Questo documento delinea i requisiti minimi di sicurezza (misure di protezione amministrative, tecniche e fisiche) per eventuali terze parti che forniscono Servizi ai Clienti Asana ("Subappaltatori"). Salvo diversamente specificato nel presente documento, i termini in maiuscolo avranno il significato loro assegnato nel contratto di servizi sottostante tra Asana e il Subappaltatore.
a. Il Subappaltatore dispone di un programma di sicurezza delle informazioni progettato per garantire la sicurezza, la disponibilità, l'integrità e la riservatezza dei Dati del cliente. Tale programma comprende: i. gestione formale dei rischi ii. valutazioni periodiche dei rischi iii. test di penetrazione eseguiti da una terza parte qualificata e indipendente con cadenza almeno annuale. Qualora si rendessero necessarie misure correttive, il Subappaltatore le attuerà entro un periodo di tempo ragionevole, che tenga conto della probabilità e dell'impatto dei problemi riscontrati.
b. Il Fornitore ha designato un Responsabile della sicurezza e il personale di sicurezza appropriato incaricato di fare quanto possibile per preservare la sicurezza delle informazioni.
a. Il Subappaltatore adotta e applica le seguenti politiche: i. Politica di utilizzo accettabile che delinea l'uso appropriato dei Dati del cliente. ii. Politica di sicurezza delle informazioni ideata per fornire indicazioni al personale sul mantenimento della sicurezza, della riservatezza, dell'integrità e della disponibilità dei Dati del cliente.
b. Il Subappaltatore riesamina le proprie politiche e procedure con cadenza almeno annuale.
c. Su richiesta scritta di Asana e non più di una volta nell'arco di sei mesi, il Fornitore dovrà inviare ad Asana una copia della sua Politica sulla sicurezza delle informazioni, Politica sull'uso accettabile, eventuali attestazioni di terze parti o certificazioni del settore (ad es., SOC 2 di tipo 2, ISO 27001) ed eventuali aggiornamenti o correzioni apportati. Nel caso in cui Asana ritenga, in maniera ragionevole, che ci siano lacune nel programma del Fornitore in base ai criteri qui stabiliti, Asana può richiedere per iscritto che il Fornitore completi un questionario di sicurezza aggiuntivo e il Fornitore deve adempiere a tale obbligo entro 30 giorni dalla ricezione di tale richiesta. Detto questionario deve essere confermato e accettato dal Responsabile della sicurezza nominato dal Fornitore.
a. Il Subappaltatore deve provvedere alla formazione del proprio personale in merito alla sicurezza e alla riservatezza delle informazioni al momento dell'assunzione e, successivamente, con cadenza almeno annuale.
b. Il Subappaltatore deve garantire che il personale confermi di aver letto e compreso le politiche e le procedure del Subappaltatore, inclusa la politica di sicurezza delle informazioni, al momento dell'assunzione e, successivamente, con cadenza almeno annuale.
a. Il Subappaltatore accederà ai Dati del cliente solo quando sarà necessario, al fine di svolgere i servizi concordati. Per chiarezza, laddove Asana si sia rivolta a un Subappaltatore per i Servizi di abilitazione, il Subappaltatore non potrà accedere all'istanza del Servizio Asana del Cliente in nessun momento durante tale incarico. Il Subappaltatore collaborerà con il Cliente per sviluppare le migliori pratiche per l'esecuzione di tali Servizi di abilitazione, inclusi, a titolo esemplificativo ma non esaustivo, condivisione dello schermo, registrazione video o altre acquisizioni di schermate, come da necessità, onde fornire la formazione e l'assistenza necessarie specificate nell'Ordine.
b. Il Subappaltatore si assicurerà che il personale possa accedere ai Dati del cliente solo sui sistemi del Subappaltatore, utilizzando un'autenticazione a più fattori.
c. Il Subappaltatore deve garantire che tutte le password soddisfino o superino i requisiti NIST 800-63b delle password segrete memorizzate.
d. Il Subappaltatore deve registrare e monitorare l'accesso ai Dati del cliente e indagare tempestivamente su attività sospette.
e. Il Subappaltatore deve fornire l'accesso in conformità dei principi del privilegio minimo.
f. Al termine del contratto, il Subappaltatore deve bloccare l'accesso dei propri dipendenti ai Dati del cliente sui suoi sistemi entro 24 ore.
a. Il Subappaltatore dispone di un Piano di risposta agli incidenti di sicurezza che viene rivisto almeno una volta all'anno. b. Il Subappaltatore sottopone a verifica il Piano di risposta agli incidenti con cadenza almeno annuale. c. Il Subappaltatore deve segnalare gli incidenti di sicurezza come stabilito nell'Appendice al trattamento dei dati di Asana.
a. Il Subappaltatore utilizza un appropriato meccanismo di crittografia a riposo e in transito (almeno: TLS 1.2, ssh, AES-256).
a. Il Subappaltatore soddisferà i seguenti requisiti hardware sulla base dei Servizi indicati in un Ordine.
Per i servizi di abilitazione
1. Il Subappaltatore tiene un inventario delle risorse degli endpoint utente che viene aggiornato, controllato e rivisto periodicamente.
2. Il Subappaltatore implementa un processo documentato per il provisioning degli endpoint, basato su standard di rafforzamento documentati.
3. Gli endpoint del subappaltatore utilizzano controlli di sicurezza commercialmente ragionevoli, che includono come minimo:
crittografia del disco rigido locale
una password locale
software EDR che offre monitoraggio continuo, inclusa la scansione di virus e malware, con funzionalità di rilevamento, quarantena e reportistica
4. Il Subappaltatore utilizza sistemi di controllo sulla distribuzione di supporti sensibili, incluso impedire agli utenti di eseguire trasferimenti di file tramite servizi di trasferimento file non approvati o trasferire dati su supporti esterni (ad esempio, drive USB).
5. Il Subappaltatore utilizza procedure per smaltire in modo sicuro, distruggere o riutilizzare l'hardware quando non è più necessario.
6. Il Subappaltatore garantisce che l'hardware venga restituito in modo tempestivo quando non è più necessario.
7. Il Subappaltatore ha la possibilità di cancellare da remoto i dati sui dispositivi rubati o compromessi.
Per Servizi integrati o altri Servizi non di abilitazione
1. Il Subappaltatore utilizzerà solo dispositivi gestiti da Asana per svolgere attività relative ai servizi. Il Subappaltatore può scegliere di:
a. ricevere hardware gestito da Asana per la durata dell'interazione con i clienti Asana. Se al Subappaltatore viene fornito hardware, il Subappaltatore deve utilizzare solo hardware di Asana per eseguire Servizi relativi ai Clienti Asana, in conformità dell'accordo sottostante tra Asana e il Subappaltatore; o
b. fornire un nuovo laptop non configurato, da registrare nei sistemi di gestione degli endpoint di Asana. Asana installerà applicazioni antivirus/antimalware e si assicurerà che il dispositivo soddisfi i nostri requisiti minimi di sicurezza.
a. Prima dell'inizio del servizio, il Subappaltatore effettuerà una valutazione del rischio di eventuali terzi fornitori di servizi che hanno accesso ai Dati del cliente.
b. Il Subappaltatore compie ogni ragionevole sforzo per garantire che terze parti che forniscono servizi abbiano in essere misure di sicurezza almeno coerenti con il presente contratto.
a. Eccezion fatta per i Servizi di abilitazione, il Subappaltatore accederà all'istanza del Servizio Asana del Cliente solo per la durata indicata nell'Ordine valido. Al termine del rapporto con il Cliente, il Fornitore si assicurerà di non avere più accesso all'ambiente Asana del Cliente.
b. Il Subappaltatore verificherà che tutti i Dati del cliente che sono stati scaricati o conservati al di fuori della propria istanza Asana, e qualsiasi copia, verrà distrutta al termine dei servizi.
a. Il Subappaltatore esegue controlli sui precedenti dei dipendenti prima dell'inizio del rapporto di lavoro. Tali verifiche sono pianificate in base alle leggi, alle normative, all'etica e ai vincoli contrattuali locali, in misura proporzionale alla tipologia dei dati ai quali accedere, ai requisiti aziendali e al rischio accettabile.