Squarespace – Medidas de Seguridad

Fecha de entrada en vigencia: 14 de mayo de 2018

Los términos en mayúsculas que no están definidos en estas Medidas de Seguridad tienen los significados que se establecen en los Términos de Servicio o en el Apéndice sobre el Procesamiento de Datos.

 

Visión General de la Seguridad

Squarespace tiene un equipo dedicado a la seguridad que guía la implementación de controles, procesos y procedimientos que rigen la seguridad de Squarespace y sus clientes. El equipo de seguridad de Squarespace es responsable de desarrollar, implementar y mantener un programa de seguridad de la información que refleje los siguientes principios:

  • Alinear las actividades de seguridad con las estrategias de Squarespace y respaldar los objetivos de Squarespace.
  • Aprovechar la seguridad para facilitar la confidencialidad, la integridad y la disponibilidad de los datos y los activos.
  • Utilizar los recursos de seguridad de Squarespace de manera eficiente y efectiva.
  • Utilizar y monitorizar las métricas para facilitar el rendimiento adecuado de las actividades relacionadas con la seguridad.
  • Gestionar la seguridad utilizando una estrategia basada en los riesgos.
  • Implementar medidas diseñadas para gestionar los riesgos y el posible impacto hasta un nivel aceptable.
  • Aprovechar los marcos de seguridad de la industria cuando sean relevantes y aplicables.
  • Aprovechar los procesos de cumplimiento y aseguramiento cuando sea necesario.
  • Analiza las amenazas identificadas o potenciales para Squarespace y sus clientes, ofrecer recomendaciones razonables de compensación y comunicar los resultados según sea adecuado.  

Seguridad, Disponibilidad y Recuperación de Desastres del Centro de Datos

  • Squarespace aprovecha los principales proveedores de centros de datos para alojar nuestra infraestructura física.  
  • Nuestros proveedores de centros de datos usan una variedad de equipos de seguridad, técnicas y procedimientos diseñados para controlar, monitorear y registrar el acceso a las instalaciones.
  • Hemos implementado soluciones diseñadas para protegernos y resguardarnos de los efectos de los ataques de DDoS.    
  • Tenemos equipos dedicados ubicados en varias geografías para respaldar nuestra plataforma e infraestructura de soporte.  
  • Squarespace mantiene centros de datos separados geográficamente para facilitar la infraestructura, así como la disponibilidad y continuidad del servicio. 
  • Squarespace tiene un plan de recuperación de desastres (fallo) que se evalúa al menos una vez al año. Los resultados de las pruebas se documentan y conservan.  

Seguridad a Nivel de la Aplicación

  • Squarespace controla las contraseñas para las cuentas de usuario y ofrece SSL para los clientes.  
  • Squarespace utiliza tecnología de Web Application Firewall (WAF).
  • Realizamos pruebas de penetración sobre la plataforma de Squarespace, cuyos resultados analizan y solucionan (según sea necesario) nuestros equipos de ingeniería y seguridad.  
  • Los clientes tienen la capacidad de personalizar los permisos del sitio web.

Respuesta ante incidentes

  • En caso de un evento o un problema relacionado con la seguridad de la plataforma de Squarespace, el equipo de seguridad de Squarespace sigue un proceso formal de respuesta ante incidentes.  
  • Analizamos las amenazas identificadas o potenciales para Squarespace y sus clientes, ofrecemos recomendaciones razonables de compensación y comunicamos los resultados según sea adecuado.

Acceso al Edificio y la Red de Squarespace

  • El acceso físico a las oficinas de Squarespace y el acceso a la red interna de Squarespace es restringido y está monitoreado.  

Control de los sistemas de acceso

  • El acceso a los sistemas de Squarespace se limita al personal adecuado.
  • Squarespace se suscribe al principio del menor privilegio (por ejemplo, a empleados, cuentas de sistema, proveedores, etc., se les otorga el menor acceso para su función).
  • Squarespace aprovecha la autenticación de varios factores.

Gestión de los Riesgos de Seguridad

La inteligencia de las amenazas y la evaluación del riesgo son los componentes clave del programa de seguridad de la información de Squarespace. El hecho de conocer y comprender las amenazas potenciales (y reales) es lo que guía la selección y la implementación de los controles de seguridad adecuados para mitigar los riesgos. Las posibles amenazas a la seguridad se identifican y evalúan en cuanto a su gravedad y explotabilidad antes de clasificarlas como riesgos. Si es necesario mitigar el riesgo, el equipo de seguridad trabaja con las partes interesadas y relevantes, así como con los propietarios del sistema para remediarlo. Los esfuerzos de corrección se ponen a prueba para confirmar que las nuevas medidas o controles han logrado el propósito esperado.