Conformidade e segurança da plataforma Calendly

Calendly é um aplicativo de nuvem que fornece agendamento de reuniões como serviço. Nossa plataforma cria uma experiência contínua para agendar reuniões por meio da integração segura com provedores de agenda com o objetivo de verificar a disponibilidade.

Nosso software foi projetado para solicitar o mínimo acesso aos recursos do cliente para conseguir uma experiência de agendamento integrada. Cuidamos constantemente da privacidade dos nossos clientes e limitamos o acesso interno a todos os dados dos clientes, alcançando apenas o realmente necessário.

A Calendly aplica as melhores práticas de segurança, retendo o mínimo de informações do cliente e operando com o mínimo de privilégios necessários para oferecer uma ótima experiência aos nossos usuários.

Este documento é uma visão geral da privacidade, da segurança e da conformidade da plataforma.

 

 

Integração com agendas

Integração com Google Agenda e Office365

O usuário do Calendly pode usar as integrações do Google Agenda ou do Office365 para vincular sua agenda com o Calendly para simplificar o agendamento. O Calendly foi criado para acessar o mínimo de informações necessárias das agendas vinculadas para oferecer o serviço. Por exemplo, o aplicativo do Calendly verifica somente a duração e o status livre/ocupado dos eventos da sua Google Agenda, para que não façamos um agendamento quando você estiver ocupado. O Calendly foi projetado para não armazenar detalhes dos agendamentos da sua agenda, inclusive a pessoa com quem você vai se reunir, seu email, o título da reunião ou qualquer outro detalhe dos compromissos da sua agenda.

 

Plug-in do Calendly para Outlook

A integração do plug-in do Calendly com o Outlook permite que a plataforma do Calendly consulte a duração e o status livre/ocupado dos eventos da sua agenda, para que não façamos agendamento quando você estiver ocupado. Nenhuma outra informação pessoal, como assunto, anotações e emails do participante, ficam disponíveis ou são transmitidos pelo Calendly. A plataforma do Calendly utiliza websockets para comunicar-se quando há novos agendamentos disponíveis com o plug-in do Calendly para Outlook. O Calendly grava o horário do compromisso, o assunto e as informações do participante agendado do Calendly para o Outlook. Todos os dados são criptografados com TLS. Os dados armazenados no espaço básico são criptografados, inclusive backups automáticos, réplicas lidas e instantâneos.

 

Integração com a agenda do iCloud

A integração com a agenda do iCloud utiliza suas credenciais de acesso do iCloud para acessar a API do iCloud. A Apple adota uma abordagem de tudo ou nada no acesso de dados, com as mesmas credenciais utilizadas para todos os serviços. Embora o Calendly armazene com segurança e restrinja o acesso às credenciais do iCloud que coletamos, a Calendly recomenda a definição de autenticação com dois fatores nas contas do iCloud e a utilização de uma senha específica do aplicativo, ao configurar a integração da agenda do iCloud com o Calendly.

 

Autenticação com integrações de agendas

Evitamos a coleta de senhas de terceiros ao utilizarmos a autenticação OAuth com o Office365 e a Google Agenda. Os usuários do Calendly podem desvincular suas agendas a qualquer momento, por meio do recurso de configuração de contas no painel do Calendly.

Se utilizar o plug-in para Outlook, o Calendly exige a instalação nos dispositivos do cliente, para ler conflitos da agenda e agendar eventos. A maioria dos nossos clientes prefere utilizar integrações de agendas com OAuth.

 

Páginas de agendamento

A plataforma do Calendly permite que os usuários personalizem as páginas de agendamento para coletar informações relevantes dos convidados. O Calendly não foi projetado para ser utilizado pelos usuários para coletar informações pessoais sigilosas.

 

Criptografia de dados

  • Todas as conexões do navegador com a plataforma do Calendly são criptografadas em trânsito com TLS SHA-256 e criptografia RSA.
  • Todos os dados são criptografados em repouso.
  • As senhas de usuário do Calendly são armazenadas como códigos de senhas criptografadas
  • As senhas de usuário para a integração com a agenda do iCloud são criptografadas

 

Infraestrutura física

O aplicativo do Calendly é hospedado em Amazon Web Services por meio da plataforma Heroku. A infraestrutura física do Heroku está hospedada nas centrais de dados da Amazon e é administrada por elas, e utiliza a tecnologia Amazon Web Service (AWS). A Amazon gerencia constantemente os riscos e é submetida a avaliações constantes, a fim de assegurar a conformidade com os padrões do setor. As operações do centro de dados da Amazon foram certificadas por:

  • ISO 27001
  • SOC 1 e SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 Type II)
  • PCI nível 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

 

Para mais informações, consulte:

https://aws.amazon.com/security/
https://www.heroku.com/policy/security

 

Gerenciamento de vulnerabilidades

Mantemos nossos sistemas atualizados com as correções de segurança mais recentes e monitoramos constantemente novas vulnerabilidades, por meio de listas de distribuição de conformidade e segurança. Isso inclui a verificação automática de dependências vulneráveis em nossos repositórios de códigos. Todos os nossos serviços são executados em contêineres que isolam os processos, a memória e o sistema de arquivos, utilizando LXC, enquanto firewalls baseados em servidores restringem os aplicativos no estabelecimento de conexões a redes locais. Os serviços são configurados com limitações rígidas de segurança de rede, para limitar ainda mais qualquer risco. Tanto AWS como Heroku realizam regularmente avaliações internas de vulnerabilidades e corrigem os sistemas principais.

 

Para outras informações técnicas, consulte:

https://devcenter.heroku.com/articles/dyno-isolation

 

Plano de resposta a incidentes

Identificação

A Calendly monitora rotineiramente nossos serviços externos e nossas bibliotecas em código aberto em busca de problemas de segurança, e firmou adendos de processamento de dados (DPA) com nossos fornecedores para assegurar a rápida notificação sobre vazamento de dados. A Calendly monitora constantemente o Calendly quanto à ocorrência de interrupções no serviço, degradação no desempenho e vulnerabilidades de segurança, utilizando ferramentas automáticas para alertar imediatamente nossos engenheiros se algum incidente for detectado. Os usuários também podem relatar problemas de segurança pelo email security@calendly.com

 

Confinamento

Sempre que nossa equipe de engenheiros é alertada sobre um problema de segurança, a equipe determina quais sistemas foram afetados e contém rapidamente o problema, desconectando todos os sistemas e dispositivos afetados. Como todos os nossos serviços são executados em contêineres que isolam processos, memória e o sistema de arquivos, são totalmente substituídos e atualizados facilmente, inibindo maiores consequências.

 

Recuperação

Se algum dado for afetado, será restaurado de nossos arquivos de backup limpos, assegurando que nenhuma vulnerabilidade persistirá. Há também backups secundários armazenados na Google Cloud. Os sistemas são monitorados para detecção de qualquer ocorrência. Serviços temporários são corrigidos e reimplantados, eliminando qualquer chance de persistência de malware.

 

Retrospectiva

A equipe de engenharia da Calendly analisa todos os incidentes operacionais e como foram tratados, fazendo recomendações para gerar respostas melhores no futuro e para impedir a recorrência.

 

 

Plano de gerenciamento de alterações

Os novos lançamentos da plataforma do Calendly são totalmente revisadas e testadas, para assegurar alta disponibilidade e uma ótima experiência para o usuário. São necessárias alterações em nosso código base para incluir testes de unidades, testes de integração e testes de ponta a ponta. São feitas alterações também em nosso servidor de integração constante. Isso nos permite detectar automaticamente quaisquer problemas no desenvolvimento.

Após a conclusão de um conjunto de alterações, são revisados manualmente por um ou mais membros da equipe de engenharia. O conjunto de alterações é então avaliado e testado manualmente por nossa equipe de garantia da qualidade, para testar totalmente as áreas de impacto esperado, realizar testes de regressão e novas avaliações da experiência do usuário.

Após a liberação de um conjunto de alterações, continuamos monitorando exceções no aplicativo e no histórico. Essas exceções são revistas regularmente e filtradas para resolução. Os impactos do conjunto de alterações no desempenho são monitorados por meio de diversos serviços de monitoramento.

 

 

Seleção e políticas de funcionários

Como condição de contratação, todos os funcionários da Calendly são submetidos a verificações de antecedentes antes da contratação e recebem treinamento, durante a integração e por todo o período de trabalho, sobre políticas da empresa, segurança, RGPD e outros assuntos relacionados a segurança, privacidade e conformidade.

 

 

Conformidade

Conformidade com PCI

A Calendly utiliza o processador de pagamentos compatível com PCI Stripe para criptografar e armazenar informações de cartões de crédito. Consulte outras informações sobre o compromisso da Stripe com segurança e conformidade, aqui. Utilizamos a integração direta com javascript da Stripe, para que as informações do seu cartão de crédito nunca cheguem aos servidores da Calendly.

https://stripe.com/docs/security/stripe

 

Conformidade com RGPD

Considere o fato de que a Calendly tem como compromisso a conformidade com o RGPD. Reconhecemos a importância da adoção dos padrões definidos pelo Regulamento Geral sobre a Proteção de Dados (RGPD) em nossas práticas com dados, e de assegurar que nossos clientes, sejam cidadãos da UE ou empresas que utilizam o Calendly com clientes europeus, sintam-se seguros e confiantes para continuarem usando o Calendly. Desenvolvemos novos recursos, ampliamos funcionalidades atuais e estabelecemos documentação adicional relacionada aos nosso trabalho.

Entretanto, o RGPD é uma regulamentação ampla. Como é nova e como não há processo de certificação, nenhuma empresa pode afirmar com legitimidade que tem conformidade com RGPD. A Calendly empreende esforços de boa fé para ter conformidade com o RGPD, tanto hoje como em desenvolvimentos futuros.

 

 

Documentação legal

Política de privacidade da Calendly

Consulte nossa política de privacidade atual aqui:

https://www.calendly.com/pages/privacy

 

Termos de Uso e Adendo de Processamento de Dados ("DPA")

Consulte Nossos Termos de Uso atuais, inclusive um link para o adendo de processamento de dados, aqui:

https://www.calendly.com/pages/terms

 

Contrato de Licença de Usuário Final do Calendly

Consulte Nossos Termos de Uso atuais, inclusive um link para o adendo de processamento de dados, aqui:

https://calendly.com/pages/eula

Esse artigo foi útil?
Usuários que acharam isso útil: 19 de 43