Medidas de seguridad y protección

Fecha de entrada en vigor: 5 de marzo de 2024

Los términos en mayúsculas que no se definen en las Medidas de seguridad tienen los significados que se indican en las Condiciones de Uso o en el Anexo sobre el Procesamiento de Datos.

Medidas de Seguridad

Squarespace aplica y mantiene medidas de seguridad técnicas y organizativas para proteger los activos y los datos de la compañía y de los clientes. Squarespace tiene un equipo de Seguridad especializado que guía la implementación de controles, procesos y procedimientos que rigen la seguridad de Squarespace y sus clientes. El equipo de Seguridad de Squarespace es responsable de desarrollar, aplicar y mantener un programa de seguridad de la información que realice lo siguiente:

  • Alinear las actividades de seguridad con las estrategias de Squarespace y respaldar los objetivos de Squarespace.

  • Aprovechar la seguridad para facilitar la confidencialidad, la integridad y la disponibilidad de los datos y los activos.

  • Analizar las amenazas identificadas o potenciales para Squarespace y sus clientes, y brindar recomendaciones de medidas razonables de reparación.

  • Monitorear activamente los entornos de Squarespace y utilizar los datos reunidos para mejorar nuestro programa de seguridad de manera continua.

  • Respaldar la infraestructura segura, la plataforma y el desarrollo de funciones. 

  • Realizar ejercicios de equipo rojo (red team), para confirmar la efectividad del control e identificar áreas de mejora.

  • Realizar ejercicios de modelado de amenazas cuando se crean sistemas nuevos o se introducen modificaciones materiales en los sistemas, componentes y plataformas existentes para confirmar, identificar y, cuando corresponda, mitigar proactivamente los riesgos de seguridad. 

  • Gestionar la seguridad utilizando una estrategia basada en los riesgos.

  • Aprovechar los marcos de seguridad y de cumplimiento de la industria, si son pertinentes y aplicables.

  • Ofrecer capacitaciones de concientización en seguridad a los empleados de Squarespace y ofrecer los mecanismos para que los empleados se comuniquen directamente con el equipo de Seguridad si tienen cualquier pregunta.

Centro de datos, proveedores de servicios de nube y de continuidad del negocio/recuperación en casos de desastre

  • Squarespace utiliza proveedores líderes de servicios de centros de datos y de nube para alojar nuestra infraestructura física y de la nube.

  • Nuestros proveedores de centros de datos usan una variedad de equipos de seguridad, técnicas y procedimientos diseñados para controlar, monitorear y registrar el acceso a las instalaciones.

  • Squarespace mantiene centros de datos separados geográficamente y distintas zonas de disponibilidad de los proveedores de servicios de la nube para facilitar la infraestructura, así como la disponibilidad y la continuidad del servicio.

  • Squarespace ha implementado soluciones diseñadas para protegerse y resguardarse de los efectos de los ataques de denegación de servicio (DDoS, por sus siglas en inglés). 

  • Squarespace tiene equipos especializados que se ubican en varias geografías para respaldar nuestra plataforma e infraestructura de soporte.

  • Squarespace cuenta con planes de continuidad del negocio para casos de desastre, que se someten a pruebas periódicas. Los resultados de las pruebas se emplean para mejorar los planes, si es necesario. 

Encriptado 

  • Squarespace aprovecha la seguridad de la capa de transporte (TLS) para cifrar los datos en tránsito entre los usuarios finales del sitio web y los dominios de los clientes.  

  • Squarespace ofrece HTTP Strict Transport Security (HSTS) que solo permite que se acceda a los sitios web de los clientes de Squarespace a través de HTTPS.

Seguridad a Nivel de la Aplicación

  • Squarespace protege con hash las contraseñas de las cuentas de los usuarios.

  • La autenticación en dos fases (2FA) está disponible en las cuentas de miembros de Squarespace para agregar una capa adicional de seguridad.  

  • Squarespace utiliza tecnología de Web Application Firewall (WAF).

  • Realizamos pruebas de penetración sobre la plataforma de Squarespace, cuyos resultados analizan y solucionan (según sea necesario) nuestros equipos de ingeniería y seguridad.

  • Los clientes tienen la capacidad de asignar diferentes niveles de permisos a los colaboradores de su sitio web.

  • Proporcionar la opción para que los clientes implementen la protección contra el secuestro de clics (clickjacking) para proteger sus sitios web y a los usuarios finales de los ataques de reparación de la interfaz de usuario (p. ej., secuestro de clics).

Respuesta ante incidentes

  • En caso de un evento o un problema relacionado con la seguridad de la plataforma de Squarespace, el equipo de seguridad de Squarespace sigue un proceso formal de respuesta ante incidentes.  

  • Squarespace analiza las amenazas identificadas o potenciales para Squarespace y sus clientes, y toma las medidas razonables que sean necesarias.

Acceso al Edificio y la Red de Squarespace

  • El acceso físico a las oficinas de Squarespace y el acceso a la red interna de Squarespace es restringido y está monitoreado.

Control de los sistemas de acceso

  • El acceso a los sistemas de Squarespace se limita al personal adecuado.

  • Squarespace se adhiere al principio de menor privilegio.

  • La política de control de acceso de Squarespace se aplica a los sistemas que administra y mantiene Squarespace.  La política de control de acceso de Squarespace se refiere a los siguientes procesos de control, entre otros:  

    • aprovisionamiento/retirada de cuentas; 

    • autenticación;

    • gestión de cuentas privilegiadas;

    • identificación de usuarios;

    • registro y control del acceso.

Gestión de los Riesgos de Seguridad

La inteligencia de las amenazas y la evaluación del riesgo son los componentes clave del programa de seguridad de la información de Squarespace. Conocer y entender las amenazas potenciales (y reales) nos permite seleccionar e implementar los controles de seguridad adecuados para mitigar los riesgos. Se identifica y evalúa la gravedad y la capacidad de explotación de las posibles amenazas a la seguridad antes de clasificarlas como riesgos. Si es necesario mitigar el riesgo, el equipo de Seguridad trabaja con las partes interesadas y relevantes, así como con los propietarios del sistema para remediarlo. Los esfuerzos de corrección se ponen a prueba para confirmar que las nuevas medidas o controles han logrado el propósito esperado.

Medidas de protección

Política de solicitud de cumplimiento de la ley

Squarespace respeta los derechos humanos de sus clientes y sus usuarios finales. Por eso, implementa una sólida política de solicitud de cumplimiento de la ley, diseñada para comprobar que todas las solicitudes de cumplimiento de la ley, gubernamentales y reglamentarias sean válidas y se efectúen conforme al proceso legal correspondiente. Squarespace no divulga datos a los organismos encargados del cumplimiento de la ley, reglamentarios o gubernamentales, a menos que las leyes aplicables lo exijan, y se niega a atender solicitudes ilegales. Si Squarespace recibe un pedido de Sus Datos Controlados (según lo definido en el Anexo sobre el Procesamiento de Datos de Squarespace), Squarespace intentará redirigir al organismo de cumplimiento de la ley o a la entidad reglamentaria o gubernamental para que solicite los datos directamente del cliente que corresponda. Si Squarespace se ve obligado a brindar acceso a los datos o a divulgar estos a organismos o agencias del cumplimiento de la ley, reglamentarios o gubernamentales, Squarespace notificará al cliente que corresponda y le entregará una copia de la solicitud para permitir que procure una medida cautelar o el recurso legal que corresponda (excepto si dicha notificación está legalmente prohibida, por ejemplo, a través de una prohibición conforme al derecho penal que le permita preservar la confidencialidad de la investigación de las autoridades de cumplimiento de la ley). 

Marcos de Privacidad de Datos

Squarespace transfiere datos personales a los EE. UU. desde el Espacio Económico Europeo, Suiza y el Reino Unido, según corresponda, de conformidad con el Marco de Privacidad de Datos UE-EE. UU., el Marco de Privacidad de Datos Suiza-EE. UU. y la Extensión del Reino Unido a los Marcos de Privacidad de Datos UE-EE. UU. (cada uno individual y conjuntamente, los "Marcos de Privacidad de Datos"). Tenemos el compromiso a tratar la información personal recibida del Espacio Económico Europeo, Suiza y el Reino Unido de conformidad con el Marco de Privacidad de Datos aplicable de acuerdo con los principios del mismo (los "Principios del Marco de Privacidad de Datos"). Puede encontrar nuestra certificación aquí y obtener más información sobre los Marcos de Privacidad de Datos (según se determine en función del país desde el que se recibió la información personal) y los Principios del Marco de Privacidad de Datos en https://www.dataprivacyframework.gov/.