Segurança

Conformidade

Acesse documentos de conformidade, certificações e acordos de proteção de dados

Segurança

Como uma empresa que alcançou as certificações ISO 27001, SOC 2 Tipo II, CCPA, GDPR e HIPAA, entendemos a importância crítica da segurança da informação no cenário digital de hoje. A crescente frequência e sofisticação dos ataques cibernéticos destacam a necessidade das empresas priorizarem a segurança para proteger seus dados e garantir a confiança de seus clientes. Ao implementar medidas de segurança padrão da indústria e melhores práticas, demonstramos nosso compromisso inabalável com a proteção de informações sensíveis e a preservação da integridade de nossas operações. Temos orgulho dos rigorosos protocolos de segurança que implementamos e estamos dedicados a manter os mais altos padrões de excelência em segurança.

Como isto foi realizado?

Como organização, entendemos a importância de manter a conformidade com práticas e padrões de segurança. É por isso que utilizamos plataformas de automação de segurança e conformidade para garantir que permaneçamos continuamente em conformidade e aderimos aos protocolos de segurança relevantes.

Temos uma plataforma centralizada que automatiza a avaliação e o monitoramento de vários controles e procedimentos de segurança. Ao integrar com nossos sistemas e ferramentas existentes, nossas plataformas nos proporcionam uma visão abrangente de nossa postura de segurança, identificando quaisquer questões potenciais e garantindo que estejamos sempre atualizados com os mais recentes protocolos de segurança e padrões da indústria. Isso nos dá a confiança de que estamos seguindo as melhores práticas da indústria e que estamos fornecendo um ambiente seguro para nossos clientes e partes interessadas.

O que acontece se algo sair da conformidade?

Se algo cair fora da conformidade, nossa plataforma de automação de conformidade detectará o problema e nos alertará imediatamente. Isso nos permitiria tomar medidas rápidas para resolver o problema e voltar à conformidade rapidamente. Ao usar uma plataforma de automação de conformidade como esta, podemos estar sempre cientes de nossas obrigações de conformidade e tomar medidas proativas para garantir que permaneçamos em conformidade com as práticas e padrões de segurança relevantes. Isso nos dá a confiança de que estamos fornecendo um ambiente seguro para nossos clientes e partes interessadas e nos ajuda a manter nossa reputação como uma organização confiável e confiável.

Procedimentos & controles

Políticas & procedimentos seguros

Políticas e procedimentos de segurança da informação documentados e testados garantem que a empresa tenha controles em vigor para proteger os dados dos clientes e responder eficazmente a incidentes de segurança.

Teste de vulnerabilidade & penetração

Testes regulares de vulnerabilidade e penetração ajudam a identificar e resolver potenciais fraquezas de segurança antes que possam ser exploradas por atacantes. A Cal.com submete-se a um teste de penetração externo de nossa aplicação web anualmente por um terceiro para identificar quaisquer vulnerabilidades de segurança que possamos ter, isso nos permitirá levantar essas questões internamente e resolvê-las imediatamente. Um relatório oficial é criado para a Cal.com informando que os problemas encontrados estão resolvidos. Também realizamos testes de penetração interna regularmente. Empregamos também varredura automática de vulnerabilidades dentro de nosso código e suas dependências.

Criptografia de dados

A criptografia de dados sensíveis ajuda a garantir que os dados não possam ser acessados ou lidos por partes não autorizadas. Ter nosso banco de dados criptografado permite que os clientes se sintam seguros ao usar nosso produto, pois protege os dados quando em trânsito ou em repouso.

Autenticação multifator

A autenticação multifator ajuda a prevenir o acesso não autorizado aos sistemas da empresa, o que pode ajudar a proteger os dados dos clientes contra roubo ou manipulação.

Ciclo de vida de desenvolvimento seguro

A autenticação multifator ajuda a prevenir o acesso não autorizado aos sistemas da empresa, o que pode ajudar a proteger os dados dos clientes contra roubo ou manipulação. Todas as alterações em nosso código são protegidas com proteção de ramificação, o que significa que para poder enviar uma nova alteração de código para produção, a alteração de código deve ser aprovada por outro engenheiro, além disso, a alteração de código deve passar por uma série de testes automáticos que verificam os problemas de segurança introduzidos pelo código ou suas dependências, bem como teste de ponta a ponta e mais. Desta forma, nenhum agente mal-intencionado interno ou externo à Cal.com pode introduzir código malicioso devido ao nosso processo de revisões seguro.

Monitoramento

O monitoramento contínuo dos registros de acesso ao sistema e do tráfego da rede ajuda a detectar e responder a possíveis incidentes de segurança, reduzindo a probabilidade de comprometimento dos dados dos clientes.

Treinamento & conscientização dos funcionários

Programas regulares de treinamento e conscientização para funcionários ajudam a garantir que eles estejam preparados para lidar com os dados dos clientes de forma segura, reduzindo a probabilidade de erro humano ou vazamentos de dados intencionais. Priorizamos que esses treinamentos sejam concluídos imediatamente para todos os novos funcionários e concluídos anualmente para todos os funcionários existentes.

Controles de acesso & verificações de antecedentes

Controles de acesso e verificações de antecedentes para funcionários, fornecedores de terceiros e prestadores de serviços ajudam a garantir que eles sejam confiáveis e possam ser confiáveis para lidar com os dados dos clientes de forma segura. Verificações de antecedentes são realizadas em todas as novas contratações que a empresa possa conduzir como uma maneira para a Cal.com estabelecer confiança no funcionário que escolhemos contratar. Além disso, dar acesso apenas a aplicações específicas é importante para manter a conformidade. A cada trimestre, revisamos o acesso à aplicação e os níveis de acesso para todos os funcionários para garantir que eles tenham acesso apenas às aplicações necessárias para desempenhar suas funções.

Auditorias e avaliações de terceiros

Auditorias e avaliações regulares de terceiros fornecem uma validação independente da eficácia dos controles e procedimentos de segurança da informação da empresa, proporcionando confiança aos clientes de que seus dados estão sendo tratados de forma segura.

Detecção de intrusão

A Cal.com utiliza sistemas de detecção de intrusões para monitorar continuamente nossos sistemas em busca de potenciais ameaças que podem ocorrer a qualquer momento. Saber nas fases iniciais que uma ameaça pode ser crítica nos permite agir rapidamente e eficientemente para prevenir que quaisquer ameaças causem problemas a curto ou longo prazo.

Divulgação de vulnerabilidades

Na Cal.com, consideramos a segurança de nossos sistemas uma prioridade máxima. Mas por mais esforço que coloquemos na segurança do sistema, ainda podem ocorrer vulnerabilidades.

Se você descobrir uma vulnerabilidade, gostaríamos de saber sobre ela para que possamos tomar medidas para resolvê-la o mais rapidamente possível. Gostaríamos de pedir que nos ajude a proteger melhor nossos clientes e nossos sistemas.

Vulnerabilidades fora do escopo:

• Clickjacking.

• Falsificação de Solicitação Entre Sites (CSRF)

• Ataques que requerem MITM ou acesso físico ao dispositivo de um usuário.

• Qualquer atividade que possa levar à interrupção de nosso serviço (DoS).

• Falsificação de conteúdo e problemas de injeção de texto sem mostrar um vetor de ataque/sem ser capaz de modificar HTML/CSS.

• Falsificação de Email SPF

• Falta de assinaturas DNSSEC, CAA, CSP

• Ausência de sinalizadores Secure ou HTTP somente em cookies não sensíveis

• Links mortos

• Qualquer coisa relacionada à segurança de DNS ou email

• Limitação de taxa

• XSS (Cross-Site Scripting)

Nota: A Cal.com reserva-se o direito de designar qualquer vulnerabilidade relatada como fora do escopo.

O que fazer e o que não fazer

• Não execute scanners automáticos em nossa infraestrutura ou painel. Se você desejar fazer isso, entre em contato conosco e configuraremos um sandbox para você.

• Não tire proveito da vulnerabilidade ou problema que você descobriu, por exemplo, baixando mais dados do que o necessário para demonstrar a vulnerabilidade ou excluindo ou modificando os dados de outras pessoas,

• Não revele o problema a outros até que tenha sido resolvido,

• Não use ataques à segurança física, engenharia social, negação de serviço distribuída, spam ou aplicações de terceiros, e

Como relatar uma vulnerabilidade

Você pode relatar vulnerabilidades aqui: https://github.com/calcom/cal.com/security/advisories. Uma vez que tenhamos recebido seu email, pode haver um atraso em retornarmos enquanto nossa equipe avalia o problema.

Por favor, forneça informações suficientes para reproduzir o problema, para que possamos resolvê-lo o mais rapidamente possível. Normalmente, o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir explicações adicionais.

• Se você seguiu as instruções acima, não tomaremos nenhuma ação legal contra você em relação ao relatório

• Tratamos seu relatório com estrita confidencialidade e não passaremos seus dados pessoais a terceiros sem sua permissão

• Manteremos você informado sobre o progresso na resolução do problema

• Na informação pública sobre o problema relatado, daremos seu nome como o descobridor do problema (a menos que você deseje o contrário)

• Esforçamo-nos para resolver todos os problemas o mais rápido possível e gostaríamos de desempenhar um papel ativo na publicação final sobre o problema após ele ser resolvido.