El cumplimiento y la seguridad en la plataforma de Calendly

Calendly es una aplicación en la nube que presta servicios de programación de reuniones. Nuestra plataforma crea una experiencia continua para programar reuniones por medio de la integración segura con un proveedor de calendario a fin de comprobar la disponibilidad.

Nuestro software está diseñado para solicitar los accesos mínimos a los recursos de los clientes a fin de ofrecer una experiencia continua de programación de eventos. En todo momento, somos conscientes de la privacidad de nuestros clientes y limitamos el acceso a la información de nuestros clientes en función a los datos que necesitamos conocer de manera interna.

Calendly implementa las mejores prácticas de seguridad: almacena la mínima cantidad posible de datos de los clientes y funciona utilizando únicamente los privilegios mínimos necesarios a fin de ofrecer una gran experiencia a los usuarios.

El objetivo de este documento es ofrecer una vista general de la privacidad, la seguridad y el cumplimiento relacionados con la plataforma.

 

 

Integración con su calendario

Integraciones con el calendario de Google y Office 365

Los usuarios de Calendly pueden utilizar tanto la integración con el calendario de Google como la integración con Office 365 para conectar su calendario con Calendly y simplificar la programación de reuniones. Calendly está diseñado de modo que en los calendarios conectados solo accede a los datos estrictamente necesarios para ofrecer el servicio. Por ejemplo, la aplicación Calendly solo comprueba la duración y el estado de libre/ocupado de los eventos de su calendario de Google para no programar reuniones cuando aparezca como ocupado. Calendly está diseñado para no almacenar la información de las citas de su calendario, incluidos detalles tales como con quién se reúne, su correo electrónico, el título de la reunión o cualquier otro dato de las citas de su calendario.

 

Complemento para Outlook de Calendly

La integración con el complemento para Outlook de Calendly permite a la plataforma de Calendly comprobar la duración y el estado de libre/ocupado de los eventos de su calendario para no programar reuniones cuando aparezca como ocupado. No se transmite a Calendly ni se pone a su disposición ninguna otra información personal identificable, incluido el tema, las notas y los correos electrónicos de los asistentes. La plataforma de Calendly utiliza websockets para comunicarse cuando hay nuevas reservas disponibles con el complemento de Calendly para Outlook. Calendly escribirá la hora, la duración, el tema y la información sobre los asistentes de Calendly en Outlook. Todos los datos se cifran en tránsito usando TLS. Los datos almacenados en reposo en el almacenamiento subyacente están cifrados, incluidas las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas.

 

Integración con el calendario de iCloud

La integración de Calendly con el calendario de iCloud utiliza sus credenciales de iCloud para acceder a la API de iCloud. Apple tiene un enfoque de «todo o nada» en lo que respecta al acceso a los datos, ya que se utilizan las mismas credenciales para todos los servicios. Aunque Calendly guarda de forma segura las credenciales de iCloud que recoge y restringe el acceso a ellas, Calendly recomienda configurar la autenticación de doble factor en las cuentas de iCloud y utilizar una contraseña específica para la app al configurar la integración de Calendly con el calendario de iCloud.

 

Autenticación con las integraciones con los calendarios

Evitamos recopilar contraseñas de terceros utilizando la autentificación de OAuth con Office365 y Calendario de Google. Los usuarios de Calendly pueden desconectar su calendario en cualquier momento a través de la función de ajustes de la cuenta en el panel de Calendly.

Al utilizar el complemento para Outlook de Calendly, Calendly debe instalarse en los dispositivos de los clientes a fin de leer las coincidencias en los calendarios y programar eventos. La mayoría de los clientes prefiere utilizar las integraciones de calendario de OAuth.

 

Páginas de reservas

La plataforma de Calendly permite a los usuarios personalizar las páginas de reservas para recoger la información pertinente de los invitados. Calendly no está diseñado para que los usuarios lo utilicen para recopilar información confidencial personal identificable.

 

Cifrado de datos

  • Todas las conexiones entre el navegador y la plataforma de Calendly están cifradas en tránsito utilizando LS SHA-256 con el sistema criptográfico RSA.
  • Todos los datos están cifrados en reposo.
  • Las contraseñas de los usuarios de Calendly se guardan como códigos cifrados de contraseñas saladas
  • Las contraseñas de los usuarios para la integración con el calendario de iCloud se almacenan cifradas

 

Infraestructura física

La aplicación de Calendly está alojada en Amazon Web Services a través de la plataforma Heroku. La infraestructura física de Heroku se encuentra alojada en los centros de datos seguros de Amazon, donde se administra, y utiliza la tecnología de Amazon Web Service (AWS). Amazon gestiona los riesgos y realiza evaluaciones de manera continua a fin de garantizar el cumplimiento con los estándares del sector. Las operaciones del centro de datos de Amazon han sido acreditadas a tenor de:

  • ISO 27001
  • SOC 1 y SOC 2/SSAE 16/ISAE 3402 (previamente SAS 70 Type II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX) 

Para obtener información adicional, consulte:
https://aws.amazon.com/security/
https://www.heroku.com/policy/security

 

Gestión de vulnerabilidades

Mantenemos nuestros sistemas actualizados con los últimos parches de seguridad y vigilamos continuamente por si hay nuevas vulnerabilidades mediante listas de correo de seguridad y cumplimiento. Entre estas medidas se incluyen exploraciones automáticas de nuestros repositorios de código para buscar dependencias vulnerables. Todos nuestros servicios funcionan en contenedores que aíslan los procesos, la memoria y el sistema de archivos usando LXC, mientras que los firewalls basados en host evitan que las aplicaciones establezcan conexiones de red local. Los servicios se configuran con estrictas restricciones de seguridad de red para limitar aún más cualquier riesgo potencial. Tanto AWS como Heroku realizan evaluaciones de vulnerabilidad internas con regularidad y aplican parches en los sistemas subyacentes.

Para obtener información técnica adicional, consulte:
https://devcenter.heroku.com/articles/dyno-isolation

 

Plan de respuesta a incidentes

Identificación

Calendly supervisa rutinariamente sus servicios externos y las bibliotecas de código abierto para detectar problemas de seguridad y ha firmado anexos de tratamiento de datos (ATD) con sus proveedores para garantizar la pronta notificación de las violaciones de datos. Calendly analiza continuamente Calendly con herramientas automatizadas para comprobar si hay interrupciones del servicio, degradación del rendimiento y vulnerabilidades de seguridad, para así poder alertar inmediatamente a sus ingenieros cuando se detecta un incidente. Los usuarios también pueden notificar de problemas de seguridad a través de security@calendly.com

 

Contención

Cada vez que nuestro equipo de ingeniería es alertado de un problema de seguridad, el equipo determina qué sistemas están afectados y contiene rápidamente el problema desconectando todos los dispositivos y sistemas afectados. Puesto que todos nuestros servicios funcionan en contenedores que aíslan los procesos, la memoria y el sistema de archivos, es fácil reemplazarlos y actualizarlos en su totalidad, de modo que se impide que el problema se extienda.

 

Recuperación

Si se encuentran datos afectados, se restauran desde archivos de copia de seguridad limpios, garantizando que no queden vulnerabilidades. También se guardan copias de seguridad secundarias en Google Cloud. Los sistemas se supervisan para comprobar si hay cualquier recurrencia. En los servicios temporales, se aplican parches y se vuelven a implementar, de modo que se elimina cualquier posibilidad de persistencia del malware.

 

Retrospectiva

El equipo de ingeniería de Calendly analiza cada incidente de funcionamiento y cómo se ha controlado, y hace recomendaciones para mejorar la respuesta futura y prevenir su reaparición.
 


Plan de gestión de cambios

Las nuevas versiones de la plataforma de Calendly se revisan y prueban exhaustivamente para garantizar una alta disponibilidad y una buena experiencia de usuario. Los cambios en nuestro código base deben incluir pruebas unitarias, pruebas de integración y pruebas de extremo a extremo. Los cambios se ejecutan con nuestro servidor de integración continua. Eso nos permite detectar automáticamente cualquier problema en el desarrollo.

Una vez que se realiza un conjunto de cambios, uno o más miembros del equipo de ingeniería lo revisan manualmente. Después, nuestro equipo de control de calidad evalúa y prueba manualmente el conjunto de datos con el objetivo de probar a fondo los ámbitos donde se espera el efecto, realizar pruebas de regresión y evaluar aún más la experiencia del usuario.

Después de que se publique un conjunto de cambios, seguimos supervisando las excepciones de la aplicación y del registro. Esas excepciones se revisan con regularidad y se filtran para su resolución. El efecto de los cambios en el rendimiento se supervisa mediante varios servicios de monitorización.

 

Políticas y gestión del personal

Como condición para su contratación, todos los empleados de Calendly pasan por comprobaciones de antecedentes antes de ser contratados. Además, reciben formación al principio y durante el desarrollo de su trabajo sobre las políticas de la empresa, la seguridad, el RGPD y otros temas relacionados con la seguridad, la privacidad y el cumplimiento.

 
 

Cumplimiento

Conformidad con PCI

Calendly utiliza Stripe, un procesador de pagos que cumple con el PCI, a fin de almacenar y cifrar datos de tarjetas de crédito. Puede encontrar más información sobre el compromiso de Stripe en cuanto a la seguridad y cumplimiento aquí. Utilizamos la integración directa de javascript de Stripe, de forma que los datos de su tarjeta de crédito nunca llegan a los servidores de Calendly.

https://stripe.com/docs/security/stripe

 

Cumplimiento del RGPD

Puede estar seguro/a de que Calendly está comprometido con el cumplimiento del RGPD. Entendemos la importancia de incorporar las normas presentadas por el Reglamento General de Protección de Datos (RGPD) a la hora de utilizar los datos y de hacer que nuestros clientes, ya sean ciudadanos de la UE o empresas que utilizan Calendly con clientes europeos, se sientan seguros y confiados para seguir usando Calendly. Hemos desarrollado nuevas características, mejorado funcionalidades existentes y establecido documentación adicional acerca de nuestros esfuerzos.

Sin embargo, el RGPD es un reglamento amplio. Puesto que es nuevo y no existe ningún proceso de certificación, ninguna empresa puede afirmar con legitimidad que cumple con el RGPD. Calendly hace un esfuerzo de buena fe para cumplir el RGPD, tanto ahora como en el desarrollo futuro.

 

Documentos jurídicos

Política de privacidad de Calendly

Nuestra política de privacidad actual se puede consultar aquí:

https://www.calendly.com/pages/privacy

 

Condiciones de uso y anexo sobre el tratamiento de datos («ATD»)

Nuestras condiciones de uso actuales (incluido un enlace a nuestro anexo de tratamiento de datos) se pueden consultar aquí:

https://www.calendly.com/pages/terms

 

Licencia de usuario final de Calendly

Nuestras condiciones de uso actuales (incluido un enlace a nuestro anexo de tratamiento de datos) se pueden consultar aquí:

https://calendly.com/pages/eula

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 20 de 44