Mesures de sécurité et de protection

Date d'entrée en vigueur : 20 août 2020 

Les termes en majuscules non définis dans les présentes Mesures de sécurité sont expliqués dans les Conditions d'utilisation ou l’ Addenda relatif au Traitement des Données.

Mesures de Sécurité

Squarespace met en place des mesures de sécurité techniques et organisationnelles et en assure la gestion dans le but de protéger les ressources et les données des entreprises et des clients. Squarespace possède une équipe de sécurité dédiée qui supervise la mise en place de contrôles, de processus et de procédures de sécurité pour Squarespace et ses clients. L’équipe de sécurité de Squarespace est chargée du développement, de la mise en œuvre et de la gestion d’un programme de sécurité de l’information qui obéit aux principes suivants :

  • Aligner les activités de sécurité avec les stratégies de Squarespace et soutenir les objectifs de Squarespace.

  • Assurer la sécurité pour faciliter la confidentialité, l'intégrité et la disponibilité des données et des actifs.

  • Analyser les menaces identifiées ou potentielles pour Squarespace et ses clients et fournir des recommandations raisonnables de correction.

  • Surveiller activement les environnements Squarespace et utiliser les renseignements recueillis pour améliorer en permanence notre programme de sécurité.

  • Soutenir le développement d’infrastructures, de plateformes et de fonctionnalités sécurisées. 

  • Effectuer régulièrement des opérations internes à l’aide d’une « équipe rouge » pour confirmer l’efficacité des contrôles et identifier les points à améliorer.

  • Effectuer des exercices de modélisation des menaces lors de la conception de nouveaux systèmes, de nouvelles plateformes et de nouveaux composants ou lors de la modification matérielle de systèmes, de plateformes et de composants existants afin de confirmer que la protection et le traitement des données sont adéquats.

  • Gérer la sécurité en utilisant une approche basée sur l'évaluation des risques.

  • Mettre en place des mesures conçues pour maintenir les risques et leur impact potentiel à un niveau acceptable.

  • Appliquer autant que possible les structures de référence du secteur pour la sécurité et la conformité.

  • Offrir aux employés de Squarespace une formation de sensibilisation à la sécurité et prévoir des mécanismes permettant aux employés de poser directement leurs questions à l’équipe de sécurité.

Centre de données, fournisseurs de cloud et poursuite des activités/reprise après sinistre

  • Squarespace utilise les meilleurs fournisseurs de centres de données et de services cloud pour héberger son infrastructure physique et son infrastructure cloud.

  • Nos fournisseurs de centres de données et de services cloud utilisent toute une gamme d’équipements, de techniques et de procédures de sécurité conçus pour contrôler, surveiller et enregistrer l’accès aux installations.

  • Squarespace utilise des centres de données géographiquement séparés et les zones de disponibilité des fournisseurs de services cloud pour rendre possible la disponibilité et la continuité des infrastructures et des services.

  • Squarespace a implémenté des solutions conçues pour vous protéger des attaques DDoS (déni de service distribué) et pour en atténuer les effets. 

  • Réparties dans de nombreuses zones géographiques, les équipes locales dédiées dont dispose Squarespace sont chargées de fournir une assistance pour la plateforme et l’infrastructure.

  • Squarespace dispose de plans de poursuite des activités et de reprise après sinistre qui sont testés régulièrement. Les résultats des tests permettent d’ajuster les plans en fonction des points à améliorer. 

Chiffrement 

  • Squarespace utilise les certificats SSL pour chiffrer les données en transit entre les utilisateurs finaux des sites web et les domaines des clients.  

  • Squarespace propose HSTS (HTTP Strict Transport Security), qui chiffre les contenus livrés pendant les sessions et qui permet uniquement d’accéder aux sites web des clients Squarespace avec HTTPS.

Sécurité au niveau des applications

  • Squarespace effectue un hachage des mots de passe des comptes utilisateur.

  • L’authentification à deux facteurs (2FA) offre une couche supplémentaire de protection pour les comptes des membres de Squarespace.  

  • Squarespace surveille, détecte et bloque les attaques entrantes sur la plateforme de notre application web.

  • Des tests d’intrusions sont réalisés régulièrement sur la plateforme Squarespace par l’équipe de sécurité de Squarespace ainsi que par un tiers. Les résultats sont analysés et corrigés (le cas échéant) par nos équipes d’ingénierie et de sécurité.

  • Les clients ont la possibilité de personnaliser les autorisations qu'ils accordent sur leur site Web.

Réponse aux incidents

  • Si un problème lié à la sécurité de la plateforme Squarespace survient, l'équipe de sécurité de Squarespace suit une procédure officielle de réponse aux incidents.  

  • Squarespace analyse les menaces identifiées ou potentielles pour Squarespace et ses clients et prend des mesures raisonnables s’il y a lieu.

Accès aux bâtiments et au réseau Squarespace

  • L'accès physique aux bureaux de Squarespace et l'accès au réseau interne Squarespace sont limités et contrôlés.

Contrôle de l'accès aux systèmes

  • L'accès aux systèmes Squarespace est limité au personnel approprié.

  • Squarespace souscrit au principe du moindre privilège.

  • La politique de contrôle des accès de Squarespace s’applique aux systèmes gérés et entretenus par Squarespace.  La politique de contrôle des accès de Squarespace gère les processus de contrôle qui comprennent, sans s’y limiter :  

    • L’activation/la désactivation des comptes 

    • L’authentification

    • La gestion de compte avec privilèges

    • L’identification des utilisateurs

    • L’enregistrement et le contrôle des accès

Gestion des risques liés à la sécurité

Les renseignements sur les menaces et l’évaluation des risques sont des composantes essentielles du programme de sécurité de l’information de Squarespace. La connaissance et la compréhension des menaces potentielles et réelles guident le choix et la mise en œuvre des contrôles de sécurité appropriés afin de limiter les risques. Les menaces potentielles sur la sécurité sont identifiées et évaluées en fonction de leur sévérité et de leur exploitabilité. Dans le cas où une atténuation des risques est nécessaire, l’équipe de sécurité travaille en collaboration avec les acteurs et les propriétaires des systèmes afin d’y remédier. Les efforts de correction sont testés pour vérifier que les nouvelles mesures/les nouveaux contrôles ont bien atteint leur objectif. 

Mesures de protection

Politique relative aux demandes d’application de la loi

Squarespace respecte les droits de ses clients et de leurs utilisateurs finaux. Squarespace applique une Politique relative aux demandes d’application de la loi rigoureuse. Celle-ci est conçue pour garantir que toutes les demandes d’application de la loi, les demandes émanant d’entités gouvernementales et les demandes réglementaires sont valides et respectent la voie de droit applicable. Squarespace ne divulgue aucune donnée à des organismes d’application de la loi, à des organismes réglementaires ou à des organismes gouvernementaux, sauf si la loi en vigueur l’exige. Par ailleurs, Squarespace conteste les demandes illégales. Si Squarespace reçoit une demande pour Vos Données Réglementées (telles que définies dans l’Addenda relatif au Traitement des Données de Squarespace) ou une demande pour les Renseignements personnels du prestataire de services (tels que définis dans les Conditions d’utilisation de Squarespace), Squarespace tentera d’inviter l’organisme d’application de la loi, l’organisme de réglementation ou l’organisme gouvernemental à demander ces données directement au client concerné. Si Squarespace est contraint de divulguer des données à des organismes d’application de la loi, à des organismes de réglementation ou à des organismes gouvernementaux ou de leur donner un accès à ces données, Squarespace en informera le client concerné et lui fournira une copie de la demande (sauf si la loi interdit Squarespace d’agir de la sorte) pour lui permettre de demander une ordonnance de protection ou toute autre mesure appropriée, telle que l’interdiction par le droit pénal de préserver la confidentialité d’une enquête judiciaire. 

Principes du bouclier de protection

Squarespace, Inc. continue d’appliquer les principes du bouclier de protection des données UE-États-Unis et Suisse-États-Unis (collectivement le « bouclier de protection ») en ce qui concerne les données personnelles applicables afin de fournir des garanties et des protections supplémentaires, même si Squarespace, Inc. ne s’appuie plus sur le bouclier de protection comme base légale pour transférer ces données.