Följande beskriver Asanas säkerhetsstandarder med avseende på de administrativa, tekniska och fysiska kontroller som är tillämpliga på tjänsten. Termer med versaler ska ha den betydelse de har i avtalet om de inte definieras på annat sätt här nedan.

1. Säkerhetsprogram

1.1 Säkerhetsprogram. Asana ska implementera och upprätthålla ett riskbaserat informationssäkerhetsprogram som inbegriper administrativa, tekniska och organisatoriska skyddsåtgärder som är utformade för att skydda sekretessen, integriteten och tillgängligheten av kunduppgifter.

1.2 Säkerhetsstruktur. Strukturen för informationssäkerhet ska baseras på hanteringssystemet för informationssäkerhet ISO 27001, och ska omfatta följande områden: hantering av säkerhetsrisker, policyer och rutiner, hantering av säkerhetsincidenter, åtkomstkontroller, sårbarhetshantering, fysisk säkerhet, operativ säkerhet, företagssäkerhet, infrastruktursäkerhet, produktsäkerhet, verksamhetskontinuitet och katastrofåterställning, personalsäkerhet, säkerhetsefterlevnad och leverantörssäkerhet.

1.3 Säkerhetsorganisation. Asana ska ha ett dedikerat säkerhetsteam som ansvarar för att implementera, underhålla, övervaka och upprätthålla säkerhetsåtgärder som överensstämmer med hanteringssystemet för informationssäkerhet.

2. Säkerhetsbedömningar, certifieringar och intyg

2.1 Övervakning av säkerhetsprogram. Asana utför regelbundet bedömningar i syfte att övervaka sitt informationssäkerhetsprogram för att identifiera risker och säkerställa att kontrollerna fungerar effektivt genom att utföra penetrationstestning, internrevisioner och riskbedömningar.

2.2 Revisioner. Asana ska anlita kvalificerade externa revisorer för att utföra bedömningar av sitt informationssäkerhetsprogram mot SOC 2 AICPA Trust Services Criteria for Security, Availability, and Confidentiality och följande standarder: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Bedömningarna ska genomföras årligen och resultera i en SOC 2 typ 2-rapport och belägg för ovannämnda ISO-certifieringar, som ska göras tillgänglig för kunder enligt avsnitt 2.5.

2.3 Penetrationstestning. Asana ska anlita en kvalificerad tredje part för att utföra en penetrationstestning som täcker tjänsternas omfattning minst en gång per år. Asana ska göra en sammanfattning av den senast genomförda penetrationstestningen enligt avsnitt 2.5 tillgänglig för sina kunder.

2.4 Bug bounty-program. Asana måste upprätthålla ett bug bounty-program som gör det möjligt för oberoende forskare inom säkerhet att kontinuerligt rapportera om säkerhetshot och sårbarheter. Identifierade resultat måste åtgärdas och begränsas baserat på risk och inom rimlig tid.

2.5 Säkerhetsartefakter. Asana ska göra säkerhetsartefakter som visar att de följer de standarder för datasäkerhet och de strukturer som anges i avsnitt 2.2 tillgängliga för kunder. I artefakterna ingår SOC 2 typ 2-revisionsrapporten, ISO-certifieringarna som anges i avsnitt 2.2, ifyllda branschstandardiserade frågeformulär, en sammanfattning av resultaten för penetrationstestningen och en sammanfattning av planen för verksamhetskontinuitet och katastrofåterställning.

2.6 Kundrevisioner. I den mån kunden inte med tillräcklig säkerhet kan bekräfta att Asana följer dessa standarder för datasäkerhet med den information som tillhandahålls av Asana, kan kunden göra en skriftlig begäran om att en granskning på distans ska utföras på kundens bekostnad med minst trettio dagars varsel. I den skriftliga begäran måste de områden som inte kan bekräftas med de artefakter som finns tillgängliga för kunden preciseras. Revisionen måste utföras under abonnemangsperioden, och kunden och Asana måste gemensamt komma överens om omfattningen innan revisionen påbörjas. Revisionen måste utföras under ordinarie arbetstider med minsta möjliga avbrott i Asanas affärsverksamhet, och ska inte ske mer än en gång per år.

3. Hantering av säkerhetsincidenter

3.1 Säkerhetsövervakning. Asana ska övervaka sina informationssystem för att identifiera obehörig åtkomst, oväntat beteende, vissa signaturer för intrång och andra indikatorer på en säkerhetsincident.

3.2 Incidenthantering. Asana ska upprätthålla en säkerhetsplan för incidenthantering som granskas och testas minst en gång per år för att fastställa en rimlig och konsekvent reaktion på säkerhetsincidenter och misstänkta säkerhetsincidenter som omfattar oavsiktlig eller olaglig förstörelse, förlust, stöld, ändring, otillåten spridning av eller tillgång till kunduppgifter som överförs, lagras eller på annat sätt behandlas av Asana.

3.3 Incidentanmälan. Asana kommer omedelbart att utreda säkerhetsincidenter så snart de får kännedom om en sådan incident. I den utsträckning som är tillåten enligt tillämplig lag kommer Asana att meddela kunder om säkerhetsincidenter i enlighet med dess skyldigheter enligt databehandlingstillägget. Kunden är ansvarig för att förse Asana med uppdaterad säkerhetskontaktinformation i adminkonsolen enligt beskrivningen här.

4. Säkerhetskontroller

4.1 Åtkomstkontroll

• 4.1.1 Begränsad åtkomst. Åtkomst till kunduppgifter är begränsad till endast auktoriserad Asana-personal vars åtkomst till kunduppgifter är nödvändig för att utföra funktioner som en del av leveransen av tjänster. Åtkomst beviljas baserat på principen om begränsad behörighet och den beviljade behörigheten motsvarar jobbfunktionen. Åtkomst till kunduppgifter måste ske med unika användarnamn och lösenord, och flerfaktorsautentisering måste aktiveras. Åtkomst inaktiveras inom en arbetsdag efter att en anställd har slutat.

• 4.1.2 Lösenord. Asana upprätthåller en lösenordspolicy som följer NIST 800-63b lagrade hemliga lösenordskrav.

4.2 Applikationssäkerhet

• 4.2.1 Systemutvecklingslivcykel (SDLC). Asana ska upprätthålla en formell policy för ändringshantering som garanterar att säkerheten integreras under hela programvaruutvecklingens livscykel och tar hänsyn till OWASP:s tio största säkerhetsrisker för webbapplikationer.

• 4.2.2 Kodgranskning och testning. Alla ändringar i koden som påverkar kunduppgifter kommer att granskas och testas innan de distribueras till produktion.

• 4.2.3 Sårbarhetshantering. Asana ska upprätthålla ett sårbarhetshanteringsprogram som säkerställer att identifierade sårbarheter prioriteras, åtgärdas och begränsas baserat på risk. Asana kommer att vidta kommersiellt rimliga insatser för att åtgärda farliga sårbarheter inom 30 dagar.

• 4.24 Beroenden av programvara från tredje part. Asana måste säkerställa att bibliotek och komponenter från tredje part hanteras på rätt sätt och att uppdateringar installeras i god tid när det har fastställs att det finns en risk att säkerheten för vår produkt kan påverkas.

4.3 Kryptering. Asana ska kryptera kunduppgifter under överföring och vid vila med hjälp av krypteringsalgoritmer av branschstandard som är lämpliga för överföringsmekanismer (t.ex. TLS 1.2, AES-256).

4.4 Tillgänglighet och katastrofåterställning. Asana ska genomföra och upprätthålla en dokumenterad uppsättning riktlinjer och förfaranden för katastrofåterställning för att möjliggöra återhämtning eller fortsättning av viktig teknisk infrastruktur och system efter en katastrof. Dessutom kommer Asana att årligen utföra tester av sin katastrofåterställningsplan och göra en sammanfattning av resultaten tillgänglig för sina kunder.

4.5 Säkerhetskopior. Asana ska regelbundet göra säkerhetskopior av kunduppgifter och säkerställa att säkerhetskopiorna har samma skydd som produktionsdatabaserna.

4.6 Enhetssäkerhet. De Asana-enheter som har åtkomst till kunduppgifter måste hanteras centralt och följande säkerhetsinställningar måste aktiveras: hårddiskkryptering, lokalt lösenord aktiverat och antivirusprogram och/eller program mot skadlig kod måste installeras, aktiveras kontinuerligt och uppdateras automatiskt.

4.7 Fysisk säkerhet. Asana ska säkerställa att alla fysiska platser som behandlar, lagrar eller överför kunduppgifter finns i en säker fysisk anläggning. Asana måste granska säkerhetscertifieringar från tredje part (t.ex. SOC 2 typ 2) hos sina tredjepartsleverantörer av molntjänster minst en gång per år för att säkerställa att lämpliga fysiska säkerhetskontroller finns på plats.

4.8 Riskhantering av leverantörer. Asana måste upprätthålla ett formellt riskhanteringsprogram för leverantörer som säkerställer att alla tredjepartsleverantörer som har åtkomst till kunduppgifter genomgår en riskbedömning innan de registreras. Leverantörer som har åtkomst till kunduppgifter måste ingå ett databehandlingsavtal med Asana för att säkerställa att de är avtalsenligt skyldiga att skydda informationen och uppfylla minimikraven på informationssäkerhet och sekretess, vilket även inbegriper rapportering av säkerhetsincidenter och intrång.

4.9 Riskbedömning. Asana ska upprätthålla ett riskhanteringsprogram för att identifiera, övervaka och hantera risker som kan påverka sekretessen, integriteten och tillgängligheten av kunduppgifter.

4.10 Säkerhetsutbildning. Asana kommer att tillhandahålla en informationssäkerhets- och sekretessutbildning åt sin personal vid anställningstillfället och minst en gång per år därefter. Dessutom måste alla anställda underteckna och erkänna Asanas policy för informationssäkerhet och dataskydd vid anställningstillfället.

4.11 Personalsäkerhet. Asana ska göra bakgrundskontroller av anställda som har åtkomst till kunduppgifter i enlighet med relevanta lagar, förordningar, etiska krav och/eller accepterade lokala sedvänjor för jurisdiktioner utanför USA, för varje enskild person, åtminstone vid det första anställningstillfället (såvida det inte är förbjudet enligt lag). Kontrollnivån ska ta hänsyn till den anställdes roll, känsligheten på information som ska göras tillgänglig i samband med personens roll, de risker som kan uppstå till följd av felaktig användning av informationen och accepterade lokala sedvänjor i jurisdiktioner utanför USA. Följande kontroller ska utföras för varje enskild person, åtminstone vid det första anställningstillfället, såvida det inte är förbjudet enligt lag eller oförenligt med accepterade lokala sedvänjor för jurisdiktioner utanför USA: (i) identitetskontroll och (ii) belastningsregister.

5. Uppdateringar av standarder för datasäkerhet

Kunden bekräftar att Asana med jämna mellanrum kan uppdatera eller ändra standarderna för datasäkerhet, förutsatt att uppdateringarna och ändringarna inte försämrar eller försvagar tjänstens övergripande säkerhet.