Mesures de sécurité et de protection
Date d’entrée en vigueur : 5 mars 2024
Les termes en majuscules non définis dans les présentes Mesures de sécurité sont expliqués dans les Conditions d'utilisation ou l’ Addenda relatif au Traitement des Données.
Mesures de Sécurité
Squarespace met en place des mesures de sécurité techniques et organisationnelles et en assure la gestion dans le but de protéger les ressources et les données des entreprises et des clients. Squarespace possède une équipe de sécurité dédiée qui supervise la mise en place de contrôles, de processus et de procédures de sécurité pour Squarespace et ses clients. L’équipe de sécurité de Squarespace est chargée du développement, de la mise en œuvre et de la gestion d’un programme de sécurité de l’information qui obéit aux principes suivants :
Aligner les activités de sécurité avec les stratégies de Squarespace et soutenir les objectifs de Squarespace.
Assurer la sécurité pour faciliter la confidentialité, l'intégrité et la disponibilité des données et des actifs.
Analyser les menaces identifiées ou potentielles pour Squarespace et ses clients et fournir des recommandations raisonnables de correction.
Surveiller activement les environnements Squarespace et utiliser les renseignements recueillis pour améliorer en permanence notre programme de sécurité.
Soutenir le développement d’infrastructures, de plateformes et de fonctionnalités sécurisées.
Effectuer des exercices d’équipe rouge pour confirmer l’efficacité des contrôles et identifier les points à améliorer.
Effectuer des exercices de modélisation des menaces lors de la conception de nouveaux systèmes, de nouvelles plateformes et de nouveaux composants ou lors de la modification matérielle de systèmes, de plateformes et de composants existants afin de confirmer, d’identifier et, au besoin, d’atténuer de manière proactive les risques de sécurité.
Gérer la sécurité en utilisant une approche basée sur l'évaluation des risques.
Appliquer autant que possible les structures de référence du secteur pour la sécurité et la conformité.
Offrir aux employés de Squarespace une formation de sensibilisation à la sécurité et prévoir des mécanismes permettant aux employés de poser directement leurs questions à l’équipe de sécurité.
Centre de données, fournisseurs de cloud et poursuite des activités/reprise après sinistre
Squarespace utilise les meilleurs fournisseurs de centres de données et de services cloud pour héberger son infrastructure physique et son infrastructure cloud.
Nos fournisseurs de centres de données et de services cloud utilisent toute une gamme d’équipements, de techniques et de procédures de sécurité conçus pour contrôler, surveiller et enregistrer l’accès aux installations.
Squarespace utilise des centres de données géographiquement séparés et les zones de disponibilité des fournisseurs de services cloud pour rendre possible la disponibilité et la continuité des infrastructures et des services.
Squarespace a implémenté des solutions conçues pour vous protéger des attaques DDoS (déni de service distribué) et pour en atténuer les effets.
Réparties dans de nombreuses zones géographiques, les équipes locales dédiées dont dispose Squarespace sont chargées de fournir une assistance pour la plateforme et l’infrastructure.
Squarespace dispose de plans de poursuite des activités et de reprise après sinistre qui sont testés régulièrement. Les résultats des tests permettent d’ajuster les plans en fonction des points à améliorer.
Chiffrement
Squarespace exploite le protocole de sécurité de la couche de transport (TLS) pour chiffrer les données en transit entre les utilisateurs finaux des sites web et les domaines des clients.
Squarespace propose le mécanisme de politique de sécurité HSTS (HTTP Strict Transport Security) qui permet uniquement d’accéder aux sites web des clients Squarespace avec HTTPS.
Sécurité au niveau des applications
Squarespace effectue un hachage des mots de passe des comptes utilisateur.
L’authentification à deux facteurs (A2F) offre une couche supplémentaire de protection pour les comptes des membres de Squarespace.
Squarespace utilise la technologie Web Application Firewall (WAF).
Des tests d'intrusions sont réalisés régulièrement sur la plateforme Squarespace, et leurs résultats sont analysés et corrigés (le cas échéant) par nos équipes d'ingénierie et de sécurité.
Les clients peuvent attribuer différents niveaux d’autorisation aux contributeurs de leur site web.
Offrir aux clients l’option de mettre en œuvre une protection contre le détournement de clic afin de protéger leurs sites web et les utilisateurs contre les attaques de détournement de l’interface utilisateur (par exemple, le clickjacking ou détournement de clic).
Réponse aux incidents
Si un problème lié à la sécurité de la plateforme Squarespace survient, l'équipe de sécurité de Squarespace suit une procédure officielle de réponse aux incidents.
Squarespace analyse les menaces identifiées ou potentielles pour Squarespace et ses clients et prend des mesures raisonnables s’il y a lieu.
Accès aux bâtiments et au réseau Squarespace
L'accès physique aux bureaux de Squarespace et l'accès au réseau interne Squarespace sont limités et contrôlés.
Contrôle de l'accès aux systèmes
L'accès aux systèmes Squarespace est limité au personnel approprié.
Squarespace souscrit au principe du moindre privilège.
La politique de contrôle des accès de Squarespace s’applique aux systèmes gérés et entretenus par Squarespace. La politique de contrôle des accès de Squarespace gère les processus de contrôle qui comprennent, sans s’y limiter :
L’activation/la désactivation des comptes
L’authentification
La gestion de compte avec privilèges
L’identification des utilisateurs
L’enregistrement et le contrôle des accès
Gestion des risques liés à la sécurité
Les renseignements sur les menaces et l’évaluation des risques sont des composantes essentielles du programme de sécurité de l’information de Squarespace. La connaissance et la compréhension des menaces potentielles et réelles guident le choix et la mise en œuvre des contrôles de sécurité appropriés afin de limiter les risques. Les menaces potentielles sur la sécurité sont identifiées et évaluées en fonction de leur sévérité et de leur exploitabilité. Dans le cas où une atténuation des risques est nécessaire, l’équipe de sécurité travaille en collaboration avec les acteurs et les propriétaires des systèmes afin d’y remédier. Les efforts de correction sont testés pour vérifier que les nouvelles mesures/les nouveaux contrôles ont bien atteint leur objectif.
Mesures de protection
Politique relative aux demandes d’application de la loi
Squarespace respecte les droits de ses clients et de leurs utilisateurs finaux. Squarespace applique une politique relative aux demandes d’application de la loi rigoureuse. Celle-ci est conçue pour garantir que toutes les demandes d’application de la loi, les demandes émanant d’entités gouvernementales et les demandes réglementaires sont valides et respectent la voie de droit applicable. Squarespace ne divulgue aucune donnée à des organismes d’application de la loi, à des organismes de réglementation ou à des organismes gouvernementaux, sauf si la loi en vigueur l’exige. Par ailleurs, Squarespace conteste les demandes illégales. Si Squarespace reçoit une demande concernant Vos données réglementées (telles que définies dans son Addenda relatif au traitement des données), Squarespace tentera d’inviter l’organisme d’application de la loi, l’organisme de réglementation ou l’organisme gouvernemental à demander ces données directement au client concerné. Si Squarespace est contraint de divulguer des données à des organismes d’application de la loi, à des organismes de réglementation ou à des organismes gouvernementaux ou de leur donner accès à ces données, Squarespace en informera le client concerné et lui fournira une copie de la demande pour lui permettre de demander une ordonnance de protection ou toute autre mesure appropriée (sauf si la loi interdit Squarespace d’agir de la sorte, notamment dans le cadre d’une interdiction par le droit pénal dans le but de préserver la confidentialité d’une enquête judiciaire).
Cadres de protection des données
Squarespace transfère des données personnelles aux États-Unis depuis, le cas échéant, l’Espace économique européen, la Suisse et le Royaume-Uni, conformément au cadre de protection des données UE-États-Unis, au cadre de protection des données Suisse-États-Unis et à l’extension au Royaume-Uni des cadres de protection des données UE-États-Unis (individuellement et conjointement dénommés « Cadres de protection des données »). Nous nous engageons à traiter les informations personnelles reçues de l’Espace économique européen, de la Suisse et du Royaume-Uni en vertu du Cadre de protection des données applicable conformément aux principes de ce dernier (les « Principes du CPD »). Vous trouverez notre certification ici et vous pouvez en apprendre davantage sur les Cadres de protection des données (tels que déterminés en fonction du pays d’où proviennent les informations personnelles) et les Principes du CPD applicable en vous rendant sur https://www.dataprivacyframework.gov/.