Asanas Sicherheitserklärung

Einleitung

Wir nutzen Asana täglich, um unsere Teams zu strukturieren, zu vernetzen und zielorientiert zu arbeiten. Die Sicherheit unserer Plattform ist entscheidend für den Schutz unserer eigenen Daten und der Schutz Ihrer Daten hat für uns Priorität.

Unsere Sicherheitspolitik deckt alle Geschäftsbereiche ab, darunter:

  • Asana Unternehmenssicherheitsrichtlinien
  • Physische und Umgebungssicherheit
  • Operationelle Sicherheitsprozesse
  • Skalierbarkeit & Verlässlichkeit unserer Systemarchitektur
  • Data Model Access Control in Asana
  • Systementwicklung und -wartung
  • Diensteentwicklung und -wartung
  • Regelmäßige Zusammenarbeit mit externen Sicherheitsexperten

Asana Unternehmenssicherheitsrichtlinien & -prozeduren

Jeder Asana-Mitarbeiter unterzeichnet eine Vereinbarung über Datenzugriff, wodurch er an unsere Vertraulichkeitsrichtlinien gebunden ist, verfügbar unter asana.com/terms und asana.com/privacy. Zugangsberechtigungen werden in Abhängigkeit von der Funktion und Rolle des Mitarbeiters erteilt.

SOC 2 (Typ 1 und 2)

Asana hat seine SOC 2 (Typ I) und (Typ II) Audits für Kontrollfunktionen, die für Sicherheit, Verfügbarkeit und Vertraulichkeit relevant sind, erfolgreich abgeschlossen. Dies bedeutet, dass ein unabhängiger Dritter sowohl unsere Prozesse und Praktiken in Bezug auf diese drei Service-Vertrauenskriterien validiert als auch unsere Fähigkeit bestätigt hat, die Einhaltung der Richtlinien mit den von uns implementierten Kontrollfunktionen aufrechtzuerhalten.

Sicherheit in unseren Software Development Lifecycle

Asana verwendet das Revision-Kontroll-System unter Git. Änderungen am Code werden automatisch verschiedenen Tests unterzogen und geprüft, bevor sie manuell überprüft werden. Wenn Codeänderungen das automatische Testsystem durchlaufen haben, werden sie zunächst an einen Staging-Server geleitet, wo ein Asana-Mitarbeiter Änderungen testet, bevor sie an die Produktionsserver und unsere Kunden übermittelt werden. Wir führen eine spezielle Sicherheitsprüfung bei heiklen Änderungen und Funktionen durch. Die Entwickler bei Asana können kritische Updates gezielt auswählen, um sie schnell auf die Produktionsserver zu bringen.

Neben einem Protokoll, in dem alle Zugriffskontrolländerungen veröffentlicht werden, haben wir automatisierte Tests, die prüfen, ob Zugriffskontrollregeln korrekt formuliert und wie erwartet umgesetzt werden. Wir arbeiten zudem mit externen Sicherheitsexperten, um:

  • Unseren Code auf verbreitete Exploits zu prüfen
  • Netzwerk-Scanning-Tools bei unseren Produktionsservern einzusetzen

Sicherheit am Asana-Standort

Der Zugang zu unserem Büro wird mit Schlüsselkarten überwacht. Besucher werden am Empfang dokumentiert.

Wir überwachen die Verfügbarkeit unseres Büronetzwerks und seiner Geräte. Wir dokumentieren Logs von Netzwerkgeräten wie Firewalls, DNS-Servern, DHCP-Servern und Routern zentral. Die Netzwerklogs werden für Sicherheitsanwendungen (Firewall), Wireless Access Points und Switches gespeichert.

Asana Architektur & Skalierbarkeit

Skalierbarkeit/Verlässlichkeit der Architektur

Asana verwendet Amazon Web Services (RDS & S3), um Nutzerdaten zu verwalten. Die Datenbank wird synchron repliziert, so dass wir im Fall eines Datenbankausfalls eine schnelle Wiederherstellung gewährleisten können. Als zusätzliche Schutzmaßnahme erstellen wir regelmäßig Abbilder der Datenbank und übertragen sie sicher in ein anderes Rechenzentrum, so dass wir sie bei Bedarf andernorts wiederherstellen können, sollte Amazon regional ausfallen.

Wir hosten Daten in sicheren nach SSAE 16 zertifizierten Rechenzentren mittels Amazon RDS in den USA.

Verschlüsselte Transaktionen

Webverbindungen mit Asana-Diensten erfolgen über TLS 1.1 und höher. Wir unterstützen Forward Secrecy und AES-GCM und verhindern unsichere Verbindungen mit TLS 1.0 oder darunter oder RC4.

Asana Datensicherheit

Arbeitsplätze, Laptops und Mobilgeräte von Angestellten

Alle Laptops und Arbeitsplätze sind durch vollständige Datenträgerverschlüsselung geschützt und werden zentral verwaltet. Wir achten penibel auf die Installation von Updates an Geräten von Angestellten und prüfen Arbeitsplätze und Geräte auf Malware. Wir können kritische Patches aufspielen und ein Geräte remote löschen. Wir verwenden branchenübliche OTP-Technologie, um den Zugang zur Unternehmensinfrastruktur weiter zu sichern.

Sicherheitsberatung und Anwendungsprüfung

Wir arbeiten mit externen Sicherheitsberatern zusammen und führen ein externes Prämienprogramm, in dessen Rahmen wir Forscher für die Aufdeckung von Sicherheitslücken bezahlen.

Rechensicherheitszentrum

Amazon

Amazon nutzt eine robustes physisches Sicherheitsprogramm mit verschiedenen Zertifizierungen, darunter eine SSAE 16 Zertifizierung. Für weitere Informationen zu physischen Sicherheitsprozessen bei Amazon gehen Sie bitte auf aws.amazon.com/security.

Produktfunktionen

Administratorverwaltungsfunktionen

  • Authentifizierung - Asana-Administratoren können eine verpflichtende Authentifizierung für Angestellte über Google-Konten oder SAML einrichten. Wenn Passwörter direkt in Asana gespeichert werden, schützen wir sie durch salted bcrypt.

  • Nutzer-Verwaltung - Administratoren können die letzten Aktivitäten, den Gast-/Mitgliederstatus sehen und Nutzer über ein zentrales Administrator-Interface deprovisionieren.

Nutzerfunktionen

  • Privatsphäre, Sichtbarkeit & Einstellungen fürs Sharing - Kunden bestimmen, wer verschiedene Datenkategorien einsehen kann, z. B. Teams, Projekte und Aufgaben. Der Zugang zu einem Unternehmen in Asana basiert auf einer Firmen-E-Mail-Domain. Sie können den Zugang von Nutzern begrenzen, wenn Sie diese als Gast einladen.

Sichtbarkeit

Datenschutzerklärung

In der Datenschutzerklärung von Asana wird beschrieben, wie wir mit eingegebenen Daten verfahren. Diese kann unter asana.com/privacy eingesehen werden.

Verfügbarkeit

Wir sind bestrebt, dass Asana für Sie und Ihre Teams stets verfügbar ist. Unsere Systeme verfügen über integrierte Redundanz, um Ausfällen standzuhalten, und werden ständig überwacht, um eine Unterbrechung Ihrer Arbeit zu verhindern. Sie können unsere Verfügbarkeit jederzeit auf unserer Statusseite überprüfen.

Sie wollen uns über eine Sicherheitslücke informieren?

Wir führen ein Sicherheitslücken-Bonusprogramm. Schreiben Sie uns eine E-Mail an security@asana.com.