Het volgende beschrijft de beveiligingsnormen van Asana met betrekking tot de administratieve, technische en fysieke controles die op de Service van toepassing zijn. Termen met een hoofdletter hebben de betekenis die daaraan in de Overeenkomst is toegekend, tenzij hierin anders is bepaald.

1. Beveiligingsprogramma

1.1 Beveiligingsprogramma Asana implementeert en handhaaft een op risico gebaseerd informatiebeveiligingsprogramma dat administratieve, technische en organisatorische waarborgen omvat die zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen.

1.2 Beveiligingsraamwerk Het informatiebeveiligingsraamwerk is gebaseerd op het ISO 27001 Information Security Management System en omvat de volgende gebieden: beheer van beveiligingsrisico 's, beleid en procedures, beheer van beveiligingsincidenten, toegangscontroles, beheer van kwetsbaarheden, fysieke beveiliging, operationele beveiliging, bedrijfsbeveiliging, infrastructuurbeveiliging, productbeveiliging, herstel van bedrijfscontinuïteit, personeelsbeveiliging, naleving van beveiligingsvoorschriften en beveiliging van leveranciers.

1.3 Beveiligingsorganisatie Asana zal een speciaal beveiligingsteam hebben dat verantwoordelijk is voor het implementeren, onderhouden, controleren en handhaven van beveiligingsmaatregelen die zijn afgestemd op het informatiebeveiligingsbeheersysteem.

2. Beveiligingsbeoordelingen, certificeringen en attesten

2.1 Monitoring van het beveiligingsprogramma Asana voert periodieke beoordelingen uit om haar informatiebeveiligingsprogramma te monitoren om risico's te identificeren en ervoor te zorgen dat de controles effectief werken door het uitvoeren van penetratietests, interne audits en risicobeoordelingen.

2.2 Audits Asana zal gekwalificeerde externe auditors inschakelen om beoordelingen van haar informatiebeveiligingsprogramma uit te voeren aan de hand van de SOC 2 AICPA Trust Services Criteria voor beveiliging, beschikbaarheid en vertrouwelijkheid en de volgende normen ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Beoordelingen zullen jaarlijks worden uitgevoerd en zullen resulteren in een SOC 2 Type 2-rapport en bewijs van de bovengenoemde ISO-certificeringen die beschikbaar zullen worden gesteld aan de Klant op grond van paragraaf 2.5.

2.3 Penetratietesten Asana zal ten minste jaarlijks een gekwalificeerde derde inschakelen om penetratietests uit te voeren die de reikwijdte van de diensten bestrijken. Asana stelt haar klanten een executive summary ter beschikking van de meest recent voltooide penetratietest op grond van paragraaf 2.5.

2.4 Bug Bounty-programma Asana moet een bug bounty-programma handhaven waarmee onafhankelijke beveiligingsonderzoekers beveiligingsbedreigingen en kwetsbaarheden voortdurend kunnen melden. Geïdentificeerde bevindingen moeten tijdig worden aangepakt en gemitigeerd op basis van risico.

2.5 Beveiligingsartefacten Asana stelt artefacten ter beschikking van de klant die aantonen dat ze voldoet aan deze gegevensbeveiligingsnormen en de raamwerken die worden vermeld in paragraaf 2.2. Artefacten omvatten het SOC 2 Type 2 Audit Report, ISO-certificeringen vermeld in paragraaf 2.2, ingevulde industriestandaardvragenlijsten, een executive summary van de penetratietestresultaten en een samenvatting van het Business Continuity and Disaster Recovery Plan.

2.6 Audits van klanten Voor zover de Klant redelijkerwijs niet kan bevestigen dat Asana voldoet aan deze gegevensbeveiligingsnormen met de door Asana verstrekte informatie, kan de Klant een schriftelijk verzoek indienen om op kosten van de Klant een audit op afstand uit te voeren met een kennisgeving van ten minste dertig dagen. In het schriftelijke verzoek moeten de gebieden worden vermeld die niet kunnen worden bevestigd door de artefacten die aan de Klant ter beschikking worden gesteld. De audit moet worden uitgevoerd tijdens de Abonnementsperiode en de reikwijdte moet voorafgaand aan de start van de audit onderling worden overeengekomen tussen de Klant en Asana. De audit moet worden uitgevoerd tijdens reguliere kantooruren met minimale verstoring van de bedrijfsvoering van Asana en zal niet meer dan één keer per jaar plaatsvinden.

3. Beheer van veiligheidsincidenten

3.1 Beveiligingscontrole Asana zal haar informatiesystemen controleren om ongeoorloofde toegang, onverwacht gedrag, bepaalde aanvalshandtekeningen en andere indicatoren van een beveiligingsincident te identificeren.

3.2 Reactie op incidenten Asana handhaaft een Security Incident Response Plan dat ten minste jaarlijks wordt beoordeeld en getest om een redelijke en consistente respons vast te stellen op beveiligingsincidenten en vermoedelijke beveiligingsincidenten met betrekking tot de toevallige of onwettige vernietiging, verlies, diefstal, wijziging, onbevoegde openbaarmaking van, of toegang tot, Klantgegevens die door Asana worden doorgegeven, opgeslagen of anderszins verwerkt.

3.3 Incidentmelding Asana zal een Beveiligingsincident onmiddellijk onderzoeken zodra zij zich bewust wordt van een dergelijk incident. Voor zover toegestaan door de toepasselijke wetgeving, zal Asana klanten op de hoogte stellen van een Beveiligingsincident in overeenstemming met haar verplichtingen onder het Addendum Gegevensverwerking. De Klant is verantwoordelijk voor het verstrekken van bijgewerkte beveiligingscontactgegevens aan Asana in de Beheerdersconsole, zoals hier beschreven.

4. Beveiligingscontroles

4.1 Toegangscontrole

• 4.1.1 Beperkte toegang Toegang tot Klantgegevens is beperkt tot geautoriseerd Asana-personeel dat toegang moet krijgen tot Klantgegevens om functies uit te voeren als onderdeel van de levering van diensten. Toegang wordt verleend op basis van het beginsel van het minste privilege en toegang is evenredig met de functie. Toegang tot Klantgegevens moet worden verkregen via unieke gebruikersnamen en wachtwoorden en multi-factor authenticatie moet worden ingeschakeld. Toegang wordt uitgeschakeld binnen één werkdag na de beëindiging van het contract van een werknemer.

• 4.1.2 Wachtwoorden Asana zal een wachtwoordbeleid handhaven dat voldoet aan de NIST 800-63b-vereisten voor gememoriseerde geheime wachtwoorden.

4.2 Applicatiebeveiliging

• 4.2.1 SDLC Asana handhaaft een formeel Wijzigingsbeheerbeleid dat verzekert dat beveiliging is ingebed in de hele levenscyclus van softwareontwikkeling, rekening houdend met de OWASP Top 10 Web Application Security Risks.

• 4.2.2 Evaluatie en Testing van de Code. Alle wijzigingen in de code die van invloed zijn op Klantgegevens zullen worden beoordeeld en getest voordat ze in productie worden genomen.

• 4.2.3 Kwetsbaarheidsbeheer Asana handhaaft een kwetsbaarheidsbeheerprogramma dat ervoor zorgt dat geïdentificeerde kwetsbaarheden worden geprioriteerd, aangepakt en gemitigeerd op basis van risico. Asana zal commercieel redelijke inspanningen leveren om kritieke kwetsbaarheden binnen 30 dagen aan te pakken.

• 4.24 Softwareafhankelijkheden van derden Asana moet verzekeren dat bibliotheken en componenten van derden op de juiste manier worden beheerd en dat updates tijdig worden geïnstalleerd wanneer wordt vastgesteld dat er potentieel is om de beveiligingshouding van ons product te beïnvloeden.

4.3 Encryptie Asana versleutelt Klantgegevens in transit en in rust met behulp van industriestandaard encryptie-algoritmen die geschikt zijn voor het mechanisme van overdracht (bijv. TLS 1.2, AES-256).

4.4 Beschikbaarheid en Rampherstel Asana implementeert en handhaaft een gedocumenteerde reeks beleidslijnen en procedures voor rampherstel om de vitale technologische infrastructuur en systemen te kunnen herstellen of voortzetten na een ramp. Daarnaast zal Asana jaarlijks testen uitvoeren van haar rampherstelplan en een samenvatting van de resultaten beschikbaar stellen aan haar klanten.

4.5 Back-ups Asana maakt regelmatig back-ups van Klantgegevens en zorgt ervoor dat back-ups dezelfde bescherming hebben als productiedatabases.

4.6 Apparaatbeveiliging Asana-apparaten die toegang hebben tot Klantgegevens moeten centraal worden beheerd en de volgende beveiligingsinstellingen moeten zijn ingeschakeld: versleuteling van de harde schijf, inschakeling van lokaal wachtwoord en antivirus- en/of antimalware-software moet zijn geïnstalleerd, continu zijn ingeschakeld en automatisch worden bijgewerkt.

4.7 Fysieke beveiliging Asana zal ervoor zorgen dat alle fysieke locaties die Klantgegevens verwerken, opslaan of verzenden zich in een beveiligde fysieke faciliteit bevinden. Asana moet beveiligingscertificeringen van derden (bijv. SOC 2 Type 2) van haar externe providers van cloud hosting ten minste eenmaal per jaar beoordelen om ervoor te zorgen dat passende fysieke beveiligingscontroles worden uitgevoerd.

4.8 Risicobeheer van leveranciers Asana moet een formeel risicobeheerprogramma voor leveranciers handhaven dat ervoor zorgt dat alle externe leveranciers die toegang hebben tot Klantgegevens een risicobeoordeling ondergaan voordat ze worden opgenomen in het systeem. Leveranciers met toegang tot klantgegevens moeten een gegevensverwerkingsovereenkomst met Asana aangaan om te verzekeren dat ze contractueel verplicht zijn om onze informatie te beschermen en te voldoen aan minimale informatiebeveiligings- en privacyvereisten, inclusief het melden van beveiligingsincidenten en inbreuken.

4.9 Risicobeoordeling Asana handhaaft een risicobeheerprogramma om risico 's te identificeren, te bewaken en te beheren die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens.

4.10 Beveiligingstraining Asana zal zijn personeel training bieden met betrekking tot informatiebeveiliging en privacy wanneer ze aangeworven worden en daarna minstens op jaarbasis. Bovendien zijn alle werknemers verplicht om het Informatiebeveiligings- en Gegevensbeschermingsbeleid van Asana bij indiensttreding te ondertekenen en te erkennen.

4.11 Personeelsbeveiliging Asana zal achtergrondverificatiecontroles uitvoeren op werknemers die toegang hebben tot Klantgegevens in overeenstemming met relevante wetten, voorschriften, ethische vereisten en/of geaccepteerde lokale praktijken voor niet-Amerikaanse rechtsgebieden voor elk individu, ten minste bij de eerste aanstelling (tenzij wettelijk verboden). Het controleniveau moet passend zijn, afhankelijk van de rol van de werknemer, de gevoeligheid van de informatie waartoe toegang moet worden verkregen in de loop van de rol van die persoon, de risico's die kunnen voortvloeien uit misbruik van de informatie en de aanvaarde lokale praktijken in niet-Amerikaanse rechtsgebieden. De volgende controles worden uitgevoerd voor elke persoon ten minste bij de eerste aanwerving, tenzij verboden door de wet of in strijd met de aanvaarde lokale praktijken voor niet-Amerikaanse rechtsgebieden: (i) identiteitsverificatie en (ii) criminele geschiedenis.

5. Updates van Gegevensbeveiligingsnormen

De klant erkent dat Asana de Gegevensbeveiligingsnormen van tijd tot tijd kan bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen de algehele beveiliging van de Service niet verminderen of verminderen.