Usamos Asana todos los días para mantener nuestro equipo organizado, conectado y enfocado en los resultados. Asegurarnos de que nuestra plataforma sea siempre segura es vital para proteger nuestros propios datos, y proteger tu información es nuestra mayor prioridad.
Nuestra estrategia de seguridad cubre todos los aspectos de nuestra actividad, incluidos los siguientes:
Todos los empleados de Asana firman una Política de acceso a los datos que los obliga a cumplir los términos de nuestras políticas de confidencialidad de los datos, disponibles en asana.com/terms y asana.com/privacy. Los derechos de acceso se basan en la función del puesto y el rol del empleado.
Asana ha superado con éxito sus auditorías SOC 2 (Tipo I) y (Tipo II) de controles relevantes para la seguridad, la disponibilidad y la confidencialidad. Significa que un proveedor externo e independiente ha validado nuestros procesos y prácticas con relación a estos tres criterios de servicios confiables y ha confirmado nuestra capacidad para mantener el cumplimiento con los controles que hemos implementado.
Asana usa el sistema de control de versiones Git. Los cambios en la base del código de Asana pasan por un conjunto de pruebas automáticas y son revisados por una ronda de revisión manual. Cuando los cambios de código pasan el sistema de pruebas automáticas, son insertados en un servidor provisional donde los empleados de Asana pueden probar los cambios antes de introducirlos posteriormente en los servidores de producción y en la base de nuestros clientes. También agregamos una revisión específica de seguridad para cambios y funciones particularmente sensibles. Los ingenieros de Asana también tienen la capacidad de "seleccionar cuidadosamente" actualizaciones críticas e insertarlas inmediatamente en los servidores de producción.
Además de una lista donde se publican todos los cambios de control de acceso, tenemos un conjunto de pruebas de unidad automáticas que verifican que las reglas de control de acceso estén escritas correctamente y se apliquen según lo previsto. También trabajamos con terceros profesionales en seguridad para:
Nuestra oficina está asegurada mediante acceso por medio de llave electrónica con registro, y las visitas se registran en nuestra recepción.
Controlamos la disponibilidad de la red de nuestra oficina y los dispositivos conectados a ella. Recopilamos registros creados mediante dispositivos de red tales como firewalls, servidores DNS, servidores DHCP y enrutadores en un lugar central. Se llevan registros de red para la aplicación de seguridad (firewall), los puntos de acceso inalámbrico y los interruptores.
Asana usa Amazon Web Services (RDS y S3) para administrar los datos de los usuarios. La base de datos se replica en forma sincrónica de modo que puedas recuperarte rápidamente tras un fallo en la base de datos. Como precaución adicional, tomamos capturas periódicas de la base de datos y las retiramos de manera segura a un centro de datos separado para poder recuperarlas en otro lugar si es necesario, incluso en caso de fallo regional de Amazon.
Actualmente almacenamos los datos en centros de datos seguros auditados conforme a SSAE 16 a través de Amazon RSD en los Estados Unidos.
Las conexiones web al servicio de Asana se realizan mediante TLS 1.1 y superior. Contamos con confidencialidad directa y AES-GCM, y prohibimos las conexiones inseguras que usen TLS 1.0 e inferior o RC4.
Todas las laptop y estaciones de trabajo están aseguradas mediante encriptación total de disco y se administran en forma central. Aplicamos con diligencia las actualizaciones a las máquinas de los empleados y controlamos las estaciones de trabajo de los empleados para detectar malware. También tenemos la capacidad de aplicar parches críticos y borrar una máquina en forma remota. Usamos tecnología de OTP estándar en la industria para asegurar adicionalmente el acceso a nuestra infraestructura corporativa.
Trabajamos con un consultor externo en seguridad y mantenemos un programa de recompensas externo mediante el cual pagamos a investigadores en seguridad que descubran vulnerabilidades.
Amazon emplea un sólido programa de seguridad física con varias certificaciones, incluida una certificación SSAE 16. Para obtener más información sobre los procesos de seguridad física de Amazon, visita aws.amazon.com/security.
Autenticación: Los administradores de Asana pueden forzar la autenticación de los empleados por medio de Google Accounts o establecer SAML. Si las contraseñas se almacenan directamente en Asana, las aseguramos mediante bcrypt aleatorio.
Gestión de usuarios: Los administradores pueden ver la última actividad, el estado de invitado/miembro y anular privilegios de los usuarios desde una interfaz de administración central.
La política de privacidad de Asana, que describe cómo manejamos los datos que se ingresan en Asana, puede encontrarse en asana.com/privacy.
Nos comprometemos a hacer que Asana esté disponible constantemente para ti y tus equipos. Nuestros sistemas tienen redundancia integrada para soportar fallos y son monitoreados constantemente para no interrumpir tu trabajo. Siempre puedes monitorear nuestra disponibilidad en nuestra página de confianza.
Ofrecemos un Programa de recompensas por vulnerabilidades de seguridad. Escríbenos por email a security@asana.com.