Standards für Datensicherheit

DATUM DES INKRAFTTRETENS: 28. FEBRUAR 2020

Im Folgenden werden Asanas Sicherheitsgrundsätze und -struktur in Hinsicht auf die administrativen, technischen und physischen Sicherheitsmechanismen des Dienstes beschrieben. Großgeschriebene Begriffe haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird, sofern hierin nicht anders angegeben.

1. Grundsätze

Asana verfolgt bei der Gestaltung und Umsetzung des eigenen Sicherheitsprogramms und der Sicherheitspraktiken die folgenden Grundsätze: (a)Physische und Umgebungssicherheit zum Schutz des Dienstes vor unbefugtem Zugriff, unerlaubter Nutzung oder Modifikationen; (b) Gewährleistung der Verfügbarkeit für den Dienst und dessen Benutzung; (c) Datenschutz zum Schutz von Kundendaten; und (d) Integrität zur Gewährleistung der Richtigkeit und Konsistenz der Daten während deren Lebenszyklus.

2. Sicherheitsprogramm

Asana betreibt ein Informationssicherheitsprogramm, das folgende Punkte umfasst (a) ein offizielles Risikomanagementprogramm; (b) regelmäßige Risikoanalysen aller Systeme und Netzwerke, die mindestens einmal jährlich Kundendaten verarbeiten; (c) Überwachung auf Sicherheitsvorfälle und ein mehrstufiger Reaktionsplan zur rechtzeitigen Behebung aller entdeckten Schwachstellen; (d) schriftliche Informationssicherheitsrichtlinien und ein Notfallplan, die sich explizit an die Mitarbeiter richten und ihnen als Anleitung zur Förderung der Sicherheit, Datenschutz, Integrität und Verfügbarkeit von Kundendaten dienen; (e) jährliche Penetrationstests, die von einer qualifizierten Drittpartei durchgeführt werden; und (f) Ressourcen, die für die Informationssicherheit verantwortlich sind.

3. Rechenzentren

Asana verwendet Amazon Web Services (AWS), um die Verwaltung und das Hosting von Produktionsservern und Datenbanken sowohl in den Vereinigten Staaten als auch in der Europäischen Union zu gewährleisten. AWS verwendet ein zuverlässiges physisches Sicherheitsprogramm mit mehreren Zertifizierungen, darunter SSAE 16 und ISO 27001.

4. Zugriff, Kontrollen und Richtlinien

Zur Verwaltung der AWS-Umgebung von Asana ist eine Multi-Faktor-Authentifizierung erforderlich, der SSH-Zugriff auf den Dienst wird protokolliert, und der Zugriff auf Kundendaten ist auf eine begrenzte Gruppe von ordnungsgemäß autorisierten Mitarbeitern von Asana beschränkt. Es werden AWS-Netzwerkfunktionen wie z. B. Sicherheitsgruppen verwendet, um den Zugriff auf einzelne AWS-Instanzen und -Ressourcen zu beschränken. Diese sind außerdem so konfiguriert, dass sie den Zugriff nach dem Prinzip der geringsten Rechte einschränken. Die Mitarbeiter wurden in dokumentierten Verfahren zum Datenschutz und zur Informationssicherheit geschult. Alle Mitarbeiter von Asana unterzeichnen eine Richtlinie für den Datenzugriff, die sie zur Einhaltung der Datenschutzrichtlinien von Asana verpflichtet. Der Zugang zu den Systemen von Asana wird bei Beendigung des Arbeitsverhältnisses umgehend entzogen.

5. Revisionen und Zertifizierungen

Mit Inkrafttreten dieser Erklärung erhielt Asana die SOC 2 (Typ I und Typ II) Zertifizierung für die Eignung seiner Kontrollen, entsprechend den Kriterien für Sicherheit, Verfügbarkeit und Datenschutz, die in der Ausgabe 2016 von TSP Abschnitt 100A, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, Trust Services Principles and Criteria) festgelegt sind. Asana beachtet das EU-U.S. Privacy Shield Framework und das Swiss-U.S. Privacy Shield Framework bezüglich des Transfers von Personendaten von der Europäischen Union in die Vereinigten Staaten von Amerika und hat sich selbst die Einhaltung des EU-U.S. Privacy Shield Framework und des Swiss-U.S. Privacy Shield Framework zertifizieren lassen.

6. Dienstleistermanagement

Asana unternimmt alle angemessenen Vorkehrungen, um nur solche Drittanbieter auszuwählen und zu beauftragen, welche die Sicherheitsmaßnahmen im Einklang mit den in diesem Anhang aufgeführten Maßnahmen aufrechterhalten und umsetzen. Bevor eine Software implementiert wird oder ein Softwareanbieter bei Asana eingesetzt werden kann, überprüft Asana-IT sorgfältig die Sicherheitsprotokolle, Datenaufbewahrungsrichtlinien, Datenschutzrichtlinien und Sicherheitsnachweise des Anbieters. Die IT-Abteilung kann die Verwendung von Software oder Softwareanbietern ablehnen, wenn nicht nachgewiesen wird, dass die Daten und Endbenutzer von Asana ausreichend geschützt werden können.

7. Tests und Nachbesserungen

Asana führt jedes Jahr sowohl eigene als auch in Zusammenarbeit mit Dritten eine Reihe von Tests durch, um den Schutz vor unbefugtem Zugriff auf Kundendaten zu gewährleisten und die Sicherheit, Zuverlässigkeit und Integrität des Dienstes zu bewerten. Soweit Asana aufgrund der Ergebnisse dieser Tests nach eigenem Ermessen feststellt, dass eine Nachbesserung erforderlich ist, wird diese innerhalb eines angemessenen Zeitraums unter Berücksichtigung der Art und Schwere des festgestellten Problems durchgeführt.

8. Vorgehen bei Sicherheitsvorfällen

Asana führt jährlich theoretische Reaktionsübungen zur Bewältigung von Zwischenfällen durch und verfügt über einen Aktionsplan für die Reaktion auf Zwischenfälle, um eine angemessene und schlüssige Reaktion auf Sicherheitsvorfälle und vermutete Sicherheitsvorfälle zu gewährleisten. Darunter fallen versehentliche oder unrechtmäßige Zerstörung, Verlust, Diebstahl, Manipulation, unbefugte Offenlegung oder unbefugter Zugriff auf geschützte Daten oder persönliche Daten, die von Asana übermittelt, gespeichert oder anderweitig verarbeitet werden. Wenn Asana unberechtigten Zugang zu oder Offenlegung von Kundendaten feststellt und daraufhin bestätigt, wird Asana dem Kunden einen solchen Vorfall umgehend melden, rechtzeitig eine Ursachenanalyse durchführen und die Sicherheitslücke umgehend beheben. Asana unternimmt alle angemessenen Anstrengungen zur Kommunikation und Zusammenarbeit mit dem Kunden im Verlauf einer solchen entsprechenden Nachbesserung.

9. Sicherheitskontrolle

Es wurden Antivirus- und Anti-Malware-Anwendungen installiert, um nicht autorisierte oder bösartige Software zu erkennen und zu blockieren. Außerdem verwendet Asana Intrusion Detection Systeme (IDS) für unsere Unternehmensnetzwerke und Produktionsabläufe. Asana führt regelmäßig Sicherheitsscans durch. Zur Virenüberwachung aktualisiert Asana die meisten von Asana ausgeführten und an Amazon ausgelagerten Programme automatisch oder manuell, wenn dies sinnvoll und möglich ist. Asana unterhält einen Schwachstellen-Scan-Prozess für Production-Systeme. Zum Umfang der Schwachstellen-Scans gehören sowohl externe als auch interne Systeme in der Production-Umgebung. Das Sicherheitsteam von Asana führt mindestens wöchentlich Schwachstellen-Scans durch und legt für jede Schwachstelle anhand von Bewertungskriterien eine Einstufung des Schweregrads fest, wonach Schwachstellen mit hohem oder höherem Rang beseitigt werden müssen. Schwachstellen-Scans werden zudem nach jeder signifikanten Änderung der Production-Umgebung durchgeführt, sofern diese vom Asana-Sicherheitsteam festgestellt wird.

10. Verschlüsselung

Kundendaten werden bei der Übertragung verschlüsselt und, gemäß der jeweiligen Version für den vom Kunden gewählten Dienst, auch im Ruhezustand verschlüsselt (und bleiben im Ruhezustand verschlüsselt). Die Verbindung zu app.asana.com wird mit einer 128-Bit-Verschlüsselung verschlüsselt und unterstützt TLS 1.2 und höher. Die Übertragung von Login-Daten und sensiblen Daten erfolgt über verschlüsselte Protokolle wie TLS oder SSH.

11. Sicherungskopien und Wiederherstellung

Asana erstellt täglich Momentaufnahmen seiner Datenbanken und kopiert diese sicher in ein separates Rechenzentrum, um sie im Falle eines regionalen AWS-Ausfalls wiederherzustellen. Die Sicherungskopien werden verschlüsselt und unterliegen dem gleichen Schutz wie die Production-Umgebung. Zusätzlich werden alle Kundendaten überregional mit AWS gespeichert.

12. Change Management

Asana hat Richtlinien zum Change Management eingeführt, damit die Veränderungen den Sicherheits-, Vertraulichkeits- und Verfügbarkeitsanforderungen von Asana entsprechen. Diese Richtlinien werden von der Geschäftsleitung jährlich überprüft und genehmigt. Jede Änderung der Production-Umgebung oder IT-Konfiguration mit unbekannten oder vorhersehbaren Sicherheitsfolgen muss vor dem Einsatz von den entsprechenden verantwortlichen Teams überprüft werden.

13. Notfallwiederherstellung und Geschäftskontinuität

Asana verfügt über einen Plan für Geschäftskontinuität bei längeren Serviceausfällen aufgrund unvorhergesehener oder unvermeidlicher Katastrophen, um die Dienste in einem angemessenen Zeitrahmen so weit wie möglich wiederherzustellen. Dieser Plan deckt alle erfolgskritischen Geschäftsfunktionen und die damit verbundenen Systeme ab. Asana hat eine Reihe von Richtlinien und Verfahren zur Wiederherstellung im Katastrophenfall dokumentiert, um die Wiederherstellung oder Fortsetzung wichtiger technologischer Infrastrukturen und Systeme nach einer Katastrophe zu ermöglichen. Es werden täglich Momentaufnahmen der Datenbank erstellt. Die Backups der Daten werden bei der Speicherung verschlüsselt, die Backups werden in einer separaten Region gespeichert, und der Dienst befindet sich in einer redundanten Netzwerk- und Serverinfrastruktur, die sich in geografisch getrennten Rechenzentren befindet. Dieser Plan wird jährlich überprüft und getestet.

Asana behält sich das Recht vor, diese Bedingungen jederzeit zu aktualisieren und seine Sicherheitspraktiken zu ändern, vorausgesetzt, dass eine solche Aktualisierung oder Änderung die Gesamtsicherheit des Dienstes während der geltenden Abonnementdauer nicht grundlegend und nachteilig beeinträchtigt.