セキュリティ対策と保護措置
発効日: 2024年3月5日
大文字で始まる用語のうち、本セキュリティ対策で定義されていないものは次で定める意味を持ちます。 サービス利用規約 または データ処理に関する補遺
セキュリティ対策
Squarespaceは、技術的かつ組織的なセキュリティ対策を導入、維持し、企業と顧客のアセットとデータを保護します。Squarespaceには、当社とお客様のセキュリティを規律する制御手段、プロセス、手続きの履行を先導するセキュリティ専任チームがあります。このチームは、次の項目が盛り込まれた情報セキュリティ プログラムの策定、導入、維持に責任を負います。
セキュリティ活動をSquarespaceの戦略に連動させて、Squarespaceの目標達成を支えています。
セキュリティを活用して、データとアセットの機密性、整合性、可用性を促進します。
Squarespaceとお客様に対する発見済みの脅威または脅威の疑いを分析し、妥当な修復案を提示します。
Squarespace環境を積極的に監視し、収集されたインテリジェンスをセキュリティ プログラムの継続的改善に活用します。
安全なインフラストラクチャー、プラットフォーム、機能開発をサポートします。
レッド チームを使った演習を行って、制御の有効性を確認し、改善余地がある領域を特定します。
システム、コンポーネント、プラットフォームを新設する際または既存のものに重大な変更を加える際は、脅威モデリング演習を実行して、セキュリティ上のリスクの有無を確認し、発見します。必要な場合は、事前にリスクの軽減も図ります。
リスクベースのアプローチを利用してセキュリティを管理します。
業界のセキュリティとコンプライアンスの枠組みのうち適用可能な関連性のあるものを活用します。
Squarespace従業員にセキュリティ意識向上トレーニングを提供し、従業員がセキュリティ チームに直接質問できる仕組みを確立しています。
データ センター、クラウド プロバイダー、事業継続/災害復旧
Squarespaceは、物理的およびクラウド用のインフラストラクチャーを収容するために、大手データ センターおよびクラウド サービス プロバイダーを利用しています。
当社のデータ センターとクラウド サービス プロバイダーは、一連のセキュリティ機器、テクニック、手続きを利用して、施設へのアクセスを制御、監視、記録しています。
Squarespaceはデータ センターの場所とクラウド サービス プロバイダーの利用可能地域を分散させることで、インフラストラクチャーとサービスがいつでも継続的に利用できるようにしています。
Squarespaceは、DDoS攻撃を防止し、影響を軽減するためのソリューションを実装しています。
Squarespaceには、プラットフォームとその基盤となるインフラストラクチャーをサポートする専任チームが複数の地域にいます。
Squarespaceは事業を継続するための災害復旧計画を用意して、定期的にテストしています。テスト結果は必要に応じて計画の改善に役立てています。
暗号化
Squarespaceでは、トランスポート レイヤー セキュリティ (TLS) を利用して、Webサイトのエンド ユーザーのドメインと顧客のドメインの間を転送中のデータを暗号化しています。
SquarespaceではHSTS (HTTP Strict Transport Security) 方式により、Squarespaceのお客様Webサイトへのアクセス経路をHTTPS経由に限定しています。
アプリケーション レベルのセキュリティ
Squarespaceはユーザー アカウントのパスワードをハッシュ化しています。
Squarespaceメンバー アカウントでは2要素認証 (2FA) を利用して、セキュリティ層を強化できます。
Squarespaceでは、Webアプリケーション ファイアウォール (WAF) テクノロジーを利用しています。
Squarespaceプラットフォームでは定期的なペネトレーション テストが実施されます。その結果はエンジニアリング チームとセキュリティ チームが分析して、(必要に応じて) 修復します。
お客様はご自分のWebサイトの作成者に対して異なる許可レベルを割り当てることができます。
お客様にクリックジャック保護の実装オプションを提供して、Webサイトとエンド ユーザーをUI偽装攻撃 (クリックジャッキング) から保護します。
インシデント対応
Squarespaceプラットフォームのセキュリティに関連する問題が生じた場合は、Squarespaceセキュリティ チームが正式なインシデント対応プロセスに従います。
Squarespaceでは、当社とお客様に対する発見済みの脅威または脅威の疑いを分析し、必要に応じて妥当な措置を講じています。
Squarespaceの建物とネットワーク アクセス
Squarespaceオフィスへの物理的なアクセスとSquarespaceの内部ネットワークへのアクセスは制限され、監視されています。
システム アクセス制御
Squarespaceシステムへのアクセスは、適切な担当者のみに限定されています。
Squarespaceは最小権限の原則に賛同しています。
Squarespaceのアクセス制御ポリシーはSquarespaceが管理および保守するシステムに適用されます。Squarespaceのアクセス制御ポリシーでは、以下を含む (これらに限定されません) 制御プロセスについて定めています。
アカウントのプロビジョニング/閉鎖
認証
特権アカウントの管理
ユーザーID
アクセスログの作成と監視
セキュリティ リスク管理
脅威インテリジェンスとリスク評価は、Squarespaceの情報セキュリティ プログラムの重要な要素です。潜在的 (および実際の) 脅威を察知して理解することは、リスクを軽減するために適切なセキュリティ制御手段を選択し、導入する際の指針となります。セキュリティに対する潜在的な脅威が発見されると、深刻度と悪用可能性について評価されます。リスクを軽減する必要がある場合、セキュリティ チームは関連する利害関係者とシステム所有者と協力して修復を図ります。修復作業は、新しい措置/制御手段が想定どおりの目的を達成することを確認するために、テストされます。
保護措置
Law Enforcement Request Policy (法執行機関の要請への対応ポリシー)
Squarespaceはお客様とお客様のエンド ユーザーの人権を尊重しており、確固としたLaw Enforcement Request Policy (法執行機関の要請への対応ポリシー) を定めています。このポリシーの目的は、すべての法執行機関、政府、規制当局からの要請が有効なものであり、該当する法手続に従って行われるよう徹底することにあります。適用法で義務付けられる場合を除き、Squarespaceが法執行機関、規制当局、政府組織にデータを開示することはなく、違法な要請には異議を唱えます。Squarespaceは、「お客様の管理データ」(Squarespaceデータ処理に関する補遺の定義に準じます) を対象とする要請を受けた場合、該当するお客様に直接そのデータを要請するよう法執行機関、規制当局、政府組織に依頼します。法執行機関、規制当局、政府組織または代理機関にデータを開示するか、データへのアクセス権を提供せざるを得ない場合、Squarespaceは該当するお客様に要請の控えを添えて通知し、お客様が保護命令などの適切な救済措置を求めることができるようにします。ただし、当該通知が法律で禁じられている場合 (法執行機関による捜査の秘密を保持するための刑法の禁止規定など) を除きます。
データ プライバシー フレームワーク (DPF)
Squarespaceは、EU・米国間のデータ プライバシー フレームワーク、スイス・米国間のデータ プライバシー フレームワーク、およびEU・米国間のデータ プライバシー フレームワークの英国への拡張 (以下、個別におよびまとめて「データ プライバシー フレームワーク」) に従って、欧州経済領域、スイス、および英国 (該当するもの) から米国へ個人データを移転します。当社は欧州経済領域、スイス、英国から取得した個人情報を、適用されるデータ プライバシー フレームワークに準じて、その原則 (以下「DPF原則」) に従って取り扱うことに力を注いでいます。当社の認証はこちらでご覧になれます。データ プライバシー フレームワーク(個人情報の提供元の国に基づいて決定されます) およびDPF原則の詳細については、https://www.dataprivacyframework.gov/をご覧ください。