Calendly-Plattform-Sicherheit und Gesetzeskonformität

Calendly ist eine Cloud-Anwendung, die die Planung von Meetings als Dienst anbietet. Unsere Plattform schafft ein nahtloses Erlebnis beim Planen von Meetings durch sichere Integration in Kalenderanbieter, um die Verfügbarkeit zu überprüfen.

Unsere Software ist so ausgelegt, dass sie weitestmöglich begrenzten Zugriff auf Kundenressourcen erfordert, um ein nahtloses Planungserlebnis zu erreichen. Wir nehmen stets Rücksicht auf den Datenschutz unserer Kunden und begrenzen den Zugriff auf alle Kundendaten intern gemäß dem Grundsatz "Kenntnis nur, wenn nötig".

Calendly setzt optimale Sicherheitsverfahren ein, speichert eine minimale Menge an Kundendaten und arbeitet nur mit den notwendigsten Berechtigungen, um unseren Benutzern ein großartiges Erlebnis zu bieten.

Dieses Dokument soll als Übersicht über plattformbezogene Privatsphäre, Sicherheit und Gesetzeskonformität dienen.

 

 

Kalenderintegrationen

Google Kalender- und Office365-Integrationen

Ein Calendly-Benutzer kann entweder Google Kalender- oder Office365-Integrationen verwenden, um dessen Kalender zur Vereinfachung der Planung mit Calendly zu verbinden. Calendly ist so entworfen, dass nur auf das nötige Minimum an Daten von verbundenen Kalendern zugegriffen wird, um seinen Dienst zu liefern. Zum Beispiel prüft die Calendly-Anwendung nur die Dauer und den Frei/Beschäftigt-Status der Ereignisse in Ihrem Google Kalender, damit wir nicht buchen, wenn Sie beschäftigt sind. Calendly ist so entwickelt, dass Informationen über die Termine in Ihrem Kalender einschließlich Personen, deren E-Mail-Adressen, Terminnamen oder sonstige Information nicht in Ihrem Kalender gespeichert werden.

 

Calendly Outlook-Plugin

Die Calendly-Outlook-Plugin-Integration ermöglicht der Calendly-Plattform, die Dauer und den Frei/Beschäftigt-Status der Ereignisse in Ihrem Kalender zu prüfen, damit wir nicht buchen, wenn Sie beschäftigt sind. Keine anderen persönlich identifizierbaren Informationen einschließlich Thema, Notizen und E-Mail-Adressen von Teilnehmern sind für Calendly verfügbar oder werden übertragen. Die Calendly-Plattform verwendet Websockets zur Kommunikation, wenn neue Buchungen mit dem Calendly-Outlook-Plugin verfügbar sind. Calendly wird Terminzeit, Dauer, Thema und Information über geplante Teilnehmer von Calendly nach Outlook übertragen. Alle Daten werden während der Übertragung mit TLS verschlüsselt. Daten, die im zugrundeliegenden Speicher ruhen, einschließlich automatischer Sicherungen, Read Replicas und Schnappschüsse, sind verschlüsselt.

 

iCloud Kalendar-Integration

Die Calendly iCloud Kalender-Integration verwendet Ihre iCloud-Anmeldedaten, um auf die iCloud-API zuzugreifen. Apple hat einen 'Alles oder Nichts'-Ansatz bezüglich Datenzugriff, wodurch für alle Dienste dieselben Anmeldedaten verwendet werden. Während Calendly die iCloud-Anmeldedaten, die wir sammeln, sicher speichert und den Zugriff einschränkt, empfiehlt Calendly das Einrichten einer 2-Faktor-Authentifizierung bei iCloud-Kontos und die Verwendung eines app-spezifischen Passwortes, wenn die Calendly iCloud Kalender-Integration eingerichtet wird.

 

Authentifizierung mit Kalender-Integrationen

Wir vermeiden die Erfassung von Passwörtern Dritter, indem wir OAuth-Authentifizierung mit Office365 und Google Kalender verwenden. Calendly-Benutzer können deren Kalender-Verbindung durch die Kontoeinstellungsfunktion im Calendly Dashboard jederzeit trennen.

Bei der Verwendung des Calendly Outlook-Plugins erfordert Calendly eine Installation auf Kundengeräten, um Kalenderkonflikte zu erkennen und Ereignisse zu planen. Die meisten unserer Kunden bevorzugen die Verwendung der OAuth Kalender-Integrationen.

 

Buchungsseiten

Die Calendly-Plattform erlaubt Benutzern, Buchungsseiten anzupassen, um relevante Informationen von Eingeladenen zu sammeln. Calendly ist nicht dazu gedacht, von Benutzern zur Sammlung sensibler persönlich identifizierbarer Informationen verwendet zu werden.

 

Datenverschlüsselung

  • Alle Verbindungen vom Browser zur Calendly-Plattform werden während der Übertragung mittels TLS SHA-256 mit RSA-Verschlüsselung verschlüsselt.
  • Alle Daten werden im Ruhezustand verschlüsselt.
  • Die Passwörter von Calendly-Benutzern werden als verschlüsselte Passwort-Hashes gespeichert
  • Benutzerpasswörter für die iCloud Calendar-Integration sind verschlüsselt

 

Physische Infrastruktur

Die Calendly-Anwendung wird auf Amazon Web Services über die Heroku-Plattform gehostet. Die physische Infrastruktur von Heroku wird in sicheren Amazon-Rechenzentren gehostet und verwaltet und verwendet die Amazon Web Service (AWS)-Technologie. Amazon kontrolliert stets Risiken und unterzieht sich wiederkehrenden Beurteilungen, um Konformität mit Branchenstandards zu gewährleisten. Rechenzentrumsoperationen von Amazon wurden zertifiziert nach:

  • ISO 27001
  • SOC 1 und SOC 2/SSAE 16/ISAE 3402 (vormals SAS 70 Typ II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

Weitere Informationen:

https://aws.amazon.com/security/
https://www.heroku.com/policy/security

 

Schwachstellen-Management

Wir halten unsere Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand und kontrollieren sie kontinuierlich auf neue Schwachstellen durch Gesetzeskonformitäts- und Sicherheitsmailinglisten. Dazu gehört auch das automatische Scannen unserer Code-Repositorys auf gefährdete Abhängigkeiten. All unsere Dienste laufen in eigenen Systemen, die Prozesse, den Speicher und das Dateisystem durch Nutzung von LXC isolieren, während host-basierte Firewalls Anwendungen im Aufbau lokaler Netzwerkverbindungen einschränken. Die Dienste sind mit strengen Netzwerksicherheitsbeschränkungen konfiguriert, um potentielle Risiken weiter zu minimieren. Sowohl AWS als auch Heroku führen regelmäßig interne Schwachstellen-Bewertungen durch und patchen das zugrundeliegende System.

Weitere technische Informationen:

https://devcenter.heroku.com/articles/dyno-isolation

 

Vorfall-Reaktionsplan

 Identifikation

Calendly überwacht routinemäßig unsere externen Dienste und Open-Source-Bibliotheken auf Sicherheitsprobleme und hat mit unseren Anbietern zur sofortigen Benachrichtigung über Sicherheitslücken Datenverarbeitungsvereinbarungen (Data Processing Agreements, DPA) abgeschlossen. Calendly scannt Calendly mit automatischen Tools durchgehend auf Dienstunterbrechungen, Leistungseinbußen und Sicherheitsschwachstellen. So werden unsere Techniker sofort benachrichtigt und können handeln, wenn ein Vorfall erkannt wurde. Auch Benutzer können Sicherheitsprobleme an security@calendly.com melden

 

Eindämmung

Wann immer unser Techniker-Team vor einem Sicherheitsproblem gewarnt wird, bestimmt das Team, welche Systeme betroffen sind und dämmt das Problem schnell ein, indem alle betroffenen Systeme und Geräte getrennt werden. Weil all unsere Dienste in eigenen Systemen laufen, die Prozesse, den Speicher und das Dateisystem isolieren, sind sie in ihrer Gänze einfach ersetzt und aktualisiert, um eine weitere Eskalation zu verhindern.

 

Wiederherstellung

Wenn Daten gefunden werden, die betroffen sind, werden sie aus sauberen Sicherungen wiederhergestellt - das stellt sicher, dass keine Schwachstellen vorhanden bleiben. Sekundäre Sicherungen werden ebenfalls in Google Cloud gespeichert. Systeme werden auf Wiederauftreten überwacht. Vorübergehende Dienste werden gepatcht und neu installiert, um jede Chance auf das Vorhandensein von Malware zu eliminieren.

  

Retrospektive

Das Calendly-Techniker-Team analysiert jeden Operationsvorfall und wie er behandelt wurde, um Vorschläge für eine verbesserte Handhabung in der Zukunft und das Verhindern eines Wiederauftretens zu machen.

 

 

Managementplan ändern

Neue Veröffentlichungen auf der Calendly-Plattform werden gründlich überprüft und getestet, um eine hohe Verfügbarkeit und ein hervorragendes Kundenerlebnis zu gewährleisten. Änderungen an unserer Codebasis sind erforderlich, um Unit-Tests, Integrationstests und End-to-End-Tests durchzuführen. Änderungen werden auch gegen unseren kontinuierlichen Integrationsserver getestet. Dies ermöglicht uns, automatisch alle Probleme in der Entwicklung zu erkennen.

Sobald ein Change Set abgeschlossen ist, wird es von einem oder mehreren Mitgliedern des Engineering-Teams manuell begutachtet. Das Change Set wird dann von unserem Qualitätssicherungsteam ausgewertet und manuell getestet, um herauszufinden, auf welche Bereiche es sich auswirkt, um Regression zu testen und die Benutzerfreundlichkeit noch weiter auszuwerten.

Nachdem ein Change Set veröffentlicht wurde, überwachen wir weiterhin Anwendungsausnahmen und protokollieren Ausnahmen. Diese Ausnahmen werden regelmäßig überprüft und zur Behebung ausgewertet. Die Auswirkungen der Change Sets auf die Leistung werden durch mehrere Überwachungsdienste überprüft.

 

 

Mitarbeiteruntersuchung und Richtlinien

Als Beschäftigungsbedingung unterzieht sich jeder Calendly-Mitarbeiter vor seiner Einstellung Hintergrund-Kontrollen und erhält während der Einarbeitung und der Beschäftigung durchgehend Schulungen bezüglich Unternehmensrichtlinien, der Datenschutz-Grundverordnung (DSGVO) und anderen Themen bezogen auf Sicherheit, Privatsphäre und Gesetzeskonformität.

 

 

Gesetzeskonformität

PCI-Konformität

Calendly verwendet den PCI-konformen Zahlungsverarbeiter Stripe zur Verschlüsselung und Speicherung von Kreditkartendaten. Weitere Informationen bezüglich der Verpflichtung von Stripe zur Sicherheit und Gesetzeskonformität finden Sie hier. Wir verwenden die direkte Stripe-Integration via Javascript - Ihre Kreditkartendaten erreichen also nie die Server von Calendly.

https://stripe.com/docs/security/stripe

 

DSGVO-Konformität

Sie können darauf zählen, dass sich Calendly zur DSGVO-Einhaltung bemüht. Wir verstehen, wie wichtig es ist, die in der Datenschutz-Grundverordnung (DSGVO) festgelegten Standards in unsere Verfahrensweisen einzubinden, um sicherzustellen, dass unsere Kunden, sowohl Bürger der EU als auch Unternehmen, die über Calendly mit europäischen Kunden arbeiten, sich sicher fühlen und Calendly völlig vertrauen können. Wir haben neue Funktionen entwickelt, vorhandene Funktionen verbessert und zusätzliche Dokumentation bezüglich unserer Bemühungen eingeführt.

Dennoch ist die DSGVO eine umfassende Regelung. Da die Grundverordnung neu ist und es keinen Zertifizierungsprozess gibt, kann kein Unternehmen rechtmäßig behaupten, dass es DSGVO-konform ist. Calendly bemüht sich besten Willens, mit der DSGVO konform zu sein - sowohl jetzt als auch mit zukünftigen Entwicklungen.

 

 

Rechtliche Dokumente

 

Calendly Privatsphärerichtlinien

Unsere aktuellen Privatsphärerichtlinien finden Sie hier:

https://www.calendly.com/pages/privacy

 

Calendly Allgemeine Geschäftsbedingungen und Datenverarbeitungsvereinbarung (Data Processing Agreement (DPA))

Unsere aktuellen Geschäftsbedingungen einschließlich eines Link zu unserer Datenverarbeitungsvereinbarung finden Sie hier:

https://www.calendly.com/pages/terms

 

Calendly-Endbenutzer-Lizenzvertrag

Unsere aktuellen Geschäftsbedingungen einschließlich eines Link zu unserer Datenverarbeitungsvereinbarung finden Sie hier:

https://calendly.com/pages/eula

War dieser Beitrag hilfreich?
20 von 45 fanden dies hilfreich