1. Centre d'aide
  2. Paramètres du compte
  3. Sécurité et conformité

Sécurité et conformité de la plateforme Calendly

Calendly est une application cloud qui fournit un service de planification de réunions. Notre plateforme crée une expérience transparente pour planifier des réunions grâce à une intégration sécurisée avec des fournisseurs de calendrier pour vérifier la disponibilité.

Notre logiciel est conçu pour demander l'accès minimal nécessaire aux ressources client afin de garantir une expérience de planification transparente. Nous veillons en permanence au respect de la confidentialité de nos clients et limitons l'accès à toutes les données clients sur une base strictement nécessaire en interne. Calendly applique les meilleures pratiques de sécurité en conservant un minimum de données clients et en fonctionnant avec le moins de privilèges nécessaires pour offrir une excellente expérience à nos utilisateurs.

Ce document est destiné à donner un aperçu de la confidentialité, de la sécurité et de la conformité liés à la plateforme.

Intégrations de calendrier

Intégrations de Google Calendar et Office365

Un utilisateur de Calendly peut utiliser les intégrations de Google Agenda ou d'Office365 pour connecter son calendrier à Calendly afin de simplifier la planification. Calendly est conçu pour n'accéder qu'au strict minimum de données nécessaires à partir des calendriers connectés pour fournir son service. 

Module d'extension Outlook de Calendly

La plateforme Calendly utilise des sockets web pour communiquer lorsque de nouvelles réservations sont disponibles avec le module d'extension Calendly pour Outlook. Calendly enregistrera l'heure, la durée, le sujet et les informations sur les participants prévus de Calendly dans Outlook. Toutes les données sont chiffrées en transit avec TLS. Les données stockées au repos dans le stockage sous-jacent sont chiffrées, y compris les sauvegardes automatisées, les répliques de données et les instantanés.

 Intégration du calendrier iCloud

À partir du 20 août 2024, Calendly ne prend plus en charge de nouvelles connexions à iCloud Calendar. Les connexions existantes continueront d'être prises en charge, mais les nouveaux utilisateurs ou ceux qui n'ont pas encore configuré de connexion au calendrier iCloud ne pourront pas le faire. Pour savoir comment connecter un calendrier Google, Office 365 ou Outlook.com ou Exchange, consultez la page Connecter votre calendrier.

L'intégration de Calendly iCloud Calendar utilise vos informations d'identification iCloud pour accéder à l'API iCloud. Apple a une approche tout ou rien de l'accès aux données, en ce sens que les mêmes identifiants sont utilisés pour tous les services. Alors que Calendly stocke et limite en toute sécurité l'accès aux informations d'identification iCloud que nous collectons, Calendly recommande de configurer une authentification à deux facteurs sur les comptes iCloud et d'utiliser un mot de passe spécifique à l'application lors de la configuration de l'intégration du calendrier iCloud de Calendly.


Authentification pour les intégrations de calendrier

Nous évitons de collecter des mots de passe tiers en utilisant l'authentification OAuth avec Office365 et Google Agenda. Les utilisateurs de Calendly peuvent déconnecter leur connexion au calendrier à tout moment via la page des paramètres de calendrier dans leur compte.

Lors de l'utilisation du module d'extension Calendly Outlook, Calendly nécessite une installation sur les appareils des clients pour lire les conflits de calendrier et planifier des événements. La plupart de nos clients préfèrent utiliser les intégrations de calendrier OAuth.

Pages de réservation

La plateforme Calendly permet aux utilisateurs de personnaliser les pages de réservation pour collecter des informations pertinentes auprès des invités. Calendly n'est pas destiné à être utilisé par les utilisateurs pour collecter des informations personnelles sensibles.

Chiffrement des données

  • Toutes les connexions du navigateur à la plateforme Calendly sont chiffrées en transit à l'aide de TLS SHA-256 avec le chiffrement RSA.
  • Toutes les données sont chiffrées au repos.
  • Les mots de passe utilisateur Calendly sont stockés sous forme de hachages de mots de passe salés.
  • Les mots de passe utilisateur pour l'intégration du calendrier iCloud sont chiffrés

Infrastructure physique

L'application Calendly est hébergée sur Kubernetes / Google Cloud Services (GCS). Les opérations du centre de données de GCS ont été accréditées selon :

  • ISO 27001
  • SOC 1 et SOC 2/SSAE 16/ISAE 3402 (précédemment SAS 70 Type II)
  • PCI Niveau 1
  • FISMA Niveau modéré
  • Sarbanes-Oxley (SOX)

Pour plus d'informations, voir :

https://cloud.google.com/security

https://kubernetes.io/docs/concepts/security/

Gestion des vulnérabilités

Nous maintenons nos systèmes à jour avec les derniers correctifs de sécurité et surveillons en permanence les nouvelles vulnérabilités via des listes de conformité et de sécurité. Cela comprend l'analyse automatique de nos référentiels de code à la recherche de dépendances vulnérables. Tous nos services fonctionnent dans des conteneurs qui isolent les processus, la mémoire et le système de fichiers à l'aide de LXC, tandis que les pare-feu hôtes empêchent les applications d'établir des connexions réseau locales. Les services sont configurés avec des contraintes strictes de sécurité réseau pour réduire davantage les risques. La plateforme Google Cloud effectue régulièrement des évaluations internes de vulnérabilité et corrige les systèmes sous-jacents.

Plan de réponse aux incidents

Identification

Calendly surveille régulièrement nos services externes et nos bibliothèques open source pour détecter des problèmes de sécurité et a signé des addendums au traitement des données (DPA) avec nos fournisseurs pour assurer une notification rapide des violations de données. Calendly analyse en permanence ses services à la recherche d'interruptions, de dégradations de performances et de vulnérabilités de sécurité avec des outils automatisés pour alerter immédiatement nos ingénieurs lorsqu'un incident a été détecté. Les utilisateurs peuvent également signaler des problèmes de sécurité à security@calendly.com

Maîtrise

Chaque fois que notre équipe d'ingénieurs est alertée d'un problème de sécurité, elle détermine quels systèmes sont concernés et maîtrise rapidement le problème en déconnectant tous les systèmes et appareils concernés. Parce que tous nos services fonctionnent dans des conteneurs qui isolent les processus, la mémoire et le système de fichiers, ils sont facilement remplacés et mis à jour dans leur intégralité, ce qui limite toute escalade ultérieure.

Récupération

Si les données ont été trouvées affectées, elles sont restaurées à partir de fichiers de sauvegarde nettoyés, garantissant qu'aucune vulnérabilité ne subsiste. Des sauvegardes secondaires sont également stockées dans Google Cloud. Les systèmes sont surveillés pour toute récurrence. Les services éphémères sont corrigés et redéployés, éliminant tout risque de persistance de logiciels malveillants. 

Rétrospective

L'équipe d'ingénieurs de Calendly analyse chaque incident opérationnel et la façon dont il a été traité, en faisant des recommandations pour une meilleure réponse future et pour éviter une récurrence.

Plan de gestion des changements

Les nouvelles versions de la plateforme Calendly sont soigneusement examinées et testées pour assurer une haute disponibilité et une expérience client exceptionnelle. Nous devons modifier notre base de code pour inclure des tests unitaires, des tests d'intégration et des tests de bout en bout. Les modifications sont également effectuées sur notre serveur d'intégration continue. Cela nous permet de détecter automatiquement tout problème en développement.

Une fois qu'un ensemble de changements est terminé, il est examiné manuellement par un ou plusieurs membres de l'équipe d'ingénierie. L'ensemble de changements est ensuite évalué et testé manuellement par notre équipe d'assurance qualité pour analyser en profondeur les zones d'impact attendu, effectuer des tests de non-régression et évaluer davantage l'expérience utilisateur.

Après la publication d'un ensemble de changements, nous continuons à surveiller les exceptions d'application et à enregistrer les exceptions. Ces exceptions sont régulièrement examinées et triées pour une résolution. Les impacts sur les performances de l'ensemble de changements sont surveillés par plusieurs services de surveillance.

Sélection des employés et politiques

En tant que condition d'embauche, tous les employés de Calendly sont soumis à des vérifications de casier judiciaire avant l'embauche et reçoivent une formation lors de l'intégration et tout au long de leur emploi sur les politiques de l'entreprise, la sécurité, le RGPD et d'autres sujets connexes de sécurité, de confidentialité et de conformité.

Conformité

Conformité PCI

Calendly utilise un processeur de paiement conforme à la norme PCI Stripe pour chiffrer et stocker les détails de carte de crédit. Plus d'informations sur l'engagement de Stripe en matière de sécurité et de conformité sont disponibles ici. Nous utilisons l'intégration directe de Stripe Javascript pour que les informations de votre carte de crédit n'atteignent jamais les serveurs de Calendly.

Documents juridiques

Politique de confidentialité de Calendly

Notre politique de confidentialité actuelle peut être trouvée ici :

https://calendly.com/privacy

Conditions d'utilisation de Calendly et addendum au traitement des données (DPA)

Nos conditions d'utilisation actuelles, y compris un lien vers notre addendum sur le traitement des données, sont disponibles ici :

https://calendly.com/terms

Contrat de licence utilisateur final de Calendly

Notre contrat de licence utilisateur final actuel peut être trouvé ici :

https://calendly.com/eula

Cet article vous a-t-il été utile ?