Gegevensbeveiligingsnormen

INGANGSDATUM: 28 FEBRUARI 2020

Het volgende beschrijft de beveiligingsprincipes en -architectuur van Asana met betrekking tot de administratieve, technische en fysieke controles die op de Service van toepassing zijn. Termen met een hoofdletter hebben de betekenis die daaraan in de Overeenkomst is toegekend, tenzij hierin anders is bepaald.

1. Uitgangspunten

Asana legt de nadruk op de volgende uitgangspunten bij het ontwerpen en uitvoeren van haar beveiligingsprogramma en -praktijken: (a) fysieke en omgevingsbeveiliging om de Service te beschermen tegen ongeoorloofde toegang, gebruik of wijziging; (b) handhaving van beschikbaarheid voor de werking en het gebruik van de Service; (c) vertrouwelijkheid om klantgegevens te beschermen; en (d) integriteit om de nauwkeurigheid en consistentie van gegevens gedurende hun levenscyclus te handhaven.

2. Beveiligingsprogramma

Asana handhaaft een informatiebeveiligingsprogramma met de volgende elementen: (a) een formeel risicobeheerprogramma; (b) periodieke risicobeoordelingen van alle systemen en netwerken waarin Klantgegevens verwerkt worden, op zijn minst jaarlijks; (c) controle op beveiligingsincidenten en het onderhouden van een trapsgewijs herstelplan om ervoor te zorgen dat ontdekte kwetsbaarheden tijdig verholpen worden; (d) een schriftelijk informatiebeveiligingsbeleid en een responsplan op incidenten dat expliciet ingaat op en richtlijnen geeft aan haar personeel ter bevordering van de beveiliging, vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens; (e) penetratietests die jaarlijks door een gekwalificeerde derde partij uitgevoerd worden; en (f) personen die verantwoordelijk zijn voor informatiebeveiliging.

3. Datacenters

Asana gebruikt Amazon Web Services (AWS) voor het beheer en de hosting van productieservers en databases in zowel de Verenigde Staten als de Europese Unie. AWS hanteert een robuust fysiek beveiligingsprogramma met meerdere certificeringen, waaronder SSAE 16 en ISO 27001 certificering.

4. Toegang, controles en beleid

Toegang om de AWS-omgeving van Asana te beheren vereist meerstapsverificatie, SSH-toegang tot de Service wordt gelogd, en toegangsbeperking tot Klantgegevens tot een beperkt aantal goedgekeurde Asana-werknemers. AWS-netwerkfuncties zoals beveiligingsgroepen worden benut om de toegang tot AWS-instanties en -bronnen te beperken, en worden geconfigureerd om de toegang te beperken volgens het principe van het minste privilege. Werknemers worden opgeleid in gedocumenteerde procedures voor informatiebeveiliging en privacy. Elke Asana-werknemer ondertekent een beleid inzake gegevenstoegang dat hem bindt aan de voorwaarden van Asana's beleid inzake vertrouwelijkheid van gegevens. Toegang tot Asana-systemen wordt onmiddellijk ingetrokken bij beëindiging van het dienstverband.

5. Audits en certificeringen

Vanaf de Ingangsdatum heeft Asana SOC 2 (Type I en Type II)-certificering gekregen met betrekking tot de geschiktheid van haar controles om te voldoen aan de criteria met betrekking tot beveiliging, beschikbaarheid en vertrouwelijkheid, zoals uiteengezet in de 2016 editie van TSP sectie 100A, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, Trust Services Principles and Criteria). Asana houdt zich aan het EU-U.S. Privacy Shield Framework en Swiss-U.S. Privacy Shield Framework betreffende de overdracht van persoonsgegevens van de Europese Unie naar de Verenigde Staten, en heeft zelf gecertificeerd dat zij voldoet aan het EU-U.S. Privacy Shield Framework en Swiss-U.S. Privacy Shield Framework.

6. Leveranciersbeheer

Asana neemt redelijke stappen om alleen externe dienstverleners te selecteren en te behouden die de beveiligingsmaatregelen in overeenstemming met de in deze bijlage vermelde maatregelen handhaven en uitvoeren. Voordat software wordt geïmplementeerd of een softwareleverancier bij Asana kan worden gebruikt, beoordeelt Asana IT zorgvuldig de beveiligingsprotocollen van de leverancier, het beleid inzake gegevensopslag, het privacybeleid en de staat van dienst op het gebied van beveiliging. IT kan het gebruik van software of softwareleverancier afwijzen als niet kan worden aangetoond dat de software de gegevens en eindgebruikers van Asana voldoende kan beschermen.

7. Testen en herstel

Op jaarbasis voert Asana zelf een aantal tests uit en schakelt derden in om een verscheidenheid aan tests uit te voeren tegen ongeoorloofde toegang tot Klantgegevens en om de veiligheid, betrouwbaarheid en integriteit van de Service te beoordelen. Voor zover Asana, naar eigen goeddunken, bepaalt dat er op basis van de resultaten van dergelijke tests herstel nodig is, zal zij dat herstel binnen een redelijke termijn uitvoeren, rekening houdend met de aard en de ernst van het geconstateerde probleem.

8. Reactie op veiligheidsincidenten

Asana voert jaarlijks tabletop-oefeningen uit voor incidentenrespons en handhaaft een plan voor incidentenrespons dat ontworpen is voor een redelijke en consistente respons op beveiligingsincidenten en vermoedelijke beveiligingsincidenten met betrekking tot de toevallige of onwettige vernietiging, verlies, diefstal, wijziging, onbevoegde openbaarmaking van, of toegang tot, eigendomsgegevens of persoonsgegevens die door Asana worden doorgegeven, opgeslagen of anderszins verwerkt. Indien Asana ongeoorloofde toegang tot of openbaarmaking van Klantgegevens ontdekt en vervolgens bevestigt, zal Asana een dergelijke inbreuk onmiddellijk aan de Klant melden, tijdig een beoordeling van de hoofdoorzaak uitvoeren, en een dergelijke inbreuk tijdig oplossen. Asana zal redelijke inspanningen doen om met de Klant te communiceren en samen te werken in de loop van een dergelijke relevante remediëring.

9. Veiligheidscontrole

Er zijn anti-virus of anti-malwareprogramma's geïnstalleerd om ongeoorloofde of kwaadaardige software op te sporen of te voorkomen. Asana gebruikt ook intrusion detection systems (IDS) voor onze bedrijfsnetwerken en productie-omgevingen. Asana voert regelmatig beveiligingsscans uit. Voor viruscontrole werkt Asana de meeste software automatisch of handmatig bij en besteedt het uit aan Amazon wanneer dat logisch en mogelijk is. Asana onderhoudt een proces voor het scannen van kwetsbaarheden voor productiesystemen. De reikwijdte van de kwetsbaarheidsscans omvat zowel externe als interne systemen in de productieomgeving. Het beveiligingsteam van Asana voert ten minste wekelijks kwetsbaarheidsscans uit en bepaalt voor elke kwetsbaarheid een graad van ernst op basis van de criteria van de beoordelingstools, zodat kwetsbaarheden met een hoge of hogere rangorde moeten worden verholpen. Kwetsbaarheidsscans worden ook uitgevoerd na elke belangrijke verandering in de productieomgeving die door het beveiligingsteam van Asana wordt vastgesteld.

10. Versleuteling

Klantgegevens worden onderweg versleuteld en, afhankelijk van de toepasselijke versie voor de door de Klant gekozen Service, versleuteld at-rest (en blijven at-rest versleuteld). De verbinding met app.asana.com is versleuteld met 128-bit encryptie en ondersteunt TLS 1.2 en hoger. Logins en overdracht van gevoelige gegevens worden uitgevoerd over versleutelde protocollen zoals TLS of ssh.

11. Back-up en herstel

Asana maakt dagelijks snapshots van haar databases en kopieert die veilig naar een apart datacentrum voor hersteldoeleinden in geval van een regionale AWS-storing. Back-ups zijn versleuteld en hebben dezelfde bescherming als de productie. Bovendien worden klantgegevens cross-regionaal opgeslagen bij AWS.

12. Wijzigingsbeheer

Asana heeft een beleid voor wijzigingsbeheer opgesteld om ervoor te zorgen dat wijzigingen voldoen aan de eisen van Asana op het gebied van beveiliging, vertrouwelijkheid en beschikbaarheid. Het management beoordeelt het beleid jaarlijks en keurt het goed. Elke verandering in de productie of IT-configuratie met onbekende of te voorziene gevolgen voor de veiligheid moet door de relevante teams die het verantwoordelijkheidsgebied hebben, worden beoordeeld voordat ze wordt ingevoerd.

13. Rampherstel en bedrijfscontinuïteit

Asana handhaaft een bedrijfscontinuïteitsplan voor langdurige service-onderbrekingen die veroorzaakt worden door onvoorziene of onvermijdelijke rampen, in een poging om de services in de ruimst mogelijke mate en binnen een redelijk tijdsbestek te herstellen. Dit plan heeft betrekking op bedrijfskritische functies en bijbehorende systemen. Asana heeft een reeks beleidslijnen en procedures voor noodherstel gedocumenteerd om de vitale technologische infrastructuur en systemen te kunnen herstellen of voortzetten na een ramp. Er worden dagelijks snapshots van de databank gemaakt, back-ups van gegevens worden versleuteld opgeslagen, back-ups worden in een aparte regio opgeslagen, en de service bevindt zich op een redundante netwerk- en serverinfrastructuur die zich in geografisch gescheiden datacentra bevindt. Dit plan wordt jaarlijks herzien en getest.

Asana behoudt zich het recht voor deze voorwaarden van tijd tot tijd bij te werken en haar beveiligingspraktijken te wijzigen, mits die bijwerking of wijziging de algehele beveiliging van de Service gedurende de toepasselijke Abonnementstermijn niet wezenlijk en nadelig vermindert.