データセキュリティ基準

発効日: 2020年 2月 28日

以下は、当サービスに適用される管理上、技術上、および物理的な制御に関する Asana のセキュリティ原則を説明しています。利用規約で定義されている用語は、こちらに別途明記されている場合を除き、利用規約に定める意味を有するものとします。

1. 原則

Asana は、セキュリティプログラムおよび対策の設計と実装において、以下の原則を重視しています: (a) 不正なアクセス、利用、改ざんから当サービスを保護するための物理的及び環境的セキュリティ。(b) 当サービスの運用および利用のための可用性の維持。(c) お客様のデータを保護する守秘義務、および、(d) ライフサイクル全体にわたるデータの正確性と一貫性を保つ整合性

2. セキュリティプログラム

Asana は、以下を含む情報セキュリティプログラムを運用しています。(a) 正式なリスクマネジメントプログラムの運用。(b) カスタマーデータを処理するすべてのシステムおよびネットワークの定期的なリスク評価を 1 年に 1 回以上実施。(c) セキュリティインシデントの監視、および発見された脆弱性を修正するための段階的修復計画の運用。(d) カスタマーデータのセキュリティ、機密性、完全性、および可用性の促進において、明示的に担当者を示し、担当者にガイダンスを提供するための情報セキュリティポリシーおよびインシデント対応計画の書面化。(e) 適格な第三者機関による毎年のペネトレーションテストの実行、および (f) 情報セキュリティの取り組みに責任を持つリソースの確保。

3. データセンター

Asana は、米国と欧州連合の両方で本番サーバーとデータベースの管理およびホスティングを提供するために Amazon Web Services (AWS) を利用しています。AWS は、SSAE 16 および ISO 27001 認証を含む複数の認証を取得した堅牢な物理的セキュリティプログラムを採用しています。

4. アクセス、制御、およびポリシー

Asana の AWS 環境を管理するためには多要素認証が必要になります。当サービスへの SSH によるアクセスは記録されます。カスタマーデータへのアクセスは制限されているため、アクセスできる Asana の従業員は限られています。セキュリティグループなど AWS のネットワーク機能を活用し、AWS のインスタンスやリソースへのアクセスを制限しています。また、それらのネットワーク機能は最小権限の原則に基づいてアクセスを制限するよう構成されています。従業員は、情報セキュリティおよびプライバシーに関する書面に目を通しトレーニングを受けています。すべての Asana 従業員は、Asana のデータ機密保持規約に関連付けられたデータアクセスポリシーに署名しており、Asana のシステムへのアクセスは、雇用の終了時に即座に取り消されます。

5. 審査および認証

発効日時点において、Asana は、TSP セクション 100A の 2016 年版 (セキュリティ、可用性、処理のインテグリティ、機密保持およびプライバシーに係る Trust サービス原則および規準 (AICPA により認められた Trust サービス原則および基準)) に記載されているセキュリティ、可用性、機密性の基準を満たしたその制御の適性に関連する認証 SOC 2 (タイプ I およびタイプ II) を取得しています。Asana は、欧州連合からアメリカ合衆国への個人データの転送に関連した EU-米国間プライバシーシールドフレームワーク、およびスイス-米国間プライバシーシールドフレームワークを遵守しています。また、EU-米国間およびスイス-米国間のプライバシーシールドフレームワークに自己認証型のコンプライアンスも維持しています。

6. ベンダーマネジメント

Asana は合理的な手段を講じて、本文書に記載されている措置に沿ったセキュリティ対策を実装しそれを維持するサードパーティサービスプロバイダーのみを選択し採用します。Asana でソフトウェアが実装される前、またはソフトウェアベンダーを使用できるようになる前に、Asana の IT チームはベンダーのセキュリティプロトコル、データ保持ポリシー、プライバシーポリシー、セキュリティ実績を慎重に審査します。ソフトウェアまたはソフトウェアベンダーが、Asana のデータとエンドユーザーを十分に保護する能力を証明できない場合、当社の IT チームはそれらの使用を拒否する場合があります。

7. テストおよび修復

毎年、Asana は、お客様のデータを不正アクセスから守り、セキュリティ、信頼性、および当サービスの完全性を評価するため、独自に、またサードパーティに依頼し、さまざまなテストを行っています。テストの結果に基づいて修正が必要であると Asana が単独の裁量により判断する場合は、特定された問題の特性と重大度を考慮して妥当だと思われる期間内で修正が行われます。

8. セキュリティインシデント対応

Asana はインシデント対応のための机上訓練を毎年行っており、インシデント対応計画を運用しています。この計画は、Asana により転送、保管、処理される機密データまたは個人データの、偶発的または違法な破壊、紛失、盗難、改ざん、不正な開示、不正なアクセスなどを含むセキュリティインシデントとそう疑われるインシデントに対し、合理的かつ一貫した対応が行えるよう設計されています。カスタマーデータへの不正アクセスまたは開示を検出し、その後確認した場合、Asana はお客様に速やかに報告を行い、根本原因の評価および修復を速やかに行います。Asana は、このように関連したインシデント対応を行う場合には、その過程において可能な限りお客様とのコミュニケーションおよび協力のために適切な対応を行うものとします。

9. セキュリティ監視

Asana は、不正なソフトウェアまたは悪意のあるソフトウェアを検出し実行を防ぐため、ウイルス対策、またはマルウェア対策用のアプリケーションをインストールしています。さらに、当社の企業ネットワークおよび本番環境に侵入検知システム (IDS) を利用し、定期的にセキュリティスキャンを実行しています。ウイルスを監視するために、Asana は、実行するほとんどのソフトウェアのアップデートを自動的、または手動で行い、また、合理的かつ可能である場合は、Amazon 社にアウトソーシングしています。Asana は、運用システムのための脆弱性スキャンプロセスを保守しています。脆弱性スキャンの対象には、運用システムにおける外部と内部両方のシステムが含まれています。Asana のセキュリティチームは、少なくとも 1 週間に 1 回脆弱性スキャンを行い、上位または上位レベルのランクが付けられた脆弱性には必要な修復が行えるよう、評価ツールの基準に基づいて脆弱性ごとの重大度の評価を決定しています。また、本番環境に重要な変更が行われたあとにも、Asana のセキュリティチームにより脆弱性スキャンが実行されます。

10. 暗号化

お客様のデータは、転送中に暗号化され、お客様が選択したサービスの該当するバージョンに従い保存時にも暗号化されます (暗号化された状態で保存されます)。app.asana.com への接続は、128 ビットで暗号化され、TLS 1.2 以上がサポートされています。ログイン情報や重要なデータの転送は、TLS や SSH などの暗号化プロトコルを通して暗号化されて行われます。

11. バックアップとレストア

Asana は、地域的な AWS 障害が発生した場合の復旧を目的として、日常的にデータベースのスナップショットを取得しており、独立したデータセンターにそれらを複製しています。バックアップは暗号化されており、本番環境と同様に保護されています。また、お客様のデータは、AWS のクロスリージョンバックアップを用いて保管されています。

12. チェンジマネジメント

Asana は、すべての変更が当社のセキュリティ、機密性、および可用性の要件を満たすよう、チェンジマネジメントポリシーを確立しました。ポリシーは、経営陣により、毎年見直しと承認が行われています。不明、または予見可能なセキュリティへの影響がある場合、本番環境または IT 構成へのいかなる変更も、デプロイ前に担当の関連するチームにより必ず審査されています。

13. 障害復旧および事業継続

Asana は予期せぬ不可避の災害の発生により長期的なサービス停止が起こった場合、妥当な期間内に可能な限り広範囲のサービスを復旧するための事業継続計画を用意しています。この計画は、ミッションクリティカルな業務機能と関連システムを対象としています。災害発生後、最重要の技術インフラストラクチャとシステムを復旧または持続するための一連の災害復旧ポリシーと手順が文書化されています。データベースのスナップショットは毎日作成され、データのバックアップは暗号化された状態で保管されています。バックアップは異なるリージョンに保管されており、当サービスは地理的に離れたデータセンターに置かれている冗長ネットワークとサーバーインフラストラクチャ上に存在しています。

Asana は、当サービスの全体的なセキュリティに大幅な悪影響を及ぼすようなものでない限り、サブスクリプションの適用期間中、随時これらの条件を更新し、セキュリティ規則を改訂する権利を有します。