이 문서에서는 Asana 고객에게 서비스를 제공하는 타사(‘하청 업체’)를 대상으로 한 최소 보안 요건(관리적, 기술적, 물리적 보호 조치)에 대해 설명합니다. 이 문서에 사용된 용어는 본 문서에서 별도로 정의하지 않는 한 Asana와 하청 업체 간의 서비스 계약에서 부여된 의미로 사용됩니다.
가. ‘하청 업체’는 ‘고객 데이터’의 보안, 가용성, 무결성, 기밀성을 보장하기 위해 설계된 정보 보안 프로그램을 유지 관리합니다. 정보 보안 프로그램에는 다음이 포함됩니다. ㄱ. 공식 위험 관리 ㄴ. 주기적인 위험 평가 ㄷ. 자격을 갖춘 독립적인 타사가 일 년에 최소 한 번씩 수행하는 침투 테스트. 리미디에이션이 필요한 경우, ‘하청 업체’는 발견된 사항의 발생 가능성과 영향을 고려하여 적절한 기간 내에 리미디에이션을 수행합니다.
나. 공급 업체는 정보 보안 작업을 책임지는 ‘보안 책임자’와 적절한 보안 담당자를 임명합니다.
ㄱ. ‘하청 업체’는 다음과 같은 정책을 보유하고 유지 관리합니다. ㄱ. ‘고객 데이터’의 적절한 사용을 설명하는 사용 제한 정책. ㄴ. ‘고객 데이터’의 보안, 기밀성, 무결성, 가용성을 유지 관리하는 담당자에게 가이드를 제공하기 위해 설계된 정보 보안 정책.
ㄴ. ‘하청 업체’는 일 년에 최소 한 번씩 정책과 절차를 검토합니다.
ㄷ. Asana의 서면 요청 시 그리고 6개월에 한 번씩 ‘공급 업체’는 Asana에 정보 보안 정책, 사용 제한 정책, 현 타사 증명서 또는 업계 증명서(예: SOC 2 Type II, ISO 27001), 이와 관련한 모든 업데이트 또는 개정 사항의 사본을 제공합니다. 이 문서에 설정된 기준에 따라 Asana가 ‘공급 업체’의 프로그램에 허점이 있다고 합리적으로 판단한 경우, Asana는 서면으로 요청할 수 있으며 ‘공급 업체’는 요청을 받은 날로부터 30일 이내에 추가적인 보안 질문서를 완료한 사실을 알려야 합니다. 이러한 질문서는 ‘공급 업체’가 임명한 ‘보안 책임자’의 승인과 동의를 받아야 합니다.
ㄱ. ‘하청 업체’는 직원 채용 시 직원에게 정보 보안 및 개인 정보 보호 교육을 제공해야 하며, 이후에는 일 년에 최소 한 번씩 제공해야 합니다.
ㄴ. ‘하청 업체’는 직원 채용 시와 그 후 일 년에 최소 한 번씩 직원이 정보 보안 정책을 비롯하여 ‘하청 업체’의 정책 및 절차를 읽고 이해했음을 확인해야 합니다.
ㄱ. ‘하청 업체’는 합의된 서비스를 수행하기 위해 알아야 할 필요가 있을 경우에만 ‘고객 정보’에 접근합니다. 더 명확하게 설명하자면, Asana가 ‘지원 서비스’를 위해 ‘하청 업체’를 이용하는 경우, ‘하청 업체’는 해당 계약 기간 동안 ‘고객’의 ‘Asana 서비스’ 인스턴스에 접근할 수 없습니다. ‘하청 업체’는 ‘고객’과 협력하여 이러한 ‘지원 서비스’를 수행하기 위한 최적의 관행을 개발합니다. 여기에는 ‘주문’에 명시된 필수 교육 및 가이드를 제공하는 데 필요한 화면 공유, 동영상 녹화 또는 기타 화면 캡쳐를 포함하되 이에 국한되지 않습니다.
ㄴ. ‘하청 업체’는 해당 직원이 다단계 인증을 사용하여 오직 ‘하청 업체’의 시스템에서만 ‘고객 데이터’에 접근할 수 있음을 확인합니다.
ㄷ. ‘하청 업체’는 모든 비밀번호가 NIST 800-63b 암기 비밀번호 요건과 동일하거나 더 강력한지 확인해야 합니다.
ㄹ. ‘하청 업체’는 ‘고객 데이터’에 대한 접근을 기록하고 모니터링해야 하며 의심스러운 활동을 신속히 조사해야 합니다.
ㅁ. ‘하청 업체’는 최소 권한 원칙에 따라 접근 권한을 제공해야 합니다.
ㅂ. 계약 종료 시, ‘하청 업체’는 ‘고객 데이터’를 처리하는 시스템에 대한 직원의 접근 권한을 24시간 이내에 제거해야 합니다.
ㄱ. ‘하청 업체’는 일 년에 최소 한 번씩 검토하는 ‘보안 사고 대응 계획’을 유지 관리합니다. ㄴ. ‘하청 업체’는 일 년에 최소 한 번씩 ‘사고 대응 계획’을 시험합니다. ㄷ. ‘하청 업체’는 Asana의 ‘데이터 처리 부칙’에 따라 ‘보안 사고’를 보고해야 합니다.
ㄱ. ‘하청 업체’는 저장 및 전송 시 적절한 암호화 메커니즘을 활용합니다(최소 TLS 1.2, ssh, AES-256).
ㄱ. ‘하청 업체’는 ‘주문’에 명시된 ‘서비스’에 따라 다음의 디바이스 요건을 준수합니다.
‘지원 서비스’의 경우:
1. ‘하청 업체’는 정기적으로 업데이트, 감사, 검토되는 사용자 엔드포인트의 에셋 인벤토리를 유지 관리합니다.
2. ‘하청 업체’는 문서화된 강화 표준을 기반으로 엔드포인트 권한 부여를 위한 문서화된 프로세스를 유지 관리해야 합니다.
3. ‘하청 업체’의 엔드포인트는 최소한 다음을 포함하여 상업적으로 합리적인 보안 제어를 사용합니다.
로컬 하드 드라이브 암호화
로컬 비밀번호
바이러스 백신 및 맬웨어 검사, 탐지, 억제, 보고 기능을 비롯하여 지속적으로 모니터링하는 EDR 소프트웨어
4. ‘하청 업체’는 사용자가 승인되지 않은 파일 전송 서비스를 통해 파일을 전송하거나 외부 미디어(예: USB 드라이브)로 데이터를 전송하는 것을 방지하는 것을 비롯하여 민감한 미디어 배포를 통제하기 위한 메커니즘을 사용합니다.
5. ‘하청 업체’는 하드웨어가 더 이상 필요하지 않을 경우, 이를 안전하게 처리하거나, 폐기하거나, 용도를 변경하기 위한 메커니즘을 사용합니다.
6. ‘하청 업체’는 하드웨어가 더 이상 필요하지 않을 경우 적시에 반환될 수 있도록 합니다.
7. ‘하청 업체’는 하드웨어가 도난당하거나 손상된 경우, 하드웨어의 데이터를 원격으로 지울 수 있습니다.
‘연동 서비스’ 또는 기타 비 ‘지원 서비스’의 경우:
1. ‘하청 업체’는 제공하는 서비스와 관련된 업무를 수행하기 위해 Asana가 관리하는 디바이스만 사용합니다. ‘하청 업체’는 다음 중 하나를 선택할 수 있습니다.
ㄱ. Asana ‘고객’과의 업무를 위해 Asana로부터 Asana가 관리하는 하드웨어를 받습니다. ‘하청 업체’가 하드웨어를 제공받을 경우, Asana와 ‘하청 업체’ 간의 기본 계약에 따라 Asana 하드웨어만 사용하여 Asana ‘고객’과 관련된 ‘서비스’를 수행해야 합니다.
ㄴ. Asana의 엔드포인트 관리 시스템에 등록할 설정되지 않은 새로운 노트북을 제공합니다. Asana는 바이러스 백신/맬웨어 방지 애플리케이션을 설치하고 디바이스가 Asana의 최소 보안 요건을 충족할 수 있도록 합니다.
ㄱ. ‘하청 업체’는 서비스를 시작하기 전에 ‘고객 데이터’에 접근할 수도 있는 타사 서비스 제공업체에 대해 보안 위험 평가를 수행합니다.
ㄴ. ‘하청 업체’는 타사 서비스 제공업체가 최소한 본 계약과 일치하는 수준의 보안 조치를 유지 관리하도록 합당한 노력을 기울여야 합니다.
ㄱ. ‘지원 서비스’와 관련된 경우를 제외하고 ‘하청 업체’는 ‘주문’에 명시된 기간에만 ‘고객’의 Asana ‘서비스’ 인스턴트에 접근합니다. ‘고객’과의 계약이 종료되면 ‘공급 업체’는 ‘고객’의 Asana 환경에 더 이상 접근할 수 없도록 합니다.
ㄴ. ‘하청 업체’는 서비스가 종료됨에 따라 Asana 인스턴스 외부에서 다운로드되거나 유지된 모든 ‘고객 데이터’와 사본이 파기되도록 합니다.
ㄱ. ‘하청 업체’는 직원을 고용하기 전에 직원에 대한 신원 조사를 실시합니다. 신원 조사는 현지 법률, 규정, 윤리, 계약상의 제약에 따라 설계되며 접근하는 데이터 분류, 비즈니스 요건, 허용 위험에 따라 비례합니다.