Sicherheitsvorkehrungen und Schutzmaßnahmen

Datum des Inkrafttretens: 20. August 2020 

Großgeschriebene Begriffe, auf die im Rahmen dieser Sicherheitsvorkehrungen nicht näher eingegangen wird, sind an folgender Stelle ausführlich erläutert: Nutzungsbedingungen oder in der Ergänzung zur Datenverarbeitung.

Sicherheitsvorkehrungen

Squarespace implementiert und unterhält technische und organisatorische Sicherheitsvorkehrungen zum Schutz der Assets und Daten des Unternehmens und der Kunden. Squarespace verfügt über ein eigenes Sicherheitsteam, das die Implementierung von Kontrollmechanismen, Verfahren und Abläufen regelt, welche für die Sicherheit von Squarespace und seiner Kunden maßgebend sind. Das Sicherheitsteam von Squarespace ist für die Entwicklung, Implementierung und Pflege eines Informationssicherheitsprogramms zuständig, das folgende Grundsätze widerspiegelt:

  • Ausrichtung der Sicherheitsaktivitäten auf die Strategien von Squarespace und Unterstützung der Ziele von Squarespace.

  • Nutzung der Sicherheit für eine bessere Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Materialien.

  • Analyse von identifizierten oder potentiellen Bedrohungen für Squarespace und seine Kunden und Bereitstellung von angemessenen Empfehlungen zur Aufhebung der Bedrohung.

  • Aktive Überwachung von Squarespace-Umgebungen und Nutzung der gesammelten Informationen zur kontinuierlichen Verbesserung unseres Sicherheitsprogramms.

  • Unterstützung der Entwicklung sicherer Infrastruktur, Plattform(en) und Funktionen. 

  • Regelmäßige Durchführung interner Red-Teaming-Verfahren, um die Wirksamkeit der Kontrollen zu bestätigen und Bereiche mit Verbesserungspotenzial zu ermitteln.

  • Durchführung von Übungen zur Bedrohungsmodellierung bei der Entwicklung neuer oder der grundlegenden Änderung bestehender Systeme, Komponenten und Plattformen, um den ordnungsgemäßen Schutz von und Umgang mit Daten zu bestätigen.

  • Verwaltung der Sicherheit mittels eines risikoorientierten Ansatzes.

  • Durchführung von Maßnahmen, um Risiken und potentielle Auswirkungen auf ein vertretbares Maß zu halten.

  • Nutzung von branchenüblichen Sicherheits- und Compliance-Strukturen, soweit relevant und anwendbar.

  • Anbieten von Schulungen zur Förderung des Sicherheitsbewusstseins der Mitarbeiter von Squarespace und Bereitstellung von Mechanismen, mit denen die Mitarbeiter sich mit Fragen direkt an das Sicherheitsteam wenden können.

Rechenzentrum, Cloud-Anbieter und Geschäftskontinuität/Notfallwiederherstellung

  • Squarespace setzt auf führende Anbieter von Rechenzentren und Cloud-Services für die Unterbringung unserer physischen und Cloud-Infrastruktur.

  • Unsere Rechenzentren- und Cloud-Service-Anbieter setzen eine Reihe von Sicherheitsausrüstungen, -techniken und -verfahren zur Kontrolle, Überwachung und Erfassung des Zugangs zu den Einrichtungen ein.

  • Squarespace nutzt geografisch verteilte Rechenzentren und Verfügbarkeitszonen von Cloud-Service-Anbietern, um die Verfügbarkeit und Kontinuität der Infrastruktur und Services zu gewährleisten.

  • Squarespace hat Lösungen zum Schutz gegen DDoS-Angriffe und zur Minderung der Auswirkungen solcher Angriffe implementiert. 

  • Squarespace verfügt über eigene spezialisierte Teams an mehreren Standorten, die Support für unsere Plattform und Infrastruktur bieten.

  • Squarespace verfügt über Geschäftskontinuitäts- und Notfallwiederherstellungspläne, die in regelmäßigen Abständen getestet werden. Die Ergebnisse dieser Tests werden genutzt, um die Pläne falls nötig zu verbessern. 

Verschlüsselung 

  • Squarespace nutzt SSL-Zertifikate zur Verschlüsselung von Daten bei der Übertragung zwischen Website-Endbenutzern und Kundendomains.  

  • Squarespace bietet HSTS (HTTP Strict Transport Security) an, das die während der Sitzungen bereitgestellten Inhalte verschlüsselt und den Zugriff auf Squarespace-Kunden-Websites nur über HTTPS gestattet.

Sicherheit auf Anwendungsebene

  • Squarespace hasht Passwörter für Benutzerkonten.

  • Die Zwei-Faktor-Authentifizierung (2FA) ist für Squarespace-Mitgliederkonten als zusätzliche Sicherheitsebene verfügbar.  

  • Squarespace überwacht, erkennt und blockiert eingehende Angriffe auf unsere Webanwendungsplattform.

  • Regelmäßige Pen-Tests werden durch das Sicherheitsteam von Squarespace sowie durch eine Drittpartei auf der Squarespace-Plattform durchgeführt, deren Ergebnisse von unseren Technik- und Sicherheitsteams analysiert und (je nach Bedarf) korrigiert werden.

  • Kunden erhalten die Möglichkeit, Website-Genehmigungen anzupassen.

Vorfallsreaktion

  • Liegt ein Problem im Zusammenhang mit der Sicherheit der Squarespace-Plattform vor, befolgt das Sicherheitsteam von Squarespace ein formelles Verfahren zur Reaktion auf Vorfälle.  

  • Squarespace analysiert identifizierte oder potentielle Bedrohungen für Squarespace und seine Kunden und ergreift gegebenenfalls angemessene Maßnahmen.

Zugang zu Gebäuden und Netzwerken von Squarespace

  • Der physische Zugang zu den Büros von Squarespace und der Zugang zum internen Netzwerk von Squarespace ist begrenzt und wird überwacht.

Zugangskontrollsystem

  • Der Zugang zu den Systemen von Squarespace ist auf das entsprechende Personal eingeschränkt.

  • Squarespace hält sich an das Prinzip der geringsten Rechte.

  • Die Zugangskontrollrichtlinie von Squarespace gilt für Systeme, die Squarespace verwaltet und pflegt.  Die Zugangskontrollrichtlinie von Squarespace befasst sich mit Kontrollprozessen, die unter anderem Folgendes beinhalten, aber nicht darauf beschränkt sind:  

    • Konto-Bereitstellung/Deaktivierung 

    • Authentifizierung

    • Privilegierte Kontoverwaltung

    • Benutzeridentifizierung

    • Zugriffsprotokollierung und -überwachung

Management des Sicherheitsrisikos

Gefahrenabschätzung und Risikoanalyse sind wesentliche Bestandteile des Informationssicherheitsprogramms von Squarespace. Durch das Bewusstsein und Verständnis der potentiellen (und tatsächlichen) Bedrohungen wird die Auswahl und Implementierung der angemessenen Sicherheitskontrollen zur Risikominderung ermöglicht. Die potentiellen Sicherheitsbedrohungen werden identifiziert und hinsichtlich Schwere und Ausnutzbarkeit beurteilt. Ist eine Risikominderung erforderlich, arbeitet das Sicherheitsteam mit den relevanten Beteiligten und Systemeigentümern zusammen, um die Bedrohung abzuwenden. Die Lösungen zur Aufhebung der Bedrohung werden getestet, um zu bestätigen, dass die neuen Maßnahmen/Kontrollen den beabsichtigten Zweck erfüllen. 

Schutzmaßnahmen

Richtlinie für Strafverfolgungsanfragen

Squarespace respektiert die Menschenrechte unserer Kunden und ihrer Endbenutzer. Squarespace implementiert eine solide Richtlinie für Strafverfolgungsanfragen, die sicherstellen soll, dass alle Anfragen von Strafverfolgungs-, Regierungs- und Aufsichtsbehörden gültig sind und in Übereinstimmung mit den geltenden rechtlichen Verfahren gestellt werden. Squarespace gibt keine Daten an Strafverfolgungs-, Aufsichts- oder Regierungsbehörden weiter, sofern dies nicht nach geltendem Recht erforderlich ist, und ficht unrechtmäßige Ersuchen an. Wenn Squarespace eine Anfrage nach Ihren kontrollierten Daten (wie in der Ergänzung zur Datenverarbeitung von Squarespace definiert) oder den personenbezogenen Daten des Dienstleisters (wie in den Nutzungsbedingungen von Squarespace definiert) erhält, wird Squarespace versuchen, die Strafverfolgungs-, Aufsichts- oder Regierungsbehörde weiterzuleiten, um derartige Daten direkt vom entsprechenden Kunden anzufordern. Falls Squarespace gezwungen ist, Daten an Strafverfolgungs-, Aufsichts- oder Regierungsbehörden oder -organe weiterzugeben oder diesen Zugang zu diesen zu gewähren, wird Squarespace den betreffenden Kunden davon in Kenntnis setzen und ihm eine Kopie der Forderung zukommen lassen, um ihm die Möglichkeit zu geben, eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel zu ersuchen, sofern dies nicht gesetzlich verboten ist, wie z. B. durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses in einer Strafsache. 

Privacy-Shield-Prinzipien

Squarespace, Inc. wendet auch weiterhin die Privacy-Shield-Prinzipien der EU-US und Swiss-US Privacy Shield Frameworks (zusammenfassend „Privacy Shield“) in Bezug auf die anwendbaren personenbezogenen Daten an, um zusätzliche Sicherheitsvorkehrungen und Schutzmaßnahmen für diese Daten zu bieten, auch wenn Squarespace, Inc. sich nicht mehr auf den Privacy Shield als Rechtsgrundlage für die Übermittlung solcher Daten stützt.