El presente documento describe los requisitos mínimos de seguridad (garantías administrativas, técnicas y físicas) aplicables a todo tercero que brinde Servicios a los Clientes de Asana (en adelante denominado “Subcontratista”). Los términos en mayúscula tendrán el significado que se les asigna en el acuerdo de servicios subyacente entre Asana y el Subcontratista, a menos que se defina lo contrario en este documento.
a. El Subcontratista cuenta con un programa de seguridad de la información diseñado para garantizar la seguridad, disponibilidad, integridad y confidencialidad de los datos del cliente. El programa incluye lo siguiente: i. Gestión de riesgos formal ii. Evaluaciones de riesgo periódicas iii. Pruebas de penetración realizadas por un tercero calificado e independiente al menos una vez al año. Si es necesario tomar alguna medida correctiva, el Subcontratista lo hará en un período razonable que tenga en cuenta la probabilidad y el impacto del/los hallazgo(s).
b. El Proveedor ha designado un Oficial de seguridad y personal de seguridad apropiado que estarán a cargo de los esfuerzos de seguridad de la información.
a. El Subcontratista tiene y aplica las siguientes políticas: i. Política de uso aceptable que describe el uso apropiado de los Datos del cliente. ii. Política de seguridad de la información diseñada para brindar orientación al personal con respecto a cómo mantener la seguridad, confidencialidad, integridad y disponibilidad de los Datos del cliente.
b. El Subcontratista revisa sus políticas y procedimientos al menos una vez al año.
c. Previa solicitud por escrito de Asana y no más de una vez en un período de seis meses, el Proveedor deberá proporcionar a Asana una copia de su Política de seguridad de la información, de su Política de uso aceptable, de cualquier certificación actual de terceros o de la industria (es decir, SOC 2 Tipo II, ISO 27001) y sus respectivas actualizaciones o modificaciones. En el caso de que Asana crea, por motivos razonables, que existen insuficiencias en el programa del Proveedor según los criterios establecidos en este documento, Asana puede solicitar por escrito que el Proveedor complete un cuestionario de seguridad adicional, lo que el Proveedor debe proporcionar dentro de los treinta días contados a partir de la recepción de dicha solicitud. Dicho cuestionario debe ser confirmado y aceptado por el Oficial de seguridad designado por el Proveedor.
a. El Subcontratista debe proporcionar capacitación en seguridad y privacidad de la información a su personal al momento de la contratación y al menos una vez al año a partir de entonces.
b. El Subcontratista debe asegurarse de que el personal confirme que ha leído y comprendido las políticas y los procedimientos del Subcontratista, incluida la Política de seguridad de la información, al momento de la contratación y al menos una vez al año a partir de entonces.
a. El Subcontratista solo accederá a los Datos del cliente cuando sea necesario para prestar los servicios acordados. Para aportar mayor claridad, cuando Asana haya contratado a un Subcontratista para que preste los Servicios habilitantes, el Subcontratista no deberá acceder a la instancia del Cliente del Servicio de Asana en ningún momento durante dicha contratación. El Subcontratista cooperará con el Cliente en el desarrollo de las mejores prácticas para prestar dichos Servicios habilitantes, lo que incluye, entre otros, compartir pantalla, grabar videos u otras capturas de pantalla según sea necesario para brindar la capacitación y orientación especificadas en el Pedido.
b. El Subcontratista se asegurará de que el personal solo pueda acceder a los Datos del cliente en los sistemas del Subcontratista mediante autenticación de múltiples factores.
c. El Subcontratista debe asegurarse de que todas las contraseñas cumplan o superen los requisitos de contraseña secreta memorizada NIST 800-63b.
d. El Subcontratista debe registrar y controlar el acceso a los Datos del cliente e investigar de inmediato cualquier actividad sospechosa.
e. El Subcontratista debe proporcionar acceso de acuerdo con los principios de mínimo privilegio.
f. Al momento de la rescisión, el Subcontratista debe quitar al personal el derecho de acceso a los sistemas que procesan los Datos del cliente dentro de un plazo de 24 horas.
a. El Subcontratista cuenta con un Plan de respuesta ante incidentes de seguridad que se revisa al menos una vez al año. b. El Subcontratista pone a prueba el Plan de respuesta ante incidentes al menos una vez al año. c. El Subcontratista debe informar los incidentes de seguridad de acuerdo con el Anexo de Procesamiento de datos de Asana.
a. El Subcontratista utiliza un mecanismo de cifrado adecuado para datos en reposo y en tránsito (como mínimo: TLS 1.2, ssh, AES-256).
a. El Subcontratista se adherirá a los siguientes requisitos del dispositivo en función de los Servicios establecidos en el Pedido correspondiente.
Para los Servicios habilitantes:
1. El Subcontratista cuenta con un inventario de activos de los puntos terminales del usuario que se actualiza, audita y revisa de forma periódica.
2. El Subcontratista cuenta con un proceso documentado para la gestión de acceso a los puntos terminales basado en estándares de refuerzo documentados.
3. Los puntos terminales del Subcontratista emplean controles de seguridad comercialmente razonables, que incluyen como mínimo lo siguiente:
Cifrado del disco duro local;
Una contraseña local; y
Software de detección y respuesta de terminales (EDR) con monitoreo continuo, que incluye capacidades de análisis, detección, contención y generación de informes de antivirus y malware.
4. El Subcontratista emplea mecanismos para mantener el control sobre la distribución de datos confidenciales, incluida la prevención de que los usuarios realicen transferencias de archivos a través de servicios de transferencia de archivos no aprobados o la transferencia de datos a medios externos (por ejemplo, unidades USB).
5. El Subcontratista emplea mecanismos para eliminar, destruir o reutilizar de forma segura el hardware cuando ya no se lo necesita.
6. El Subcontratista se asegura de que el hardware se devuelva de manera oportuna cuando ya no se lo necesita.
7. El Subcontratista tiene la capacidad de borrar las máquinas de forma remota si estas fueran robadas o se vieran comprometidas.
Para los Servicios integrados u otros servicios que no sean habilitantes:
1. El Subcontratista solo utilizará dispositivos administrados por Asana para realizar el trabajo relacionado con los servicios. El Subcontratista puede optar por cualquiera de las siguientes opciones:
a. Recibir hardware administrado por Asana durante el transcurso de su interacción con los Clientes de Asana. Si el Subcontratista recibe hardware, este debe usar solo el hardware de Asana para prestar los Servicios relacionados con los Clientes de Asana de conformidad con el acuerdo subyacente entre Asana y el Subcontratista; o
b. proporcionar una computadora portátil nueva y sin configurar para inscribirla en los sistemas de gestión de terminales de Asana. Asana instalará aplicaciones antivirus/antimalware y se asegurará de que el dispositivo cumpla con nuestros requisitos mínimos de seguridad.
a. El Subcontratista realiza una evaluación de riesgos de seguridad para cualquier proveedor de servicios de terceros que pueda tener acceso a los Datos del cliente antes del inicio del servicio.
b. El Subcontratista hace esfuerzos razonables para garantizar que los proveedores de servicios de terceros mantengan medidas de seguridad mínimas de acuerdo con este acuerdo.
a. Excepto en lo que respecta a los Servicios habilitantes, el Subcontratista solo accederá a la instancia del Cliente del Servicio de Asana durante la duración establecida en el Pedido correspondiente. Al finalizar el compromiso con el Cliente, el Proveedor se asegurará de que ya no tiene acceso al entorno de Asana del Cliente.
b. El Subcontratista se asegurará de que cualquier Dato del cliente que haya sido descargado o retenido fuera de su instancia de Asana y cualquier copia se destruirá al finalizar los servicios.
a. El Subcontratista realiza verificaciones de antecedentes de los empleados antes del inicio del empleo. Las verificaciones de antecedentes están diseñadas de acuerdo con las leyes locales, los reglamentos, la ética y las restricciones contractuales y son proporcionales a la clasificación de los datos a los que se accede, los requisitos comerciales y el riesgo aceptable.