Medidas e garantias de segurança

Data de vigência: 5 de março de 2024

O significados dos termos em maiúsculas que não estejam definidos nestas Medidas de Segurança se encontram nos Termos de Serviço  ou no Adendo de Processamento de Dados.

Medidas de Segurança

O Squarespace implementa e mantém medidas de segurança técnicas e organizacionais para proteger os ativos e os dados da empresa e do cliente. O Squarespace tem uma equipe de segurança dedicada que orienta a implementação de controles, processos e procedimentos que regem a segurança do Squarespace e seus clientes. Essa equipe é responsável pelo desenvolvimento, implementação e manutenção de um programa de segurança da informação que deve:

  • Alinhar as atividades de segurança com as estratégias do Squarespace e apoiar os objetivos do Squarespace.

  • Potencializar a segurança para facilitar a integridade da confidencialidade, e a disponibilidade de dados e ativos.

  • Analisar ameaças identificadas ou potenciais ao Squarespace e seus clientes; e oferecer recomendações razoáveis de correção.

  • Monitorar ativamente os ambientes do Squarespace e utilizar as informações coletadas para melhorar continuamente nosso programa de segurança.

  • Dar suporte seguro ao desenvolvimento da infraestrutura, da plataforma e dos recursos. 

  • Realizar exercícios com a equipe de simulação de ataques (red team) para confirmar a eficácia do controle e identificar áreas passíveis de melhoria.

  • Executar exercícios de modelagem de ameaças ao criar sistemas, componentes e plataformas novos ou modificar substancialmente os já existentes para confirmar, identificar e, quando apropriado, mitigar proativamente os riscos de segurança. 

  • Gerenciar a segurança utilizando uma abordagem baseada em risco.

  • Aproveitar as estruturas de segurança do setor quando relevante e possível.

  • Oferecer treinamento de segurança aos funcionários do Squarespace e disponibilizar mecanismos para que funcionários com dúvidas contatem diretamente a equipe de segurança.

Data center, provedores de nuvem e continuidade de negócios/recuperação de desastres

  • O Squarespace utiliza os principais provedores de serviços de nuvem e data center para abrigar nossa infraestrutura física e de nuvem.

  • Nossos provedores de serviços de data center e de nuvem utilizam vários equipamentos, técnicas e procedimentos de segurança projetados para controlar, monitorar e registrar o acesso às instalações.

  • O Squarespace aproveita data centers geograficamente separados e zonas de disponibilidade de provedores de serviços em nuvem para facilitar a disponibilidade e a continuidade da infraestrutura e dos serviços.

  • O Squarespace implementou soluções para proteger e mitigar os efeitos de ataques DDoS. 

  • Temos equipes dedicadas em várias regiões geográficas para dar suporte à nossa plataforma e à infraestrutura de apoio.

  • Os planos de recuperação de desastres de continuidade de negócios do Squarespace são testados periodicamente. Os resultados dos testes são usados para melhorar os planos quando necessário. 

Criptografia 

  • O Squarespace utiliza a segurança da camada de transporte (TLS) para criptografar os dados em trânsito entre os usuários finais do site e os domínios dos clientes.  

  • O Squarespace oferece HSTS (HTTP Strict Transport Security), que permite que os sites dos clientes do Squarespace sejam acessados somente por HTTPS.

Segurança no Nível de Aplicativo

  • O Squarespace faz hash das senhas da conta do usuário.

  • A autenticação de dois fatores (2FA) está disponível na conta dos membros do Squarespace para maior segurança.  

  • O Squarespace utiliza a tecnologia WAF (Firewall de Aplicativo Web).

  • O teste regular de intrusão é realizado na plataforma Squarespace, e seus resultados são analisados e corrigidos (conforme apropriado) por nossas equipes de engenharia e segurança.

  • Os clientes podem atribuir níveis variados de permissões aos colaboradores dos sites.

  • Dê aos clientes a opção de implementar a proteção contra clickjack para proteger os respectivos sites e usuários finais contra ataques de correção da IU (ou seja, clickjacking).

Resposta a Incidentes

  • No caso de um problema relacionado à segurança da plataforma Squarespace, a equipe de segurança do Squarespace segue um processo formal de resposta a incidentes.  

  • O Squarespace analisa ameaças identificadas ou potenciais ao Squarespace e seus clientes e realiza ações relevantes quando necessário.

Acesso à Rede e às Dependências Físicas do Squarespace

  • O acesso às dependências físicas do Squarespace e à sua rede interna é restrita e monitorada.

Controle de Acesso a Sistemas

  • O acesso aos sistemas do Squarespace é limitado ao pessoal apropriado.

  • O Squarespace segue o princípio do menor privilégio.

  • A política de controle de acesso do Squarespace vale para os sistemas que o Squarespace gerencia e mantém.  A política de controle de acesso do Squarespace aborda processos de controle que incluem, entre outros:  

    • Provisionamento e desativação da conta 

    • Autenticação

    • Gerenciamento privilegiado de contas

    • Identificação do usuário

    • Registro e monitoramento do acesso

Gerenciamento de Risco de Segurança

Inteligência contra ameaças e avaliação de risco são componentes-chave do programa de segurança da informação do Squarespace. A conscientização e a compreensão das ameaças potenciais (e reais) orientam a seleção e a implementação de controles de segurança apropriados para mitigar os riscos. Potenciais ameaças à segurança são identificadas e avaliadas quanto à gravidade e ao risco de exploits. Se a redução de riscos for necessária, a equipe de segurança deve trabalhar com as partes interessadas e os proprietários do sistema para solucionar. Esses esforços serão testados para confirmar se as novas medidas e controles atingiram o objetivo pretendido.

Salvaguardas

Política de solicitação de aplicação da lei

O Squarespace respeita os direitos humanos dos clientes e dos usuários finais desses clientes. O Squarespace implementa uma política avançada de solicitação de aplicação da lei que visa garantir que todas as solicitações governamentais e regulatórias e de aplicação da lei sejam válidas e feitas de acordo com o processo legal. O Squarespace não divulga nenhum dado a órgãos de segurança pública, reguladores ou governamentais, salvo se exigido por lei, e contesta solicitações irregulares. Se o Squarespace receber uma solicitação de acesso aos Seus Dados Controlados (conforme definido no Adendo sobre Processamento de Dados do Squarespace), o Squarespace tentará redirecionar a agência ou o órgão regulador ou governamental de aplicação da lei para solicitar tais dados diretamente do cliente em questão. Se obrigado a revelar ou conceder acesso a dados aos órgãos de segurança pública, do governo ou regulatórios, o Squarespace notificará o cliente em questão e enviará a ele uma cópia da demanda para que ele busque uma medida de salvaguarda ou outro recurso apropriado (exceto se a referida notificação for legalmente proibida, por exemplo, conforme especificado pelo código penal para preservar a confidencialidade de uma investigação de segurança pública). 

Estruturas de Privacidade de Dados

A Squarespace transfere dados pessoais, conforme aplicável, do Espaço Econômico Europeu, da Suíça e do Reino Unido para os EUA, de acordo com a Estrutura de Privacidade de Dados entre UE e os EUA, a Estrutura de Privacidade de Dados entre Suíça e EUA e a Extensão do Reino Unido para as Estruturas de Privacidade de Dados entre a UE e os EUA (cada uma, individualmente e em conjunto, constituem as “Estruturas de Privacidade de Dados”). Temos o compromisso de tratar as informações pessoais recebidas do Espaço Econômico Europeu, da Suíça e do Reino Unido de acordo com a Estrutura de Privacidade de Dados aplicável de acordo com princípios em questão (os “Princípios da EPD”). Nossa certificação está disponível para consulta aqui. Caso queira conhecer melhor as estruturas de privacidade de dados (conforme determinado com base no país originário das informações pessoais) e os princípios da EPD, acesse https://www.dataprivacyframework.gov/.