다음은 서비스에 적용되는 관리적, 기술적, 물리적 통제와 관련된 Asana의 보안 표준에 대해 설명합니다. 본 계약서에서 정의된 용어는 본 문서에 별도로 명기되어 있는 경우를 제외하고 본 계약서에서 규정하는 의미를 갖습니다.

1. 보안 프로그램

1.1 보안 프로그램. Asana는 고객 데이터의 기밀성, 무결성, 가용성을 보호하기 위해 설계된 관리적, 기술적, 조직적 안전장치를 포함하는 위험 기반 정보 보안 프로그램을 구현 및 유지합니다.

1.2 보안 프레임워크. 정보 보안 프레임워크는 ISO 27001 정보 보안 관리 시스템을 기반으로 하며 보안 위험 관리, 정책 및 절차, 보안 사고 관리, 액세스 제어, 취약성 관리, 물리적 보안, 운영 보안, 기업 보안, 인프라 보안, 제품 보안, 비즈니스 연속성 재해 복구, 인력 보안, 보안 규정 준수, 공급업체 보안 등의 영역을 다룹니다.

1.3 보안 조직. Asana는 정보 보안 관리 시스템과 연계된 보안 보호 조치를 구현, 유지, 모니터링, 시행하는 전담 보안 팀을 둘 것입니다.

2. 보안 평가, 인증 및 증명

2.1 보안 프로그램 모니터링. Asana는 정보 보안 프로그램을 모니터링하여 위험을 식별하고 침투 테스트, 내부 감사, 위험 평가를 수행함으로써 제어가 효과적으로 작동하도록 보장하기 위해 정기적인 평가를 수행합니다.

2.2 감사. Asana는 자격을 갖춘 외부 감사인을 고용하여 보안, 가용성 및 기밀성을 위한 SOC 2 AICPA 신뢰 서비스 기준과 다음 표준인 ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019에 따라 정보 보안 프로그램에 대한 평가를 수행합니다. 평가는 매년 실시되며 2.5항에 따라 고객에게 제공되는 SOC 2 유형 2 보고서와 앞서 언급한 ISO 인증에 대한 증거가 제공됩니다.

2.3 침투 테스트. Asana는 자격을 갖춘 제3자를 고용하여 적어도 일 년에 한 번 서비스 범위를 포괄하는 침투 테스트를 수행합니다. Asana는 섹션 2.5에 따라 가장 최근에 완료된 침투 테스트의 요약본을 고객에게 제공합니다.

2.4 버그 바운티 프로그램. Asana는 독립 보안 연구원이 보안 위협 및 취약점을 지속적으로 보고할 수 있는 버그 바운티 프로그램을 유지해야 합니다. 확인된 발견 사항은 위험도에 따라 적시에 해결하고 완화해야 합니다.

2.5 보안 아티팩트. Asana는 이러한 데이터 보안 표준 및 섹션 2.2에 나열된 프레임워크를 준수함을 입증하는 보안 아티팩트를 고객에게 제공합니다. 아티팩트에는 SOC 2 유형 2 감사 보고서, 섹션 2.2에 나열된 ISO 인증, 완성된 업계 표준 설문지, 침투 테스트 결과 요약, 비즈니스 연속성 및 재해 복구 계획 요약이 포함됩니다.

2.6 고객 감사. 고객이 Asana가 제공한 정보로 Asana의 데이터 보안 표준 준수 여부를 합리적으로 확인할 수 없는 경우, 고객은 최소 30일 전에 통지하여 고객의 비용으로 원격 감사를 수행하도록 서면으로 요청할 수 있습니다. 서면 요청에는 고객에게 제공된 아티팩트를 통해 확인할 수 없는 영역이 명시되어야 합니다. 감사는 구독 기간 동안 수행되어야 하며 감사 시작 전에 고객과 Asana가 상호 합의하여 범위를 정해야 합니다. 감사는 Asana의 비즈니스 운영에 지장을 최소화하면서 정규 업무 시간 중에 수행되어야 하며 연 1회 이하로 진행됩니다.

3. 보안 사고 관리

3.1 보안 모니터링. Asana는 정보 시스템을 모니터링하여 무단 액세스, 예기치 않은 행동, 특정 공격 시그너처 및 기타 보안 사고의 지표를 식별합니다.

3.2 사고 대응. Asana는 Asana가 전송, 저장 또는 기타 방식으로 처리하는 고객 데이터의 우발적 또는 불법적 파괴, 분실, 도난, 변경, 무단 공개 또는 액세스와 관련된 보안 사고 및 의심되는 보안 사고에 대한 합리적이고 일관된 대응을 수립하기 위해 적어도 매년 검토 및 테스트되는 보안 사고 대응 계획을 유지합니다.

3.3 사고 통지. Asana는 보안 사고를 인지하는 즉시 해당 보안 사고를 조사합니다. 준거법이 허용하는 한도 내에서, Asana는 데이터 처리 부록에 따른 의무에 따라 보안 사고를 고객에게 통지합니다. 고객은 여기에 설명된 대로 관리 콘솔에서 업데이트된 보안 연락처 정보를 Asana에 제공할 책임이 있습니다.

4. 보안 제어

4.1 액세스 제어

• 4.1.1 제한된 액세스. 고객 데이터에 대한 액세스는 서비스 제공의 일부로서 기능을 수행하기 위해 고객 데이터에 액세스해야 하는 승인된 Asana 직원으로 제한됩니다. 액세스 권한은 최소 권한 원칙에 따라 부여되며, 부여된 액세스 권한은 직무에 상응하는 수준입니다. 고객 데이터에 액세스하려면 고유한 사용자 이름과 비밀번호를 사용해야 하며 다단계 인증이 활성화되어 있어야 합니다. 직원의 해고 후 영업일 기준 1일 이내에 접근이 비활성화됩니다.

• 4.1.2 비밀번호. Asana는 NIST 800-63b 암기식 비밀번호 요건을 따르는 비밀번호 정책을 유지합니다.

4.2 애플리케이션 보안

• 4.2.1 SDLC. Asana는 소프트웨어 개발 수명 주기 전반에 걸쳐 보안이 포함되도록 보장하는 공식적인 변경 관리 정책을 유지하며, 이는 OWASP 10대 웹 애플리케이션 보안 위험을 고려합니다.

• 4.2.2 코드 검토 및 테스트. 고객 데이터에 영향을 미치는 모든 코드 변경 사항은 프로덕션에 배포하기 전에 검토 및 테스트를 거칩니다.

• 4.2.3 취약점 관리. Asana는 확인된 취약점의 우선순위를 정하고, 위험에 따라 해결하고, 완화할 수 있도록 취약점 관리 프로그램을 유지합니다. Asana는 상업적으로 합리적인 노력을 기울여 30일 이내에 중요한 취약점을 해결합니다.

• 4.24 타사 소프트웨어 종속 관계. Asana는 타사 라이브러리 및 구성 요소를 적절히 관리하고 당사 제품의 보안 태세에 영향을 미칠 가능성이 있다고 판단되는 경우 적시에 업데이트를 설치해야 합니다.

4.3 암호화. Asana는 전송 메커니즘에 적합한 업계 표준 암호화 알고리즘(예: TLS 1.2, AES-256)을 사용하여 전송 중인 고객 데이터와 미사용 상태의 고객 데이터를 암호화합니다.

4.4 가용성 및 재해 복구. Asana는 재해 발생 후 중요한 기술 인프라와 시스템을 복구하거나 지속할 수 있도록 문서화된 재해 복구 정책과 절차를 구현하고 유지합니다. 또한, Asana는 재해 복구 계획의 연례 테스트를 수행하고 그 결과를 요약하여 고객에게 제공합니다.

4.5 백업. Asana는 고객 데이터의 정기적인 백업을 수행하고 백업에 운영 데이터베이스와 동일한 보호 기능이 적용되도록 합니다.

4.6 디바이스 보안. 고객 데이터에 액세스하는 Asana 디바이스는 중앙에서 관리해야 하며 하드 드라이브 암호화, 로컬 비밀번호 활성화, 안티바이러스 및/또는 안티멀웨어 소프트웨어 설치, 지속적인 활성화, 자동 업데이트 등의 보안 설정을 활성화해야 합니다.

4.7 물리적 보안. Asana는 고객 데이터를 처리, 저장 또는 전송하는 모든 물리적 위치가 안전한 물리적 시설에 위치하도록 보장합니다. Asana는 타사 클라우드 호스팅 제공업체의 타사 보안 인증(예: SOC 2 유형 2)을 최소 일 년에 한 번 검토하여 적절한 물리적 보안 제어가 이루어지고 있는지 확인해야 합니다.

4.8 공급업체 리스크 관리. Asana는 고객 데이터에 액세스할 수 있는 모든 제3자 공급업체가 온보딩되기 전에 위험 평가를 받도록 보장하는 공식적인 공급업체 리스크 관리 프로그램을 유지해야 합니다. 고객 데이터에 액세스할 수 있는 공급업체는 계약상 당사 정보를 보호하고 보안 사고 및 위반 보고를 포함하여 최소한의 정보 보안 및 개인 정보 보호 요건을 충족하도록 보장하기 위해 Asana와 공급업체 데이터 처리 계약을 체결해야 합니다.

4.9 위험 평가. Asana는 고객 데이터의 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 위험을 식별, 모니터링, 관리하기 위해 위험 관리 프로그램을 유지합니다.

4.10 보안 교육. Asana는 직원에게 채용 시 및 그 이후 최소 일 년에 한 번 정보 보안 및 개인 정보 보호 교육을 제공합니다. 모든 직원은 채용 시 Asana의 정보 보안 및 데이터 보호 정책에 서명하고 이를 인정해야 합니다.

4.11 인력 보안. Asana는 고객 데이터에 액세스할 수 있는 직원에 대해 관련 법률, 규정, 윤리적 요구 사항 및/또는 미국 외 관할권의 경우 허용되는 현지 관행에 따라 최소한 최초 고용 시 각 개인에 대해 신원 확인을 실시합니다(법으로 금지되지 않는 경우에 한함). 확인 수준은 직원의 역할, 해당 직원의 역할 수행 과정에서 액세스하는 정보의 민감도, 정보의 오용으로 인해 발생할 수 있는 위험 및 미국 외 관할권에서 허용되는 현지 관행에 따라 적절해야 합니다. 법에 의해 금지되거나 미국 외 관할권의 현지 관행에 위배되지 않는 한, 적어도 최초 고용 시 각 개인에 대해 (i) 신원 확인 및 (ii) 범죄 경력 확인을 수행해야 합니다.

5. 데이터 보안 표준 업데이트

고객은 이러한 업데이트 및 수정이 서비스의 전반적인 보안을 저하시키거나 약화시키지 않는 한, Asana가 수시로 데이터 보안 표준을 업데이트하거나 수정할 수 있음을 인정합니다.