Dokumen ini menguraikan persyaratan keamanan minimum (pengamanan administratif, teknis, dan fisik) untuk pihak ketiga yang menyediakan Layanan bagi Pelanggan Asana (“Subkontraktor”). Istilah dalam huruf kapital akan memiliki arti sesuai yang ditetapkan untuk istilah tersebut di dalam dasar perjanjian layanan antara Asana dan Subkontraktor kecuali apabila ditentukan lain di dalam dokumen ini.

1. Program Keamanan

a. Subkontraktor mengelola program keamanan informasi yang dirancang untuk memastikan keamanan, ketersediaan, integritas, dan kerahasiaan Data Pelanggan. Program ini meliputi: i. Manajemen risiko formal ii. Penilaian risiko berkala iii. Pengujian penetrasi yang dilakukan oleh pihak ketiga independen yang memenuhi persyaratan sekurang-kurangnya setiap tahun. Apabila remediasi diperlukan, Subkontraktor akan melakukan remediasi dalam jangka waktu yang wajar dengan mempertimbangkan kemungkinan dan dampak temuannya.

b. Vendor telah menunjuk Penanggung Jawab Keamanan dan personel keamanan yang tepat untuk upaya keamanan informasi.

2. Kebijakan dan Prosedur

a. Subkontraktor memiliki dan memelihara kebijakan berikut: i. Kebijakan penggunaan yang berterima yang menguraikan penggunaan yang sesuai atas Data Pelanggan. ii. Kebijakan keamanan informasi yang dirancang untuk memberi panduan kepada personel mengenai pemeliharaan keamanan, kerahasiaan, integritas, dan ketersediaan Data Pelanggan.

b. Subkontraktor meninjau kebijakan dan prosedurnya sekurang-kurangnya setiap tahun.

c. Setelah permintaan tertulis dari Asana dan tidak lebih dari satu kali selama periode enam bulan, Vendor akan memberi Asana salinan Kebijakan Keamanan Informasi, Kebijakan Penggunaan yang Berterima, dokumen pengesahan dari pihak ketiga yang dimiliki saat ini atau sertifikasi industri (yakni, SOC 2 Tipe II, ISO 27001) dan pembaruan atau perubahan dokumen tersebut. Apabila Asana secara wajar meyakini adanya celah dalam program Vendor berdasarkan kriteria yang telah ditetapkan di dalam dokumen ini, Asana dapat meminta secara tertulis, dan Vendor harus memberikan dalam jangka waktu tiga puluh hari sejak diterimanya permintaan tersebut, bahwa Vendor mengisi kuesioner keamanan tambahan. Kuesioner tersebut harus diterima dan disetujui oleh Penanggung Jawab Keamanan yang ditunjuk Vendor.

3. Pelatihan

a. Subkontraktor harus membekali personelnya dengan pelatihan keamanan informasi dan privasi pada saat personel mulai dipekerjakan dan sekurang-kurangnya setiap tahun setelah itu.

b. Subkontraktor harus memastikan bahwa personel menyatakan mereka telah membaca dan memahami kebijakan dan prosedur Subkontraktor, termasuk kebijakan keamanan informasi, pada saat mulai bekerja dan sekurang-kurangnya setiap tahun setelah itu.

4. Kontrol Akses

a. Subkontraktor hanya akan mengakses Data Pelanggan berdasarkan kebutuhan untuk mengetahui untuk tujuan melaksanakan layanan yang telah disepakati. Untuk kejelasan, jika Asana telah membeli Layanan Pemberdayaan (Enablement Services) dari Subkontraktor, Subkontraktor tidak akan mengakses instans Pelanggan dalam Layanan Asana kapan pun selama perikatan tersebut. Subkontraktor akan bekerja sama dengan Pelanggan guna mengembangkan praktik terbaik untuk melaksanakan Enablement Services tersebut, termasuk tetapi tidak terbatas pada berbagi layar, perekaman video, atau tangkapan layar lain yang diperlukan untuk memberikan pelatihan dan bimbingan wajib yang disebutkan di dalam Pesanan.

b. Subkontraktor akan memastikan bahwa personel hanya bisa mengakses Data Pelanggan pada sistem milik Subkontraktor menggunakan autentikasi multifaktor.

c. Subkontraktor harus memastikan semua kata sandi setara dengan atau lebih kuat dari persyaratan kata sandi tipe rahasia tersimpan NIST 800-63b.

d. Subkontraktor harus membuat log dan memantau akses ke Data Pelanggan dan segera menginvestigasi aktivitas mencurigakan

e. Subkontraktor harus memberikan akses sesuai dengan prinsip hak akses terendah.

f. Setelah pengakhiran, Subkontraktor harus menghapus akses personel ke sistemnya yang memproses Data Pelanggan dalam waktu 24 jam.

5. Tanggap Insiden

a. Subkontraktor menjalankan Rencana Tanggap Insiden Keamanan yang ditinjau sekurang-kurangnya setiap tahun. b. Subkontraktor menguji Rencana Tanggap Insiden sekurang-kurangnya setiap tahun. c. Subkontraktor harus melaporkan Insiden Keamanan sesuai dengan Adendum Pemrosesan Data Asana.

6. Enkripsi

a. Subkontraktor menggunakan mekanisme enkripsi yang sesuai untuk data at rest dan in transit (minimum: TLS 1.2, ssh, AES-256).

7. Perangkat Keras

a. Subkontraktor akan menaati persyaratan perangkat berikut berdasarkan Layanan yang disebutkan di dalam Pesanan.

Untuk Enablement Services:

1. Subkontraktor mengelola inventaris aset endpoint pengguna yang diperbarui, diaudit, dan ditinjau secara berkala.

2. Subkontraktor menjalankan proses terdokumentasi untuk penyediaan endpoint berdasarkan standar hardening yang terdokumentasi.

3. Endpoint subkontraktor menggunakan kontrol keamanan yang wajar secara komersial, termasuk minimum:

• Enkripsi hard drive lokal;

• Kata sandi lokal; dan

• Perangkat lunak EDR dengan pemantauan berkelanjutan, termasuk kemampuan antivirus dan pemindaian, deteksi, penghentian penyebaran, serta pelaporan malware.

4. Subkontraktor menggunakan mekanisme untuk mempertahankan pengendalian distribusi media sensitif, termasuk mencegah pengguna agar tidak melakukan transfer file melalui layanan transfer file yang tidak disetujui atau mentransfer data ke media eksternal (contoh, Drive USB).

5. Subkontraktor menggunakan mekanisme untuk secara aman membuang, menghancurkan, atau mengalihfungsikan perangkat keras jika tidak diperlukan lagi.

6. Subkontraktor memastikan perangkat keras dikembalikan tepat waktu jika tidak diperlukan lagi.

7. Subkontraktor memiliki kemampuan untuk menghapus mesin dari jarak jauh jika mesin dicuri atau disusupi.

Untuk Layanan Terintegrasi atau non-Enablement Services lain:

1. Subkontraktor hanya akan menggunakan perangkat yang dikelola oleh Asana untuk melakukan pekerjaan yang terkait dengan layanan. Subkontraktor dapat memilih untuk:

a. Menerima perangkat keras yang dikelola dari Asana selama perikatan dengan Pelanggan Asana. Jika Subkontraktor menerima perangkat keras, Subkontraktor hanya dapat menggunakan perangkat keras Asana untuk menjalankan Layanan yang terkait dengan Pelanggan Asana sesuai dengan perjanjian yang mendasari antara Asana dan Subkontraktor; atau

b. menyediakan satu laptop baru yang belum dikonfigurasi untuk dimasukkan ke dalam sistem manajemen end-point Asana. Asana akan menginstal aplikasi-aplikasi anti-virus/anti malware dan memastikan bahwa perangkat tersebut memenuhi persyaratan keamanan minimal.

8. Manajemen Vendor

a. Subkontraktor melakukan penilaian risiko keamanan pada setiap penyedia layanan pihak ketiga yang mungkin memiliki akses ke Data Pelanggan sebelum layanan dimulai.

b. Subkontraktor melakukan upaya yang wajar untuk memastikan penyedia layanan pihak ketiga melaksanakan langkah-langkah keamanan minimal yang sejalan dengan perjanjian ini.

9. Pengakhiran

a. Kecuali terkait dengan Enablement Services, Subkontraktor hanya akan mengakses instans Pelanggan dalam Layanan Asana selama durasi yang disebutkan di dalam Pesanan yang berlaku. Setelah pengakhiran perikatan dengan Pelanggan, Vendor akan memastikan mereka tidak memiliki akses lagi ke lingkungan Pelanggan Asana.

b. Subkontraktor akan memastikan semua Data Pelanggan yang telah diunduh atau disimpan di luar instans Asana mereka dan semua salinan akan dihancurkan setelah pengakhiran layanan.

10. Pemeriksaan Latar Belakang

a. Subkontraktor melakukan pemeriksaan latar belakang pegawai sebelum mulai bekerja. Verifikasi latar belakang dirancang sesuai undang-undang, peraturan, etika, dan batasan kontrak setempat, dan proporsional dengan klasifikasi data yang akan diakses, persyaratan bisnis, dan risiko yang berterima.