1. Hilfe-Center
  2. Kontoeinstellungen
  3. Sicherheit und Compliance

Calendly Plattformsicherheit und Compliance

Calendly ist eine Cloud-Anwendung, die die Meeting-Terminplanung als Service bietet. Unsere Plattform schafft ein nahtloses Erlebnis für die Planung von Meetings durch die sichere Integration in Kalenderanbieter, um die Verfügbarkeit zu überprüfen.

Unsere Software ist so konzipiert, dass sie nur den minimal erforderlichen Zugriff auf Kundenressourcen anfragt, um eine nahtlose Terminplanung zu gewährleisten. Wir achten stets auf die Privatsphäre unserer Kunden und beschränken den Zugriff auf alle Kundendaten intern auf einer Basis des notwendigen Wissens. Calendly wendet Best Practices für die Sicherheit an, speichert ein Minimum an Kundendaten und arbeitet mit den geringsten Privilegien, die erforderlich sind, um unseren Benutzern ein großartiges Erlebnis zu bieten.

Dieses Dokument soll einen Überblick über plattformbezogenen Datenschutz, Sicherheit und Compliance geben.

Kalenderintegrationen

Google-Kalender- und Office365-Integrationen

Ein Calendly-Benutzer kann entweder die Google-Kalender- oder die Office365-Integration verwenden, um seinen Kalender mit Calendly zu verbinden und die Planung von Terminen zu erleichtern. Calendly ist so konzipiert, dass es nur auf die Mindestdaten zugreift, die aus verknüpften Kalendern erforderlich sind, um seinen Service zu erbringen. 

Calendly Outlook-Plugin

Die Calendly-Plattform verwendet Websockets, um zu kommunizieren, wenn neue Buchungen mit dem Calendly-Plug-in für Outlook verfügbar sind. Calendly schreibt Terminzeit, Dauer, Betreff und geplante Teilnehmerdaten von Calendly in Outlook. Alle Daten werden bei der Übertragung mit TLS verschlüsselt. Daten, die im Speicher im Ruhezustand gespeichert sind, werden verschlüsselt, einschließlich automatischer Backups, Lesereplikate und Snapshots.

 iCloud-Kalenderintegration

Ab dem 20. August 2024 unterstützt Calendly keine neuen Verbindungen zum iCloud-Kalender mehr. Vorhandene Verbindungen werden weiterhin unterstützt, aber neue Benutzer oder Benutzer, die zuvor keine iCloud-Kalenderverknüpfung eingerichtet haben, können dies nicht tun. Um zu erfahren, wie Sie einen Google-, Office 365-, Outlook.com- oder Exchange-Kalender verknüpfen können, lesen Sie den Artikel Ihren Kalender verbinden.

Die Calendly iCloud-Kalenderintegration verwendet Ihre iCloud-Anmeldeinformationen, um auf die iCloud-API zuzugreifen. Apple verfolgt einen Ansatz des Alles-oder-Nichts-Prinzips für den Datenzugriff, da dieselben Anmeldeinformationen für alle Dienste verwendet werden. Während Calendly die von uns erfassten iCloud-Anmeldeinformationen sicher speichert und den Zugriff darauf beschränkt, empfiehlt Calendly, eine Zwei-Faktor-Authentifizierung für iCloud-Konten einzurichten und ein app-spezifisches Passwort zu verwenden, wenn Sie die Calendly iCloud-Kalenderintegration einrichten.


Authentifizierung mit Kalenderintegrationen

Wir vermeiden das Erfassen von Passwörtern von Drittanbietern, indem wir die OAuth-Authentifizierung mit Office365 und Google-Kalender verwenden. Calendly-Benutzer können ihre Kalenderverknüpfung jederzeit über die Seite Calendar settings in ihrem Konto trennen.

Bei der Verwendung des Calendly Outlook-Plug-ins erfordert Calendly die Installation auf Kundengeräten, um KalenderTerminkollisionen zu lesen und Ereignisse zu planen. Die meisten unserer Kunden bevorzugen OAuth-Kalenderintegrationen.

Buchungsseiten

Auf der Calendly-Plattform können Benutzer Buchungsseiten anpassen, um relevante Informationen von Teilnehmern zu sammeln. Calendly ist nicht dafür gedacht, dass Benutzer vertrauliche persönliche Informationen sammeln.

Datenverschlüsselung

  • Alle Verbindungen vom Browser zur Calendly-Plattform werden mit TLS SHA-256 mit RSA-Verschlüsselung verschlüsselt.
  • Alle Daten werden im Ruhezustand verschlüsselt.
  • Calendly-Benutzerkennwörter werden als gehashte Passwörter mit Salt gespeichert
  • Passwörter für die iCloud-Kalenderintegration werden verschlüsselt

Physische Infrastruktur

Die Calendly-Anwendung wird auf Kubernetes/Google Cloud Services (GCS) gehostet. Der Rechenzentrumsbetrieb von GCS wurde akkreditiert unter:

  • ISO 27001
  • SOC 1 und SOC 2/SSAE 16/ISAE 3402 (ehemals SAS 70 Typ II)
  • PCI-Level 1
  • FISMA Moderat
  • Sarbanes-Oxley (SOX)

Weitere Informationen finden Sie unter:

https://cloud.google.com/security

https://kubernetes.io/docs/concepts/security/

Schwachstellenmanagement

Wir halten unsere Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand und überwachen kontinuierlich über Compliance- und Sicherheitsverteiler auf neue Schwachstellen. Dazu gehört das automatische Scannen unserer Code-Repositories auf anfällige Abhängigkeiten. Alle unsere Dienste werden in Containern ausgeführt, die Prozesse, Speicher und das Dateisystem unter Verwendung von LXC isolieren, während Gastgeberbasierte Firewalls Anwendungen daran hindern, lokale Netzwerkverbindungen herzustellen. Die Dienste sind mit strengen Netzwerksicherheitsbeschränkungen konfiguriert, um potenzielle Risiken weiter zu begrenzen. Die Google Cloud Platform führt regelmäßig interne Schwachstellenbewertungen durch und aktualisiert die zugrunde liegenden Systeme.

Reaktionsplan für Vorfälle

Identifizierung

Calendly überwacht unsere externen Dienste und Open-Source-Bibliotheken routinemäßig auf Sicherheitsprobleme und hat Zusätze zur Datenverarbeitung (DPA) mit unseren Anbietern durchgeführt, um eine sofortige Benachrichtigung über Datenschutzverletzungen sicherzustellen. Calendly durchsucht Calendly kontinuierlich auf Serviceunterbrechungen, Leistungseinbußen und Sicherheitslücken mit automatisierten Tools, um unsere Ingenieure sofort zu benachrichtigen, wenn ein Vorfall festgestellt wurde. Benutzer können Sicherheitsprobleme auch an security@calendly.com melden

Eindämmung

Wenn unser Engineering-Team auf ein Sicherheitsproblem hingewiesen wird, ermittelt das Team, welche Systeme betroffen sind, und behebt das Problem schnell, indem es alle betroffenen Systeme und Geräte trennt. Da alle unsere Dienste in Containern ausgeführt werden, die Prozesse, Speicher und das Dateisystem isolieren, können sie leicht ersetzt und vollständig aktualisiert werden, um eine weitere Eskalation zu verhindern.

Wiederherstellung

Wenn Daten als betroffen eingestuft wurden, werden sie aus sauberen Sicherungsdateien wiederhergestellt, um sicherzustellen, dass keine Schwachstellen mehr bestehen. Sekundäre Backups werden ebenfalls in der Google Cloud gespeichert. Systeme werden auf ein erneutes Auftreten überwacht. Ephemerale Dienste werden gepatcht und neu bereitgestellt, um jede Möglichkeit der Beständigkeit von Malware auszuschließen. 

Rückblick

Das Calendly-Engineering-Team analysiert jeden betrieblichen Vorfall und dessen Bewältigung und spricht Empfehlungen für eine effektivere zukünftige Reaktion und zur Vermeidung eines erneuten Auftretens aus.

Plan für das Änderungsmanagement

Neue Versionen der Calendly-Plattform werden sorgfältig geprüft und getestet, um eine hohe Verfügbarkeit und ein großartiges Kundenerlebnis sicherzustellen. Änderungen an unserer Codebasis müssen Unit-Tests, Integrationstests und End-to-End-Tests enthalten. Änderungen werden auch auf unserem Server für Continuous Integration ausgeführt. So können wir Probleme während der Entwicklung automatisch erkennen.

Sobald ein Änderungsset abgeschlossen ist, wird es manuell von einem oder mehreren Mitgliedern des Ingenieurteams geprüft. Das Änderungsset wird dann ausgewertet und manuell von unserem Qualitätssicherungsteam getestet, um Bereiche mit erwarteten Auswirkungen gründlich zu testen, Regressionstests durchführen und die Benutzererfahrung weiter zu bewerten.

Nachdem ein Änderungsset veröffentlicht wurde, überwachen wir weiterhin Anwendungsausnahmen und protokollieren Ausnahmen. Diese Ausnahmen werden regelmäßig überprüft und zur Lösung priorisiert. Die Auswirkungen des Änderungssets auf die Leistung werden durch mehrere Überwachungsdienste überwacht.

Mitarbeiterüberprüfung und -richtlinien

Als Bedingung für die Beschäftigung unterziehen sich alle Calendly-Mitarbeiter vor ihrer Einstellung Hintergrundprüfungen und erhalten während des Onboardings sowie während ihrer gesamten Beschäftigung Schulungen zu Unternehmensrichtlinien, Sicherheit, DSGVO und anderen verwandten Sicherheits-, Datenschutz- und Compliance-Themen.

Compliance

PCI-Konformität

Calendly verwendet einen PCI-konformen Zahlungsdienstleister Stripe zur Verschlüsselung und Speicherung von Kreditkartendetails. Weitere Informationen zum Engagement von Stripe für Sicherheit und Compliance finden Sie hier. Wir verwenden die direkte Stripe-JavaScript-Integration, damit Ihre Kreditkarteninformationen niemals die Server von Calendly erreichen.

Juristische Dokumente

Calendly Datenschutzrichtlinie

Unsere aktuelle Datenschutzerklärung finden Sie hier:

https://calendly.com/privacy

Calendly Nutzungsbedingungen und Addendum zur Datenverarbeitung (Data Processing Addendum, „DPA“)

Unsere aktuellen Nutzungsbedingungen einschließlich eines Links zu unserem Addendum zur Datenverarbeitung finden Sie hier:

https://calendly.com/terms

Calendly Endbenutzer-Lizenzvereinbarung

Unsere aktuelle Endbenutzer-Lizenzvereinbarung finden Sie hier:

https://calendly.com/eula

War dieser Beitrag hilfreich?