Berikut ini menjelaskan standar keamanan Asana terkait kontrol administratif, teknis, dan fisik yang berlaku untuk Layanan. Istilah yang ditulis dengan huruf kapital akan memiliki arti sesuai yang ditetapkan untuk istilah tersebut di dalam Perjanjian ini, kecuali jika ditentukan lain di dalam Perjanjian ini.

1. Program Keamanan

1.1 Program Keamanan. Asana akan menerapkan dan mempertahankan program keamanan informasi berbasis risiko yang mencakup perlindungan administratif, teknis, dan organisasi yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Data Pelanggan.

1.2 Kerangka Kerja Keamanan. Kerangka kerja keamanan informasi akan didasarkan pada Sistem Manajemen Keamanan Informasi ISO 27001 dan akan mencakup bidang berikut: manajemen risiko keamanan, kebijakan dan prosedur, manajemen insiden keamanan, kontrol akses, manajemen kerentanan, keamanan fisik, keamanan operasional, keamanan korporat, infrastruktur keamanan, keamanan produk, pemulihan bencana kelangsungan bisnis, keamanan personel, kepatuhan keamanan, dan keamanan vendor.

1.3 Organisasi Keamanan. Asana akan memiliki tim keamanan khusus yang bertanggung jawab untuk menerapkan, mempertahankan, memantau, dan menegakkan perlindungan keamanan yang sesuai dengan sistem manajemen keamanan informasi.

2. Penilaian Keamanan, Sertifikasi, dan Pengesahan

2.1 Pemantauan Program Keamanan. Asana melakukan penilaian berkala untuk memantau program keamanan informasinya guna mengidentifikasi risiko dan memastikan kontrol beroperasi secara efektif. Penilaian ini meliputi uji penetrasi, audit internal, dan penilaian risiko.

2.2 Audit. Asana akan melibatkan auditor eksternal berkualifikasi untuk melakukan penilaian program keamanan informasinya terhadap Kriteria Layanan Tepercaya SOC 2 AICPA untuk Keamanan, Ketersediaan, dan Kerahasiaan, serta standar berikut ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/ IEC 27018:2019, ISO/IEC 27701:2019. Penilaian akan dilakukan setiap tahun dan akan menghasilkan laporan SOC 2 Tipe 2. Lalu, bukti sertifikasi ISO tersebut dapat diakses oleh Pelanggan sesuai dengan Bagian 2.5.

2.3 Uji Penetrasi. Asana akan melibatkan pihak ketiga berkualifikasi untuk melakukan uji penetrasi yang mencakup ruang lingkup layanan setidaknya setiap tahun. Sesuai dengan Bagian 2.5, Asana akan menyediakan ringkasan eksekutif dari uji penetrasi yang terakhir dilakukan untuk pelanggannya.

2.4 Program Hadiah Bug. Asana harus mempertahankan program hadiah bug yang membuat peneliti keamanan independen dapat terus melaporkan ancaman dan kerentanan keamanan. Temuan yang teridentifikasi sebagai bug harus ditangani dan dimitigasi berdasarkan risiko dan secara tepat waktu.

2.5 Artefak Keamanan. Asana akan menyediakan artefak keamanan pelanggan yang menunjukkan kepatuhannya terhadap standar keamanan data ini dan kerangka kerja yang tercantum dalam Bagian 2.2. Artefak akan terdiri dari Laporan Audit Soc 2 Tipe 2, sertifikasi ISO yang tercantum dalam Bagian 2.2, kuesioner standar industri lengkap, ringkasan eksekutif hasil uji penetrasi, dan ringkasan Rencana Kelangsungan Bisnis dan Pemulihan Bencana.

2.6 Audit Pelanggan. Jika Pelanggan tidak dapat secara wajar mengonfirmasi kepatuhan Asana terhadap standar keamanan data ini berdasarkan informasi yang diberikan oleh Asana, Pelanggan dapat membuat permintaan tertulis untuk melakukan audit jarak jauh atas biaya Pelanggan dengan pemberitahuan setidaknya tiga puluh hari sebelumnya. Permintaan tertulis harus menjelaskan bagian yang tidak dapat dikonfirmasi menggunakan artefak yang diberikan kepada Pelanggan. Audit harus dilakukan selama Masa Berlangganan serta ruang lingkupnya harus disepakati bersama antara Pelanggan dan Asana sebelum dimulainya audit. Audit harus dilakukan selama jam kerja reguler dengan gangguan minimum terhadap operasi Asana dan akan dilakukan tidak lebih dari satu kali per tahun.

3. Manajemen Insiden Keamanan

3.1 Pemantauan Keamanan. Asana akan memantau sistem informasinya untuk mengidentifikasi akses tanpa izin, perilaku tidak terduga, tanda serangan khusus, dan indikator lain dari insiden keamanan.

3.2 Tanggap Insiden. Asana akan mempertahankan Rencana Tanggap Insiden Keamanan yang ditinjau dan diuji setidaknya setiap tahun untuk menetapkan tanggapan yang wajar dan konsisten terhadap insiden keamanan dan dugaan insiden keamanan yang melibatkan penghancuran, kehilangan, pencurian, pengubahan, pengungkapan tanpa izin dari, atau akses ke, Data Pelanggan yang dikirimkan, disimpan, atau diproses oleh Asana.

3.3 Pemberitahuan Insiden. Asana akan segera menyelidiki Insiden Keamanan setelah mengetahui insiden semacam itu. Sejauh diizinkan oleh hukum yang berlaku, Asana akan memberi tahu pelanggan tentang Insiden Keamanan sesuai dengan kewajibannya berdasarkan Adendum Pemrosesan Data. Pelanggan bertanggung jawab untuk memberikan informasi kontak keamanan terbaru kepada Asana di Konsol Admin sebagaimana dijelaskan di sini.

4. Kontrol Keamanan

4.1 Kontrol Akses

• 4.1.1 Akses Terbatas. Data Pelanggan hanya dapat diakses oleh personel Asana berizin yang perlu mengakses Data Pelanggan untuk menjalankan fungsi sebagai bagian dari proses pemberian layanan. Akses diberikan berdasarkan prinsip hak akses terendah dan akses yang diberikan sepadan dengan fungsi pekerjaan. Akses ke Data Pelanggan harus melalui nama pengguna dan kata sandi unik serta autentikasi multifaktor harus diaktifkan. Akses dinonaktifkan dalam satu hari kerja setelah pemutusan kontrak kerja pegawai.

• 4.1.2 Kata Sandi. Asana akan mempertahankan kebijakan kata sandi yang mengikuti persyaratan kata sandi rahasia tersimpan NIST 800 -63b.

4.2 Keamanan Aplikasi

• 4.2.1 SDLC. Asana akan mempertahankan Kebijakan Manajemen Perubahan formal yang memastikan keamanan disematkan di seluruh siklus pengembangan perangkat lunak dengan mempertimbangkan 10 Risiko Keamanan Aplikasi Web Teratas OWASP.

• 4.2.2 Tinjauan dan Pengujian Kode. Semua perubahan kode yang memengaruhi Data Pelanggan akan ditinjau dan diuji sebelum diserahkan ke produksi.

• 4.2.3 Manajemen Kerentanan. Asana akan mempertahankan program manajemen kerentanan untuk memastikan bahwa kerentanan yang teridentifikasi akan diprioritaskan, ditangani, dan dimitigasi berdasarkan risikonya. Asana akan melakukan upaya yang wajar secara komersial untuk mengatasi kerentanan yang genting dalam 30 hari.

• 4.24 Dependensi Perangkat Lunak Pihak Ketiga. Asana harus memastikan bahwa pustaka dan komponen pihak ketiga dikelola secara tepat serta pembaruan dipasang tepat waktu saat ditemukan adanya kemungkinan yang membahayakan kondisi keamanan produk kami.

4.3 Enkripsi. Asana akan mengenkripsi Data Pelanggan in transit dan at rest menggunakan algoritma enkripsi standar industri yang sesuai untuk mekanisme transfer (mis., TLS 1.2, AES -256).

4.4 Ketersediaan dan Pemulihan Bencana. Asana akan menerapkan dan mempertahankan serangkaian kebijakan dan prosedur pemulihan bencana yang terdokumentasi untuk memungkinkan pemulihan atau kelangsungan infrastruktur dan sistem teknologi yang penting setelah bencana. Selain itu, Asana akan melakukan tes tahunan rencana pemulihan bencana dan akan memberikan ringkasan hasilnya kepada pelanggannya.

4.5 Pencadangan. Asana akan melakukan pencadangan Data Pelanggan secara berkala dan memastikan bahwa pencadangan memiliki perlindungan yang sama dengan basis data produksi.

4.6 Keamanan Perangkat. Perangkat Asana yang mengakses Data Pelanggan harus dikelola secara terpusat dan pengaturan keamanan berikut harus diaktifkan: enkripsi hard drive, kata sandi lokal diaktifkan, dan perangkat lunak anti-virus dan/atau anti-malware harus diinstal, terus diaktifkan, dan diperbarui secara otomatis.

4.7 Keamanan Fisik. Asana akan memastikan bahwa semua lokasi fisik tempat Data Pelanggan diproses, disimpan, atau dikirim berada dalam fasilitas fisik yang aman. Asana harus meninjau sertifikasi keamanan pihak ketiga (mis., SOC 2 Tipe 2) dari penyedia hosting cloud pihak ketiganya setidaknya setiap tahun untuk memastikan bahwa kontrol keamanan fisik yang sesuai sudah ada.

4.8 Manajemen Risiko Vendor. Asana harus mempertahankan program manajemen risiko vendor formal yang memastikan semua vendor pihak ketiga yang memiliki akses ke Data Pelanggan menjalani penilaian risiko sebelum onboarding. Vendor yang memiliki akses ke data pelanggan harus membuat perjanjian pemrosesan data vendor dengan Asana untuk memastikan bahwa mereka diwajibkan secara kontrak untuk melindungi informasi dan memenuhi persyaratan keamanan informasi dan privasi minimum, termasuk pelaporan insiden dan pelanggaran keamanan.

4.9 Penilaian Risiko. Asana akan mempertahankan program manajemen risiko untuk mengidentifikasi, memantau, dan mengelola risiko yang dapat memengaruhi keamanan, integritas, dan ketersediaan Data Pelanggan.

4.10 Pelatihan Keamanan. Asana akan membekali personelnya dengan pelatihan keamanan informasi dan privasi saat mulai dipekerjakan dan sekurang-kurangnya setiap tahun setelah itu. Selain itu, semua pegawai diharuskan untuk menandatangani serta memahami kebijakan Keamanan Informasi dan Perlindungan Data Asana saat mulai dipekerjakan.

4.11 Keamanan Personel. Asana akan melakukan pemeriksaan verifikasi latar belakang pada pegawai yang memiliki akses ke Data Pelanggan sesuai dengan hukum, peraturan, persyaratan etika yang relevan, dan/atau praktik lokal yang diterima di yurisdiksi non-AS untuk setiap individu setidaknya setelah dipekerjakan (kecuali dilarang oleh hukum). Tingkat verifikasi harus sesuai dengan peran pegawai, sensitivitas informasi yang akan diakses selama peran orang tersebut, risiko yang mungkin timbul dari penyalahgunaan informasi, dan praktik lokal yang diterima di yurisdiksi non-AS. Pemeriksaan berikut harus dilakukan untuk setiap individu setidaknya setelah dipekerjakan, kecuali dilarang oleh hukum atau tidak sesuai dengan praktik lokal yang diterima di yurisdiksi non-AS: (i) verifikasi identitas dan (ii) riwayat tindak pidana.

5. Pembaruan Standar Keamanan Data

Pelanggan memahami bahwa Asana dapat memperbarui atau mengubah Standar Keamanan Data sewaktu-waktu, asalkan pembaruan dan modifikasi tersebut tidak menurunkan atau mengurangi keamanan Layanan secara keseluruhan.