Declaración de Asana sobre la seguridad

Introducción

Usamos Asana todos los días para mantener nuestro equipo organizado, conectado y enfocado en los resultados. Asegurarnos de que nuestra plataforma sea siempre segura es vital para proteger nuestros propios datos, y proteger tu información es nuestra mayor prioridad.

Nuestra estrategia de seguridad cubre todos los aspectos de nuestra actividad, incluidos los siguientes:

  • Políticas de seguridad corporativa de Asana
  • Seguridad física y ambiental
  • Procesos de seguridad operativa
  • Escalabilidad y confiabilidad de la arquitectura de nuestro sistema
  • Control de acceso al modelo de datos en Asana
  • Desarrollo y mantenimiento de sistemas
  • Desarrollo y mantenimiento de servicios
  • Trabajo habitual con terceros expertos en seguridad

Políticas y procedimientos de seguridad corporativa de Asana

Todos los empleados de Asana firman una Política de acceso a los datos que los obliga a cumplir los términos de nuestras políticas de confidencialidad de los datos, disponibles en asana.com/terms y asana.com/privacy. Los derechos de acceso se basan en la función del puesto y el rol del empleado.

Certificación SOC 2 (Tipo 1)

Asana ha completado exitosamente la auditoría de la certificación SOC 2 (Tipo 1) por los controles que implementamos en cuanto a seguridad, disponibilidad y confidencialidad. Lograr la certificación SOC 2 (Tipo 1) significa que hemos establecido procesos y prácticas en relación con estos tres principios del control que han sido validados por un tercero independiente.

Seguridad en nuestro ciclo de desarrollo de software

Asana usa el sistema de control de versiones Git. Los cambios en la base del código de Asana pasan por un conjunto de pruebas automáticas y son revisados por una ronda de revisión manual. Cuando los cambios de código pasan el sistema de pruebas automáticas, son insertados en un servidor provisional donde los empleados de Asana pueden probar los cambios antes de introducirlos posteriormente en los servidores de producción y en la base de nuestros clientes. También agregamos una revisión específica de seguridad para cambios y funciones particularmente sensibles. Los ingenieros de Asana también tienen la capacidad de “seleccionar cuidadosamente” actualizaciones críticas e insertarlas inmediatamente en los servidores de producción.

Además de una lista donde se publican todos los cambios de control de acceso, tenemos un conjunto de pruebas de unidad automáticas que verifican que las reglas de control de acceso estén escritas correctamente y se apliquen según lo previsto. También trabajamos con terceros profesionales en seguridad para:

  • Probar nuestro código para detectar vulnerabilidades comunes
  • Usar herramientas de escaneo de red en nuestros servidores de producción

Seguridad en la oficina de Asana

Nuestra oficina está asegurada mediante acceso por medio de llave electrónica con registro, y las visitas se registran en nuestra recepción.

Controlamos la disponibilidad de la red de nuestra oficina y los dispositivos conectados a ella. Recopilamos registros creados mediante dispositivos de red tales como firewalls, servidores DNS, servidores DHCP y enrutadores en un lugar central. Se llevan registros de red para la aplicación de seguridad (firewall), los puntos de acceso inalámbrico y los interruptores.

Arquitectura y escalabilidad de Asana

Escalabilidad/confiabilidad de la arquitectura

Asana usa Amazon Web Services (RDS y S3) para administrar los datos de los usuarios. La base de datos se replica en forma sincrónica de modo que puedas recuperarte rápidamente tras un fallo en la base de datos. Como precaución adicional, tomamos capturas periódicas de la base de datos y las retiramos de manera segura a un centro de datos separado para poder recuperarlas en otro lugar si es necesario, incluso en caso de fallo regional de Amazon.

Actualmente almacenamos los datos en centros de datos seguros auditados conforme a SSAE 16 a través de Amazon RSD en los Estados Unidos.

Transacciones encriptadas

Las conexiones web al servicio de Asana se realizan mediante TLS 1.1 y superior. Contamos con confidencialidad directa y AES-GCM, y prohibimos las conexiones inseguras que usen TLS 1.0 e inferior o RC4.

Seguridad de la información de Asana

Estaciones de trabajo, laptops y dispositivos móviles de los empleados

Todas las laptop y estaciones de trabajo están aseguradas mediante encriptación total de disco y se administran en forma central. Aplicamos con diligencia las actualizaciones a las máquinas de los empleados y controlamos las estaciones de trabajo de los empleados para detectar malware. También tenemos la capacidad de aplicar parches críticos y borrar una máquina en forma remota. Usamos tecnología de OTP estándar en la industria para asegurar adicionalmente el acceso a nuestra infraestructura corporativa.

Consultoría en seguridad y revisiones de la aplicación

Trabajamos con un consultor externo en seguridad y mantenemos un programa de recompensas externo mediante el cual pagamos a investigadores en seguridad que descubran vulnerabilidades.

Seguridad del centro de datos

Amazon

Amazon emplea un sólido programa de seguridad física con varias certificaciones, incluida una certificación SSAE 16. Para obtener más información sobre los procesos de seguridad física de Amazon, visita aws.amazon.com/security.

Funciones del producto

Funciones de gestión del administrador

  • Autenticación: Los administradores de Asana pueden forzar la autenticación de los empleados por medio de Google Accounts o establecer SAML. Si las contraseñas se almacenan directamente en Asana, las aseguramos mediante bcrypt aleatorio.

  • Gestión de usuarios: Los administradores pueden ver la última actividad, el estado de invitado/miembro y anular privilegios de los usuarios desde una interfaz de administración central.

Funciones del usuario

  • Ajustes de privacidad, visibilidad y compartir: Los clientes determinan quién puede acceder a diferentes categorías de datos, tales como equipos, proyectos y tareas. El acceso a una organización de Asana se basa en tu dominio de email empresarial. Puedes limitar el acceso de un usuario si lo invitas como Invitado.

Privacidad

Política de privacidad

La política de privacidad de Asana, que describe cómo manejamos los datos que se ingresan en Asana, puede encontrarse en asana.com/privacy.

Disponibilidad

Nos comprometemos a hacer que Asana esté disponible constantemente para ti y tus equipos. Nuestros sistemas tienen redundancia integrada para soportar fallos y son monitoreados constantemente para no interrumpir tu trabajo. Siempre puedes monitorear nuestra disponibilidad en nuestra página de confianza.

¿Quieres informar una inquietud de seguridad?

Ofrecemos un Programa de recompensas por vulnerabilidades de seguridad. Escríbenos por email a security@asana.com.