A continuación, se describen los estándares de seguridad de Asana con respecto a los controles administrativos, técnicos y físicos vigentes que corresponden al servicio. Los términos en mayúsculas tendrán el significado que se les asigne en el Acuerdo a menos que se manifieste lo contrario en el presente documento.

1. Programa de seguridad

1.1 Programa de seguridad. Asana implementará y mantendrá un programa de seguridad de la información basado en riesgos que incluye medidas de seguridad administrativas, técnicas y organizativas diseñadas para proteger la confidencialidad, integridad y disponibilidad de los datos del cliente.

1.2 Marco de seguridad. El marco de seguridad de la información se basará en el sistema de gestión de seguridad de la información ISO 27001 y cubrirá las siguientes áreas: gestión de riesgos de seguridad, políticas y procedimientos, gestión de incidentes de seguridad, controles de acceso, gestión de vulnerabilidades, seguridad física, seguridad operativa, seguridad corporativa, seguridad de infraestructura, seguridad de productos, recuperación ante desastres y continuidad del negocio, seguridad del personal, cumplimiento de seguridad y seguridad de proveedores.

1.3 Organización de la seguridad. Asana tendrá un equipo de seguridad dedicado responsable de implementar, mantener, monitorear y hacer cumplir las medidas de seguridad alineadas con el sistema de gestión de seguridad de la información.

2. Evaluaciones de seguridad, certificaciones y atestaciones

2.1 Monitoreo del programa de seguridad. Asana realiza evaluaciones periódicas para monitorear su programa de seguridad de la información a fin de identificar los riesgos y garantizar que los controles funcionen de manera efectiva mediante pruebas de penetración, auditorías internas y evaluaciones de riesgos.

2.2 Auditorías. Asana contratará a auditores externos calificados para realizar evaluaciones de su programa de seguridad de la información según los criterios de servicios de confianza SOC 2 AICPA para seguridad, disponibilidad y confidencialidad, y las siguientes normas ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Las evaluaciones se realizarán anualmente, se generará un informe SOC 2 Tipo 2 y se obtendrá evidencia de las certificaciones ISO antes mencionadas que se pondrán a disposición del cliente en conformidad con la Sección 2.5.

2.3 Pruebas de penetración. Asana contratará a un tercero calificado para realizar pruebas de penetración que abarquen el alcance de los servicios al menos una vez al año. Asana pondrá a disposición de sus clientes un resumen ejecutivo de la prueba de penetración finalizada más reciente en conformidad con la Sección 2.5.

2.4 Programa de recompensas por detección de errores. Asana debe mantener un programa de recompensas por detección de errores que permita a los investigadores de seguridad independientes generar informes sobre amenazas y vulnerabilidades de seguridad de forma continua. Los hallazgos identificados deben abordarse y mitigarse en función del riesgo y de manera oportuna.

2.5 Documentos de seguridad. Asana pondrá a disposición de los clientes documentos de seguridad que demuestren su cumplimiento con estos estándares de seguridad de datos y los marcos enumerados en la Sección 2.2. Los documentos incluirán el informe de auditoría SOC 2 Tipo 2, las certificaciones ISO enumeradas en la Sección 2.2, los cuestionarios estándar de la industria completados, un resumen ejecutivo de los resultados de las pruebas de penetración y un resumen del plan de continuidad del negocio y recuperación ante desastres.

2.6 Auditorías de clientes. En la medida en que el cliente no pueda confirmar razonablemente que Asana cumple con estos estándares de seguridad de los datos con la información proporcionada por Asana, puede enviar una solicitud por escrito para realizar una auditoría remota por cuenta propia con al menos treinta días de antelación. La solicitud por escrito debe especificar las áreas que no se pueden confirmar a través de los documentos puestos a disposición del cliente. La auditoría debe realizarse durante el plazo de suscripción y el alcance debe acordarse mutuamente entre el cliente y Asana antes del inicio de la auditoría. La auditoría debe llevarse a cabo durante el horario laboral regular con una interrupción mínima de las operaciones comerciales de Asana y no se realizará más de una vez al año.

3. Gestión de incidentes de seguridad

3.1 Monitoreo de seguridad. Asana supervisará sus sistemas de información para identificar accesos no autorizados, comportamientos inesperados, indicadores de determinados ataques y otros indicios de un incidente de seguridad.

3.2 Respuesta ante incidentes. Asana mantendrá un plan de respuesta ante incidentes de seguridad que se revisará y probará al menos una vez al año para proporcionar una respuesta razonable y coherente a los incidentes de seguridad reales y potenciales que involucren la destrucción ilegal o accidental, la pérdida, el robo, la modificación, la divulgación o el acceso no autorizados a los datos del cliente que Asana transmite, almacena o procesa de cualquier manera.

3.3 Notificación de incidentes. Asana investigará de inmediato cualquier incidente de seguridad al entrar en conocimiento de dicho incidente. En la medida en que lo permita la ley aplicable, Asana notificará a los clientes sobre un incidente de seguridad de acuerdo con sus obligaciones en virtud del Anexo de procesamiento de datos. El cliente es responsable de proporcionar a Asana la información de contacto de seguridad actualizada en la consola del administrador como se describe aquí.

4. Controles de seguridad

4.1 Control de acceso

• 4.1.1 Acceso restringido. El acceso a los datos del cliente está restringido al personal autorizado de Asana que debe acceder a los datos del cliente para realizar funciones como parte de la prestación de servicios. El acceso se concede sobre la base del “principio del menor privilegio” y el acceso concedido es proporcional a la función del trabajo. El acceso a los datos del cliente debe realizarse a través de nombres de usuario y contraseñas únicos y debe habilitarse la autenticación de múltiples factores. El acceso se deshabilita un día hábil después del despido de un empleado.

• 4.1.2 Contraseñas. La política de contraseñas de Asana exigirá que cumplan con los requisitos de contraseña secreta memorizada NIST 800-63b.

4.2 Seguridad de la aplicación

• 4.2.1 SDLC. Asana adoptará una política formal de gestión de cambios que garantice que la seguridad esté integrada en todo el ciclo de desarrollo de software y que se tengan en cuenta los 10 principales riesgos de seguridad de las aplicaciones web de OWASP.

• 4.2.2 Revisión y pruebas de código. Todos los cambios en el código que incidan en los datos del cliente se revisarán y probarán antes de implementarse en producción.

• 4.2.3 Gestión de vulnerabilidades. Asana mantendrá un programa de gestión de vulnerabilidades que garantice que las vulnerabilidades identificadas se prioricen, aborden y mitiguen en función del riesgo. Asana hará esfuerzos comercialmente razonables para abordar las vulnerabilidades críticas en un plazo de 30 días.

• 4.2.4 Dependencias de software de terceros. Asana debe asegurarse de que las bibliotecas y los componentes de terceros se administren de manera adecuada y de que las actualizaciones se instalen de manera oportuna cuando se determine que existe la posibilidad de que se vea afectada la seguridad de nuestro producto.

4.3 Cifrado. Asana cifrará los datos del cliente en tránsito y en reposo con algoritmos de cifrado estándar de la industria apropiados para el mecanismo de transferencia (por ejemplo, TLS 1.2, AES-256).

4.4 Disponibilidad y recuperación ante desastres. Asana implementará y mantendrá un conjunto documentado de políticas y procedimientos de recuperación ante desastres para permitir la recuperación o continuación de la infraestructura y los sistemas de tecnología vitales después de un desastre. Además, Asana realizará pruebas anuales de su plan de recuperación ante desastres y pondrá a disposición de sus clientes un resumen de los resultados.

4.5 Copias de respaldo. Asana realizará copias de respaldo periódicamente de los datos del cliente y se asegurará de que las copias de respaldo tengan las mismas protecciones que las bases de datos de producción.

4.6 Seguridad del dispositivo. Los dispositivos de Asana que acceden a los datos del cliente deben administrarse centralmente y deben habilitarse los siguientes ajustes de seguridad: cifrado del disco duro y contraseña local. Además, el software antivirus y/o antimalware debe instalarse, estar habilitado de forma continua y actualizarse automáticamente.

4.7 Seguridad física. Asana se asegurará de que todas las ubicaciones físicas donde se procesan, almacenan o transmiten los datos del cliente se encuentren en una instalación física segura. Asana debe revisar las certificaciones de seguridad de terceros (por ejemplo, SOC 2 Tipo 2) de sus proveedores externos de alojamiento en la nube al menos una vez al año para garantizar que existan controles adecuados de seguridad física.

4.8 Gestión de riesgos de proveedores. Asana debe mantener un programa formal de gestión de riesgos de proveedores que garantice que todos los proveedores externos con acceso a los datos del cliente se sometan a una evaluación de riesgos antes de su incorporación. Los proveedores con acceso a los datos de los clientes deben celebrar un acuerdo para el procesamiento de datos con Asana para asumir la obligación contractual de proteger nuestra información y cumplir con los requisitos mínimos de seguridad y privacidad de la información, incluidos los informes de incidentes e infracciones de seguridad.

4.9 Evaluación de riesgos. Asana mantendrá un programa de gestión de riesgos para identificar, monitorear y gestionar los riesgos que puedan afectar la confidencialidad, la integridad y la disponibilidad de los datos del cliente.

4.10 Capacitación de seguridad. Asana proporcionará capacitaciones en seguridad y privacidad de la información a su personal al momento de la contratación y al menos una vez al año a partir de entonces. Además, todos los empleados deben comprender y firmar la política de seguridad de la información y protección de datos de Asana para su contratación.

4.11 Seguridad del personal. Asana realizará verificaciones de antecedentes de los empleados que tengan acceso a los datos del cliente de acuerdo con las leyes, regulaciones, requisitos éticos y/o prácticas locales aceptadas para jurisdicciones fuera de Estados Unidos para cada individuo, al menos en el momento de la contratación inicial, a menos que lo prohíba la ley. El nivel de verificación será acorde al puesto del empleado, la confidencialidad de la información a la que accederá al cumplir su trabajo, los riesgos que pueden surgir del uso indebido de la información y las prácticas locales aceptadas en jurisdicciones fuera de Estados Unidos. Se realizarán las siguientes verificaciones para todos los individuos al menos en el momento de la contratación inicial, a menos que lo prohíba la ley o no sea acorde a las prácticas locales aceptadas para jurisdicciones fuera de Estados Unidos: (i) verificación de identidad y (ii) antecedentes penales.

5. Actualizaciones de los estándares de seguridad de datos

El cliente acepta que Asana puede actualizar o modificar los estándares de seguridad de los datos de vez en cuando, siempre y cuando dichas actualizaciones y modificaciones no degraden ni disminuyan la seguridad general del servicio.