Diese Seite stellt Massnahmen vor, welche von Calenso umgesetzt oder geplant worden sind, um die Sicherheit der Terminbuchungsplattform sicherzustellen.

  • Der gesamte Traffic, welcher zu Calenso kommt, wird von sucuri überwacht. Somit kann bösartiger Traffic (z.B. DDoS-Attacken) schon vorher ausgefiltert werden, bevor dieser die Calenso-Server erreichen.  Darüberhinaus überwacht Sucuri die Uptime von Calenso und prüft das System in regelmässigen Abstand auf Viren und Malware. Im Fall eines Befalls reagiert sucuri prompt und befreit die Webseite von jeglichem Befall.
  • Das Calenso-Backend läuft auf einer Version, die aktiv vom Zulieferer weiterentwickelt wird. Das heisst Sicherheitspatches und neue Funktionen werden in regelmässigen Abständen eingespielt.
  • Die Applikation Snyk testet Calenso-Frontend-Library Abhängigkeiten auf bekannte Schwachstellen und alarmiert, sobald eine gefunden wurde. So kann die Braincept AG aktiv auf neue Schwachstellen agieren. Daneben werden Library-Abhängigkeiten so aktuell wie möglich gehalten.
  • Es werden nur PHP Versionen eingesetzt, welche aktiv von der Community weiterentwickelt werden.
  • Alle 12 Stunden wird ein volles Datenbank Backup erzeugt und auf 3 unterschiedlichen Servern gespeichert. Darüberhinaus werden Backups täglich offline gespeichert. Im Falle eines Problems kann Calenso innert Minuten wieder lauffähig gemacht werden.
  • Der gesamte Traffic zwischen Calenso und Kunde ist verschlüsselt (HTTPS).
  • CORS ist aktiviert.
  • CSP ist aktiviert (verhindert Cross-Site-Scripting (XSS), Clickjacking, Code Injection Attacks).
  • Nur ausgewählte Calenso Mitarbeiter haben Zugriff auf Kundendaten (Support und Entwicklung). Kundendaten werden an keine weiteren Firmen weitergegeben oder gar verkauft. Alle Mitarbeiter unterschreiben eine Vertraulichkeitsverpflichtungserklärung, welche sie dazu verpflichtet, die aufgelisteten Bestimmungen einzuhalten.
  • Calenso Passwörter werden nicht im Plaintext-Format abgespeichert, sondern als Hash. Das Hashingverfahren bcrypt gilt als eines der sichersten in der heutigen Zeit.
  • Brute-Force-Attacken auf Calenso-Logins wird unterbunden. Sobald mehr als 3 gescheiterte Loginversuche auftreten, wird die IP-Adresse gesperrt.
  • Keine Speicherung von Kreditkarten Informationen auf den Calenso-Servern. Dafür wird der renommierte Anbieter Stripe eingesetzt. Stripe wurde von einem PCI-zertifizierten Auditor geprüft und ist nach PCI Service Provider Level 1 zertifiziert. Dies ist die strengste Zertifizierungsstufe in der Zahlungsverkehrsbranche.
  • Wenn ein Partner sich für eine Löschung seines Accounts entscheidet, dann werden sämtliche damit verbundenen Daten vom Server gelöscht. Die Daten sind nur noch während 30 Tagen in den Backups vorhanden, bis diese durch neue ersetzt werden.
  • Security Audit vom Calenso Code, ggf. Zertifizierung.
  • Nur noch Einsatz von sicheren Passwörtern innerhalb von Calenso. Dafür wird die Mindestanforderung an ein Passwort erhöht.
  • Einsatz von https://greenkeeper.io/, um NPM Dependencies auf Schwachstellen zu prüfen und ggf. automatisiert zu aktualisieren.
  • Automatisiertes Calenso Recovery im Falle eines Problems.