações. Orgulhamo-nos dos rigorosos protocolos de segurança que temos em vigor e estamos dedicados a manter os mais altos padrões de excelência em segurança.

Como isso foi alcançado?

Como organização, entendemos a importância de manter a conformidade com práticas e padrões de segurança. É por isso que utilizamos plataformas de automação de segurança e conformidade para garantir que permanecemos continuamente em conformidade e aderimos aos protocolos de segurança relevantes.

Temos uma plataforma centralizada que automatiza a avaliação e monitoramento de vários controles e procedimentos de segurança. Ao integrar com nossos sistemas e ferramentas existentes, nossas plataformas nos fornecem uma visão abrangente da nossa postura de segurança, identificando quaisquer problemas potenciais e garantindo que estamos sempre atualizados com os últimos protocolos de segurança e padrões da indústria. Isso nos dá a confiança de que estamos seguindo as melhores práticas da indústria e de que estamos proporcionando um ambiente seguro para nossos clientes e partes interessadas.

O que acontece se algo ficar fora de conformidade?

Se algo deixar de estar em conformidade, nossa plataforma de automação de conformidade detectaria o problema e nos alertaria imediatamente. Isso nos permitiria agir prontamente para resolver o problema e retornar à conformidade rapidamente. Ao usar uma plataforma de automação de conformidade como esta, podemos manter o controle sobre nossas obrigações de conformidade e tomar medidas proativas para garantir que permaneçamos em conformidade com as práticas e padrões de segurança relevantes. Isso nos dá a confiança de que estamos proporcionando um ambiente seguro para nossos clientes e partes interessadas e nos ajuda a manter nossa reputação como uma organização confiável e digna de confiança.

Procedimentos & controles

Políticas & procedimentos seguros

Políticas e procedimentos de segurança da informação documentados e testados garantem que a empresa tenha controles documentados e testados em vigor para proteger os dados dos clientes e responder de forma eficaz a incidentes de segurança.

Testes de vulnerabilidade & penetração

Testes regulares de vulnerabilidade e penetração ajudam a identificar e abordar possíveis fraquezas de segurança antes que possam ser exploradas por atacantes. A Cal.com passa por um teste de penetração externo de nossa aplicação web anualmente por uma terceira parte para identificar quaisquer vulnerabilidades de segurança que possamos ter, isso nos permitirá levantar esses problemas internamente e remediá-los imediatamente. Um relatório oficial é criado para a Cal.com declarando que os problemas encontrados agora estão corrigidos. Também realizamos testes de penetração internos regulares. Empregamos também a varredura automatizada de vulnerabilidades dentro de nosso código e suas dependências.

Criptografia de dados

A criptografia de dados sensíveis ajuda a garantir que os dados não possam ser acessados ou lidos por partes não autorizadas. Ter nosso banco de dados criptografado permite que os clientes se sintam seguros ao usar nosso produto, pois protege os dados em trânsito ou em repouso.

Autenticação de múltiplos fatores

A autenticação de múltiplos fatores ajuda a prevenir o acesso não autorizado aos sistemas da empresa, o que pode ajudar a proteger os dados dos clientes contra roubo ou manipulação.

Ciclo de vida de desenvolvimento seguro

A autenticação de múltiplos fatores ajuda a prevenir o acesso não autorizado aos sistemas da empresa, o que pode ajudar a proteger os dados dos clientes contra roubo ou manipulação. Todas as alterações em nosso código-fonte são protegidas com proteção de filial, significando que, para poder empurrar uma nova alteração de código para produção, a alteração de código deve ser aprovada por outro engenheiro, além de a alteração de código precisar passar por uma série de testes automatizados que verificam questões de segurança introduzidas pelo código ou suas dependências, bem como testes de ponta a ponta e mais. Dessa forma, nenhum ator malicioso, interno ou externo à Cal.com, consegue empurrar código malicioso devido ao nosso processo de revisões seguro.

Monitoramento

O monitoramento contínuo dos logs de acesso ao sistema e do tráfego da rede ajuda a detectar e responder a possíveis incidentes de segurança, reduzindo a probabilidade de os dados dos clientes serem comprometidos.

Treinamento & conscientização dos funcionários

Programas regulares de treinamento e conscientização para funcionários ajudam a garantir que eles estejam equipados para lidar com dados dos clientes de forma segura, reduzindo a probabilidade de erro humano ou violações intencionais de dados. Fazemos questão de que esses sejam concluídos imediatamente para todos os novos funcionários e completados anualmente para todos os funcionários existentes.

Controles de acesso & verificações de antecedentes

Controles de acesso e verificações de antecedentes para funcionários, fornecedores terceirizados e prestadores de serviços ajudam a garantir que sejam confiáveis e possam ser confiados para lidar com dados dos clientes de forma segura. Verificações de antecedentes são realizadas em todas as novas contratações que a empresa pode conduzir como uma forma da Cal.com estabelecer confiança no funcionário que estamos escolhendo contratar. Além disso, dar acesso a aplicações apenas para aplicações específicas é importante para manter a conformidade. A cada trimestre, revisamos o acesso a aplicações e os níveis de acesso para todos os funcionários para garantir que eles tenham apenas acesso às aplicações que são necessárias para desempenhar sua função.

Auditorias e avaliações de terceiros

Auditorias e avaliações regulares de terceiros fornecem uma validação independente da eficácia dos controles e procedimentos de segurança da informação da empresa, proporcionando aos clientes confiança de que seus dados estão sendo tratados de forma segura.

Detecção de intrusão

A Cal.com utiliza sistemas de detecção de intrusões para monitorar continuamente nossos sistemas em busca de ameaças potenciais que possam ocorrer a qualquer momento. Saber, nos estágios iniciais, que uma ameaça pode ser crítica nos permite agir rapidamente e de forma eficiente para evitar que quaisquer ameaças causem problemas de curto ou longo prazo.

Divulgação de vulnerabilidades

Na Cal.com, consideramos a segurança de nossos sistemas uma prioridade máxima. Mas não importa o quanto nos esforcemos para garantir a segurança do sistema, ainda podem haver vulnerabilidades presentes.

Se você descobrir uma vulnerabilidade, gostaríamos de saber sobre isso para que possamos tomar medidas para endereçá-la o mais rapidamente possível. Gostaríamos de pedir sua ajuda para proteger melhor nossos clientes e nossos sistemas.

Vulnerabilidades fora do escopo:

• Clickjacking.

• Cross-Site Request Forgery (CSRF)

• Atividades que requerem MITM ou acesso físico ao dispositivo de um usuário.

• Qualquer atividade que possa levar à interrupção de nosso serviço (DoS).

• Falsificação de conteúdo e problemas de injeção de texto sem mostrar um vetor de ataque / sem poder modificar HTML / CSS.

• Falsificação de e-mail SPF

• Falta de DNSSEC, CAA, cabeçalhos CSP

• Falta de sinal de seguro ou http apenas em cookies não sensíveis

• Links quebrados

• Qualquer coisa relacionada à segurança de DNS ou e-mail

• Limitação de taxa

• XSS (Cross-Site Scripting)

Nota: A Cal.com reserva-se o direito de designar qualquer vulnerabilidade relatada como fora do escopo.

O que fazer e o que não fazer

• Não execute scanners automatizados em nossa infraestrutura ou painel. Se desejar fazer isso, entre em contato conosco e configuraremos um sandbox para você.

• Não tire proveito da vulnerabilidade ou problema que você descobriu, por exemplo, baixando mais dados do que o necessário para demonstrar a vulnerabilidade ou excluindo ou modificando dados de outras pessoas,

• Não revele o problema a outros até que tenha sido resolvido,

• Não use ataques contra segurança física, engenharia social, negação de serviço distribuída, spam ou aplicações de terceiros, e

Como relatar uma vulnerabilidade

Você pode relatar vulnerabilidades aqui: https://github.com/calcom/cal.com/security/advisories. Assim que recebermos seu e-mail, pode haver um atraso em nossa resposta enquanto nossa equipe triage o problema.

Por favor, forneça informações suficientes para reproduzir o problema, para que possamos resolvê-lo o mais rápido possível. Geralmente, o endereço IP ou a URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem requerer mais explicações.

• Se você seguiu as instruções acima, não tomaremos nenhuma ação legal contra você a respeito do relatório

• Trataremos seu relatório com estrita confidencialidade e não passaremos suas informações pessoais a terceiros sem sua permissão

• Manteremos você informado sobre o progresso na resolução do problema

• Nas informações públicas a respeito do problema relatado, daremos seu nome como o descobridor do problema (salvo se você desejar o contrário)

• Nos esforçamos para resolver todos os problemas o mais rápido possível e gostaríamos de desempenhar um papel ativo na publicação final sobre o problema após sua resolução.