Misure di sicurezza e precauzioni

Data di entrata in vigore: 20 agosto 2020 

Per i termini in maiuscolo non definiti in queste Misure di sicurezza vale la definizione contenuta nei Termini di Servizio o nella Appendice sul Trattamento dei dati.

Misure di Sicurezza

Squarespace implementa e gestisce misure di sicurezza tecniche e organizzative volte a proteggere le risorse e i dati dell'azienda e del cliente. Squarespace dispone di un team responsabile della sicurezza che sovraintende all'implementazione di controlli, processi e procedure di gestione della sicurezza per Squarespace e i suoi clienti. Il team responsabile della sicurezza di Squarespace si occupa dello sviluppo, dell'implementazione e della gestione di un programma di sicurezza delle informazioni che:

  • Allineare le attività di sicurezza alle strategie di Squarespace e supportare gli obiettivi di Squarespace.

  • Sfruttare le misure di sicurezza per rendere più facile garantire riservatezza, integrità e disponibilità di dati e risorse.

  • Analizza le minacce identificate o potenziali nei confronti di Squarespace e dei suoi clienti e fornisce ragionevoli consigli per la risoluzione.

  • Monitora attivamente gli ambienti Squarespace e utilizza le informazioni raccolte per migliorare continuamente il nostro programma di sicurezza.

  • Supporta lo sviluppo di infrastrutture, piattaforme e funzionalità sicure. 

  • Esegue periodicamente le operazioni di Red Teaming interne, per confermare l'efficacia del controllo e identificare le aree di miglioramento.

  • Esegue esercitazioni di modellazione delle minacce durante la creazione o la modifica di sistemi, componenti e piattaforme nuove o già esistenti per confermare la corretta protezione e gestione dei dati.

  • Gestire la sicurezza utilizzando un approccio basato sui rischi.

  • Implementare misure concepite appositamente per gestire rischi e potenziali impatti a un livello accettabile.

  • Sfrutta i framework di sicurezza e conformità del settore nei casi in cui sia rilevante e applicabile.

  • Fornisce formazione, sensibilizzando i dipendenti di Squarespace sulla sicurezza, e offre processi che consentono ai dipendenti di porre direttamente delle domande al team responsabile della sicurezza.

Data center, fornitori di servizi in cloud, ripristino della continuità in caso di emergenze

  • Squarespace si appoggia ai principali fornitori di servizi in cloud e data center per ospitare la propria infrastruttura fisica e in cloud.

  • I nostri data center e fornitori di servizi in cloud utilizzano una serie di apparecchiature, tecniche e procedure di sicurezza progettate per controllare, monitorare e registrare l'accesso alle strutture.

  • Squarespace si affida a data center geograficamente separati e a fornitori di sevizi in cloud operativi in aree distinte per favorire la disponibilità e la continuità di infrastrutture e servizi.

  • Squarespace ha implementato soluzioni concepite per proteggere e mitigare gli effetti causati da attacchi DDoS. 

  • Squarespace dispone di team dedicati, distribuiti in più aree geografiche, per supportare la propria piattaforma e infrastruttura.

  • Squarespace dispone di piani per garantire il ripristino di emergenza e la continuità dei servizi aziendali testati periodicamente. I risultati dei test vengono utilizzati per migliorare i piani, laddove è necessario. 

Crittografia 

  • Squarespace utilizza i certificati SSL per crittografare i dati in transito tra gli utenti finali del sito Web e i domini dei clienti.  

  • Squarespace offre la procedura HSTS (HTTP Strict Transport Security) che crittografa il contenuto delle sessioni e consente il solo accesso ai siti Web dei clienti Squarespace tramite HTTPS.

Sicurezza a livello di Applicazione

  • Squarespace utilizza il password hashing per gli account degli utenti.

  • L'autenticazione a due fattori (2FA) è disponibile negli account dei membri per fornire un ulteriore livello di sicurezza.  

  • Squarespace monitora, rileva e blocca eventuali attacchi alla nostra piattaforma applicativa web.

  • Sulla piattaforma di Squarespace viene effettuato periodicamente un pen testing dal team interno responsabile della sicurezza, nonché da terze parti. I risultati vengono analizzati e i problemi risolti (a seconda dei casi) dai nostri team tecnici e di sicurezza.

  • Ai clienti viene offerta la possibilità di personalizzare le autorizzazioni sul sito.

Risposta agli Incidenti

  • In caso di un problema correlato alla sicurezza della piattaforma Squarespace, il team responsabile della sicurezza di Squarespace segue un processo di risposta agli incidenti formale.  

  • Squarespace analizza le minacce identificate o potenziali nei confronti della stessa e dei suoi clienti e intraprende azioni ragionevoli, laddove necessario.

Accesso a uffici e rete Squarespace

  • L'accesso fisico a uffici Squarespace e l'accesso alla rete interna Squarespace sono limitati e monitorati.

Controllo dell'Accesso ai Sistemi

  • L'accesso a sistemi Squarespace è limitato al personale appropriato.

  • Squarespace adotta il principio del privilegio minimo.

  • La politica di controllo degli accessi di Squarespace si applica ai sistemi gestiti e mantenuti da Squarespace.  La politica di controllo degli accessi di Squarespace si concentra su processi di controllo che includono, ad esempio:  

    • Fornitura e dismissione account 

    • Autenticazione

    • Gestione account privilegiato

    • Identificazione utente

    • Registrazione e monitoraggio dell'accesso

Gestione dei Rischi di Sicurezza

Raccolta di informazioni sulle minacce e valutazione del rischio sono componenti chiave del programma di sicurezza delle informazioni di Squarespace. Consapevolezza e riconoscimento di minacce potenziali (ed effettive) sono alla base della selezione e dell'implementazione di controlli di sicurezza appropriati per mitigare il rischio. Le potenziali minacce alla sicurezza vengono identificate e valutate per gravità e sfruttabilità. Se è richiesta la mitigazione del rischio, il team responsabile della sicurezza collabora con le parti interessate e i proprietari dei sistemi per risolvere il problema. Le attività di risoluzione eseguite sono sottoposte a test per confermare che le nuove misure e i nuovi controlli adottati ottengano lo scopo desiderato. 

Tutele

Informativa sulla richiesta di applicazione della legge

Squarespace rispetta i diritti umani dei propri clienti e dei loro utenti finali. Squarespace implementa una solida Informativa sulla richiesta di applicazione della legge, studiata per garantire che tutte le richieste di applicazione della legge, governative e normative, siano valide e create in conformità con il processo giuridico applicabile. Squarespace non divulga i dati a forze dell'ordine e istituzioni governative, salvo se previsto dalla legge applicabile, e contesta le richieste illegittime. Nel caso in cui Squarespace riceva una richiesta di accesso ai tuoi Dati controllati (come definito nell'Appendice sul trattamento dei dati Squarespace) o alle Informazioni personali del provider di servizi (come definito nei Termini di servizio Squarespace), Squarespace tenterà di reindirizzare le forze dell'ordine o l'istituzione governativa, invitandole a richiedere tali dati direttamente al cliente in questione. Se costretta a divulgare o a fornire l'accesso ai dati a forze dell'ordine o istituzioni governative, Squarespace, a meno che non le venga legalmente impedito, avviserà il cliente interessato e fornirà una copia della richiesta per consentirgli di richiedere un ordine di protezione o altro intervento appropriato, quale, ad esempio, un divieto emesso ai sensi del diritto penale per preservare la riservatezza di un'indagine condotta dalle forze dell'ordine. 

Principi dello Scudo per la privacy

Squarespace Inc. continua ad applicare i principi dello Scudo per la privacy ai sensi degli accordi UE-USA e Svizzera-USA sullo Scudo per la privacy (collettivamente "Scudo per la privacy") in relazione ai dati personali applicabili al fine di fornire ulteriori garanzie e protezioni, sebbene Squarespace Inc. non si affidi più allo Scudo per la privacy come base legale per il trasferimento di tali dati.