Misure di sicurezza e precauzioni

Data di entrata in vigore: 5 marzo 2024

Per i termini in maiuscolo non definiti in queste Misure di sicurezza vale la definizione contenuta nei Termini di Servizio o nella Appendice sul Trattamento dei dati.

Misure di Sicurezza

Squarespace implementa e gestisce misure di sicurezza tecniche e organizzative volte a proteggere le risorse e i dati dell'azienda e del cliente. Squarespace dispone di un team responsabile della sicurezza che sovraintende all'implementazione di controlli, processi e procedure di gestione della sicurezza per Squarespace e i suoi clienti. Il team responsabile della sicurezza di Squarespace si occupa dello sviluppo, dell'implementazione e della gestione di un programma di sicurezza delle informazioni che:

  • Allineare le attività di sicurezza alle strategie di Squarespace e supportare gli obiettivi di Squarespace.

  • Sfruttare le misure di sicurezza per rendere più facile garantire riservatezza, integrità e disponibilità di dati e risorse.

  • Analizza le minacce identificate o potenziali nei confronti di Squarespace e dei suoi clienti e fornisce ragionevoli consigli per la risoluzione.

  • Monitora attivamente gli ambienti Squarespace e utilizza le informazioni raccolte per migliorare continuamente il nostro programma di sicurezza.

  • Supporta lo sviluppo di infrastrutture, piattaforme e funzionalità sicure. 

  • Effettuare periodicamente esercitazioni "red team", per confermare l'efficacia dei controlli e identificare le aree di miglioramento.

  • Condurre esercitazioni di modellazione delle minacce durante la creazione o la modifica di sistemi, componenti e piattaforme nuove o già esistenti per confermare, identificare e, quando appropriato, mitigare proattivamente i rischi per la sicurezza. 

  • Gestire la sicurezza utilizzando un approccio basato sui rischi.

  • Sfrutta i framework di sicurezza e conformità del settore nei casi in cui sia rilevante e applicabile.

  • Fornisce formazione, sensibilizzando i dipendenti di Squarespace sulla sicurezza, e offre processi che consentono ai dipendenti di porre direttamente delle domande al team responsabile della sicurezza.

Data center, fornitori di servizi in cloud, ripristino della continuità in caso di emergenze

  • Squarespace si appoggia ai principali fornitori di servizi in cloud e data center per ospitare la propria infrastruttura fisica e in cloud.

  • I nostri data center e fornitori di servizi in cloud utilizzano una serie di apparecchiature, tecniche e procedure di sicurezza progettate per controllare, monitorare e registrare l'accesso alle strutture.

  • Squarespace si affida a data center geograficamente separati e a fornitori di sevizi in cloud operativi in aree distinte per favorire la disponibilità e la continuità di infrastrutture e servizi.

  • Squarespace ha implementato soluzioni concepite per proteggere e mitigare gli effetti causati da attacchi DDoS. 

  • Squarespace dispone di team dedicati, distribuiti in più aree geografiche, per supportare la propria piattaforma e infrastruttura.

  • Squarespace dispone di piani per garantire il ripristino di emergenza e la continuità dei servizi aziendali testati periodicamente. I risultati dei test vengono utilizzati per migliorare i piani, laddove è necessario. 

Crittografia 

  • Squarespace utilizza la sicurezza del livello di trasporto (TLS) per crittografare i dati in transito tra gli utenti finali del sito web e i domini dei clienti.  

  • Squarespace adotta lo standard HSTS (HTTP Strict Transport Security), che consente di accedere ai siti web dei clienti solo tramite HTTPS.

Sicurezza a livello di Applicazione

  • Squarespace utilizza il password hashing per gli account degli utenti.

  • L'autenticazione a due fattori (2FA) è disponibile negli account dei membri di Squarespace per un ulteriore livello di sicurezza.  

  • Squarespace utilizza la tecnologia Web Application Firewall (WAF).

  • Vengono eseguiti regolarmente test di penetrazione sulla piattaforma Squarespace, i cui risultati sono analizzati e risolti (come appropriato) dai nostri team tecnici e di sicurezza.

  • I clienti hanno la facoltà di assegnare ai collaboratori del proprio sito web diversi livelli di autorizzazioni.

  • Fornire ai clienti la possibilità di implementare la protezione da clickjacking per proteggere i propri siti web e gli utenti finali da attacchi UI redress (ad es. il clickjacking).

Risposta agli Incidenti

  • In caso di un problema correlato alla sicurezza della piattaforma Squarespace, il team responsabile della sicurezza di Squarespace segue un processo di risposta agli incidenti formale.  

  • Squarespace analizza le minacce identificate o potenziali nei confronti della stessa e dei suoi clienti e intraprende azioni ragionevoli, laddove necessario.

Accesso a uffici e rete Squarespace

  • L'accesso fisico a uffici Squarespace e l'accesso alla rete interna Squarespace sono limitati e monitorati.

Controllo dell'Accesso ai Sistemi

  • L'accesso a sistemi Squarespace è limitato al personale appropriato.

  • Squarespace adotta il principio del privilegio minimo.

  • La politica di controllo degli accessi di Squarespace si applica ai sistemi gestiti e mantenuti da Squarespace.  La politica di controllo degli accessi di Squarespace si concentra su processi di controllo che includono, ad esempio:  

    • Fornitura e dismissione account 

    • Autenticazione

    • Gestione account privilegiato

    • Identificazione utente

    • Registrazione e monitoraggio dell'accesso

Gestione dei Rischi di Sicurezza

Raccolta di informazioni sulle minacce e valutazione del rischio sono componenti chiave del programma di sicurezza delle informazioni di Squarespace. Consapevolezza e riconoscimento di minacce potenziali (ed effettive) sono alla base della selezione e dell'implementazione di controlli di sicurezza appropriati per mitigare il rischio. Le potenziali minacce alla sicurezza vengono identificate e valutate per gravità e sfruttabilità. Se è richiesta la mitigazione del rischio, il team responsabile della sicurezza collabora con le parti interessate e i proprietari dei sistemi per risolvere il problema. Le attività di risoluzione eseguite sono sottoposte a test per confermare che le nuove misure e i nuovi controlli adottati ottengano lo scopo desiderato.

Tutele

Informativa sulla richiesta di applicazione della legge

Squarespace rispetta i diritti umani dei propri clienti e dei loro utenti finali. Squarespace implementa una solida Informativa sulle richieste di applicazione della legge, studiata per garantire che tutte le richieste di applicazione della legge, governative e normative, siano valide e create in conformità con la procedura giuridica applicabile. Squarespace non divulga i dati a forze dell'ordine e istituzioni governative, salvo ove previsto dalla legge applicabile, e si oppone a richieste illegittime. Nel caso in cui Squarespace riceva una richiesta di accesso ai Dati controllati dell'Utente (come definiti nell'Appendice sul trattamento dei dati Squarespace), Squarespace tenterà di reindirizzare le forze dell'ordine o l'istituzione governativa, invitandole a richiedere tali dati direttamente al cliente in questione. Se costretta a divulgare o a fornire l'accesso ai dati a forze dell'ordine o istituzioni governative, Squarespace avviserà il cliente interessato e fornirà una copia della richiesta per consentirgli di richiedere un'ingiunzione protettiva o altro intervento appropriato (tranne nel caso in cui tale pratica sia legalmente vietata, ad esempio a causa di un divieto emesso ai sensi del diritto penale per preservare la riservatezza di un'indagine condotta dalle forze dell'ordine). 

Data Privacy Framework.

Squarespace trasferisce i dati personali negli Stati Uniti da, a seconda dei casi, lo Spazio economico europeo, la Svizzera e il Regno Unito ai sensi del EU-U.S. Data Privacy Framework, del Swiss-U.S. Data Privacy Framework e del UK Extension to the EU-U.S. Data Privacy Frameworks (singolarmente e congiuntamente, i "Framework sulla privacy dei dati"). Ci impegniamo a trattare le informazioni personali ricevute dallo Spazio economico europeo, dalla Svizzera e dal Regno Unito ai sensi dei Framework sulla privacy dei dati le in conformità con i relativi principi (i "Principi FPD"). Puoi consultare la nostra certificazione qui e ottenere maggiori informazioni sui Data Privacy Framework (come stabilito in base al paese da cui provengono le informazioni personali) e sui Principi del DPF visitando il sito https://www.dataprivacyframework.gov/.