Sicherheitsvorkehrungen und Schutzmaßnahmen

Datum des Inkrafttretens: 5. März 2024

Großgeschriebene Begriffe, auf die im Rahmen dieser Sicherheitsvorkehrungen nicht näher eingegangen wird, sind an folgender Stelle ausführlich erläutert: Nutzungsbedingungen oder in der Ergänzung zur Datenverarbeitung.

Sicherheitsvorkehrungen

Squarespace implementiert und unterhält technische und organisatorische Sicherheitsvorkehrungen zum Schutz der Assets und Daten des Unternehmens und der Kunden. Squarespace verfügt über ein eigenes Sicherheitsteam, das die Implementierung von Kontrollmechanismen, Verfahren und Abläufen regelt, welche für die Sicherheit von Squarespace und seiner Kunden maßgebend sind. Das Sicherheitsteam von Squarespace ist für die Entwicklung, Implementierung und Pflege eines Informationssicherheitsprogramms zuständig, das folgende Grundsätze widerspiegelt:

  • Ausrichtung der Sicherheitsaktivitäten auf die Strategien von Squarespace und Unterstützung der Ziele von Squarespace.

  • Nutzung der Sicherheit für eine bessere Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Materialien.

  • Analyse von identifizierten oder potentiellen Bedrohungen für Squarespace und seine Kunden und Bereitstellung von angemessenen Empfehlungen zur Aufhebung der Bedrohung.

  • Aktive Überwachung von Squarespace-Umgebungen und Nutzung der gesammelten Informationen zur kontinuierlichen Verbesserung unseres Sicherheitsprogramms.

  • Unterstützung der Entwicklung sicherer Infrastruktur, Plattform(en) und Funktionen. 

  • Durchführung von Red-Teaming-Verfahren, um die Wirksamkeit der Kontrollen zu bestätigen und Bereiche mit Verbesserungspotenzial zu ermitteln.

  • Durchführung von Übungen zur Bedrohungsmodellierung bei der Entwicklung neuer oder der grundlegenden Änderung bestehender Systeme, Komponenten und Plattformen, um Sicherheitsrisiken zu identifizieren und zu bestätigen bzw. diesen wo angemessen entgegenzuwirken. 

  • Verwaltung der Sicherheit mittels eines risikoorientierten Ansatzes.

  • Nutzung von branchenüblichen Sicherheits- und Compliance-Strukturen, soweit relevant und anwendbar.

  • Anbieten von Schulungen zur Förderung des Sicherheitsbewusstseins der Mitarbeiter von Squarespace und Bereitstellung von Mechanismen, mit denen die Mitarbeiter sich mit Fragen direkt an das Sicherheitsteam wenden können.

Rechenzentrum, Cloud-Anbieter und Geschäftskontinuität/Notfallwiederherstellung

  • Squarespace setzt auf führende Anbieter von Rechenzentren und Cloud-Services für die Unterbringung unserer physischen und Cloud-Infrastruktur.

  • Unsere Rechenzentren- und Cloud-Service-Anbieter setzen eine Reihe von Sicherheitsausrüstungen, -techniken und -verfahren zur Kontrolle, Überwachung und Erfassung des Zugangs zu den Einrichtungen ein.

  • Squarespace nutzt geografisch verteilte Rechenzentren und Verfügbarkeitszonen von Cloud-Service-Anbietern, um die Verfügbarkeit und Kontinuität der Infrastruktur und Services zu gewährleisten.

  • Squarespace hat Lösungen zum Schutz gegen DDoS-Angriffe und zur Minderung der Auswirkungen solcher Angriffe implementiert. 

  • Squarespace verfügt über eigene spezialisierte Teams an mehreren Standorten, die Support für unsere Plattform und Infrastruktur bieten.

  • Squarespace verfügt über Geschäftskontinuitäts- und Notfallwiederherstellungspläne, die in regelmäßigen Abständen getestet werden. Die Ergebnisse dieser Tests werden genutzt, um die Pläne falls nötig zu verbessern. 

Verschlüsselung 

  • Squarespace nutzt Transport Layer Security (TLS) zur Verschlüsselung von Daten bei der Übertragung zwischen Website-Endbenutzern und Kundendomains.  

  • Squarespace bietet HSTS (HTTP Strict Transport Security). Diese Technologie ermöglicht den Zugriff auf Squarespace-Kundenwebsites nur über HTTPS.

Sicherheit auf Anwendungsebene

  • Squarespace hasht Passwörter für Benutzerkonten.

  • Die Zwei-Faktor-Authentifizierung (2FA) ist für Squarespace-Mitgliederkonten als zusätzliche Sicherheitsebene verfügbar.  

  • Squarespace nutzt die Technologie Web Application Firewall (WAF).

  • Auf der Squarespace-Plattform werden regelmäßige Pen-Tests durchgeführt. Die Ergebnisse aus diesen Tests werden von unseren Engineering- und Sicherheitsteams analysiert und ggf. behoben.

  • Kunden haben die Möglichkeit, den Bearbeitern ihrer Website unterschiedliche Berechtigungsstufen zuzuweisen.

  • Kunden können auf Wunsch Clickjacking-Schutz einrichten, um ihre Website abzusichern und ihre Endkunden vor Angriffen mittels Überlagerung der Benutzeroberfläche (auch bekannt als Clickjacking oder UI Redress Attack) zu schützen.

Vorfallsreaktion

  • Liegt ein Problem im Zusammenhang mit der Sicherheit der Squarespace-Plattform vor, befolgt das Sicherheitsteam von Squarespace ein formelles Verfahren zur Reaktion auf Vorfälle.  

  • Squarespace analysiert identifizierte oder potentielle Bedrohungen für Squarespace und seine Kunden und ergreift gegebenenfalls angemessene Maßnahmen.

Zugang zu Gebäuden und Netzwerken von Squarespace

  • Der physische Zugang zu den Büros von Squarespace und der Zugang zum internen Netzwerk von Squarespace ist begrenzt und wird überwacht.

Zugangskontrollsystem

  • Der Zugang zu den Systemen von Squarespace ist auf das entsprechende Personal eingeschränkt.

  • Squarespace hält sich an das Prinzip der geringsten Rechte.

  • Die Zugangskontrollrichtlinie von Squarespace gilt für Systeme, die Squarespace verwaltet und pflegt.  Die Zugangskontrollrichtlinie von Squarespace befasst sich mit Kontrollprozessen, die unter anderem Folgendes beinhalten, aber nicht darauf beschränkt sind:  

    • Konto-Bereitstellung/Deaktivierung 

    • Authentifizierung

    • Privilegierte Kontoverwaltung

    • Benutzeridentifizierung

    • Zugriffsprotokollierung und -überwachung

Management des Sicherheitsrisikos

Gefahrenabschätzung und Risikoanalyse sind wesentliche Bestandteile des Informationssicherheitsprogramms von Squarespace. Durch das Bewusstsein und Verständnis der potentiellen (und tatsächlichen) Bedrohungen wird die Auswahl und Implementierung der angemessenen Sicherheitskontrollen zur Risikominderung ermöglicht. Die potentiellen Sicherheitsbedrohungen werden identifiziert und hinsichtlich Schwere und Ausnutzbarkeit beurteilt. Ist eine Risikominderung erforderlich, arbeitet das Sicherheitsteam mit den relevanten Beteiligten und Systemeigentümern zusammen, um die Bedrohung abzuwenden. Die Lösungen zur Aufhebung der Bedrohung werden getestet, um zu bestätigen, dass die neuen Maßnahmen/Kontrollen den beabsichtigten Zweck erfüllen.

Schutzmaßnahmen

Richtlinie für Strafverfolgungsanfragen

Squarespace respektiert die Menschenrechte unserer Kunden und ihrer Endbenutzer. Squarespace implementiert eine solide Richtlinie für Strafverfolgungsanfragen, die sicherstellen soll, dass alle Anfragen von Strafverfolgungs-, Regierungs- und Aufsichtsbehörden gültig sind und in Übereinstimmung mit den geltenden rechtlichen Verfahren gestellt werden. Squarespace gibt keine Daten an Strafverfolgungs-, Aufsichts- oder Regierungsbehörden weiter, sofern dies nicht nach geltendem Recht erforderlich ist, und legt gegen unrechtmäßige Ersuche Beschwerde ein. Wenn Squarespace eine Anfrage nach Ihren kontrollierten Daten (wie in der Ergänzung zur Datenverarbeitung von Squarespace definiert) erhält, wird Squarespace versuchen, die Strafverfolgungs-, Aufsichts- oder Regierungsbehörde an die entsprechende Person weiterzuleiten, um derartige Daten direkt vom entsprechenden Kunden anzufordern. Falls Squarespace gezwungen ist, Daten an Strafverfolgungs-, Aufsichts- oder Regierungsbehörden oder -organe weiterzugeben oder diesen Zugang zu diesen zu gewähren, wird Squarespace den betreffenden Kunden davon in Kenntnis setzen und ihm eine Kopie der Forderung zukommen lassen, um ihm die Möglichkeit zu geben, eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel zu ersuchen (sofern dies nicht gesetzlich verboten ist, wie z. B. durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses in einer Strafsache). 

Datenschutzrahmen

Squarespace übermittelt, wo zutreffend, personenbezogene Daten gemäß dem EU-U.S. Data Privacy Framework, dem Swiss-U.S. Data Privacy Framework und der UK-Erweiterung zu den EU-U.S. Data Privacy Frameworks (jeweils einzeln und zusammen die „Data Privacy Frameworks“) aus dem EWR, der Schweiz und dem Vereinigten Königreich in die USA. Wir verpflichten uns, im Umgang mit personenbezogenen Daten, die gemäß dem jeweils anwendbaren Datenschutzrahmen aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich empfangen werden, die Grundsätze des betreffenden Datenschutzrahmens („Grundsätze des Datenschutzrahmens“) einzuhalten. Sie können unsere Zertifizierung hier einsehen. Näheres zu den Datenschutzrahmen (maßgeblich ist jeweils das Land, aus dem Squarespace die personenbezogenen Daten empfängt) und ihren Grundsätzen erfahren Sie unter https://www.dataprivacyframework.gov/.