Declaración de Asana sobre la seguridad

Introducción

Usamos Asana todos los días para mantener nuestro equipo organizado, conectado y enfocado en los resultados. Asegurarnos de que nuestra plataforma sea siempre segura es vital para proteger nuestros propios datos, y proteger tu información es nuestra mayor prioridad.

Nuestra estrategia de seguridad cubre todos los aspectos de nuestra actividad, incluidos los siguientes:

  • Políticas de seguridad corporativa de Asana
  • Seguridad física y ambiental
  • Procesos de seguridad operativa
  • Escalabilidad y confiabilidad de la arquitectura de nuestro sistema
  • Control de acceso al modelo de datos en Asana
  • Desarrollo y mantenimiento de sistemas
  • Desarrollo y mantenimiento de servicios
  • Trabajo habitual con terceros expertos en seguridad

Políticas y procedimientos de seguridad corporativa de Asana

Todos los empleados de Asana firman una Política de acceso a los datos que los obliga a cumplir los términos de nuestras políticas de confidencialidad de los datos, disponibles en asana.com/terms y asana.com/privacy. Los derechos de acceso se basan en la función del puesto y el rol del empleado.

Certificación SOC 2 (Tipo 1)

Asana ha completado exitosamente la auditoría de la certificación SOC 2 (Tipo 1) por los controles que implementamos en cuanto a seguridad, disponibilidad y confidencialidad. Lograr la certificación SOC 2 (Tipo 1) significa que hemos establecido procesos y prácticas en relación con estos tres principios del control que han sido validados por un tercero independiente.

Seguridad en nuestro ciclo de desarrollo de software

Asana usa el sistema de control de versiones Git. Los cambios en la base del código de Asana pasan por un conjunto de pruebas automáticas y son revisados por una ronda de revisión manual. Cuando los cambios de código pasan el sistema de pruebas automáticas, son insertados en un servidor provisional donde los empleados de Asana pueden probar los cambios antes de introducirlos posteriormente en los servidores de producción y en la base de nuestros clientes. También agregamos una revisión específica de seguridad para cambios y funciones particularmente sensibles. Los ingenieros de Asana también tienen la capacidad de “seleccionar cuidadosamente” actualizaciones críticas e insertarlas inmediatamente en los servidores de producción.

Además de una lista donde se publican todos los cambios de control de acceso, tenemos un conjunto de pruebas de unidad automáticas que verifican que las reglas de control de acceso estén escritas correctamente y se apliquen según lo previsto. También trabajamos con terceros profesionales en seguridad para:

  • Probar nuestro código para detectar vulnerabilidades comunes
  • Usar herramientas de escaneo de red en nuestros servidores de producción

Seguridad en la oficina de Asana

Nuestra oficina está asegurada mediante acceso por medio de llave electrónica con registro, y las visitas se registran en nuestra recepción.

Controlamos la disponibilidad de la red de nuestra oficina y los dispositivos conectados a ella. Recopilamos registros creados mediante dispositivos de red tales como firewalls, servidores DNS, servidores DHCP y enrutadores en un lugar central. Se llevan registros de red para la aplicación de seguridad (firewall), los puntos de acceso inalámbrico y los interruptores.

Arquitectura y escalabilidad de Asana

Escalabilidad/confiabilidad de la arquitectura

Asana usa Amazon Web Services (RDS y S3) para administrar los datos de los usuarios. La base de datos se replica en forma sincrónica de modo que puedas recuperarte rápidamente tras un fallo en la base de datos. Como precaución adicional, tomamos capturas periódicas de la base de datos y las retiramos de manera segura a un centro de datos separado para poder recuperarlas en otro lugar si es necesario, incluso en caso de fallo regional de Amazon.

Actualmente almacenamos los datos en centros de datos seguros auditados conforme a SSAE 16 a través de Amazon RSD en los Estados Unidos.

Transacciones encriptadas

Las conexiones web al servicio de Asana se realizan mediante TLS 1.1 y superior. Contamos con confidencialidad directa y AES-GCM, y prohibimos las conexiones inseguras que usen TLS 1.0 e inferior o RC4.

Preparación para el RGPD en Asana

El Reglamento General de Protección de Datos (RGPD) es una nueva ley que establece protecciones para los datos personales de los residentes de la UE. Cuando el RGPD entre en vigencia el 25 de mayo de 2018, se exigirá a la mayoría de las organizaciones que recolectan, mantienen o procesan datos personales de residentes de la UE (independientemente de en qué lugar del mundo esté la organización) que implementen determinados procedimientos y medidas de protección para esos datos. En preparación para el RGPD, Asana ha establecido un programa integral de cumplimiento y está comprometido a aliarse con sus clientes y proveedores para ayudarlos en sus esfuerzos por cumplir el RGPD. A continuación, explicamos cómo se prepara Asana para el RGPD y cómo los clientes pueden usar Asana para respaldar sus iniciativas de cumplimiento del RGPD.

Acuerdos de procesamiento de datos

Conforme al RGPD, los “controladores de datos” (es decir, las entidades que determinan los propósitos y los medios del procesamiento de datos) deben concertar acuerdos con otras entidades que procesan datos en su nombre (llamados “procesadores de datos”). Asana ofrece a sus clientes de la UE que son controladores de datos la opción de concertar un sólido acuerdo de procesamiento de datos que exige a Asana proteger los datos personales conforme a los requisitos del RGPD.

Transferencias de datos internacionales

En congruencia con las leyes de protección de datos existentes en la UE, el RGPD exige a las organizaciones usar un mecanismo legal reconocido para transferir datos desde la UE hacia otros países que no tienen un marco similar de protección de datos, incluidos los Estados Unidos. Para cumplir esta exigencia, Asana está certificado conforme al escudo de la privacidad UE-EE. UU., que le exige mantener determinadas medidas de protección de los datos personales transferidos a los Estados Unidos. Adicionalmente, Asana ofrece a los clientes ubicados en la UE la opción de concertar con nosotros cláusulas contractuales conforme al modelo de la UE si así lo solicitan.

Herramientas de acceso, gestión y portabilidad de los datos

El RGPD otorga a los titulares de datos personales en determinadas circunstancias el derecho, entre otros, de acceder, eliminar o corregir sus datos. Los titulares de esos datos pueden hacer estas solicitudes directamente a los controladores de datos de su información. Con Asana, es fácil para nuestros clientes que son controladores de datos acceder y gestionar los datos de sus miembros del equipo en respuesta a estas solicitudes. Por ejemplo, los clientes pueden acceder, actualizar, modificar y eliminar datos directamente dentro de la plataforma de Asana. Asana también ofrece a los clientes la capacidad de importar información de los miembros e invitados de una organización, de modo de poder enviarla fuera de la plataforma.

Documentación sobre privacidad

El RGPD se centra fundamentalmente en la transparencia, la imparcialidad y la responsabilidad. Por lo tanto, la ley exige a las organizaciones que mantengan documentación sobre sus prácticas de privacidad y sus decisiones sobre cómo manejan los datos personales de las personas. Asana comparte el compromiso del RGPD con estos principios y ha incluido en su programa actual de cumplimiento del RGPD documentación sobre las actividades de recolección y procesamiento de datos de Asana, y sobre las diversas políticas y pautas que sigue de acuerdo con el RGPD.

Seguridad

Asegurar los datos personales de nuestros usuarios sigue siendo una prioridad para Asana en tanto nos preparamos para cumplir el RGPD. El RGPD exige a las organizaciones usar medidas técnicas y organizativas apropiadas para proteger la seguridad, la confidencialidad y la integridad de los datos personales. Asana ha implementado una variedad de medidas de protección para mantener la seguridad de nuestra plataforma, lo que incluye encriptar las conexiones web para proteger las transmisiones de datos, replicar nuestras bases de datos para respaldar la confiabilidad de la plataforma y controlar el acceso a nuestras instalaciones y a la red de nuestra oficina. Asana también ofrece a los clientes la capacidad de usar controles de seguridad adicionales para mejorar aún más la seguridad de los datos de su equipo.

Comunicación continua

Valoramos la comunicación con nuestros clientes. En tanto Asana continúa evaluando y actualizando su programa de protección de datos, lo mantendremos al día con las actualizaciones importantes.

Seguridad de la información de Asana

Estaciones de trabajo, laptops y dispositivos móviles de los empleados

Todas las laptop y estaciones de trabajo están aseguradas mediante encriptación total de disco y se administran en forma central. Aplicamos con diligencia las actualizaciones a las máquinas de los empleados y controlamos las estaciones de trabajo de los empleados para detectar malware. También tenemos la capacidad de aplicar parches críticos y borrar una máquina en forma remota. Usamos tecnología de OTP estándar en la industria para asegurar adicionalmente el acceso a nuestra infraestructura corporativa.

Consultoría en seguridad y revisiones de la aplicación

Trabajamos con un consultor externo en seguridad y mantenemos un programa de recompensas externo mediante el cual pagamos a investigadores en seguridad que descubran vulnerabilidades.

Seguridad del centro de datos

Amazon

Amazon emplea un sólido programa de seguridad física con varias certificaciones, incluida una certificación SSAE 16. Para obtener más información sobre los procesos de seguridad física de Amazon, visita aws.amazon.com/security.

Funciones del producto

Funciones de gestión del administrador

  • Autenticación: Los administradores de Asana pueden forzar la autenticación de los empleados por medio de Google Accounts o establecer SAML. Si las contraseñas se almacenan directamente en Asana, las aseguramos mediante bcrypt aleatorio.

  • Gestión de usuarios: Los administradores pueden ver la última actividad, el estado de invitado/miembro y anular privilegios de los usuarios desde una interfaz de administración central.

Funciones del usuario

  • Ajustes de privacidad, visibilidad y compartir: Los clientes determinan quién puede acceder a diferentes categorías de datos, tales como equipos, proyectos y tareas. El acceso a una organización de Asana se basa en tu dominio de email empresarial. Puedes limitar el acceso de un usuario si lo invitas como Invitado.

Privacidad

política de privacidad

La política de privacidad de Asana, que describe cómo manejamos los datos que se ingresan en Asana, puede encontrarse en asana.com/privacy.

Disponibilidad

Nos comprometemos a hacer que Asana esté disponible constantemente para ti y tus equipos. Nuestros sistemas tienen redundancia integrada para soportar fallos y son monitoreados constantemente para no interrumpir tu trabajo. Siempre puedes monitorear nuestra disponibilidad en nuestra página de confianza.

¿Quieres informar una inquietud de seguridad?

Ofrecemos un Programa de recompensas por vulnerabilidades de seguridad. Escríbenos por email a security@asana.com.