Medidas de seguridad y protección

Fecha de entrada en vigor: 20 de agosto de 2020 

Los términos en mayúsculas que no se definen en las Medidas de seguridad tienen los significados que se indican en las Condiciones de Uso o en el Anexo sobre el Procesamiento de Datos..

Medidas de Seguridad

Squarespace aplica y mantiene medidas de seguridad técnicas y organizativas para proteger los activos y los datos de la compañía y de los clientes. Squarespace tiene un equipo de Seguridad especializado que guía la implementación de controles, procesos y procedimientos que rigen la seguridad de Squarespace y sus clientes. El equipo de Seguridad de Squarespace es responsable de desarrollar, aplicar y mantener un programa de seguridad de la información que realice lo siguiente:

  • Alinear las actividades de seguridad con las estrategias de Squarespace y respaldar los objetivos de Squarespace.

  • Aprovechar la seguridad para facilitar la confidencialidad, la integridad y la disponibilidad de los datos y los activos.

  • Analizar las amenazas identificadas o potenciales para Squarespace y sus clientes, y brindar recomendaciones de medidas razonables de reparación.

  • Monitorear activamente los entornos de Squarespace y utilizar los datos reunidos para mejorar nuestro programa de seguridad de manera continua.

  • Respaldar la infraestructura segura, la plataforma y el desarrollo de funciones. 

  • Efectuar operaciones internas de equipo rojo (Red Teaming) periódicamente para confirmar la efectividad del control e identificar las áreas que se pueden mejorar.

  • Realizar ejercicios de modelado de amenazas cuando se crean sistemas nuevos o se introducen modificaciones materiales en los sistemas, componentes y plataformas existentes para asegurar una protección y un manejo adecuados de los datos.

  • Gestionar la seguridad utilizando una estrategia basada en los riesgos.

  • Implementar medidas diseñadas para gestionar los riesgos y el posible impacto hasta un nivel aceptable.

  • Aprovechar los marcos de seguridad y de cumplimiento de la industria, si son pertinentes y aplicables.

  • Ofrecer capacitaciones de concientización en seguridad a los empleados de Squarespace y ofrecer los mecanismos para que los empleados se comuniquen directamente con el equipo de Seguridad si tienen cualquier pregunta.

Centro de datos, proveedores de servicios de nube y de continuidad del negocio/recuperación en casos de desastre

  • Squarespace utiliza proveedores líderes de servicios de centros de datos y de nube para alojar nuestra infraestructura física y de la nube.

  • Nuestros proveedores de centros de datos usan una variedad de equipos de seguridad, técnicas y procedimientos diseñados para controlar, monitorear y registrar el acceso a las instalaciones.

  • Squarespace mantiene centros de datos separados geográficamente y distintas zonas de disponibilidad de los proveedores de servicios de la nube para facilitar la infraestructura, así como la disponibilidad y la continuidad del servicio.

  • Squarespace ha implementado soluciones diseñadas para protegerse y resguardarse de los efectos de los ataques de denegación de servicio (DDoS, por sus siglas en inglés). 

  • Squarespace tiene equipos especializados que se ubican en varias geografías para respaldar nuestra plataforma e infraestructura de soporte.

  • Squarespace cuenta con planes de continuidad del negocio para casos de desastre, que se someten a pruebas periódicas. Los resultados de las pruebas se emplean para mejorar los planes, si es necesario. 

Encriptado 

  • Squarespace utiliza certificados SSL para encriptar los datos en tránsito entre los usuarios finales del sitio web y los dominios de los clientes.  

  • Squarespace ofrece HTTP Strict Transport Security (HSTS, por sus siglas en inglés) que encripta el contenido enviado durante las sesiones y solo permite que se acceda a los sitios web de los clientes de Squarespace a través de HTTPS.

Seguridad a Nivel de la Aplicación

  • Squarespace protege con hash las contraseñas de las cuentas de los usuarios.

  • La autenticación en dos fases (2FA) está disponible en las cuentas de miembros de Squarespace para agregar una capa adicional de seguridad.  

  • Squarespace controla, detecta y bloquea los ataques entrantes en la plataforma de nuestra aplicación web.

  • El equipo de Seguridad de Squarespace y un tercero llevan a cabo exámenes periódicos de penetración en la plataforma de Squarespace, cuyos resultados son analizados por nuestros equipos de Ingeniería y de Seguridad para tomar medidas de reparación, si corresponde.

  • Los clientes tienen la capacidad de personalizar los permisos del sitio web.

Respuesta ante incidentes

  • En caso de un evento o un problema relacionado con la seguridad de la plataforma de Squarespace, el equipo de seguridad de Squarespace sigue un proceso formal de respuesta ante incidentes.  

  • Squarespace analiza las amenazas identificadas o potenciales para Squarespace y sus clientes, y toma las medidas razonables que sean necesarias.

Acceso al Edificio y la Red de Squarespace

  • El acceso físico a las oficinas de Squarespace y el acceso a la red interna de Squarespace es restringido y está monitoreado.

Control de los sistemas de acceso

  • El acceso a los sistemas de Squarespace se limita al personal adecuado.

  • Squarespace se adhiere al principio de menor privilegio.

  • La política de control de acceso de Squarespace se aplica a los sistemas que administra y mantiene Squarespace.  La política de control de acceso de Squarespace se refiere a los siguientes procesos de control, entre otros:  

    • aprovisionamiento/retirada de cuentas; 

    • autenticación;

    • gestión de cuentas privilegiadas;

    • identificación de usuarios;

    • registro y control del acceso.

Gestión de los Riesgos de Seguridad

La inteligencia de las amenazas y la evaluación del riesgo son los componentes clave del programa de seguridad de la información de Squarespace. Conocer y entender las amenazas potenciales (y reales) nos permite seleccionar e implementar los controles de seguridad adecuados para mitigar los riesgos. Se identifica y evalúa la gravedad y la capacidad de explotación de las posibles amenazas a la seguridad antes de clasificarlas como riesgos. Si es necesario mitigar el riesgo, el equipo de Seguridad trabaja con las partes interesadas y relevantes, así como con los propietarios del sistema para remediarlo. Los esfuerzos de corrección se ponen a prueba para confirmar que las nuevas medidas o controles han logrado el propósito esperado. 

Medidas de protección

Política de solicitud de cumplimiento de la ley

Squarespace respeta los derechos humanos de sus clientes y sus usuarios finales. Por eso, implementa una sólida Política de solicitud de cumplimiento de la ley diseñada para comprobar que todas las solicitudes de cumplimiento de la ley gubernamentales y reglamentarias sean válidas y se efectúen conforme al proceso legal correspondiente. Squarespace no divulga datos a los organismos encargados del cumplimiento de la ley, reglamentarios o gubernamentales, a menos que las leyes aplicables lo exijan, y se opone a las solicitudes ilegales. Si Squarespace recibe un pedido de Tus Datos Controlados (según lo definido en el Anexo de Procesamiento de Datos de Squarespace) o en la PI del Proveedor del Servicio (según se define en las Condiciones de Uso de Squarespace), Squarespace intentará redirigir al organismo de cumplimiento de la ley o a la entidad reglamentaria o gubernamental para que solicite los datos directamente del cliente que corresponda. Si Squarespace se ve obligado a brindar acceso a los datos o a divulgar estos a organismos o agencias del cumplimiento de la ley, reglamentarios o gubernamentales, excepto cuando las leyes lo prohíban, Squarespace notificará al cliente que corresponda y le entregará una demanda de la solicitud para permitir que procure una medida cautelar o el recurso legal que corresponda, por ejemplo, una prohibición conforme al derecho penal que le permita preservar la confidencialidad de la investigación de las autoridades de cumplimiento de la ley. 

Principios del Escudo de la Privacidad

Squarespace, Inc. continúa aplicando los principios del Escudo de la Privacidad conforme a los Marcos del Escudo de la Privacidad UE-EE. UU. y Suiza-EE. UU. (conjuntamente, el "Escudo de la Privacidad ") respecto de todos los datos personales correspondientes para ofrecer medidas de seguridad y protecciones adicionales a él, incluso cuando Squarespace, Inc. no sigue utilizando el Escudo de la Privacidad como base legal para la transferencia de estos datos.