Déclaration d’Asana relative à la sécurité

Introduction

Nous utilisons Asana tous les jours pour l’organisation de notre équipe et pour lui permettre de rester connectée et concentrée sur les résultats. Assurer la sécurité de notre plateforme est essentiel pour protéger nos propres données et la protection de vos informations est notre priorité absolue.

Notre stratégie de sécurité couvre tous les aspects de l’entreprise, y compris :

  • Les politiques de sécurité d’entreprise d’Asana
  • La sécurité environnementale et physique
  • Les processus de sécurité opérationnelle
  • L’évolutivité et la fiabilité de notre architecture système
  • Le contrôle de l’accès au modèle de données sur Asana
  • Le développement et la maintenance des systèmes
  • Le développement et la maintenance du service
  • La collaboration régulière avec des experts de sécurité tiers

Politiques et procédures de sécurité d’entreprise d’Asana

Chaque employé d’Asana signe une politique d’accès aux données qui le lie aux termes de nos politiques de confidentialité des données, disponibles sur asana.com/terms et asana.com/privacy. Les droits d’accès sont basés sur la fonction et le rôle de l’employé.

Sécurité dans notre cycle de vie du développement logiciel

Asana utilise le système de contrôle de révisions git. Les changements apportés au codebase d’Asana passent par une série de tests automatisés, sont examinés et font l’objet d’une série de révisions manuelles. Lorsque les changements du code réussissent les tests du système automatisé, ces changements sont d’abord envoyés à un serveur de stockage temporaire où les employés d’Asana sont en mesure de tester les changements avant un éventuel envoi aux serveurs de production et à notre base de clients. Nous ajoutons également un examen de sécurité spécifique pour les modifications et fonctionnalités particulièrement sensibles. Les ingénieurs d’Asana ont également la possibilité de sélectionner les mises à jour critiques et de les envoyer immédiatement aux serveurs de production.

En plus d’une liste où sont publiés tous les changements de contrôle d’accès, nous disposons d’une suite de tests unitaires automatisés qui vérifient que les règles de contrôle d’accès sont écrites correctement et appliquées comme prévu. Nous travaillons également avec des professionnels de la sécurité tiers afin de :

  • Tester notre code face aux attaques courantes
  • Utiliser des outils d’analyse de réseau sur nos serveurs de production

Sécurité dans les bureaux d’Asana

L’accès à nos bureaux est sécurisé par un accès à carte magnétique avec enregistrement des accès. Les visiteurs sont enregistrés à la réception.

Nous surveillons la disponibilité du réseau de nos bureaux et des appareils qui s’y trouvent. Nous collectons en un seul endroit les journaux produits par les périphériques réseau tels que les pare-feux, serveurs DNS, serveurs DHCP et routeurs. Les journaux réseau sont conservés pour le périphérique de sécurité (pare-feu), les points d’accès sans fil et les commutateurs.

Architecture Asana et évolutivité

Évolutivité/fiabilité de l’architecture

Asana utilise Amazon Web Services (RDS et S3) pour gérer les données utilisateur. La base de données est répliquée de manière synchrone afin que nous puissions récupérer rapidement les données en cas de défaillance de la base de données. Comme précaution supplémentaire, nous effectuons régulièrement des captures de la base de données et les déplaçons en toute sécurité vers un centre de données séparé afin de pouvoir les restaurer ailleurs si nécessaire, même en cas d’une défaillance régionale d’Amazon.

Nous hébergeons actuellement des données dans des centres de données sécurisés certifiés SSAE 16 et fournis par Amazon RDS aux États-Unis.

Transactions chiffrées

Les connexions web au service Asana se font via le protocole TLS 1.1 et supérieur. Nous prenons en charge la confidentialité persistante et l’AES-GCM et interdisons les connexions non sécurisées utilisant TLS 1.0 et inférieur ou RC4.

Se préparer au RGPD avec Asana

Le Règlement général sur la protection des données (ci-après, le « RGPD ») est le nouveau règlement européen en matière de protection des données à caractère personnel des citoyens de l’Union européenne (ci-après, l’« UE »). Lorsque le RGPD entrera en vigueur le 25 mai 2018, la plupart des organisations qui collectent, conservent ou traitent les données à caractère personnel des citoyens de l’UE (quel que soit l’endroit du monde où l’organisation est implantée) seront tenues de mettre en œuvre certaines procédures et garanties pour ces données. En préparation du RGPD, Asana a établi un programme de conformité complet et s’est engagé à collaborer avec ses clients et fournisseurs pour les assister dans leurs efforts de mise en conformité au RGPD. Nous expliquons ci-dessous comment Asana se prépare au RGPD et comment les clients peuvent utiliser Asana pour appuyer leurs initiatives de mise en conformité au RGPD.

Accords relatifs au traitement des données

Dans le cadre du RGPD, les « responsables du traitement » (c’est-à-dire les entités qui déterminent les motifs et les moyens du traitement des données) sont tenus de conclure des accords avec les autres entités qui traitent les données pour leur compte (appelées les « sous-traitants »). Asana donne à ses clients de l’UE qui sont responsables du traitement la possibilité de conclure un accord complet relatif au traitement des données, exigeant qu’Asana protège les données à caractère personnel conformément aux exigences du RGPD.

Transfert international de données

Conformément aux législations européennes en matière de protection des données, le RGPD exige que les organisations utilisent un dispositif légal et reconnu pour transférer des données de l’UE vers d’autres pays qui ne disposent pas d’un cadre similaire en matière de protection des données, y compris les États-Unis. Pour se conformer à cette exigence, Asana est certifiée en vertu du cadre du bouclier de protection des données UE-États-Unis, qui l’oblige à maintenir certaines garanties pour les données à caractère personnel transférées aux États-Unis. En outre, Asana donne à ses clients situés au sein de l’UE la possibilité de conclure, sur demande, un accord basé sur les clauses contractuelles types de l’UE.

Outils d’accès, de gestion et de portabilité des données

Le RGPD donne aux personnes concernées, dans certaines circonstances, le droit, entre autres, d’accéder à leurs données, de les effacer et d’y apporter des corrections. Les personnes concernées peuvent adresser ces demandes directement aux responsables du traitement de leurs données. Avec Asana, il est facile pour nos clients qui sont responsables du traitement d’accéder aux données des membres de leur équipe en réponse à ces demandes et de les gérer. Par exemple, les clients peuvent directement accéder aux données, les mettre à jour, les modifier et les supprimer, depuis la plate-forme Asana. Asana offre également aux clients la possibilité d’exporter les données des membres de leur organisation et des utilisateurs invités afin que ces données puissent être envoyées hors de la plate-forme.

Documentation sur la protection de la vie privée

Fondamentalement, le RGPD est axé sur la transparence, l’équité et la responsabilisation. Par conséquent, la loi exige que les organisations tiennent à jour une documentation sur leurs pratiques en matière de protection de la vie privée et sur leurs décisions quant à la façon dont elles traitent les données à caractère personnel des particuliers. Asana partage l’engagement du RGPD à l’égard de ces principes et a inclus dans son programme permanent de conformité au RGPD de la documentation sur les activités de collecte et de traitement des données d’Asana, ainsi que les diverses politiques et directives que suit Asana en vertu du RGPD.

Sécurité

Protéger les données à caractère personnel de nos utilisateurs continue d’être une priorité pour Asana alors que nous nous préparons au RGPD. Le RGPD exige que les organisations utilisent des mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et l’intégrité des données à caractère personnel. Asana a mis en place diverses mesures de protection pour assurer la sécurité de notre plate-forme, y compris le chiffrement des connexions Internet pour protéger les transmissions de données, la réplication des bases de données pour assurer la fiabilité de la plate-forme, ainsi que le contrôle de l’accès à nos installations et à nos bureaux. Asana donne également aux clients la possibilité d’utiliser des contrôles de sécurité supplémentaires pour renforcer la sécurité des données de leurs équipes.

Communication continue

Nous attachons une grande importance à la communication avec nos clients. Au fur et à mesure qu’Asana continuera à évaluer et à mettre à jour son programme de protection des données, nous vous tiendrons au courant des mises à jour importantes.

Sécurité de l’information Asana

Stations de travail, ordinateurs portables et appareils mobiles des employés

Tous les ordinateurs portables et les postes de travail sont sécurisés par chiffrement intégral du disque et gérés de manière centralisée. Nous appliquons avec diligence les mises à jour aux machines des employés et surveillons les postes de travail des employés pour détecter les logiciels malveillants. Nous avons également la capacité d’appliquer des correctifs critiques et d’effacer à distance une machine. Nous utilisons la technologie OTP (mot de passe à usage unique) conformément aux normes industrielles pour sécuriser davantage l’accès à notre infrastructure d’entreprise.

Conseil en sécurité et évaluation des applications

Nous travaillons avec un conseiller en sécurité externe et maintenons un programme de primes externe par le biais duquel nous rémunérons les chercheurs en sécurité qui découvrent des vulnérabilités.

Sécurité du centre de données

Amazon

Amazon utilise un programme de sécurité physique robuste avec plusieurs certifications, y compris une certification SSAE 16. Pour plus d’informations sur les processus de sécurité physique d’Amazon, rendez-vous sur aws.amazon.com/security.

Fonctionnalités du produit

Fonctions de gestion de l’administration

  • Authentification — Les administrateurs Asana peuvent forcer les employés à s’authentifier par le biais de comptes Google ou configurer le SAML. Si les mots de passe sont stockés directement sur Asana, nous les sécurisons à l’aide de bcrypt avec sel (salted bcrypt).

  • Gestion des utilisateurs — Les administrateurs peuvent voir les dernières activités, voir le statut Invité/Membre et déprovisionner des utilisateurs depuis une interface d’administration centrale.

Fonctionnalités utilisateur

  • Paramètres de confidentialité, visibilité et partage — Les clients déterminent qui peut accéder aux différentes catégories de données comme les équipes, les projets et les tâches. L’accès aux organisations Asana est basé sur le domaine de messagerie de votre entreprise. Vous pouvez limiter l’accès d’un utilisateur en le conviant comme invité.

Confidentialité

politique de confidentialité

La politique de confidentialité d’Asana, qui décrit comment nous traitons les données saisies sur Asana, peut être consultée sur asana.com/privacy.

Disponibilité

Nous nous engageons à mettre Asana à votre disposition et à celle de vos équipes. Nos systèmes ont une redondance intégrée pour résister aux défaillances et sont constamment surveillés afin de permettre que votre travail soit ininterrompu. Vous pouvez toujours vérifier notre disponibilité sur notre page Asana Trust.

Vous souhaitez signaler un problème de sécurité ?

Nous proposons un programme de prime pour les exploits de sécurité découverts. Écrivez à [security@asana.com][1].

[1] : mailto:security@asana.com