本ドキュメントは、Asana のお客様にサービスを提供するサードパーティ (以下「下請け業者」) を対象とした、セキュリティの最小要件 (管理上、技術上、物理上の安全措置) をまとめたものです。本ドキュメントに定義されている用語は、ここに別段の定義がない限り、Asana と下請け業者の間で締結された元のサービス契約の用語と同義とします。
a. 下請け業者は、お客様データのセキュリティ、可用性、整合性および機密性を確保するよう設計された情報セキュリティプログラムを運用するものとします。当該プログラムには、以下が含まれます。 i. 正式なリスク管理 ii. 定期的なリスクアセスメント iii. 適格な独立サードパーティによって、少なくとも年に一度は実行されるペネトレーションテスト。何らかの修復作業が必要になる場合、下請け業者は、当該のテストによって発見された事柄の可能性と影響を考慮した修復作業を合理的な期間内に履行するものとします。
b. ベンダーは、情報セキュリティの取り組みに従事するセキュリティオフィサーおよびセキュリティスタッフを指名しているものとします。
a. 下請け業者は、以下のポリシーを有し、採用するものとします。 i. お客様データの適切な使用方法を記載した利用規定。 ii. お客様データのセキュリティ、機密性、整合性および可用性を確保するためのガイダンスをセキュリティスタッフに提供する目的で作成された情報セキュリティポリシー。
b. 下請け業者は、少なくとも年に一度は、ポリシーと手順を見直すものとします。
c. ベンダーは、Asana から書面による要請を受けた場合、6 か月に一度以内の頻度で、ベンダーが採用している情報セキュリティポリシー、利用規定、現在のサードパーティが持つ証明書および業界の認定書 (SOC 2 Type II、ISO 27001)、およびそれらの更新内容または変更内容のコピーを Asana に提供するものとします。Asana が、本ドキュメントに定める条件を基に、ベンダーのプログラムに欠落があると合理的に考える場合、Asana は、ベンダーに対して書面にて追加のセキュリティ調査への記入を要請する権利を持ち、ベンダーは、その要請を受けてから 30 日以内に、当該の調査を完了させるものとします。当該の調査については、指名されたセキュリティオフィサーが確認、同意するものとします。
a. 下請け業者は、新しく採用したスタッフに対して、採用時に、およびその後は少なくとも年に一度の頻度で、セキュリティとプライバシーに関する研修を実施するものとします。
b. 下請け業者は、そのスタッフが、採用時点で、およびその後は少なくとも年に一度の頻度で、下請け業者のポリシーと手順 (情報セキュリティポリシーを含む) を読み、理解したと確認していることを保証するものとします。
a. 下請け業者は、提供すると同意したサービスを履行する目的で必要な範囲でのみ、お客様データにアクセスするものとします。わかりやすく説明すると、Asana がイネーブルメントサービスを実行する目的で下請け業者を招来した場合、その下請け業者は、当該のイネーブルメントを実行する間、そのいかなる時点においても、Asana サービスにおけるお客様のインスタンスにアクセスしてはいけないものとします。下請け業者は、お客様と協力し合い、当該のイネーブルメントサービスを履行するためのベストプラクティスを策定するものとします。当該の協力作業には、オーダーに定められる必須の研修およびガイダンスを提供するのに必要な、画面共有、動画の録画、その他の形で行う画面のキャプチャなどが含まれますが、それらに限定されません。
b. 下請け業者は、そのスタッフが、下請け業者の多要素認証を用いたシステムを通じてのみ、お客様データにアクセスできることを保証するものとします。
c. 下請け業者は、すべてのパスワードの強度が NIST 800-63b による記憶シークレットのパスワード要件の強度と同じ、もしくはそれ以上であることを保証するものとします。
d. 下請け業者は、お客様データへのアクセスをログに記録し、モニタリングするものとします。不審な行動が見つかった場合ば、直ちに調査するものとします。
e. 下請け業者は、アクセス権を最小権限の原則に基づいてプロビジョニングするものとします。
f. 下請け業者は、そのスタッフの契約を終了したら、24 時間以内に、お客様データを処理するシステムから当該スタッフのアクセス権を削除するものとします。
a. 下請け業者は、セキュリティインシデント対応計画を運用し、少なくとも年に一度は見直しを行うものとします。 b. 下請け業者は、少なくとも年に一度は、インシデント対応計画をテストするものとします。 c. 下請け業者は、Asana のデータ処理補遺条項に従って、セキュリティインシデントを報告するものとします。
a. 下請け業者は、データの保存時および転送時に適切な暗号化メカニズム (少なくとも TLS 1.2、ssh、AES-256) を利用するものとします。
a. 下請け業者は、オーダーに記載されるサービスに基づいて、以下のデバイス要件に従うものとします。
イネーブルメントサービスの場合:
1. 下請け業者は、ユーザーエンドポイントのアセットインベントリを管理し、定期的に更新、監査、レビューするものとします。
2. 下請け業者は、文書化されたハードニングスタンダードに基づいて、エンドポイントをプロビジョニングするための文書化されたプロセスを管理するものとします。
3. 下請け業者のエンドポイントには、少なくとも以下が含まれた、商業的に合理的なセキュリティコントロールを採用するものとします。
ローカルのハードドライブの暗号化
ローカルパスワード
アンチウイルスおよびマルウェアのスキャニング、検出、封じ込め、および報告機能を含む、継続的モニタリングが搭載された EDR ソフトウェア。
4. 下請け業者は、機密性の高いメディアの配信をコントロールするメカニズムを導入するものとします。これには、ユーザーが承認されていないファイル転送サービスを使ってファイルを転送したり、データを外部の媒体 (USB ドライブなど) に転送したりするのを防ぐメカニズムなどが含まれます。
5. 下請け業者は、不要となったハードウェアを安全に処分、破壊または用途変更するメカニズムを導入するものとします。
6. 下請け業者は、ハードウェアが不要となったときに速やかに返却することを確認するものとします。
7. 下請け業者は、盗まれたもしくは侵害されたマシンをリモートからワイプできる能力を持つものとします。
当該サービスやイネーブルメントサービス以外のサービスの場合:
1. 下請け業者は、サービスに関連する作業を行うときは、Asana が管理するデバイスのみを使用できるものとし、以下のいずれかを選択できます。
a. Asana のお客様とのエンゲージメントを通して使うものとして、管理されているハードウェアを Asana から受け取る。下請け業者は、ハードウェアが提供されている場合、Asana と下請け業者の間で締結された元の契約に従って、Asana のハードウェアだけを使用し、Asana のお客様に関連する作業を行うものとします。
b. Asana のエンドポイント管理システムに登録する、新しい、未設定のノートパソコンを提供する。Asana は、ウイルス対策 / アンチマルウェアアプリケーションをインストールして、デバイスが Asana の最小セキュリティ要件を満たしていることを保証します。
a. 下請け業者は、サービスを開始する前に、お客様データへのアクセス権を持ち得るサードパーティのサービスプロバイダーに対して、セキュリティリスクのアセスメントを実施するものとします。
b. 下請け業者は、サードパーティのサービスプロバイダーが少なくとも本契約と同等のセキュリティ措置を維持することを保証すべく、合理的な努力をするものとします。
a. イネーブルメントサービスの場合を除き、下請け業者は、該当するオーダーに記載される期間にのみ、Asana サービスにおけるお客様のインスタンスにアクセスするものとします。お客様とのエンゲージメントが終了したら、ベンダーは、もはやお客様の Asana 環境にはアクセスできないことを保証するものとします。
b. 下請け業者は、サービスが終了したら、ダウンロードされたお客様データまたは Asana インスタンスの外で保持されていたお客様データおよびコピーが破棄されることを保証するものとします。
a. 下請け業者は、従業員の雇用を開始する前に、その従業員に対して身元調査を実施するものとします。身元確認は、現地の法律、規定、倫理、契約上の制約に従って、またアクセスするデータの分類、ビジネス要件および許容可能なリスクと釣り合うように設計するものとします。