Squarespace – Mesures de sécurité

Date effective : 14 mai 2018

Tout terme en majuscules non défini dans les présentes Mesures de sécurité est expliqué dans les Conditions générales ou dans l'Addenda relatif au traitement des données.

 

Aperçu à propos de la sécurité

Squarespace possède une équipe de sécurité dédiée qui dirige la mise en place de contrôles, de processus et de procédures gérant la sécurité de Squarespace et de ses clients. L'équipe de sécurité de Squarespace est chargée du développement, de la mise en œuvre et de l'entretien d'un programme de sécurité de l'information qui suit les principes suivants :

  • Aligner les activités de sécurité avec les stratégies de Squarespace et soutenir les objectifs de Squarespace.
  • Assurer la sécurité pour faciliter la confidentialité, l'intégrité et la disponibilité des données et des actifs.
  • Utiliser les ressources de sécurité de Squarespace de façon efficace et productive.
  • Utiliser des outils de contrôle et indicateurs pour favoriser les performances des activités liées à la sécurité.
  • Gérer la sécurité en utilisant une approche basée sur l'évaluation des risques.
  • Mettre en place des mesures conçues pour maintenir les risques et leur impact potentiel à un niveau acceptable.
  • Utiliser les structures existantes du secteur autant que possible.
  • Exploiter les processus de conformité/d'assurance qualité autant que nécessaire.
  • Analyser les menaces identifiées ou potentielles pour Squarespace et ses clients, fournir des recommandations raisonnables de réparation et communiquer les résultats le cas échéant.  

Sécurité, disponibilité et reprise après sinistre du centre de données

  • Squarespace fait appel aux meilleurs fournisseurs de centre de données afin d'héberger notre infrastructure physique.  
  • Nos fournisseurs de centre de données utilisent une série d'équipements, de techniques et de procédures de sécurité conçue pour contrôler, surveiller et enregistrer l'accès aux installations.
  • Nous avons mis en place des solutions conçues pour vous protéger contre les attaques DDoS (déni de service distribué) ou bien en atténuer les effets.    
  • Nous possédons des équipes locales dédiées dans différentes zones géographiques afin de fournir une assistance pour notre plateforme ainsi que son infrastructure.  
  • Squarespace entretient des centre de données géographiquement séparés afin de faciliter la disponibilité et la continuité de l'infrastructure et du service. 
  • Squarespace a établi un plan officiellement documenté de reprise après sinistre. Ce plan est testé au moins une fois par an et les résultats des tests sont répertoriés et conservés.  

Sécurité au niveau des applications

  • Squarespace effectue un hachage des mots de passe des comptes utilisateur et fournit une protection SSL aux clients.  
  • Squarespace utilise la technologie Web Application Firewall (WAF).
  • Des tests d'intrusions sont réalisés régulièrement sur la plateforme Squarespace, et leurs résultats sont analysés et corrigés (le cas échéant) par nos équipes d'ingénierie et de sécurité.  
  • Les clients ont la possibilité de personnaliser les permissions qu'ils accordent sur leur site Web.

Réponse aux incidents

  • Si un problème lié à la sécurité de la plateforme Squarespace survient, l'équipe de sécurité de Squarespace suit une procédure officielle de réponse aux incidents.  
  • Nous analysons les menaces identifiées ou potentielles pour Squarespace et ses clients, fournissons des recommandations raisonnables de réparation et communiquons les résultats le cas échéant.

Accès aux bâtiments et au réseau Squarespace

  • L'accès physique aux bureaux de Squarespace et l'accès au réseau interne Squarespace sont limités et contrôlés.  

Contrôle de l'accès aux systèmes

  • L'accès aux systèmes Squarespace est limité au personnel approprié.
  • Squarespace adhère au principe du moindre privilège (c'est-à-dire que les employés, les comptes système, les vendeurs, etc. doivent posséder le nombre d'accès minimum nécessaire à leur fonction).
  • Squarespace utilise l'authentification multi-facteur.

Gestion des risques liés à la sécurité

Les renseignements sur les menaces et l'évaluation des risques sont des composantes clés du programme de sécurité de l'information de Squarespace. La connaissance et la compréhension des menaces potentielles et réelles guident le choix et la mise en œuvre des contrôles de sécurité appropriés afin de limiter les risques. Les menaces potentielles sur la sécurité sont d'abord identifiées et évaluées en fonction de leur sévérité et de leur exploitabilité avant d'être classées comme des risques. Dans le cas où une atténuation des risques est nécessaire, l'équipe de sécurité travaille en collaboration avec les acteurs et les propriétaires de système adéquats afin d'y remédier. Les efforts de correction sont testés pour vérifier que les nouvelles mesures/les nouveaux contrôles ont bien atteint leur objectif.