Le texte qui suit décrit les normes de sécurité d'Asana en matière de contrôles administratifs, techniques et physiques applicables au Service. Les termes qui débutent par une majuscule ont le sens qui leur est attribué dans l'Accord, sauf indication contraire dans le présent document.

1. Programme de sécurité

1.1 Programme de sécurité. Asana mettra en œuvre et maintiendra un programme de sécurité de l’information fondé sur les risques qui comprend des mesures de protection administratives, techniques et organisationnelles conçues pour protéger la confidentialité, l’intégrité et la disponibilité des Données clients.

1.2 Cadre de sécurité. Le cadre de sécurité de l’information sera fondé sur le système de gestion de la sécurité de l’information ISO 27001 et couvrira les domaines suivants : la gestion des risques en matière de sécurité, les politiques et procédures, la gestion des incidents de sécurité, les contrôles des accès, la gestion de la vulnérabilité, la sécurité physique, la sécurité opérationnelle, la sécurité de l’entreprise, la sécurité de l’infrastructure, la sécurité des produits, la continuité des activités et la reprise après sinistre, la sécurité du personnel, la conformité à la sécurité et la sécurité liée aux fournisseurs.

1.3 Organisation de la sécurité. Asana disposera d’une équipe de sécurité spécialisée chargée de mettre en œuvre, maintenir, contrôler et d’appliquer des mesures de sécurité conformes au système de gestion de la sécurité de l’information.

2. Évaluations de sécurité, certifications et attestations

2.1 Contrôle du programme de sécurité. Asana effectue des évaluations périodiques pour surveiller son programme de sécurité de l’information afin d’identifier les risques et de s’assurer que les contrôles fonctionnent efficacement en effectuant des tests d’intrusion, audits internes et évaluations des risques.

2.2 Audits. Asana engagera des auditeurs externes qualifiés pour effectuer des évaluations de son programme de sécurité de l’information en fonction des critères de services en lien avec la sécurité, la disponibilité et la confidentialité SOC 2 de l’AICPA, et des normes suivantes : ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Les évaluations seront effectuées chaque année et donneront lieu à un rapport SOC 2 de type 2 et à des preuves des certifications ISO susmentionnées qui seront mises à la disposition du Client conformément à la section 2.5.

2.3 Tests d’intrusion. Asana engagera un tiers qualifié pour effectuer des tests d’intrusion couvrant l’étendue des services au moins une fois par an. Asana mettra à la disposition de ses clients une synthèse du test d’intrusion le plus récemment réalisé conformément à la section 2.5.

2.4 Programme de chasse aux bugs. Asana doit maintenir un programme de chasse aux bugs qui permet aux experts en sécurité indépendants de signaler régulièrement les menaces et vulnérabilités en matière de sécurité. Les constatations identifiées doivent être traitées et corrigées en fonction du risque et en temps opportun.

2.5 Artefacts de sécurité. Asana mettra à la disposition des clients des artefacts de sécurité démontrant sa conformité à ces normes de sécurité des données et aux cadres énumérés à la section 2.2. Les artefacts comprendront le rapport d’audit SOC 2 de type 2, les certifications ISO énumérées à la section 2.2, les questionnaires remplis concernant les normes du secteur, une synthèse des résultats des tests d’intrusion et une autre du plan de continuité des activités et de reprise après sinistre.

2.6 Audits clients. Dans la mesure où le Client ne peut raisonnablement confirmer la conformité d’Asana à ces normes de sécurité des données avec les informations fournies par Asana, le Client peut demander par écrit de procéder à un audit à distance aux frais de ce dernier avec un préavis d’au moins trente jours. La demande écrite doit préciser les domaines qui ne peuvent être confirmés par les artefacts mis à la disposition du Client. L’audit doit être réalisé au cours de la période d’abonnement et la portée doit être mutuellement convenue entre le Client et Asana avant le début de l’audit. L’audit doit être effectué pendant les heures de bureau habituelles, avec une perturbation minimale des opérations commerciales d’Asana, et ne pourra avoir lieu qu’une seule fois par an.

3. Gestion des incidents de sécurité

3.1 Contrôle de la sécurité. Asana contrôlera ses systèmes d’information pour identifier les accès non autorisés, comportements inattendus, certaines signatures d’attaques et tout autre indicateur d’un incident de sécurité.

3.2 Réponse aux incidents. Asana maintiendra un plan de réponse aux incidents de sécurité, examiné et testé au moins une fois par an, ayant pour but d’opposer un plan d’intervention rationnel et cohérent aux incidents de sécurité (présumés ou avérés) impliquant de manière accidentelle ou illicite la destruction, la perte, le vol, l’altération, la divulgation ou l’accès non autorisé à des Données clients transmises, conservées ou traitées par Asana.

3.3 Notification d’incident. Asana enquêtera rapidement sur un incident de sécurité dès qu’elle aura connaissance d’un tel incident. Dans la mesure où la loi applicable le permet, Asana notifiera les clients d’un incident de sécurité conformément à ses obligations en vertu de l’Addendum sur le traitement des données. Le Client est responsable de fournir à Asana des coordonnées de sécurité mises à jour dans la console d’administration, comme décrit ici.

4. Contrôles de sécurité

4.1 Contrôle des accès

• 4.1.1 Accès restreint. L’accès aux Données clients est limité au personnel autorisé d’Asana qui doit accéder aux Données clients pour exercer des fonctions dans le cadre de la prestation de services. L’accès est accordé sur la base du principe du moindre privilège et l’accès accordé est proportionnel à la fonction. L’accès aux Données clients doit se faire au moyen de noms d’utilisateur et mots de passe uniques, et l’authentification multifacteur doit être activée. L’accès est désactivé dans un délai d’un jour ouvrable après le licenciement d’un employé.

• 4.1.2 Mots de passe. Asana maintiendra une politique des mots de passe conforme aux exigences de la norme NIST 800-63b relative aux mots de passe secrets mémorisés.

4.2 Sécurité des applications

• 4.2.1 SDLC. Asana maintiendra une politique formelle de conduite du changement qui garantit l’intégration de la sécurité tout au long du cycle de développement des logiciels, en tenant compte des 10 principaux risques en matière de sécurité des applications Web de l’OWASP.

• 4.2.2 Révision et mise à l’essai du code. Toutes les modifications du code ayant un impact sur les Données clients seront examinées et testées avant d’être déployées en production.

• 4.2.3 Gestion de la vulnérabilité. Asana maintiendra un programme de gestion de la vulnérabilité qui garantit que les vulnérabilités identifiées sont classées par ordre de priorité, traitées et atténuées en fonction du risque. Asana déploiera des efforts commerciaux raisonnables pour remédier aux vulnérabilités critiques dans les 30 jours.

• 4.2.4 Dépendances de logiciels tiers. Asana doit garantir que les bibliothèques et composants tiers sont gérés de manière appropriée et que les mises à jour sont effectuées en temps utile et dès que nécessaire afin d’assurer en tout temps la sécurité de notre produit.

4.3 Chiffrement. Asana chiffrera les Données clients en transit et au repos à l’aide d’algorithmes de chiffrement standard adaptés au mécanisme de transfert (par exemple, TLS 1.2, AES-256).

4.4 Disponibilité et reprise après sinistre. L’entreprise mettra en œuvre et maintiendra un ensemble de politiques et mesures de reprise après sinistre, documentées par écrit, à adopter pour assurer la reprise ou la continuité de ses infrastructures technologiques clés à la suite d’un sinistre. En outre, Asana effectuera des tests annuels de son plan de reprise après sinistre et mettra à la disposition de ses clients une synthèse des résultats.

4.5 Sauvegardes. Asana effectuera régulièrement des sauvegardes des Données clients et s’assurera que les sauvegardes bénéficient du même niveau de protection que les bases de données de production.

4.6 Sécurité des appareils. Les appareils Asana qui accèdent aux Données clients doivent être gérés de manière centralisée et les paramètres de sécurité suivants doivent être activés : chiffrement du disque dur, mot de passe local activé et logiciel antivirus et/ou anti-malware installés, activés en permanence et automatiquement mis à jour.

4.7 Sécurité physique. Asana veillera à ce que tous les emplacements physiques qui traitent, stockent ou transmettent des Données clients soient situés dans des installations physiques sécurisées. Asana doit examiner les certifications de sécurité tierces (par exemple, SOC 2 Type 2) de ses fournisseurs d’hébergement cloud tiers au moins une fois par an pour s’assurer que des contrôles de sécurité physique appropriés sont mis en œuvre.

4.8 Gestion des risques liés aux fournisseurs. Asana doit maintenir un programme formel de gestion des risques liés aux fournisseurs qui garantit que tous les fournisseurs tiers ayant accès aux Données clients font l’objet d’une évaluation des risques avant d’être intégrés. Les fournisseurs ayant accès aux Données clients doivent conclure un accord de traitement des données avec Asana afin de s’assurer qu’ils sont contractuellement tenus de protéger nos informations et de respecter les exigences minimales en matière de sécurité et de confidentialité des informations, y compris le signalement des incidents et des violations de sécurité.

4.9 Évaluation des risques. Asana maintiendra un programme de gestion des risques pour identifier, surveiller et gérer les risques qui peuvent avoir une incidence sur la confidentialité, l’intégrité et la disponibilité des Données clients.

4.10 Formation en matière de sécurité. Asana sera tenu de fournir à chaque membre du personnel une formation portant sur la sécurité des informations et la protection de la vie privée au moment de son embauche, puis au moins une fois par an par la suite. En outre, tous les employés sont tenus de signer et de reconnaître la politique de sécurité de l’information et de protection des données d’Asana dès leur embauche.

4.11 Sécurité du personnel. Asana effectuera des vérifications des antécédents des employés qui ont accès aux Données clients conformément aux lois, règlements, exigences éthiques et/ou pratiques locales acceptées pour les juridictions non américaines, pour chaque individu au moins lors de l’embauche initiale (sauf si la loi l’interdit). Le niveau de vérification doit être approprié en fonction du rôle de l’employé, de la sensibilité des informations auxquelles il doit accéder dans le cadre de ses fonctions, des risques qui peuvent découler d’une mauvaise utilisation des informations et des pratiques locales acceptées dans les juridictions non américaines. Les vérifications suivantes sont effectuées pour chaque personne au moins lors de l’embauche initiale, à moins que la loi ne l’interdise ou que ces vérifications ne soient pas compatibles avec les pratiques locales acceptées pour les juridictions non américaines : (i) vérification de l’identité et (ii) antécédents criminels.

5. Mises à jour des normes de sécurité des données

Le Client reconnaît qu’Asana peut mettre à jour ou modifier ces normes de sécurité des données ponctuellement, à condition que ces mises à jour et modifications ne dégradent pas ou ne diminuent pas la sécurité globale du Service.