Standard di sicurezza dei dati

DATA DI ENTRATE IN VIGORE: 28 FEBBRAIO 2020

Di seguito vengono descritti i principi e l'architettura della sicurezza di Asana, in relazione ai controlli amministrativi, tecnici e fisici applicabili al Servizio. I termini in maiuscolo mantengono il significato a loro assegnato nell'Accordo, a meno che non venga indicato diversamente in questo documento.

1. Principi

Asana enfatizza i seguenti principi nella progettazione e nell'implementazione del suo programma e delle sue pratiche di sicurezza: (a) sicurezza fisica e ambientale per proteggere il Servizio da accessi, utilizzi o modifiche non autorizzati; (b) mantenimento della disponibilità per l'operatività e l'utilizzo del Servizio; (c) riservatezza per la protezione dei dati dei clienti; e (d) integrità per mantenere la precisione e la coerenza dei dati durante il suo ciclo di vita.

2. Programma di sicurezza

Asana mantiene un programma per la sicurezza delle informazioni, che include: (a) un programma di gestione dei rischi; (b) la conduzione di periodiche valutazioni dei rischi relativi a tutti i sistemi e le reti che elaborano i dati dei clienti, su base almeno annuale; (c) il monitoraggio di incidenti di sicurezza e il mantenimento di un piano di correzione a livelli per assicurare la correzione tempestiva delle vulnerabilità scoperte; (d) un'informativa scritta sulla sicurezza delle informazioni e un piano di risposta agli incidenti che riguarda esplicitamente e fornisce indicazioni al suo personale per migliorare la sicurezza, la riservatezza, l'integrità e la disponibilità dei Dati del Cliente; (e) un test di penetrazione eseguito annualmente da una terza parte qualificata; e (f) risorse responsabili delle azioni per garantire la sicurezza delle informazioni.

3. Data center

Asana usa Amazon Web Services (AWS) per la gestione e l'hosting dei server e dei database di produzione, sia negli Stati Uniti che nell'Unione europea. AWS dispone di un solido programma di sicurezza fisica con più certificazioni, tra cui SSAE 16 e ISO 27001.

4. Accesso, controlli e politiche

È necessaria l'autenticazione multifattoriale per accedere e gestire l'ambiente AWS di Asana, l'accesso tramite SSH al Servizio viene registrato e l'accesso ai Dati del Cliente è limitato a dipendenti approvati da Asana. Le funzionalità di networking di AWS, ad esempio i gruppi di sicurezza, vengono utilizzate per limitare l'accesso alle istanze e alle risorse di AWS e sono configurate per limitare l'accesso utilizzando il principio dei privilegi minimi. I dipendenti ricevono una formazione relativa alla sicurezza dell'informazione documentata e alle procedure per la privacy. Tutti i dipendenti di Asana firmano un'informativa relativa all'accesso dei dati che li lega ai termini delle politiche di riservatezza dei dati di Asana e l'accesso ai sistemi di Asana viene immediatamente revocato al momento della conclusione del loro contratto.

5. Audit e certificazioni

A partire dalla Data di entrata in vigore, Asana ha ottenuto una certificazione SOC 2 (Tipo I e Tipo II) relativa alla sostenibilità dei suoi controlli per soddisfare i criteri relativi a sicurezza, disponibilità e riservatezza descritti nella versione 2016 della sezione 100A del TSP, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, Trust Services Principles and Criteria). Asana aderisce allo Scudo EU-USA per la privacy e allo Scudo Svizzera-USA per la privacy, relativi al trasferimento dei dati personali dall'Unione europea agli Stati Uniti d'America e ha autocertificato la conformità con lo Scudo EU-USA per la privacy e lo Scudo Svizzera-USA.

6. Gestione dei fornitori

Asana adotta misure ragionevoli per selezionare e impiegare fornitori terzi di servizi che manterranno ed implementeranno misure di sicurezza coerenti con quelle indicate in questo allegato. Prima che un software venga distribuito o che un fornitore di software possa essere usato in Asana, il reparto IT di Asana verificherà attentamente i protocolli di sicurezza, le politiche di conservazione dei dati, le politiche sulla privacy e i precedenti relativi alla sicurezza del fornitore. Il reparto IT potrebbe rifiutare l'utilizzo di qualsiasi software o fornitore di software nel caso in cui non sia possibile dimostrarne la capacità di proteggere sufficientemente i dati di Asana e gli Utenti finali.

7. Test e interventi correttivi

Su base annuale, Asana esegue in proprio, oltre a impiegare terze parti, una serie di test relativi alla protezione da accessi non autorizzati ai Dati dei Clienti e per valutare la sicurezza, l'affidabilità e l'integrità del Servizio. Laddove Asana determini, a sua esclusiva discrezione, che siano necessari interventi correttivi in base ai risultati di questi test, li eseguirà entro un ragionevole periodo di tempo, prendendo in considerazione la natura e la gravità del problema identificato.

8. Risposta agli incidenti di sicurezza

Asana esegue annualmente delle esercitazioni a tavolino relative alla risposta agli incidenti e mantiene un piano di risposta agli incidenti progettato per stabilire una risposta ragionevole e coerente agli incidenti di sicurezza reali e sospetti che coinvolgono la distruzione accidentale o illegale, la perdita, il furto, l'alterazione, la divulgazione non autorizzata o l'accesso a dati vitali o personali trasmessi, archiviati o elaborati da Asana. Se Asana rileva e in seguito conferma un accesso non autorizzato o la divulgazione di Dati dei Clienti, ne informerà immediatamente il Cliente, eseguirà tempestivamente un'analisi delle cause alla radice e risolverà prontamente la violazione. Asana dovrà ragionevolmente impegnarsi a comunicare e collaborare col Cliente durante gli interventi correttivi.

9. Monitoraggio della sicurezza

Sono state installate applicazioni antivirus e antimalware per identificare e proteggersi da software non autorizzati o malware. Inoltre, Asana utilizza sistemi di rilevamento intrusioni (IDS) per le reti aziendali e gli ambienti di produzione. Asana esegue scansioni di sicurezza su base regolare. Per il monitoraggio dei virus, Asana aggiorna automaticamente o manualmente la maggior parte dei software utilizzati e appalta queste operazioni ad Amazon quando logico e possibile. Asana mantiene un processo di scansione della vulnerabilità per i sistemi di produzione. L'ambito delle scansioni di vulnerabilità include sia sistemi esterni ed interni che fanno parte dell'ambiente di produzione. Il team di sicurezza di Asana esegue scansioni di vulnerabilità almeno settimanalmente e determina un tasso di severità per ogni vulnerabilità, basato sui criteri degli strumenti di valutazione, in modo che vulnerabilità classificate come alte o molto alte richiedano interventi correttivi. Inoltre, le scansioni di vulnerabilità vengono eseguite dopo qualsiasi modifica significativa all'ambiente di produzione, come stabilito dal team di sicurezza di Asana.

10. Crittografia

I Dati dei Clienti vengono crittografati in transito e, a seconda della versione applicabile del Servizio selezionato dal Cliente, a riposo (e restano crittografati a riposo). La connessione con app.asana.com è crittografata a 128 bit e supporta TLS 1.2 e versioni successive. Gli accessi e i trasferimenti di dati sensibili vengono eseguiti utilizzando protocolli crittografati, a esempio TLS o SSH.

11. Backup e ripristino

Asana salva quotidianamente delle schermate dei suoi database e le copia in un data center separato per effettuare il ripristino in caso di malfunzionamento regionale di AWS. I backup vengono crittografati e godono della stessa protezione della produzione. Inoltre, i Dati dei Clienti vengono archiviati in regioni diverse con AWS.

12. Gestione delle modifiche

Asana ha stabilito una politica di gestione delle modifiche per far sì che siano conformi ai requisiti di sicurezza, riservatezza e disponibilità di Asana. I dirigenti rivedono e approvano la politica annualmente. Qualsiasi modifica relativa alla produzione o alla configurazione IT con conseguenze per la sicurezza che siano sconosciute o prevedibili devono essere riviste dai team responsabili dell'area prima della distribuzione.

13. Ripristino di emergenza e continuità aziendale

Asana mantiene un piano di continuità aziendale in caso di interruzioni prolungate del servizio, causate da disastri imprevisti o inevitabili, per cercare di ripristinare i servizi nella massima misura possibile in un intervallo di tempo ragionevole. Questo piano copre le funzionalità aziendali fondamentali e i sistemi associati. Asana ha documentato una serie di politiche e procedure di ripristino di emergenza per consentire il recupero e la continuazione di infrastrutture e sistemi tecnologici vitali in seguito a un disastro. Vengono salvate quotidianamente schermate del database, i backup dei dati vengono crittografati quando archiviati, i backup vengono immagazzinati in una regione separata e il Servizio risiede in una rete ridondante e in un'infrastruttura server con sede in data center ubicati in zone geografiche diverse. Questo piano viene rivisto e testato su base annuale.

Asana si riserva il diritto di aggiornare questi termini di tanto in tanto e di modificare le proprie pratiche di sicurezza, posto che tale aggiornamento o modifica non diminuirà sostanzialmente e negativamente la sicurezza generale del Servizio durante il Periodo di abbonamento applicabile.