Asanas Sicherheitserklärung

Einleitung

Wir nutzen Asana täglich, um unsere Teams zu strukturieren, zu vernetzen und zielorientiert zu arbeiten. Die Sicherheit unserer Plattform ist entscheidend für den Schutz unserer eigenen Daten und der Schutz Ihrer Daten hat für uns Priorität.

Unsere Sicherheitspolitik deckt alle Geschäftsbereiche ab, darunter:

  • Asana Unternehmenssicherheitsrichtlinien
  • Physische und Umgebungssicherheit
  • Operationelle Sicherheitsprozesse
  • Skalierbarkeit & Verlässlichkeit unserer Systemarchitektur
  • Data Model Access Control in Asana
  • Systementwicklung und -wartung
  • Diensteentwicklung und -wartung
  • Regelmäßige Zusammenarbeit mit externen Sicherheitsexperten

Asana Unternehmenssicherheitsrichtlinien & -prozeduren

Jeder Asana-Mitarbeiter unterzeichnet eine Vereinbarung über Datenzugriff, wodurch er an unsere Vertraulichkeitsrichtlinien gebunden ist, verfügbar unter asana.com/terms und asana.com/privacy. Zugangsberechtigungen werden in Abhängigkeit von der Funktion und Rolle des Mitarbeiters erteilt.

Sicherheit in unseren Software Development Lifecycle

Asana verwendet das Revision-Kontroll-System unter Git. Änderungen am Code werden automatisch verschiedenen Tests unterzogen und geprüft, bevor sie manuell überprüft werden. Wenn Codeänderungen das automatische Testsystem durchlaufen haben, werden sie zunächst an einen Staging-Server geleitet, wo ein Asana-Mitarbeiter Änderungen testet, bevor sie an die Produktionsserver und unsere Kunden übermittelt werden. Wir führen eine spezielle Sicherheitsprüfung bei heiklen Änderungen und Funktionen durch. Die Entwickler bei Asana können kritische Updates gezielt auswählen, um sie schnell auf die Produktionsserver zu bringen.

Neben einem Protokoll, in dem alle Zugriffskontrolländerungen veröffentlicht werden, haben wir automatisierte Tests, die prüfen, ob Zugriffskontrollregeln korrekt formuliert und wie erwartet umgesetzt werden. Wir arbeiten zudem mit externen Sicherheitsexperten, um:

  • Unseren Code auf verbreitete Exploits zu prüfen
  • Netzwerk-Scanning-Tools bei unseren Produktionsservern einzusetzen

Sicherheit am Asana-Standort

Der Zugang zu unserem Büro wird mit Schlüsselkarten überwacht. Besucher werden am Empfang dokumentiert.

Wir überwachen die Verfügbarkeit unseres Büronetzwerks und seiner Geräte. Wir dokumentieren Logs von Netzwerkgeräten wie Firewalls, DNS-Servern, DHCP-Servern und Routern zentral. Die Netzwerklogs werden für Sicherheitsanwendungen (Firewall), Wireless Access Points und Switches gespeichert.

Asana Architektur & Skalierbarkeit

Skalierbarkeit/Verlässlichkeit der Architektur

Asana verwendet Amazon Web Services (RDS & S3), um Nutzerdaten zu verwalten. Die Datenbank wird synchron repliziert, so dass wir im Fall eines Datenbankausfalls eine schnelle Wiederherstellung gewährleisten können. Als zusätzliche Schutzmaßnahme erstellen wir regelmäßig Abbilder der Datenbank und übertragen sie sicher in ein anderes Datenzentrum, so dass wir sie bei Bedarf andernorts wiederherstellen können, sollte Amazon regional ausfallen.

Wir hosten Daten in sicheren nach SSAE 16 zertifizierten Datenzentren mittels Amazon RDS in den USA.

Verschlüsselte Transaktionen

Webverbindungen mit Asana-Diensten erfolgen über TLS 1.1 und höher. Wir unterstützen Forward Secrecy und AES-GCM und verhindern unsichere Verbindungen mit TLS 1.0 oder darunter oder RC4.

Bereit für die DSGVO mit Asana

Die Datenschutz-Grundverordnung („DSGVO“, engl.: „GDPR“) ist ein neues Gesetz zum Schutz personenbezogener Daten von EU-Bürgern. Wenn die DSGVO am 25. Mai 2018 in Kraft tritt, müssen die meisten Organisationen, die personenbezogene Daten von EU-Bürgern sammeln, verwalten oder verarbeiten (unabhängig vom geografischen Standort der Organisation), bestimmte Verfahren und Sicherheitsmaßnahmen für diese Daten einführen. Zur Vorbereitung auf die DSGVO hat Asana ein umfassendes Compliance-Programm eingerichtet und ist bestrebt, seine Kunden und Dienstleistern in partnerschaftlicher Zusammenarbeit bei der Einhaltung der DSGVO zu unterstützen. Im Folgenden erläutern wir, wie sich Asana auf die DSGVO vorbereitet und wie Kunden Asana zur Unterstützung ihrer Vorbereitungen auf die DSGVO nutzen können.

Vereinbarungen zur Datenverarbeitung

Gemäß der Datenschutz-Grundverordnung müssen „Datenverantwortliche“ (d.h. Personen/Entitäten, die Zweck und Art der Datenverarbeitung festlegen) Vereinbarungen mit anderen Personen/Entitäten schließen, die Daten in ihrem Auftrag verarbeiten („Datenverarbeiter” genannt). Asana bietet seinen EU-Kunden, die Datenverantwortliche sind, die Möglichkeit, eine solide Datenverarbeitungsvereinbarung abzuschließen, durch die Asana verpflichtet wird, personenbezogene Daten gemäß den DSGVO-Anforderungen zu schützen.

Internationaler Datentransfer

In Übereinstimmung mit den geltenden EU-Datenschutzgesetzen verlangt die DSGVO, dass Organisationen einen anerkannten Rechtsmechanismus verwenden, um Daten aus der EU in andere Länder zu übertragen, die keine vergleichbaren Datenschutzbestimmungen haben, einschließlich der Vereinigten Staaten. Um diese Anforderung zu erfüllen, ist Asana nach dem EU-US-Datenschutzabkommen (EU-US Privacy Shield) zertifiziert, was die Einhaltung bestimmter Sicherheitsvorkehrungen für die Übermittlung personenbezogener Daten in die Vereinigten Staaten erfordert. Darüber hinaus bietet Asana Kunden in der EU die Möglichkeit, auf Anfrage Vertragsklauseln nach dem EU-Modell zu vereinbaren.

Datenzugriffs-, Verwaltungs- und Portabilitätstools

Die DSGVO räumt natürlichen Personen unter bestimmten Umständen unter anderem das Recht ein, auf ihre Daten zuzugreifen, sie zu löschen und zu korrigieren. Betroffene können diese Anfragen direkt an die Datenverantwortlichen für ihre gespeicherten Informationen richten. Mit Asana ist es für unsere Kunden, die Datenverantwortliche sind, einfach, auf die Daten ihrer Teammitglieder zuzugreifen und sie zu verwalten und demzufolge auf Anfragen angemessen zu reagieren. Kunden können beispielsweise direkt auf der Asana-Plattform auf Daten zugreifen, sie aktualisieren, ändern und löschen. Asana bietet seinen Kunden auch die Möglichkeit, Daten von Mitgliedern und Gästen der Organisation zu exportieren, so dass sie auch außerhalb der Plattform verschickt werden können.

Datenschutzdokumentation

In ihrem Kern konzentriert sich die DSGVO auf Transparenz, Fairness und Rechenschaftspflicht. Dementsprechend fordert das Gesetz, dass Organisationen ihre Datenschutzpraktiken und ihre Entscheidungen darüber, wie sie mit persönlichen Daten umgehen, dokumentieren und aufbewahren. Asana hat sich diesen Grundsätzen der DSGVO verpflichtet und hat im Rahmen seiner laufenden Programme zur Einhaltung der DSGVO die Dokumentation der Aktivitäten zur Datenerhebung und -verarbeitung sowie die verschiedenen Richtlinien und Leitlinien, denen Asana gemäß der DSGVO folgt, mit aufgenommen.

Sicherheit

Die Sicherung der persönlichen Daten unserer Nutzer ist für Asana weiterhin eine Priorität, während wir uns auf die DSGVO vorbereiten. Die DSGVO verlangt von Unternehmen angemessene technische und organisatorische Maßnahmen, um die Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten. Asana hat eine Reihe von Sicherheitsmaßnahmen implementiert, um die Sicherheit unserer Plattform zu gewährleisten. Dazu gehören die Verschlüsselung von Webverbindungen zum Schutz von Datenübertragungen, die Replikation unserer Datenbanken zur Unterstützung der Zuverlässigkeit der Plattform sowie die Kontrolle des Zugangs zu unseren Einrichtungen und des Zugriffs auf unser Büronetzwerk. Asana bietet seinen Kunden außerdem die Möglichkeit zusätzlicher Sicherheitseinstellungen, um die Sicherheit der Daten ihrer Teams weiter zu verbessern.

Fortlaufende Kommunikation

Wir schätzen die Kommunikation mit unseren Kunden. Während Asana weiterhin sein Datenschutzprogramm evaluiert und aktualisiert, werden wir Sie bei wichtigen Updates auf dem Laufenden halten.

Asana Datensicherheit

Arbeitsplätze, Laptops und Mobilgeräte von Angestellten

Alle Laptops und Arbeitsplätze sind durch vollständige Datenträgerverschlüsselung geschützt und werden zentral verwaltet. Wir achten penibel auf die Installation von Updates an Geräten von Angestellten und prüfen Arbeitsplätze und Geräte auf Malware. Wir können kritische Patches aufspielen und ein Geräte remote löschen. Wir verwenden branchenübliche OTP-Technologie, um den Zugang zur Unternehmensinfrastruktur weiter zu sichern.

Sicherheitsberatung und Anwendungsprüfung

Wir arbeiten mit externen Sicherheitsberatern zusammen und führen ein externes Prämienprogramm, in dessen Rahmen wir Forscher für die Aufdeckung von Sicherheitslücken bezahlen.

Datensicherheitszentrum

Amazon

Amazon nutzt eine robustes physisches Sicherheitsprogramm mit verschiedenen Zertifizierungen, darunter eine SSAE 16 Zertifizierung. Für weitere Informationen zu physischen Sicherheitsprozessen bei Amazon gehen Sie bitte auf aws.amazon.com/security.

Produktfunktionen

Administratorverwaltungsfunktionen

  • Authentifizierung - Asana-Administratoren können eine verpflichtende Authentifizierung für Angestellte über Google-Konten oder SAML einrichten. Wenn Passwörter direkt in Asana gespeichert werden, schützen wir sie durch salted bcrypt.

  • Nutzer-Verwaltung - Administratoren können die letzten Aktivitäten, den Gast-/Mitgliederstatus sehen und Nutzer über ein zentrales Administrator-Interface deprovisionieren.

Nutzerfunktionen

  • Privatsphäre, Sichtbarkeit & Einstellungen fürs Sharing - Kunden bestimmen, wer verschiedene Datenkategorien einsehen kann, z. B. Teams, Projekte und Aufgaben. Der Zugang zu einem Unternehmen in Asana basiert auf einer Firmen-E-Mail-Domain. Sie können den Zugang von Nutzern begrenzen, wenn Sie diese als Gast einladen.

Sichtbarkeit

Datenschutzerklärung

In der Datenschutzrichtlinie von Asana wird beschrieben, wie wir mit eingegebenen Daten verfahren. Diese kann unter asana.com/privacy eingesehen werden.

Erfüllung der Safe Harbour Bedingungen

Asana erfüllt das EU-US und Swiss-US Safe Harbor Framework („Safe Harbor”) und die Prinzipien.

Verfügbarkeit

Wir sind bestrebt, dass Asana für Sie und Ihre Teams stets verfügbar ist. Unsere Systeme verfügen über integrierte Redundanz, um Ausfällen standzuhalten, und werden ständig überwacht, um eine Unterbrechung Ihrer Arbeit zu verhindern. Sie können unsere Verfügbarkeit jederzeit auf unserer Vertrauensseite überprüfen.

Sie wollen uns über eine Sicherheitslücke informieren?

Wir führen ein Sicherheitslücken-Bonusprogramm. Schreiben Sie uns eine E-Mail an security@asana.com.