Ce document décrit les exigences minimales de sécurité (mesures de protection administratives, techniques et physiques) pour tout tiers qui fournit des services à un ou plusieurs Clients d’Asana (le « Sous-traitant » et conjointement les « Sous-traitants »). Sauf indication contraire dans les présentes, les termes qui débutent par une majuscule ont le sens qui leur est attribué dans l’accord de services sous-jacent entre Asana et le Sous-traitant.
a. Le Sous-traitant maintient un programme de sécurité des informations conçu pour assurer la sécurité, la disponibilité, l’intégrité et la confidentialité des Données clients. Ce programme inclut : i. La mise en œuvre d’un processus officiel de gestion des risques ii. Des évaluations périodiques des risques iii. Des tests d’intrusion effectués par un tiers qualifié et indépendant au moins une fois par an. Si des mesures correctives doivent être appliquées, le Sous-traitant agira dans un délai raisonnable compte tenu de la probabilité et des conséquences de la/des constatation(s).
b. Le Fournisseur est tenu de nommer un Responsable de la sécurité et d’embaucher du personnel qualifié, chargé de garantir la sécurité des informations.
a. Le Sous-traitant établit et maintient les politiques suivantes : i. Politique d’utilisation acceptable, laquelle décrit de quelle manière employer les Données clients de façon appropriée. ii. Politique de sécurité des informations qui traite explicitement de la sécurité, de la confidentialité, de l’intégrité et de la disponibilité des Données clients ; le Sous-traitant donnera à son personnel des directives à cet effet.
b. Le Sous-traitant est tenu de réviser ses politiques et procédures au moins une fois par an.
c. Sur demande écrite d’Asana, et une fois tous les six mois maximum, le Fournisseur est dans l’obligation de fournir à Asana une copie de sa Politique de sécurité des informations, de sa Politique d’utilisation acceptable, de toutes les attestations de tiers ou certifications de l’industrie en cours de validité (SOC 2 Type II, ISO 27001, etc.), ainsi que de toutes les mises à jour ou modifications de celles-ci. Si, en se basant sur les critères énoncés dans les présentes, Asana a des raisons valables de croire que le programme du Fournisseur présente des failles, Asana se réserve le droit de demander par écrit au Fournisseur de remplir un questionnaire de sécurité supplémentaire. Ledit Fournisseur est tenu de répondre dans les trente jours suivants la réception de la notification écrite envoyée par Asana. En outre, ce questionnaire doit être approuvé et validé par le Responsable de la sécurité nommé par le Fournisseur.
**Le Sous-traitant est tenu de fournir à chaque membre du personnel une formation portant sur la sécurité des informations et la protection de la vie privée au moment de son embauche, puis au moins une fois par an par la suite.
b. Le Sous-traitant doit s’assurer que chacun des membres du personnel reconnaît avoir lu et compris les politiques et procédures établies par le Sous-traitant, y compris sa Politique de sécurité des informations, au moment de son embauche, puis au moins une fois par an par la suite.
a. Le Sous-traitant accèdera aux Données clients uniquement si nécessaire, afin d’exécuter les services convenus. À des fins de transparence, lorsqu’Asana fait appel à un Sous-traitant pour des Services de gestion des habilitations, à aucun moment le Sous-traitant n’accède à l’instance Asana du Client, et ce, pendant toute la durée de la relation qui lie les deux parties. Le Sous-traitant doit coopérer avec le Client afin de développer de bonnes pratiques pour simplifier l’exécution des Services de gestion des habilitations susmentionnés, y compris, mais sans s’y limiter, accepter le partage d’écran, l’enregistrement vidéo ou toute autre capture d’écran si besoin, pour proposer la formation et les directives nécessaires spécifiés dans le Bon de commande.
b. Le Sous-traitant veillera à ce que les membres du personnel puissent accéder aux Données clients depuis les systèmes du Sous-traitant en ayant recours à l’authentification multifacteur uniquement.
c. Le Sous-traitant doit s’assurer que tous les mots de passe utilisés sont conformes ou dépassent les exigences de la norme NIST 800-63b relative aux mots de passe secrets mémorisés.
d. Le Sous-traitant doit enregistrer et surveiller l’accès aux Données clients et enquêter sans délai sur toute activité suspecte.
e. Le Sous-traitant doit configurer et restreindre l’accès selon le principe de moindre privilège.
f. Au terme de l’accord entre les parties, le Sous-traitant est tenu de retirer aux membres du personnel l’accès aux systèmes traitant les Données clients, dans un délai de 24 heures.
a. Le Sous-traitant doit adopter un plan de réponse aux incidents de sécurité, révisé au moins une fois par an. b. Le Sous-traitant est tenu de tester ledit plan de réponse aux incidents de sécurité au moins une fois par an. c. Le Sous-traitant doit signaler tout incident de sécurité, conformément à l’Addendum d’Asana sur le traitement des données.
a. Le Sous-traitant est tenu d’utiliser un mécanisme de chiffrement des données approprié au repos et en transit (TLS 1.2, SSH, AES-256 au minimum).
a. S’agissant des dispositifs et équipements, le Sous-traitant respectera les exigences suivantes, en fonction des Services listés dans le Bon de commande.
Pour les Services de gestion des habilitations :
1. Le Sous-traitant doit tenir un inventaire des points de terminaison utilisateurs, lequel sera régulièrement mis à jour, audité et révisé.
2. Le Sous-traitant crée et applique un processus documenté de provisionnement des points de terminaison basé sur des normes de durcissement documentées.
3. Les points de terminaison du Sous-traitant sous soumis à des contrôles de sécurité commercialement raisonnables, lesquels comprennent au minimum :
un chiffrement du disque dur local ;
un mot de passe local ; et
un logiciel EDR avec surveillance continue, y compris l’analyse, la détection, l’endiguement et la capacité à établir des rapports d’analyse sur les antivirus et logiciels malveillants.
4. Le Sous-traitant recourt à des mécanismes pour contrôler en continu la diffusion de supports sensibles, notamment en empêchant les utilisateurs d’effectuer des transferts de fichiers par le biais de services de transfert de fichiers non approuvés ou de transférer des données sur des supports externes (par exemple, des clés USB).
5. Le Sous-traitant est tenu de recourir à des mécanismes pour éliminer, détruire ou transmettre le matériel en toute sécurité lorsqu’il n’en a plus utilité.
6. Le Sous-traitant s’assure que le matériel est restitué en temps opportun lorsqu’il n’en a plus utilité.
7. Le Sous-traitant a la possibilité d’effacer à distance le contenu des équipements en cas de vol ou en cas de menace de sécurité.
Pour des Services intégrés ou de tout autre type, sans lien avec les Services de gestion des habilitations :
1. Le Sous-traitant utilisera uniquement des appareils gérés par Asana pour exécuter les activités liées aux Services. Pour ce faire, il dispose de plusieurs options :
a. recevoir des dispositifs gérés par Asana, et ce, pendant toute la durée de la relation qui le lie avec les Clients d’Asana. Le cas échéant, le Sous-traitant est tenu d’employer uniquement les dispositifs gérés par Asana pour exécuter les Services requis par les Clients d’Asana, conformément à l’accord sous-jacent entre Asana et le Sous-traitant ; ou
b. acheter un ordinateur portable neuf et non configuré qui sera ajouté aux systèmes de gestion des points de terminaison d’Asana. Asana y installera des applications antivirus/anti-malware et veillera à ce que l’appareil choisi réponde à ses exigences minimales de sécurité.
a. Le Sous-traitant mène à bien une évaluation des risques de sécurité pour tous les fournisseurs de services tiers susceptibles d’accéder aux Données clients, et ce, avant qu’un quelconque Service ne soit fourni.
b. Le Sous-traitant est tenu d’effectuer tous les efforts raisonnables afin de s’assurer que les fournisseurs de services tiers adoptent et conservent des mesures de sécurité qui soient au moins conformes aux dispositions du présent accord.
a. À l’exception des Services de gestion des habilitations, le Sous-traitant accèdera à l’instance Asana du Client pendant la durée de la relation qui le lie avec ce dernier uniquement, laquelle est précisée dans le Bon de commande correspondant. Au terme de la relation qui le lie avec le Client, le Sous-traitant s’assurera de ne plus pourvoir accéder à l’environnement Asana du Client.
b. Le Sous-traitant veillera à ce que l’ensemble des Données clients ayant été téléchargées ou conservées en dehors de son instance Asana, ainsi que toutes les copies, soient détruites dès la résiliation des Services.
a. Le Sous-traitant est tenu de vérifier les antécédents des employés avant leur prise de fonctions. Les vérifications des antécédents sont conçues conformément aux lois et réglementations applicables, aux normes éthiques et aux contraintes locales eu égard aux choix contractuels ; lesdites vérifications sont proportionnelles à la classification des données qui souhaitent être consultées, aux exigences commerciales et au risque acceptable.