보안 조치 및 안전장치

발효일: 2025년 1월 14일

본 보안 조치에서 정의되지 않은 용어는 다음 자료에서 명시된 의미를 따릅니다. 서비스 약관 또는 데이터 처리 부칙..

보안 조치

Squarespace는 회사 및 고객 애셋과 데이터를 보호하기 위해 기술적 및 조직적 보안 조치를 시행하고 유지합니다. Squarespace에는 전담 보안 팀이 있으며, 이 팀이 Squarespace와 고객의 안전을 관리하는 제어, 과정, 절차 시행을 안내합니다. Squarespace 보안 팀은 다음 사항을 반영하는 정보 보안 프로그램을 개발, 시행, 유지할 책임이 있습니다.

  • 보안 활동을 Squarespace의 전략에 맞게 조정하고, Squarespace의 목표 달성을 지원합니다.

  • 보안을 활용하여 데이터와 자산의 기밀성, 무결성, 가용성을 보장합니다.

  • Squarespace와 그 고객에 대한 식별된 또는 잠재적인 위협을 분석하고 합리적인 해결 방안을 권고합니다.

  • Squarespace 환경을 적극적으로 모니터링하고, 수집한 정보를 활용하여 보안 프로그램을 지속적으로 개선합니다.

  • 안전한 인프라, 플랫폼 및 기능 개발을 지원합니다. 

  • 레드 팀 연습을 수행하여 통제의 효과성을 확인하고 개선이 필요한 영역을 파악합니다.

  • 새로운 시스템, 구성 요소, 플랫폼을 구축하거나 또는 기존의 것을 상당 부분 수정할 시에 위협 모델링 연습을 수행하여 보안 위험을 확인하고 파악하며, 적절한 경우 선제적으로 완화합니다. 

  • 위험 기반 접근 방식을 활용하여 보안을 관리합니다.

  • 관련이 있고 적용 가능한 경우, 업계 보안 및 규정 준수 프레임워크를 활용합니다.

  • Squarespace 직원에게 보안 인식 교육을 제공하고, 직원들이 보안 팀에 직접 문의할 수 있는 메커니즘을 제공합니다.

데이터 센터, 클라우드 업체, 비즈니스 연속성/재해 복구

  • Squarespace는 선도적인 데이터 센터 및 클라우드 서비스 업체를 활용하여 물리적 및 클라우드 인프라를 운영합니다.

  • Squarespace의 데이터 센터 및 클라우드 서비스 업체는 시설에 대한 접근을 제어, 모니터링, 기록하기 위해 설계된 다양한 보안 장비, 기술, 절차를 활용합니다.

  • Squarespace는 지리적으로 분리된 데이터 센터 및 클라우드 서비스 업체 지원 지역들을 활용하여 인프라 및 서비스의 이용 가능성과 연속성을 실현합니다.

  • Squarespace는 DDoS 공격으로부터 보호를 제공하고 그 영향을 완화하기 위해 설계된 솔루션을 시행했습니다. 

  • Squarespace는 여러 지역에 플랫폼 및 지원 인프라를 지원하는 전담 팀을 두고 있습니다.

  • Squarespace에는 주기적으로 테스트되는 비즈니스 연속성 재해 복구 계획이 있습니다. 테스트 결과는 필요시 계획을 개선하는 데 활용됩니다. 

암호화 

  • Squarespace는 전송 계층 보안(TLS)을 활용하여 웹사이트 최종 사용자와 고객 도메인 간의 전송 중 데이터를 암호화합니다.  

  • Squarespace는 HTTPS를 통해서만 Squarespace 고객 웹사이트에 액세스할 수 있도록 하는 HSTS(HTTP 엄격 전송 보안)를 제공합니다.

애플리케이션 레벨 보안

  • Squarespace는 사용자 계정의 비밀번호를 해시화 합니다.

  • Squarespace 회원 계정에서 보안 층을 더하는 용도로 2단계 인증(2FA)을 이용 가능합니다.  

  • Squarespace는 웹 애플리케이션 방화벽(WAF) 기술을 사용합니다.

  • Squarespace 플랫폼에서는 정기적인 펜 테스트가 수행되며, 그 결과는 엔지니어링 및 보안 팀에서 분석하여 필요에 따라 수정합니다.

  • 고객은 웹사이트 기여자에게 다양한 수준의 권한을 부여할 수 있습니다.

  • 고객에게 클릭재킹 보호를 시행하여 UI 리드레싱 공격(즉, 클릭재킹)으로부터 웹사이트와 최종 사용자를 보호할 수 있는 옵션을 제공합니다.

사고 대응

  • Squarespace 플랫폼의 보안과 관련된 문제가 발생하는 경우 Squarespace 보안 팀은 공식적인 사고 대응 프로세스를 따릅니다.  

  • Squarespace는 Squarespace와 그 고객에 대한 식별된 또는 잠재적인 위협을 분석하고 필요시 합리적인 조치를 취합니다.

Squarespace 빌딩 및 네트워크 접근

  • Squarespace 사무실에 대한 물리적 액세스 및 Squarespace 내부 네트워크에 대한 액세스가 제한되고 모니터링됩니다.

시스템 접근 제어

  • Squarespace 시스템에 대한 액세스는 적절한 인원으로 제한됩니다.

  • Squarespace는 최소 권한의 원칙에 동의합니다.

  • Squarespace의 액세스 제어 방침은 Squarespace가 관리하고 유지하는 시스템에 적용됩니다.  Squarespace 액세스 제어 방침은 다음을 포함하되 이에 국한되지 않는 제어 프로세스를 다룹니다.  

  • 계정 프로비저닝/디커미셔닝 

  • 인증

  • 특권 계정 관리

  • 사용자 식별

  • 액세스 기록 및 모니터링

보안 리스크 관리

위협 인텔리전스와 위험 평가는 Squarespace 정보 보안 프로그램의 핵심 구성 요소입니다. 잠재 및 실제 위협에 대한 인식과 이해는 위험을 완화하기 위한 적절한 보안 통제의 선택 및 시행의 길잡이가 됩니다. 잠재적인 보안 위협이 식별되고, 심각도와 악용 가능성이 평가됩니다. 위험 완화가 필요한 경우, 보안 팀은 관련 이해관계자 및 시스템 소유자와 협력하여 문제를 해결합니다. 해결 조치는 새로운 조치/통제가 의도한 목적을 달성했는지 확인하기 위해 테스트를 거칩니다.

안전장치

법 집행 요청 방침

Squarespace는 고객과 최종 사용자의 인권을 존중합니다. Squarespace는 모든 법 집행, 정부 및 규정상의 요청이 유효하고 관련 법적 절차에 따라 이루어지는 것을 보장하도록 설계된 강력한 법 집행 요청 방침을 시행합니다. Squarespace는 관련 법률에 의해 요구되지 않는 한, 법 집행 기관, 규제 기관 또는 정부 기관에 데이터를 공개하지 않으며 불법적인 요청을 거절합니다. 법 집행 기관, 규제 기관 또는 정부 기관에 데이터를 공개하거나 접근 권한을 제공해야만 할 경우, Squarespace는 관련 고객에게 이를 통지하고 고객이 보호 명령이나 기타 적절한 구제책을 모색할 수 있도록 요구 사본을 제공할 것입니다(법 집행 수사의 기밀성을 유지하기 위한 형법상의 금지 등으로 이와 같은 통지가 금지된 경우는 제외). 

데이터 개인정보 보호 프레임워크

Squarespace는 유럽-미국 데이터 프라이버시 프레임워크, 스위스-미국 데이터 프라이버시 프레임워크, 유럽-미국 데이터 프라이버시 프레임워크의 영국 확장(각각 개별적으로 그리고 총칭하여 '데이터 프라이버시 프레임워크')에 따라 유럽경제지역, 스위스, 영국에서 미국으로 개인 정보를 전송합니다. Squarespace는 유럽경제지역, 스위스, 영국에서 받은 개인 정보를 해당 '데이터 프라이버시 프레임워크'에 따라 그것의 원칙('DPF 원칙')에 부합하도록 처리할 것을 약속합니다. 여기에서 Squarespace의 인증을 확인할 수 있으며, https://www.dataprivacyframework.gov/를 방문하여 '데이터 프라이버시 프레임워크'(개인 정보를 어느 국가로부터 받았는지에 따라 결정됨) 및 'DPF 원칙'에 대해 자세히 알아볼 수 있습니다.