Conformité et sécurité de la plate-forme Calendly

Calendly est une application en cloud qui fournit un service de planification de réunion. Notre plate-forme crée une expérience transparente pour planifier des réunions en s'intégrant en toute sécurité avec les fournisseurs de calendrier pour vérifier la disponibilité.

Notre logiciel est conçu pour demander l’accès le plus limité possible aux ressources du client pour offrir une expérience de planification transparente. Nous nous soucions en permanence de la confidentialité de nos clients et limitons l’accès à toutes les données des clients sur une base de besoin de connaître en interne.

Calendly applique les meilleures pratiques de sécurité en retenant une quantité minimale de données clients et en fonctionnant avec le moins de privilèges nécessaires pour fournir une excellente expérience à nos utilisateurs.

Ce document se veut un aperçu de la vie privée, la sécurité et la conformité de la plate-forme.

 

 

Intégrations de calendrier

Intégrations Google Agenda et Office365

Un utilisateur Calendly peut utiliser l'intégration Google Agenda ou Office365 pour connecter son calendrier avec Calendly pour simplifier la planification. Calendly est prévu pour accéder uniquement au minimum de données nécessaires des calendriers connectés pour fournir son service. Par exemple, l'application Calendly ne vérifie que la durée et l'état libre/occupé des événements dans votre Google Agenda pour que nous vous réservions pas quand vous êtes occupé. Calendly est conçu pour ne pas stocker les détails à propos des événements dans votre calendrier, y compris les détails tels que qui vous rencontrez, leur adresse email, le sujet de la réunion ou tout autre détail sur les rendez-vous dans votre calendrier.

 

Plug-in Outlook Calendly

L'intégration du plug-in Outlook Calendly permet à la plate-forme Calendly de vérifier la durée et l'état libre/occupé des événements de votre calendrier pour que nous ne réservions pas de créneau lorsque vous êtes occupé. Aucune autre information personnellement identifiable, y compris le sujet, les notes et les adresses email des participants n'est disponible ou transmise à Calendly. La plate-forme Calendly utilise des websockets pour communiquer lorsque de nouvelles réservations sont disponibles avec le plug-in Calendly pour Outlook. Calendly écrira les informations concernant l'heure, la durée, le sujet et les participants prévus de Calendly vers Outlook. Toutes les données sont cryptées en transit par TLS. Les données stockées au repos dans l'espace de stockage sont cryptées, y compris les sauvegardes automatiques, les répliques en lecture et les instantanés.

 

Intégration calendrier iCloud

L'intégration au calendrier iCloud de Calendly utilise vos identifiants iCloud pour accéder à l'API d'iCloud. Apple a une approche tout ou rien pour l’accès aux données, car les mêmes identifiants sont utilisés pour tous les services. Bien que Calendly stocke de façon sécurisée les identifiants iCloud que nous recueillons et que leur accès soit restreint, Calendly recommande de configurer une authentification à deux facteurs sur les comptes iCloud et d'utiliser un mot de passe pour application pour la configuration de l'intégration du calendrier iCloud de Calendly.

 

Authentification avec les intégrations de calendrier

Nous évitons de collecter des mots de passe tiers en utilisant l’authentification OAuth avec Office365 et Google Agenda. Les utilisateurs Calendly peuvent déconnecter leur connexion de calendrier à tout moment avec la fonctionnalité de paramètres de compte sur le tableau de bord de Calendly.

En utilisant le plug-in Outlook de Calendly, Calendly nécessite l’installation sur les appareils clients pour lire les conflits de calendrier et planifier des événements. La plupart de nos clients préfère utiliser les intégrations de calendrier OAuth.

 

Pages de réservation

La plate-forme Calendly permet aux utilisateurs de personnaliser les pages de réservation pour collecter les informations pertinentes de la part des invités. Calendly n’est pas destiné à être utilisé par les utilisateurs pour collecter des informations personnelles sensibles.

 

Cryptage des données

  • Toutes les connexions depuis le navigateur vers la plate-forme de Calendly sont chiffrées en transit en utilisant TLS SHA-256 avec cryptage RSA.
  • Toutes les données sont cryptées au repos.
  • Les mots de passe des utilisateurs Calendly sont stockés sous forme de hâchage salé
  • Les mots de passe utilisateurs pour l'intégration de calendrier iCloud sont cryptés

 

Infrastructure physique

L’application Calendly est hébergée sur Amazon Web Services via la plateforme Heroku. L’infrastructure physique de Heroku est hébergée et gérée au sein du centre de données sécurisé d’Amazon et utilise la technologie Amazon Web Services (AWS). Amazon gère de façon continue les risques et subit des évaluations périodiques pour s’assurer du respect des normes de l’industrie. Les opérations du centre de données d’Amazon ont été accréditées par :

  • ISO 27001
  • SOC 1 et SOC 2/SSAE 16/ISAE 3402 (précédemment SAS 70 Type II)
  • PCI niveau 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)


Pour plus d’informations, consultez :

https://aws.amazon.com/security/
https://www.heroku.com/policy/security

 

Gestion des vulnérabilités

Nous gardons nos systèmes à jour avec les derniers correctifs de sécurité et surveillons en permanence l'apparition de nouvelles vulnérabilités via des listes de diffusion de sécurité. Ceci comprend un balayage automatique de nos dépôts de code pour à la recherche de dépendances vulnérables. Tous nos services fonctionnent dans des conteneurs qui isolent les processus, la mémoire et le système de fichiers grâce à LXC, tandis que les pare-feux basés sur l’hôte limitent les demandes d’établissement de connexions au réseau local. Les services sont configurés avec des contraintes de sécurité réseau strictes pour limiter tout risque potentiel. AWS et Heroku mènent tous deux régulièrement des évaluations de la vulnérabilité interne et corrigent les systèmes sous-jacents.

 

Pour plus d’informations techniques, consultez :

https://devcenter.heroku.com/articles/dyno-isolation

 

Plan de réponse aux incidents

Identification

Calendly surveille systématiquement nos services externes et les bibliothèques open source pour des questions de sécurité et a exécuté des addendum de traitement des données (ATD) avec nos fournisseurs afin d’assurer la prompte notification des violations de données. Calendly surveille en permanence Calendly pour détecter les éventuelles interruptions de service, dégradations des performances ou failles de sécurité avec des outils automatisés, pour attirer immédiatement l’attention de nos ingénieurs lorsqu’un incident est détecté. Les utilisateurs peuvent également signaler tout problème de sécurité à security@calendly.com

 

Confinement

Lorsque notre équipe d’ingénieurs est avertie d’un problème de sécurité, l’équipe détermine quels systèmes sont touchés et confine rapidement le problème en déconnectant tous les appareils et systèmes concernés. Puisque tous nos services s’exécutent dans des conteneurs qui isolent les processus, la mémoire et le système de fichiers, ils sont facilement remplacés et mis à jour dans leur intégralité inhibant toute escalade.

 

Récupération

Si des données sont identifiées comme étant affectées, elles sont restaurées à partir de fichiers de sauvegarde propres, veillant à ce qu’aucune vulnérabilité ne persiste. Des sauvegardes secondaires sont également stockées dans Google Cloud. Les systèmes sont surveillés pour toute récidive. Les services éphémères sont corrigés et redéployés, éliminant toute chance de persistance de logiciel malveillant.

 

Rétrospective

L’équipe d’ingénierie Calendly analyse chaque incident opérationnel et comment il a été traité, et formule des recommandations pour une meilleure réponse future et pour en prévenir la répétition.

 

 

Plan de gestion du changement

Les nouvelles version de la plate-forme Calendly sont soigneusement examinées et testées pour garantir une disponibilité élevée et une expérience client exceptionnelle. Les modifications apportées à notre base de code sont tenues d’inclure des tests unitaires, des tests d’intégration et des tests de bout en bout. Les changements sont également exécutés sur notre serveur d’intégration continue. Ceci nous permet de détecter automatiquement tout problème dans le développement.

Une fois qu'un ensemble de modifications est terminé, il est manuellement revu par un ou plusieurs membres de l’équipe d’ingénierie. L’ensemble de modifications est alors évalué et testé manuellement par notre équipe d’assurance qualité pour tester en profondeur les zones d’impact attendu, tester la régression et pour continuer à évaluer l’expérience de l’utilisateur.

Après qu’un ensemble de modifications est mis en production, nous continuons à surveiller les exceptions d'application et enregistrons les exceptions. Ces exceptions sont régulièrement examinées et triées pour résolution. Les impacts sur la performance de l’ensemble de modifications sont surveillés par plusieurs services de surveillance.

 

 

Sélection et politiques d'employés

Comme condition d'embauche, tous les employés de Calendly subissent des vérifications de leurs antécédents préalables à l'embauche et reçoivent une formation au cours de leur intégration et tout au long de leur emploi sur les politiques de l’entreprise, la sécurité, le RGPD et autres sujets associés sur la sécurité, la confidentialité et la conformité.

 

 

Conformité

Conformité PCI

Calendly utilise un processeur de paiement conforme PCI, Stripe, pour le chiffrement et le stockage des informations de cartes de crédit. Plus d’informations sur l’engagement de sécurité et de conformité de Stripe sont disponibles ici. Nous utilisons l’intégration directe javascript de Stripe, afin que vos informations de carte de crédit n’atteignent jamais les serveurs de Calendly.

https://stripe.com/docs/security/stripe

 

Conformité au RGPD

Vous pouvez compter sur le fait que Calendly s’engage pour le respect du RGPD. Nous comprenons l’importance d’intégrer les normes formulées par le Règlement Général sur la Protection des Données (RGPD) dans nos pratiques en matière de données et faisons en sorte que nos clients, qu'ils soient citoyens de l’UE ou des entreprises utilisant Calendly avec des clients européens, se sentent en sécurité et confiants pour continuer à utiliser Calendly. Nous avons développé de nouvelles fonctionnalités, amélioré des fonctionnalités existantes et établi des documents supplémentaires concernant nos efforts.

Cependant, le RGPD est un règlement large. Comme il est nouveau, et comme il n’y a aucun processus de certification, aucune société ne peut légitimement prétendre être conforme au RGPD. Calendly fait un effort de bonne foi pour être conforme au RGPD, maintenant et lors de nos futurs développements.

 

 

Documents juridiques

Politique de confidentialité de Calendly

Notre politique de confidentialité actuelle se trouve ici :

https://www.calendly.com/pages/privacy

 

Conditions d’utilisation et Addendum de Traitement des Données ("ATD") de Calendly

Nos conditions d'utilisation actuelles, y compris un lien vers notre addendum de traitement de données, se trouvent ici :

https://www.calendly.com/pages/terms

 

Contrat de licence utilisateur final de Calendly

Nos conditions d'utilisation actuelles, y compris un lien vers notre addendum de traitement de données, se trouvent ici :

https://calendly.com/pages/eula

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 20 sur 44