Dieses Dokument umreißt die Mindestsicherheitsanforderungen (administrative, technische und physische Schutzmaßnahmen) für Dritte, die Dienstleistungen für Asana-Kunden erbringen („Unterauftragnehmer“). Großgeschriebene Begriffe haben die Bedeutung, die ihnen in der zugrundeliegenden Dienstleistungsvereinbarung zwischen Asana und dem Unterauftragnehmer zugewiesen wird, sofern in dieser Vereinbarung nicht anders definiert.
a. Der Unterauftragnehmer unterhält ein Informationssicherheitsprogramm, das die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit der Kundendaten gewährleisten soll. Das Programm umfasst: i. Formales Risikomanagement ii. Regelmäßige Risikobewertungen iii. Penetrationstests, die mindestens einmal jährlich von einem qualifizierten, unabhängigen Dritten durchgeführt werden. Falls Abhilfemaßnahmen erforderlich sind, wird der Unterauftragnehmer diese innerhalb eines angemessenen Zeitraums durchführen, der die Wahrscheinlichkeit des Eintretens und die Auswirkungen der festgestellten Probleme berücksichtigt.
b. Der Anbieter hat einen Sicherheitsbeauftragten und entsprechendes Sicherheitspersonal benannt, die für die Bemühungen um die Informationssicherheit verantwortlich sind.
a. Der Unterauftragnehmer verfügt über die folgenden Richtlinien und hält diese ein: i. Richtlinie zur akzeptablen Nutzung, in der die angemessene Nutzung von Kundendaten dargelegt wird. ii. Richtlinie zur Informationssicherheit, die dem Personal Leitlinien zur Wahrung der Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten an die Hand gibt.
b. Der Unterauftragnehmer überprüft seine Richtlinien und Verfahren mindestens einmal jährlich.
c. Auf schriftliche Anfrage von Asana und nicht öfter als einmal innerhalb eines Zeitraums von sechs Monaten muss der Anbieter Asana eine Kopie seiner Richtlinie zur Informationssicherheit, seiner Richtlinie zur akzeptablen Nutzung, aller aktuellen Bescheinigungen Dritter oder Branchenzertifizierungen (z. B. SOC 2 Typ II, ISO 27001) sowie aller Aktualisierungen oder Änderungen derselben vorlegen. Für den Fall, dass Asana auf der Grundlage der hier dargelegten Kriterien vernünftigerweise davon ausgeht, dass das Programm des Anbieters Lücken aufweist, kann Asana schriftlich verlangen, dass der Anbieter innerhalb von dreißig Tagen nach Erhalt einer solchen Aufforderung einen zusätzlichen Sicherheitsfragebogen ausfüllt. Ein solcher Fragebogen muss vom ernannten Sicherheitsbeauftragten des Anbieters bestätigt und genehmigt werden.
a. Der Unterauftragnehmer muss sein Personal bei der Einstellung und danach mindestens einmal jährlich in den Bereichen Informationssicherheit und Datenschutz schulen.
b. Der Unterauftragnehmer muss sicherstellen, dass das Personal bei der Einstellung und danach mindestens einmal jährlich bestätigt, dass es die Richtlinien und Verfahren des Unterauftragnehmers, einschließlich der Richtlinie zur Informationssicherheit, gelesen und verstanden hat.
a. Der Unterauftragnehmer hat nur dann Zugriff auf Kundendaten, wenn er diese für die Erbringung der vereinbarten Dienstleistungen benötigt. Zur Klarstellung: Wenn Asana den Unterauftragnehmer mit der Erbringung von Enablement Services beauftragt hat, darf der Unterauftragnehmer zu keinem Zeitpunkt während eines solchen Auftrags auf die Instanz des Asana-Dienstes des Kunden zugreifen. Der Unterauftragnehmer arbeitet mit dem Kunden zusammen, um Best Practices für die Erbringung solcher Enablement Services zu entwickeln, einschließlich, aber nicht beschränkt auf Bildschirmfreigabe, Videoaufzeichnung oder andere Bildschirmaufnahmen, die erforderlich sind, um die in der Bestellung angegebenen erforderlichen Schulungen und Anleitungen zu liefern.
b. Der Unterauftragnehmer stellt sicher, dass sein Personal nur mit Hilfe einer Multi-Faktor-Authentifizierung auf Kundendaten in den Systemen des Unterauftragnehmers zugreifen kann.
c. Der Unterauftragnehmer muss sicherstellen, dass alle Passwörter den Anforderungen von NIST 800-63b für gespeicherte geheime Passwörter entsprechen oder stärker sind.
d. Der Unterauftragnehmer muss den Zugriff auf Kundendaten protokollieren und überwachen und verdächtigen Aktivitäten unverzüglich nachgehen.
e. Der Unterauftragnehmer muss den Zugang nach den Grundsätzen des geringsten Privilegs gewähren.
f. Nach der Kündigung muss der Unterauftragnehmer den Zugang des Personals zu seinen Systemen, die Kundendaten verarbeiten, innerhalb von 24 Stunden aufheben.
a. Der Unterauftragnehmer unterhält einen Reaktionsplan für Sicherheitsvorfälle, der mindestens einmal jährlich überprüft wird. b. Der Unterauftragnehmer testet den Plan zur Reaktion auf Zwischenfälle mindestens einmal jährlich. c. Der Unterauftragnehmer muss Sicherheitsvorfälle in Übereinstimmung mit dem Datenverarbeitungszusatz von Asana melden.
a. Der Unterauftragnehmer verwendet einen geeigneten Verschlüsselungsmechanismus im Ruhezustand und bei der Übertragung (mindestens: TLS 1.2, ssh, AES-256).
a. Der Unterauftragnehmer hält sich an die folgenden Geräteanforderungen, die auf den in der Bestellung angegebenen Dienstleistungen basieren.
Für Enablement Services:
1. Der Unterauftragnehmer unterhält ein Bestandsverzeichnis der Nutzerendgeräte, das regelmäßig aktualisiert, auditiert und überprüft wird.
2. Der Unterauftragnehmer unterhält ein dokumentiertes Verfahren für die Provisionierung von Endpunkten auf der Grundlage von dokumentierten Härtungsstandards.
3. Die Endpunkte des Unterauftragnehmers setzen wirtschaftlich angemessene Sicherheitsmaßnahmen ein, die mindestens Folgendes umfassen:
lokale Festplattenverschlüsselung;
ein lokales Kennwort und
EDR-Software mit kontinuierlicher Überwachung, einschließlich Antiviren- und Malware-Scans, Erkennung, Eindämmung und Berichtsfunktionen
4. Der Unterauftragnehmer setzt Mechanismen ein, um die Kontrolle über die Verteilung sensibler Medien aufrechtzuerhalten, einschließlich der Verhinderung, dass Nutzer Dateitransfers über nicht zugelassene Dateitransferdienste durchführen oder Daten auf externe Medien (z. B. USB-Laufwerke) übertragen.
5. Der Unterauftragnehmer setzt Mechanismen zur sicheren Entsorgung, Zerstörung oder Wiederverwendung von Hardware ein, wenn diese nicht mehr benötigt wird.
6. Der Unterauftragnehmer stellt sicher, dass die Hardware rechtzeitig zurückgegeben wird, wenn sie nicht mehr benötigt wird.
7. Der Unterauftragnehmer ist in der Lage, die Daten auf Geräten aus der Ferne zu löschen, wenn sie gestohlen oder kompromittiert werden.
Für Integrierte Dienste oder andere Dienstleistungen, die nicht zu den Enablement Services zählen:
1. Der Unterauftragnehmer wird nur Geräte verwenden, die von Asana verwaltet werden, um Arbeiten im Zusammenhang mit den Dienstleistungen auszuführen. Der Unterauftragnehmer kann sich für eine der folgenden Optionen entscheiden:
a. Er erhält von Asana verwaltete Hardware für die Dauer der Zusammenarbeit mit Asana-Kunden. Wenn dem Unterauftragnehmer Hardware zur Verfügung gestellt wird, darf der Unterauftragnehmer nur Asana-Hardware verwenden, um Dienstleistungen für Asana-Kunden gemäß der zugrunde liegenden Vereinbarung zwischen Asana und dem Unterauftragnehmer zu erbringen; oder
b. Er stellt einen neuen, unkonfigurierten Laptop zur Verfügung, der in die Endpoint-Management-Systeme von Asana aufgenommen wird. Asana wird Antiviren- und Anti-Malware-Anwendungen installieren und sicherstellen, dass das Gerät unsere Mindestsicherheitsanforderungen erfüllt.
a. Der Unterauftragnehmer führt vor der Aufnahme der Dienstleistung eine Sicherheitsrisikobewertung für alle Drittdienstleister durch, die Zugang zu Kundendaten haben könnten.
b. Der Unterauftragnehmer unternimmt angemessene Maßnahmen, um sicherzustellen, dass Drittdienstleister Sicherheitsmaßnahmen ergreifen, die mindestens dieser Vereinbarung entsprechen.
a. Mit Ausnahme der Enablement Services hat der Unterauftragnehmer nur für die im jeweiligen Auftrag angegebene Dauer Zugriff auf die Instanz des Asana-Dienstes des Kunden. Nach Beendigung der Zusammenarbeit mit dem Kunden stellt der Auftragnehmer sicher, dass er keinen Zugriff mehr auf die Asana-Umgebung des Kunden hat.
b. Der Unterauftragnehmer stellt sicher, dass alle Kundendaten, die außerhalb seiner Asana-Instanz heruntergeladen oder aufbewahrt wurden, sowie alle Kopien bei Beendigung der Dienstleistungen vernichtet werden.
a. Der Unterauftragnehmer führt vor Beginn des Arbeitsverhältnisses Hintergrundüberprüfungen der Angestellten durch. Die Überprüfung des Hintergrunds erfolgt gemäß den örtlichen Gesetzen, Vorschriften, ethischen und vertraglichen Auflagen und steht in einem angemessenen Verhältnis zu der Datenklassifizierung, auf die zugegriffen werden soll, den geschäftlichen Anforderungen und dem akzeptablen Risiko.