Squarespace – Sicherheitsvorkehrungen

Datum des Inkrafttretens: 14. Mai 2018

Großgeschriebene Begriffe, auf die im Rahmen dieser Sicherheitsvorkehrungen nicht näher eingegangen wird, werden in den Nutzungsbedingungen oder der Ergänzung zur Datenverarbeitung ausführlich erläutert.

 

Sicherheit im im Überblick

Squarespace verfügt über ein eigenes Sicherheitsteam, das die Implementierung von Kontrollmechanismen, Verfahren und und Abläufe regelt, welche für die Sicherheit von Squarespace und seinen Kunden maßgebend ist. Das Sicherheitsteam von Squarespace ist für die Entwicklung, Implementierung und Handhabung eines Informationssicherheitsprogramms zuständig, das folgende Grundsätze widerspiegelt:

  • Ausrichtung der Sicherheitsaktivitäten auf die Strategien von Squarespace und Unterstützung der Ziele von Squarespace.
  • Nutzung der Sicherheit für eine bessere Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Materialien.
  • Effektive und wirksame Nutzung der Sicherheitsressourcen von Squarespace.
  • Einsatz von Überwachungsmechanismen und Metriken für eine angemessene Leistung der sicherheitsrelevanten Aktivitäten.
  • Verwaltung der Sicherheit mittels eines risikoorientierten Ansatzes.
  • Durchführung von Maßnahmen, um Risiken und potentielle Auswirkungen auf ein vertretbares Maß zu halten.
  • Nutzung von branchenüblichen Sicherheitsstrukturen, soweit relevant und anwendbar.
  • Nach Bedarf Nutzung von Compliance-/Qualitätssicherungsprozessen
  • Analyse von identifizierten oder potentiellen Bedrohungen für Squarespace und seine Kunden, Bereitstellung von angemessenen Empfehlungen zur Aufhebung der Bedrohung und entsprechende Mitteilungen von Ergebnissen.  

Sicherheit, Verfügbarkeit und Notfallwiederherstellung von Rechenzentren

  • Squarespace baut auf führende Anbieter von Rechenzentren, um unsere physische Infrastruktur zu beherbergen.  
  • Unser Rechenzentrum-Anbieter setzt eine Reihe von Sicherheitsausrüstungen, -techniken und -verfahren zur Kontrolle, Überwachung und Erfassung des Zugangs zu den Einrichtungen ein.
  • Wir haben Lösungen zum Schutz gegen DDoS-Angriffe und zur Minderung der Auswirkungen dieser Angriffe implementiert.    
  • Wir verfügen über eigene spezialisierte Teams an mehreren Standorten, die Support für unsere Plattform und Infrastruktur bieten.  
  • Squarespace unterhält geographisch getrennte Rechenzentren, um die Verfügbarkeit und Kontinuität der Infrastruktur und Services zu gewährleisten. 
  • Squarespace verfügt über einen formell dokumentierten Wiederherstellungsplan (Failover), der mindestens jährlich getestet wird. Die Ergebnisse dieser Tests werden dokumentiert und aufbewahrt.  

Sicherheit auf Anwendungsebene

  • Squarespace hasht Passwörter für Benutzerkonten und bietet Kunden SSL.  
  • Squarespace nutzt die Technologie Web Application Firewall (WAF).
  • Auf der Squarespace-Plattform werden regelmäßige Pen-Tests durchgeführt. Die Ergebnisse aus diesen Tests werden von unseren Engineering- und Sicherheitsteams analysiert und ggf. behoben.  
  • Kunden erhalten die Möglichkeit, Website-Genehmigungen anzupassen.

Vorfallsreaktion

  • Liegt ein Problem im Zusammenhang mit der Sicherheit der Squarespace-Plattform vor, befolgt das Sicherheitsteam von Squarespace ein formelles Verfahren zur Reaktion auf Vorfälle.  
  • Wir analysieren identifizierte oder potentielle Bedrohungen für Squarespace und seine Kunden, stellen angemessene Empfehlungen zur Aufhebung der Bedrohung und entsprechende Mitteilungen von Ergebnissen bereit.

Zugang zu Gebäuden und Netzwerken von Squarespace

  • Der physische Zugang zu den Büros von Squarespace und der Zugang zum internen Netzwerk von Squarespace ist begrenzt und wird überwacht.  

Zugangskontrollsystem

  • Der Zugang zu den Systemen von Squarespace ist auf das entsprechende Personal eingeschränkt.
  • Squarespace arbeitet nach dem Prinzip der geringsten Rechte (z. B. Mitarbeiter, Systemkonten, Anbieter usw. erhalten den geringsten erforderlichen Zugang für Ihre Jobfunktion).
  • Squarespace nutzt die mehrstufige Authentifizierung.

Management des Sicherheitsrisikos

Gefahrenabschätzung und Risikoanalyse sind wesentliche Bestandteile des Informationssicherheitsprogramms von Squarespace. Durch das Bewusstsein und Verständnis der potentiellen (und tatsächlichen) Bedrohungen wird die Auswahl und Implementierung der angemessenen Sicherheitskontrollen zur Risikominderung ermöglicht. Die potentiellen Sicherheitsbedrohungen werden identifiziert und vor der Einstufung als Risiko hinsichtlich Schwere und Ausnutzbarkeit beurteilt. Ist eine Risikominderung erforderlich, arbeitet das Sicherheitsteam mit den relevanten Beteiligten und Systemeigentümern zusammen, um die Bedrohung abzuwenden. Die Lösungen zur Aufhebung der Bedrohung werden getestet, um zu bestätigen, dass die neuen Maßnahmen/Kontrollen den beabsichtigten Zweck erfüllen.