Estándares de seguridad de datos

FECHA DE ENTRADA EN VIGENCIA: 28 DE FEBRERO DE 2020

A continuación se describen la arquitectura y los principios de seguridad de Asana con respecto a los controles administrativos, técnicos y físicos vigentes que corresponden al servicio. Los términos en mayúsculas tendrán el significado que se les asigne en el Contrato a menos que aquí se manifieste lo contrario.

1. Principios

Asana hace foco en los siguientes principios con respecto al diseño y la implementación del programa y las prácticas de seguridad: (a) la seguridad física y medioambiental para proteger al servicio contra el acceso, uso o modificaciones sin autorización; (b) mantener la disponibilidad para operar y hacer uso del servicio; (c) la confidencialidad para proteger los datos de los clientes; y (d) la integridad para mantener la precisión y uniformidad de los datos a lo largo de su ciclo de uso.

2. Programa de seguridad

Asana mantiene un programa de seguridad de la información que incluye: (a) contar con un programa formal de gestión de riesgos; (b) realizar evaluaciones periódicas de riesgos, al menos con frecuencia anual, sobre todos los sistemas y redes con los que se procesan los datos de los clientes; (c) supervisar los incidentes de seguridad y mantener un plan de reparaciones por niveles para garantizar que las correcciones de las vulnerabilidades halladas se hagan a tiempo; (d) un plan de respuesta a incidentes y política de seguridad de la información escritos con los que se aborde y se proporcione asistencia explícitamente al personal en pos de la seguridad, confidencialidad, integridad y disponibilidad de los datos de los clientes; (e) pruebas contra penetraciones que realiza un tercero calificado con frecuencia anual; y (f) contar con recursos responsables de la seguridad de la información.

3. Centros de datos

Asana usa Amazon Web Services (AWS) para prestar servicios de gestión y alojamiento con servidores de producción y bases de datos tanto en los Estados Unidos como en la Unión Europea. AWS emplea un programa sólido de seguridad física con múltiples certificaciones, incluidas la SSAE 16 y la ISO 27001.

4. Acceso, controles y políticas

Para acceder a gestionar el entorno AWS de Asana se requiere una autenticación de múltiples factores, el acceso SSH al servicio se registra y el acceso a los datos de los clientes se restringe a un grupo limitado de empleados de Asana con la debida autorización. Las funciones de la red de AWS como los grupos de seguridad se aprovechan para restringir el acceso a las distintas instancias y recursos de AWS, y también están configuradas para restringir el acceso con el principio del menor privilegio. Los empleados fueron capacitados sobre procedimientos de privacidad y seguridad de la información documentada. Todos los empleados de Asana firman una política de acceso a los datos que los obliga a cumplir con los términos de las políticas de confidencialidad de los datos de Asana y el acceso a los sistemas de Asana queda inmediatamente revocado al dar por terminada la relación laboral como empleados.

5. Auditorías y certificaciones

A partir de la fecha de entrada en vigencia, Asana ha recibido la certificación SOC 2 (tipos I y II) con respecto a la idoneidad de sus controles para cumplir con los criterios relacionados con la seguridad, disponibilidad y confidencialidad especificados en la edición 2016 de la sección 100A de TSP, principios de servicios fiduciarios y criterios para la seguridad, disponibilidad, procesamiento, integridad, confidencialidad y privacidad (AICPA, por sus siglas en inglés; principios y criterios de servicios fiduciarios). Asana adhiere a la certificación de los marcos normativos de los Escudos de privacidad de UE-EE. UU. y de Suiza-EE. UU. con respecto a la transferencia de datos personales desde la Unión Europea a los Estados Unidos de América y declara el cumplimiento con la certificación propia de los marcos normativos de los Escudos de privacidad de UE-EE. UU. y de Suiza-EE. UU.

6. Gestión de proveedores

Asana cumple con pasos razonables para seleccionar y retener solamente a los proveedores externos que mantendrán e implementarán las medidas de seguridad consecuentes con las medidas declaradas en este adjunto. Antes de que el software se implemente o de que el proveedor de software se pueda usar en Asana, el sector informático de Asana revisa en profundidad los protocolos de seguridad, las políticas de retención de datos, las políticas de privacidad y los informes de seguimiento de seguridad del proveedor. El departamento de Informática puede rechazar el uso de cualquier software o proveedor de software en caso de que no se pueda demostrar la capacidad necesaria para proteger los datos y los usuarios finales de Asana.

7. Pruebas y reparaciones

Con frecuencia anual, Asana lleva a cabo por sí sola y a través de terceros distintas pruebas para protegerse contra los accesos sin autorización a los datos de los clientes y para evaluar la seguridad, fiabilidad e integridad de los servicios. En la medida en que Asana determine, a su total discreción, que se requiera alguna reparación basada en los resultados de dichas pruebas, realizará tal reparación dentro de un período razonable, teniendo en cuenta la naturaleza y gravedad del problema identificado.

8. Respuesta a los incidentes de seguridad

Asana lleva a cabo ejercicios teóricos de simulación de respuestas a incidentes, con frecuencia anual, y mantiene un plan de respuestas a incidentes diseñado para establecer respuestas razonables y uniformes a incidentes de seguridad y ante las sospechas de incidentes de seguridad. Abarca la destrucción ilegal o accidental, la pérdida, el robo, la modificación, la divulgación no autorizada o el acceso a los datos privados o personales que se transmitan, almacenen o de algún modo se procesen en Asana. Si Asana detecta y, a continuación, confirma el acceso o la divulgación de los datos de los clientes sin autorización, Asana informará inmediatamente tal violación al cliente, evaluará oportunamente la causa fundamental y reparará tal infracción en el plazo debido. Asana dedicará el esfuerzo razonable para comunicar y cooperar con el cliente durante el curso de dicha reparación relevante.

9. Supervisión de la seguridad

Las aplicaciones antivirus o antimalware se han instalado para detectar o evitar software no autorizado o malicioso. Asana también usa sistemas de detección de intrusiones (IDS) para las redes y entornos de producción corporativos. Asana ejecuta escaneos de seguridad regularmente. Para el control de virus, Asana actualiza de forma automática o manual la mayor parte del software que usa y terceriza con Amazon, siempre que sea lógico y posible. Asana mantiene un proceso de escaneo de vulnerabilidades para los sistemas de producción. El alcance de los escaneos de vulnerabilidades abarca tanto a sistemas externos como internos del entorno de producción. El equipo de seguridad de Asana realiza escaneos de vulnerabilidades al menos una vez por semana y determina la gravedad de cada vulnerabilidad en base a los criterios de las herramientas de evaluación, de modo tal que las vulnerabilidades clasificadas como de nivel alto o más alto son las que exigen reparaciones. Los escaneos de vulnerabilidad también se ejecutan después de algún cambio importante en el entorno de producción según lo determine el equipo de seguridad de Asana.

10. Cifrado

Los datos de los clientes se cifran mientras están en tránsito (y están sujetos a la versión vigente del servicio seleccionado por el cliente) y se cifran en reposo (y se mantienen cifrados en reposo). La conexión a app.asana.com está cifrada con encriptación de 128 bits y es compatible con TLS 1.2 o posterior. Los inicios de sesión y la transferencia de datos sensibles se realizan mediante protocolos cifrados como TLS o SSH.

11. Copias de respaldo y restauración

Asana toma a diario capturas de pantalla de sus bases de datos y las copia de forma segura en un centro de datos separado para propósitos de restauración en caso de que se produzca alguna falla en el AWS de la región. Las copias de respaldo están cifradas y tienen la misma protección que la producción. Además, los datos de los clientes se almacenan con AWS en distintas regiones.

12. Gestión de cambios

Asana ha establecido una política de gestión de cambios para garantizar que esos cambios cumplan con los requisitos de seguridad, confidencialidad y disponibilidad de Asana. La gerencia revisa y aprueba la política con frecuencia anual. Cualquier cambio que se haga en la configuración informática o de producción con consecuencias desconocidas o que afecten previsiblemente la seguridad deberá ser revisado por los equipos relevantes según el área de responsabilidad, previo a la implementación.

13. Continuidad del negocio y recuperación ante catástrofes

Asana mantiene un plan de continuidad del negocio ante cortes prolongados del servicio que puedan ser causados por catástrofes imprevistas o inevitables. El objetivo es restaurar los servicios en la mayor medida posible y en un marco razonable de tiempo. Este plan abarca a las funciones críticas del negocio y a los sistemas asociados. Asana ha documentado un conjunto de políticas y procedimientos para la recuperación posterior o para la continuidad de los sistemas y de la infraestructura tecnológica vitales en caso de catástrofe. Se toman capturas de pantalla a diario de la base de datos y las copias de respaldo de los datos se almacenan cifradas; esas copias de respaldo se almacenan en una región separada y el servicio dispone de una infraestructura de servidores y redes redundantes ubicados en centros de datos geográficamente separados. Este plan se revisa y prueba con frecuencia anual.

Asana se reserva el derecho de actualizar estos términos periódicamente y de modificar sus prácticas de seguridad, siempre y cuando dicha actualización o modificación no afecte en forma material ni negativa la seguridad global del servicio durante la vigencia de los términos de suscripción.