Déclaration d’Asana relative à la sécurité

Introduction

Nous utilisons Asana tous les jours pour l’organisation de notre équipe et pour lui permettre de rester connectée et concentrée sur les résultats. Assurer la sécurité de notre plateforme est essentiel pour protéger nos propres données et la protection de vos informations est notre priorité absolue.

Notre stratégie de sécurité couvre tous les aspects de l’entreprise, y compris :

  • Les politiques de sécurité d’entreprise d’Asana
  • La sécurité environnementale et physique
  • Les processus de sécurité opérationnelle
  • L’évolutivité et la fiabilité de notre architecture système
  • Le contrôle de l’accès au modèle de données sur Asana
  • Le développement et la maintenance des systèmes
  • Le développement et la maintenance du service
  • La collaboration régulière avec des experts de sécurité tiers

Politiques et procédures de sécurité d’entreprise d’Asana

Chaque employé d’Asana signe une politique d’accès aux données qui le lie aux termes de nos politiques de confidentialité des données, disponibles sur asana.com/terms et asana.com/privacy. Les droits d’accès sont basés sur la fonction et le rôle de l’employé.

SOC 2 (Type I et II)

Asana a réussi son audit SOC 2 (Type I) et (Type II) pour les contrôles en lien avec à la sécurité, la disponibilité et la confidentialité. Cela signifie qu’un tiers indépendant a validé nos processus et pratiques relatifs à ces trois critères de services de confiance et confirmé notre capacité à respecter ces normes au travers des contrôles que nous avons mis en œuvre.

Sécurité dans notre cycle de vie du développement logiciel

Asana utilise le système de contrôle de révisions git. Les changements apportés au codebase d’Asana passent par une série de tests automatisés, sont examinés et font l’objet d’une série de révisions manuelles. Lorsque les changements du code réussissent les tests du système automatisé, ces changements sont d’abord envoyés à un serveur de stockage temporaire où les employés d’Asana sont en mesure de tester les changements avant un éventuel envoi aux serveurs de production et à notre base de clients. Nous ajoutons également un examen de sécurité spécifique pour les modifications et fonctionnalités particulièrement sensibles. Les ingénieurs d’Asana ont également la possibilité de sélectionner les mises à jour critiques et de les envoyer immédiatement aux serveurs de production.

En plus d’une liste où sont publiés tous les changements de contrôle d’accès, nous disposons d’une suite de tests unitaires automatisés qui vérifient que les règles de contrôle d’accès sont écrites correctement et appliquées comme prévu. Nous travaillons également avec des professionnels de la sécurité tiers afin de :

  • Tester notre code face aux attaques courantes
  • Utiliser des outils d’analyse de réseau sur nos serveurs de production

Sécurité dans les bureaux d’Asana

L’accès à nos bureaux est sécurisé par un accès à carte magnétique avec enregistrement des accès. Les visiteurs sont enregistrés à la réception.

Asana surveille la disponibilité du réseau de ses bureaux et des appareils qui s’y trouvent. Tous les journaux produits par les périphériques réseau tels que pare-feux, serveurs DNS, serveurs DHCP et routeurs sont recueillis au même endroit. Les journaux réseau des périphériques de sécurité (pare-feux), points d’accès sans fil et commutateurs sont conservés.

Architecture Asana et évolutivité

Évolutivité/fiabilité de l’architecture

Asana utilise Amazon Web Services (RDS et S3) pour gérer les données utilisateur. La base de données est répliquée de manière synchrone afin que nous puissions récupérer rapidement les données en cas de défaillance de la base de données. Comme précaution supplémentaire, nous effectuons régulièrement des captures de la base de données et les déplaçons en toute sécurité vers un centre de données séparé afin de pouvoir les restaurer ailleurs si nécessaire, même en cas d’une défaillance régionale d’Amazon.

Nous hébergeons actuellement des données dans des centres de données sécurisés certifiés SSAE 16 et fournis par Amazon RDS aux États-Unis.

Transactions chiffrées

Les connexions web au service Asana se font via le protocole TLS 1.1 et supérieur. Nous prenons en charge la confidentialité persistante et l’AES-GCM et interdisons les connexions non sécurisées utilisant TLS 1.0 et inférieur ou RC4.

Sécurité de l’information Asana

Stations de travail, ordinateurs portables et appareils mobiles des employés

Tous les ordinateurs portables et les postes de travail sont sécurisés par chiffrement intégral du disque et gérés de manière centralisée. Nous appliquons avec diligence les mises à jour aux machines des employés et surveillons les postes de travail des employés pour détecter les logiciels malveillants. Nous avons également la capacité d’appliquer des correctifs critiques et d’effacer à distance une machine. Nous utilisons la technologie OTP (mot de passe à usage unique) conformément aux normes industrielles pour sécuriser davantage l’accès à notre infrastructure d’entreprise.

Conseil en sécurité et évaluation des applications

Nous travaillons avec un conseiller en sécurité externe et maintenons un programme de primes externe par le biais duquel nous rémunérons les chercheurs en sécurité qui découvrent des vulnérabilités.

Sécurité du centre de données

Amazon

Amazon utilise un programme de sécurité physique robuste avec plusieurs certifications, y compris une certification SSAE 16. Pour plus d’informations sur les processus de sécurité physique d’Amazon, rendez-vous sur aws.amazon.com/security.

Fonctionnalités du produit

Fonctions de gestion de l’administration

  • Authentification — Les administrateurs Asana peuvent forcer les employés à s’authentifier par le biais de comptes Google ou configurer le SAML. Si les mots de passe sont stockés directement sur Asana, nous les sécurisons à l’aide de bcrypt avec sel (salted bcrypt).

  • Gestion des utilisateurs — Les administrateurs peuvent voir les dernières activités, voir le statut Invité/Membre et déprovisionner des utilisateurs depuis une interface d’administration centrale.

Fonctionnalités utilisateur

  • Paramètres de confidentialité, visibilité et partage — Les clients déterminent qui peut accéder aux différentes catégories de données comme les équipes, les projets et les tâches. L’accès aux organisations Asana est basé sur le domaine de messagerie de votre entreprise. Vous pouvez limiter l’accès d’un utilisateur en le conviant comme invité.

Confidentialité

Politique de confidentialité

La politique de confidentialité d’Asana, qui décrit comment nous traitons les données saisies sur Asana, peut être consultée sur asana.com/privacy.

Disponibilité

Nous nous engageons à mettre Asana à votre disposition et à celle de vos équipes. Nos systèmes ont une redondance intégrée pour résister aux défaillances et sont constamment surveillés afin de permettre que votre travail soit ininterrompu. Vous pouvez toujours vérifier notre disponibilité sur notre page Asana Status.

Vous souhaitez signaler un problème de sécurité ?

Nous proposons un programme de prime pour les exploits de sécurité découverts. Écrivez à security@asana.com.