Poniższy dokument opisuje standardy bezpieczeństwa Asany w odniesieniu do stosowanych w Usłudze metod kontroli administracyjnej, technicznej i fizycznej. Chyba że określono inaczej w niniejszym dokumencie, terminy zapisane wielką literą mają znaczenie nadane im w Umowie.

1. Program bezpieczeństwa

1.1 Program bezpieczeństwa. Asana wdroży i będzie utrzymywać program bezpieczeństwa oparty na ryzyku, który obejmuje zabezpieczenia administracyjne, techniczne oraz organizacyjne mające na celu ochronę poufności, integralności i dostępności Danych klienta.

1.2 Struktura bezpieczeństwa. Struktura bezpieczeństwa informacji będzie oparta na systemie zarządzania bezpieczeństwem informacji ISO 27001 i obejmie następujące obszary: zarządzanie zagrożeniami bezpieczeństwa, zasady i procedury, zarządzanie incydentami bezpieczeństwa, kontrola dostępu, zarządzanie lukami w zabezpieczeniach, bezpieczeństwo fizyczne, bezpieczeństwo operacyjne, bezpieczeństwo korporacyjne, bezpieczeństwo infrastruktury, bezpieczeństwo produktów, przywracanie ciągłości biznesowej po awarii, bezpieczeństwo personelu, zgodność w zakresie bezpieczeństwa oraz bezpieczeństwo dostawców.

1.3 Organizacja w zakresie bezpieczeństwa. Asana będzie dysponować specjalnym zespołem ds. bezpieczeństwa odpowiedzialnym za wdrażanie, utrzymywanie, monitorowanie i egzekwowanie zabezpieczeń dostosowanych do systemu zarządzania bezpieczeństwem informacji.

2. Oceny bezpieczeństwa, certyfikaty i atesty

2.1 Monitorowanie programu bezpieczeństwa. Asana przeprowadza okresowe oceny mające na celu monitorowanie programu bezpieczeństwa informacji. Należą do nich testy penetracyjne, audyty wewnętrzne oraz oceny ryzyka, które umożliwiają wykrycie zagrożeń oraz gwarantują, że kontrole są skuteczne.

2.2 Audyty. Asana zatrudni wykwalifikowanych audytorów zewnętrznych, którzy przeprowadzą ocenę programu bezpieczeństwa informacji zgodnie z kryteriami bezpieczeństwa, dostępności i poufności usług SOC 2 AICPA oraz następującymi standardami: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Oceny będą przeprowadzane corocznie, a na ich podstawie sporządzony zostanie raport SOC 2 typu 2 oraz zostaną przygotowane dowody na zgodność ze standardami ISO wymienionymi powyżej. Zgodnie z sekcją 2.5 dokumenty te mogą zostać udostępnione Klientowi.

2.3 Testy penetracyjne. Co najmniej raz w roku Asana zatrudni wykwalifikowanego wykonawcę zewnętrznego w celu przeprowadzenia testów penetracyjnych obejmujących cały zakres usług. Zgodnie z sekcją 2.5, Asana udostępni klientom podsumowanie ostatniego testu penetracyjnego.

2.4 Publiczny program zgłaszania błędów. Asana musi zachować program publicznego zgłaszania błędów, który umożliwia niezależnym badaczom bezpieczeństwa ciągłe zgłaszanie zagrożeń oraz luk w zabezpieczeniach. Wykryte błędy muszą zostać usunięte, a zagrożenia ograniczone w odpowiednim czasie.

2.5 Artefakty bezpieczeństwa. Asana udostępni klientowi artefakty bezpieczeństwa, które zaprezentują jej zgodność ze standardami bezpieczeństwa danych oraz strukturami wymienionymi w sekcji 2.2. Będą one obejmować raporty z audytu SOC 2 typu 2, certyfikaty ISO wymienione w sekcji 2.2, wypełnione standardowe ankiety branżowe, podsumowanie wyników testów penetracyjnych oraz podsumowanie planu ciągłości biznesowej i odzyskiwania po awarii.

2.6 Audyty klientów. Jeśli Klient uzasadni, że nie może potwierdzić zgodności Asany z tymi standardami bezpieczeństwa korzystając z informacji podanych przez Asanę, może złożyć pisemny wniosek o przeprowadzenie zdalnego audytu (na własny koszt). Należy powiadomić o tym Asanę z co najmniej trzydziestodniowym wyprzedzeniem. Wniosek musi wskazywać konkretne obszary, których zgodności nie można potwierdzić na podstawie artefaktów udostępnionych Klientowi. Audyt należy przeprowadzić w Okresie subskrypcji, a jego zakres musi zostać uzgodniony pomiędzy Klientem a Asaną przed rozpoczęciem audytu. Audyt dozwolony jest nie częściej niż raz w roku i musi odbywać się w regularnych godzinach pracy, przy jak najmniejszych zakłóceniach codziennej działalności Asany.

3. Zarządzanie incydentami bezpieczeństwa

3.1 Monitorowanie bezpieczeństwa. Asana będzie monitorować swoje systemy informatyczne, aby wykryć niedozwolony dostęp, nieoczekiwane zachowanie, określone sygnatury ataków i inne czynniki wskazujące na wystąpienie incydentu bezpieczeństwa.

3.2 Reagowanie na incydenty. Asana określa plan reagowania na incydenty aktualizowany i sprawdzany co najmniej raz w roku, aby zapewnić rozsądny i spójny sposób reagowania na incydenty bezpieczeństwa oraz podejrzewane incydenty bezpieczeństwa obejmujące przypadkowe lub nielegalne uszkodzenie, utracenie, kradzież, zmianę lub nieuprawnione ujawnienie przesyłanych, przechowywanych albo w inny sposób przetwarzanych przez Asanę Danych klienta.

3.3 Powiadomienie o incydencie. Po wykryciu incydentu bezpieczeństwa Asana niezwłocznie go sprawdzi. Asana powiadomi klientów o incydencie bezpieczeństwa w zakresie określonym przez obowiązujące przepisy prawne, zgodnie z Aneksem dotyczącym przetwarzania danych. Do obowiązków klienta należy podanie Asanie aktualnych informacji osób kontaktowych ds. bezpieczeństwa za pośrednictwem opisanej tutaj Konsoli administratora.

4. Mechanizmy bezpieczeństwa

4.1 Kontrola dostępu

• 4.1.1 Ograniczony dostęp. Dostęp do danych klienta jest ograniczony tylko do autoryzowanych pracowników Asany, którzy potrzebują tych informacji do świadczenia klientowi usług. Dostęp przydzielany jest na zasadzie najmniejszego uprzywilejowania i jest on odpowiedni do zajmowanego stanowiska. Dostęp do Danych klienta musi odbywać się za pomocą unikalnych nazw użytkowników i haseł, a uwierzytelnianie wieloskładnikowe musi być włączone. Dostęp pracownika jest blokowany w ciągu jednego dnia po rozwiązaniu z nim umowy.

• 4.1.2 Hasła. Asana zapewni, że polityka haseł jest zgodna z wymogami NIST 800-63b dotyczącymi siły haseł.

4.2 Bezpieczeństwo aplikacji

• 4.2.1 Cykl życia oprogramowania. Asana zapewni formalną politykę zarządzania zmianami, która gwarantuje, że bezpieczeństwo stanowi część całego cyklu życia oprogramowania i bierze pod uwagę dziesięć najważniejszych zagrożeń bezpieczeństwa z listy OWASP Top 10.

• 4.2.2 Przeglądy i testowanie kodu. Wszystkie zmiany w kodzie, które mają wpływ na Dane klienta, zostaną sprawdzone i przetestowane przed ich wdrożeniem do produkcji.

• 4.2.3 Zarządzanie lukami w zabezpieczeniach. Asana będzie stosować program zarządzania lukami w zabezpieczeniach, który zagwarantuje, że lukom tym będzie nadawany odpowiedni priorytet, a także że zostaną one zlikwidowane i ograniczone w oparciu o ryzyko. Asana dołoży uzasadnionych komercyjnie starań, aby wyeliminować krytyczne luki w zabezpieczeniach w ciągu 30 dni.

• 4.24 Zależności od oprogramowania zewnętrznego. Asana musi zapewnić, że biblioteki i komponenty stron trzecich są właściwie zarządzane oraz aktualizowane bez zbędnej zwłoki, jeśli stwierdzono, że mogą one wpłynąć na bezpieczeństwo naszego produktu.

4.3 Szyfrowanie. Asana będzie szyfrować Dane klienta w spoczynku i podczas ich przesyłania, przy użyciu standardowych w branży algorytmów szyfrowania oraz odpowiednich w zależności od mechanizmu przesyłania (np. TLS 1.2, AES-256).

4.4 Dostępność i odzyskiwanie po awarii. Asana wdroży i zadba o przestrzeganie udokumentowanego zestawu zasad oraz procedur odzyskiwania po awarii, aby umożliwić odzyskanie kluczowej infrastruktury technologicznej i systemów po awarii oraz zapewnić ciągłość ich działania. Dodatkowo, Asana będzie przeprowadzać coroczne testy planu odzyskiwania po awarii, a ich wyniki zostaną udostępnione klientom.

4.5 Kopie zapasowe. Asana będzie regularnie tworzyć kopie zapasowe Danych klienta oraz zapewni, że mają one ochronę na poziomie baz danych środowiska produkcyjnego.

4.6 Bezpieczeństwo urządzeń. Urządzenia należące do Asany, które mają dostęp do Danych klienta muszą być zarządzane centralnie i muszą mieć włączone następujące ustawienia dotyczące bezpieczeństwa: szyfrowanie dysku twardego, włączone hasło lokalne oraz zainstalowane, włączone i automatycznie aktualizujące się oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem.

4.7 Bezpieczeństwo fizyczne. Asana zapewni, że lokalizacje fizyczne, w których Dane klienta są przetwarzane, przechowywane lub przesyłane znajdują się w bezpiecznym obiekcie. Asana musi co najmniej raz w roku sprawdzać certyfikaty bezpieczeństwa (np. SOC 2 typu 2) swoich zewnętrznych dostawców usług w chmurze, aby upewnić się, że stosują oni odpowiednie fizyczne kontrole bezpieczeństwa.

4.8 Zarządzanie ryzykiem związanym z dostawcami. Asana musi prowadzić formalny program zarządzania ryzykiem związanym z dostawcami, który zagwarantuje, że przed rozpoczęciem współpracy wszyscy dostawcy zewnętrzni, którzy mają dostęp do Danych klienta, zostaną sprawdzeni pod kątem bezpieczeństwa. Dostawcy, którzy mają dostęp do danych klienta muszą zawrzeć z Asaną umowę dotyczącą przetwarzania danych, aby upewnić się, że są umownie zobowiązani do ochrony naszych informacji i spełnienia minimalnych wymagań w zakresie bezpieczeństwa informacji oraz prywatności, w tym zgłaszania incydentów i naruszeń bezpieczeństwa.

4.9 Ocena ryzyka. Asana będzie prowadzić program zarządzania ryzykiem, aby określać, monitorować i zarządzać zagrożeniami, które mogą wpłynąć na poufność, integralność i dostępność Danych klienta.

4.10 Szkolenie w zakresie bezpieczeństwa. Asana przeszkoli pracowników z zakresu bezpieczeństwa i prywatności informacji zaraz po ich zatrudnieniu, a następnie będzie przeprowadzać takie szkolenie co najmniej raz w roku. Po zatrudnieniu wszyscy pracownicy są również zobowiązani do podpisania i zapoznania się z polityką bezpieczeństwa informacji i ochrony danych Asany.

4.11 Bezpieczeństwo związane z personelem. Asana będzie weryfikować historię zatrudnienia pracowników, którzy mają dostęp do Danych klientów. Kontrola ta zostanie przeprowadzona zgodnie z lokalnymi przepisami prawa, zasadami, normami etycznymi i / lub ogólnie przyjętymi praktykami lokalnymi (dla lokalizacji poza USA) dla każdej osoby co najmniej po pierwszym zatrudnieniu (chyba, że jest to zabronione przez prawo). Poziom weryfikacji będzie zależny od stanowiska pracownika, poufności danych, do których będzie on miał dostęp, ryzyka, które może wynikać z niewłaściwego wykorzystania informacji oraz ogólnie przyjętych praktyk lokalnych (dla lokalizacji poza USA). Kontrole przeprowadzane dla każdej osoby, co najmniej po pierwszym zatrudnieniu, chyba że jest to zabronione przez prawo lub niezgodne z ogólnie przyjętymi praktykami lokalnymi (dla lokalizacji poza USA): (i) weryfikacja tożsamości oraz (ii) przeszłości kryminalnej.

5. Aktualizacje standardów bezpieczeństwa danych

Klient przyjmuje do wiadomości, że Asana ma prawo do okresowej aktualizacji oraz zmiany standardów bezpieczeństwa danych, o ile taka aktualizacja lub zmiana nie będzie miała istotnego, negatywnego wpływu na ogólne bezpieczeństwo Usługi.