Nós usamos Asana todos os dias para manter nossa equipe organizada, conectada e focada nos resultados. Garantir que nossa plataforma seja segura é essencial para proteger nossos próprios dados, e proteger as suas informações é nossa maior prioridade.
Nossa estratégia digital abrange todos os aspectos do negócio, incluindo:
Todos os colaboradores da Asana assinam uma Política de acesso a dados que os vincula aos Termos existentes em nossas políticas de confidencialidade dos dados, disponíveis em asana.com/terms e asana.com/privacy. Os direitos de acesso baseiam-se no cargo e na função profissional do colaborador.
A Asana concluiu com sucesso suas auditoria SOC 2 (Tipo I e Tipo II) para os controles relevantes com respeito à segurança, à disponibilidade e à confidencialidade. Isso significa que nossos processos e práticas foram validados por uma entidade independente quanto a esses três critérios de serviços de confiança, que confirmou ainda nossa capacidade de manter a conformidade com os controles que implementamos.
A Asana usa o sistema de controle de revisões git. As modificações feitas ao código de base da Asana são submetidas a um conjunto de testes automatizados e passam então por uma etapa de verificação manual para serem analisadas e processadas. Quando as modificações de código são aprovadas pelo sistema automatizado de teste, são inicialmente aplicadas a um servidor de ensaio, no qual os colaboradores da Asana podem testar as mudanças antes de eventualmentar implementá-las nos servidores de produção e nossa base de dados de clientes. Também está em funcionamento uma verificação de segurança específica para modificações e recursos particularmente sensíveis. Os engenheiros da Asana podem ainda eleger atualizações críticas para serem implementadas imediatamente nos servidores de produção.
Além de haver uma lista onde são publicadas todas as modificações feitas aos controles de acesso, temos um conjunto de testes automatizados para verificar se as regras de controles de acesso estão escritas corretamente e se são aplicadas conforme esperado. Trabalhamos além disso em colaboração com peritos em segurança independentes para:
Nossos escritórios são protegidos com acessos por cartão eletrônico que ficam gravados, e os visitantes são registrados na recepção.
Monitoramos a disponibilidade da nossa rede de escritórios e os dispositivos contidos nela. Coletamos num local central os registros produzidos por dispositivos de rede, como firewalls, servidores DNS, servidores DHCP e roteadores. Os registros de rede são armazenados para o dispositivo de segurança (firewall), os pontos de acesso sem fio e os comutadores.
A Asana utiliza os Amazon Web Services (RDS e S3) para gerenciar os dados dos usuários. A base de dados é replicada de forma síncrona para que, em caso de falha, seja possível fazer rapidamente a sua recuperação. Como precaução adicional, criamos snapshots regulares da base de dados, que são movidos com segurança para um centro de dados independente. Com isso é possível restaurá-los em outro lugar conforme necessário, mesmo na eventualidade de ocorrer uma falha regional dos serviços da Amazon.
Atualmente nossos dados são armazenados em centros de dados auditados com certificação SSAE 16 via Amazon RDS nos Estados Unidos.
As conexões Web ao serviço da Asana são feitas via TLS 1.1 e superiores. Suportamos "forward secrecy" e AES-GCM, e proibimos conexões inseguras que usem TLS 1.0 e anteriores e o RC4.
Todos os notebooks e estações de trabalho são protegidos com criptografia completa de disco e administrados de forma centralizada. Aplicamos diligentemente as atualizações aos dispositivos dos funcionários e monitoramos malwares nas estações de trabalho. Também podemos aplicar patches críticos de segurança e apagar qualquer máquina remotamente. Usamos tecnologia OTP padrão da indústria para maior segurança de acesso à nossa infraestrutura corporativa.
Trabalhamos em colaboração com consultores de segurança externos e mantemos um programa de recompensas no qual pagaremos aos pesquisadores de segurança que descobrirem vulnerabilidades.
A Amazon utiliza um programa robusto de segurança física com múltiplas certificações, incluindo a SSAE 16. Para mais informações sobre os processos de segurança física da Amazon visite aws.amazon.com/security.
Autenticação - Os administradores em Asana podem forçar os colaboradores a fazer a autenticação através de contas do Google ou definir um SAML. Se as senhas são armazenadas diretamente em Asana, garantimos a segurança delas usando bcrypt.
Gerenciamento de usuários - Os administradores podem ver as atividades recentes, status de membros e convidados e fazer a desatribuição de usuários a partir de uma interface central de administração.
A política de privacidade da Asana, que descreve como processamos a entrada de dados em Asana, pode ser lida em asana.com/privacy.
Estamos comprometidos a proporcionar uma disponibilidade consistente da Asana para você e suas equipes. Os nossos sistemas possuem mecanismos de redundância incorporados que suportam falhas e são continuamente monitorados para manter o seu trabalho sem interrupções. Você pode monitorar a nossa disponibilidade a qualquer momento através da nossa página de confiança.
Oferecemos um Programa de recompensa por vulnerabilidades de segurança. Envie um e-mail para security@asana.com.