Normes de sécurité des données

DATE D’ENTRÉE EN VIGUEUR : 28 FÉVRIER 2020

Le texte qui suit décrit les principes et l’architecture de sécurité d’Asana en matière de contrôles administratifs, techniques et physiques applicables au Service. Les termes qui débutent par une majuscule ont le sens qui leur est attribué dans l’Accord, sauf indication contraire dans le présent document.

1. Principes

Asana met l’accent sur les principes suivants en matière de conception et de mise en œuvre du programme et des pratiques de sécurité : (a) sécurité physique et environnementale pour protéger le Service contre tout accès, utilisation ou modification non autorisés ; (b) maintien de la disponibilité pour l’exploitation et l’utilisation du Service ; (c) confidentialité pour protéger les Données clients ; (d) intégrité pour maintenir l’exactitude et la cohérence des données tout au long du cycle d’utilisation.

2. Programme de sécurité

Asana maintient un programme de sécurité des informations qui s’appuie sur les éléments suivants : (a) disposer d’un programme formel de gestion des risques ; (b) procéder à des évaluations régulières des risques, au moins une fois par an, sur tous les systèmes et réseaux impliqués dans le traitement des Données clients ; (c) surveiller les incidents de sécurité et maintenir un plan de remédiation à plusieurs niveaux afin de garantir la correction en temps utile des vulnérabilités identifiées ; (d) un plan écrit de réponse aux incidents et une politique de sécurité des informations qui traite explicitement de la sécurité, de la confidentialité, de l’intégrité et de la disponibilité des Données clients, et donne à son personnel des directives à cet effet ; (e) un test annuel d’intrusion par un tiers qualifié ; (f) des ressources responsables de la sécurité des informations.

3. Centres de données

Asana utilise Amazon Web Services (AWS) pour assurer la gestion et l’hébergement des serveurs de production et des bases de données aux États-Unis et dans l’Union européenne. AWS s’appuie sur un programme de sécurité physique robuste qui bénéficie de multiples certifications, dont les certifications SSAE 16 et ISO 27001.

4. Accès, contrôles et politiques

L’accès à la gestion de l’environnement AWS d’Asana nécessite une authentification à plusieurs facteurs, l’accès SSH au service est enregistré dans un journal et l’accès aux Données clients est limité à un groupe restreint d’employés d’Asana dûment autorisés. Des fonctionnalités réseau AWS, telles que les groupes de sécurité, sont utilisées pour restreindre l’accès aux instances et ressources AWS, et sont également configurées pour restreindre l’accès selon le principe de moindre privilège. Les employés ont reçu une formation sur les procédures documentées en matière de confidentialité et de sécurité des informations. Chaque employé d’Asana signe une politique d’accès aux données, qui l’oblige à respecter les termes des politiques de confidentialité des données d’Asana. Les autorisations d’accès aux systèmes d’Asana sont immédiatement révoquées en cas de résiliation du contrat de travail.

5. Audits et certifications

À la date d’entrée en vigueur du présent document, Asana a obtenu la certification SOC 2 (Types I et II) relative à la pertinence de ses contrôles vis à vis des critères de sécurité, de disponibilité et de confidentialité spécifiés dans l’édition 2016 de la section 100A du TSP, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, Trust Services Principles and Criteria). Asana est certifié dans le cadre des boucliers de protection des données UE - États-Unis et Suisse - États-Unis concernant le transfert de données personnelles de l’Union européenne vers les Etats-Unis, et déclare s’être conformé à l’auto-certification dans le cadre des boucliers de protection des données UE - États-Unis et Suisse - États-Unis.

6. Gestion des fournisseurs

Asana prend toutes les mesures adéquates pour sélectionner et fidéliser des tiers fournisseurs de services qui respectent et mettent en œuvre des mesures de sécurité conformes aux politiques décrites dans le présent document. Avant d’utiliser un logiciel ou de faire appel à un fournisseur de logiciels donné, l’équipe informatique d’Asana examine attentivement les protocoles de sécurité du fournisseur concerné, ainsi que ses antécédents de sécurité. Elle se réserve le droit de rejeter l’utilisation de tout logiciel ou fournisseur de logiciel n’ayant pas démontré une capacité suffisante à protéger les données d’Asana et de ses utilisateurs finaux.

7. Tests et mesures correctives

Chaque année, de sa propre initiative et par l’intermédiaire de tiers, Asana effectue divers tests afin de se protéger de l’accès non autorisé aux Données clients et d’évaluer la sécurité, la fiabilité et l’intégrité du Service. Lorsqu’Asana détermine, à sa seule discrétion, qu’une mesure corrective est nécessaire sur la base des résultats des tests susmentionnés, Asana prend cette mesure dans un délai raisonnable, en tenant compte de la nature et de la gravité du problème identifié.

8. Réponse aux incidents de sécurité

Asana effectue chaque année des simulations de réponse aux incidents et a adopté un plan de réponse aux incidents, ayant pour but d’opposer un plan d’intervention rationnel et cohérent aux incidents de sécurité (présumés ou avérés) impliquant de manière accidentelle ou illicite la destruction, la perte, le vol, l’altération, la divulgation ou l’accès non autorisé à des données exclusives ou personnelles transmises, conservées ou traitées par Asana. Si Asana détecte, puis confirme l’accès non autorisé aux Données clients ou leur divulgation, Asana s’engage à informer immédiatement le Client de cet incident, et à en évaluer la cause profonde et y remédier dans les meilleurs délais. Asana déploiera tous les efforts raisonnables pour communiquer et coopérer avec le Client au cours de la mise en œuvre des mesures correctives pertinentes.

9. Surveillance de sécurité

Des applications antivirus ou anti-malware ont été installées pour détecter et prévenir l’intrusion de logiciels non autorisés ou malveillants. Asana utilise également des systèmes de détection d’intrusion pour ses réseaux d’entreprise et environnements de production. Asana conduit régulièrement des analyses de sécurité. Concernant la surveillance des virus, Asana met à jour automatiquement ou manuellement la plupart des logiciels qu’il utilise et confie cette responsabilité à Amazon lorsque cela est logique et possible. Asana suit un processus d’analyse de vulnérabilité sur les systèmes de son environnement de production. Le champ d’application des analyses de vulnérabilité couvre les systèmes externes et internes de l’environnement de production. L’équipe de sécurité d’Asana effectue ces analyses de vulnérabilité au moins une fois par semaine et détermine la gravité de chaque vulnérabilité selon les critères des outils d’évaluation. Il est ainsi établi que les vulnérabilités de niveau élevé ou plus élevé nécessitent des mesures correctives. Chaque évolution importante de l’environnement de production s’accompagne également d’analyses de vulnérabilité déterminées par le responsable de la sécurité.

10. Chiffrement

Les Données clients sont chiffrées en transit et, selon la version du Service choisie par le Client, elles sont chiffrées au repos (et restent chiffrées au repos). La connexion à app.asana.com est chiffrée en 128 bits et est compatible avec la norme TLS 1.2 et ses versions ultérieures. Le transfert des données de connexion et des données sensibles se fait exclusivement par protocole TLS ou SSH.

11. Sauvegardes et restauration

Asana réalise des captures quotidiennes de sa base de données et les copie en toute sécurité dans un centre de données séparé à des fins de restauration en cas de défaillance locale d’AWS. Les sauvegardes sont chiffrées et bénéficient du même niveau de protection que les bases de données de production. En outre, les Données clients sont stockées dans différentes régions à l’aide d’AWS.

12. Conduite du changement

Asana a établi une politique de conduite du changement afin de s’assurer que tout changement reste conforme aux exigences d’Asana en matière de sécurité, de confidentialité et de disponibilité. La politique est vérifiée et approuvée chaque année par la direction. Toute modification apportée à la configuration informatique ou de production, dont les conséquences sur la sécurité sont inconnues ou prévisibles, doit être examinée par les équipes du domaine de responsabilité compétent avant sa mise en œuvre.

13. Reprise après sinistre et continuité des activités

Asana respecte un plan de continuité des activités applicable dans le cadre d’arrêts prolongés de ses services en raison de désastres imprévus ou inévitables, ceci afin de rétablir ses services du mieux possible dans un délai raisonnable. Ce plan couvre les fonctions commerciales essentielles à la mission et les systèmes associés. Asana a documenté par écrit les politiques et mesures de reprise après sinistre à adopter pour assurer la reprise ou la continuité de ses infrastructures technologiques clés à la suite d’un sinistre. Des captures de la base de données sont réalisées quotidiennement et les sauvegardes des données sont stockées chiffrées. Ces sauvegardes sont stockées dans une région distincte et le Service est hébergé sur une infrastructure de serveurs et de réseaux redondante, dans des centres de données situés au sein de zones géographiques séparées. Ce plan est révisé et testé chaque année.

Asana se réserve le droit de modifier ponctuellement ses pratiques en matière de sécurité, à condition que de telles modifications ou mises à jour n’aient pas d’incidence défavorable importante sur la sécurité globale du Service pendant la Durée de l’Abonnement.