Dit document beschrijft de minimum beveiligingsvereisten (administratieve, technische en fysieke bescherming) voor alle derde partijen die diensten aanbieden aan Asana-klanten ('Onderaannemer(s)'). Termen met een hoofdletter hebben de betekenis die ze toegewezen kregen in de onderliggende overeenkomst tussen Asana en Onderaannemer, tenzij hierin anders bepaald.
a. Onderaannemer handhaaft een informatiebeveiligingsprogramma dat is ontworpen om de beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid van Klantgegevens te verzekeren. Het programma omvat: i. Formeel risicobeheer ii. Periodieke risicobeoordelingen iii. Penetratietesten uitgevoerd door een gekwalificeerde, onafhankelijke derde partij minstens op jaarbasis. Indien enige sanering vereist is, zal Onderaannemer een sanering uitvoeren binnen een redelijke tijd overeenkomstig met de waarschijnlijkheid en impact van de resultaten.
b. Verkoper heeft een Beveiligingsfunctionaris aangesteld en gepast beveiligingspersoneel die verantwoordelijk zijn voor informatiebeveiligingsinspanningen.
a. Onderaannemer heeft en handhaaft het volgende beleid: i. Aanvaardbaar gebruiksbeleid dat gepast gebruik van Klantgegevens beschrijft. ii. Informatiebeveiligingsbeleid ontworpen om begeleiding te bieden aan personeel om beveiliging, vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te handhaven.
b. Onderaannemer herbekijkt zijn beleid en procedures minstens op jaarbasis.
c. Op schriftelijke vraag van Asana en niet méér dan één keer in een periode van 6 maanden, zal Verkoper Asana een kopie bezorgen van zijn Informatiebeveiligingsbeleid, Aanvaardbaar Gebruiksbeleid, alle huidige attesten van sectorale certificaten van derde partijen (bv. SOC 2 Type II, ISO 27001) en alle bewerkingen of bijlagen ervan. In het geval dat Asana redelijkerwijs gelooft dat er hiaten zitten in het programma van Verkoper, gebaseerd op de criteria hierin vooropgesteld, kan Asana in een schriftelijk verzoek, waarvan Verkoper de ontvangst moet bevestigen binnen 30 dagen, vragen dat Verkoper een bijkomende beveiligingsvragenlijst invult. Deze vragenlijst moet erkend worden door en overeengekomen zijn met de aangeduide Beveiligingsfunctionaris van Verkoper.
a. Onderaannemer moet zijn personeel training bieden met betrekking tot informatiebeveiliging en privacy wanneer ze aangeworven worden en daarna minstens op jaarbasis.
b. Onderaannemer moet verzekeren dat zijn personeel erkent dat het het beleid en de procedures van Onderaannemer gelezen en begrepen heeft, waaronder het informatiebeveiligingsbeleid, wanneer ze aangeworven worden en daarna minstens op jaarbasis.
a. Onderaannemer zal Klantgegevens alleen bekijken op basis van wat geweten moet zijn voor het uitvoeren van de overeengekomen diensten. Ter verduidelijking, indien Asana Onderaannemer heeft aangenomen voor Activeringsdiensten, zal Onderaannemer de Klantinstantie van de Asana-dienst op geen enkel moment gedurende deze overeenkomst bekijken. Onderaannemer zal samenwerken met de Klant om beste praktijken te ontwikkelen voor het uitvoeren van dergelijke Activeringsdiensten, inclusief maar niet beperkt tot het delen van schermen, video-opnames of andere manieren van beeld vastleggen, zoals nodig om de vereiste training en begeleiding te bieden gespecifieerd in de Bestelling.
b. Onderaannemer zal verzekeren dat het personeel alleen toegang heeft tot Klantgegevens op de systemen van Onderaannemer met gebruik van multi-factor authenticatie.
c. Onderaannemer moet verzekeren dat alle wachtwoorden gelijk zijn aan of sterker zijn dan de NIST 800-63b-vereisten voor gememoriseerde geheime wachtwoorden.
d. Onderaannemer moet toegang tot Klantgegevens loggen en controleren, en onmiddellijk verdachte activiteit onderzoeken.
e. Onderaannemer moet toegang voorzien in overeenstemming met het principe van laagste privileges.
f. Bij beëindiging moet Onderaannemer de personeelstoegang tot zijn systemen die Klantgegevens verwerken binnen 24 uur verwijderen.
a. Onderaannemer handhaaft een Plan voor Reactie op Beveiligingsincidenten dat minstens jaarlijks wordt herbekeken. b. Onderaannemer test zijn Plan voor Reactie op Beveiligingsincidenten minstens op jaarbasis. c. Onderaannemer moet rapporteren over Beveiligingsincidenten in overeenkomst met Asana's Gegevensverwerking-Addendum.
a. Onderaannemer gebruikt een gepast encryptiemechanisme at rest en in transit (minstens: TLS 1.2, ssh, AES-256).
a. Onderaannemer zal de volgende apparaatvereisten naleven gebaseerd op Diensten verklaard in een Bestelling.
Voor Activeringsdiensten:
1. Onderaannemer handhaaft een middeleninventaris van gebruikerseindpunten die periodiek wordt bijgewerkt, gecontroleerd en beoordeeld.
2. Onderaannemer handhaaft een gedocumenteerd proces voor het vastleggen van eindpunten gebaseerd op gedocumenteerde hardingsstandaarden.
3. Eindpunten van de Onderaannemer gebruiken commercieel aanvaardbare beveiligingscontroles, waaronder minstens:
Versleuteling van lokale harde schijf;
Een lokaal wachtwoord; en
EDR-software met constante monitoring, inclusief antivirus- en malwarescanning, detectie, beheersing en rapportagecapaciteiten.
4. Onderaannemer gebruikt mechanismen om controle te handhaven over het verdelen van gevoelige media, inclusief voorkomen dat gebruikers bestanden overzetten met niet-goedgekeurde diensten voor bestandsoverdracht of gegevens overdragen naar externe media (bv. USB-drives).
5. Onderaannemer gebruikt mechanismen om op een veilige manier hardware weg te doen, vernietigen of hergebruiken wanneer het niet langer nodig is.
6. Onderaannemer verzekert dat hardware tijdig wordt teruggegeven wanneer het niet langer nodig is.
7. Onderaannemer heeft de mogelijkheid om apparaten vanop afstand leeg te maken indien ze gestolen of aangetast werden.
Voor Geïntegreerde Diensten of andere niet-Activeringsdiensten:
1. Onderaannemer zal alleen apparaten gebruiken die door Asana worden beheerd om werk uit te voeren dat gerelateerd is aan de diensten. Onderaannemer kan ervoor kiezen om ofwel:
a. Beheerde hardware van Asana te ontvangen voor de duur van de overeenkomst met Asana-klanten. Indien Onderaannemer hardware ter beschikking wordt gesteld, mag Onderaannemer alleen Asana-hardware gebruiken voor het uitvoeren van diensten gerelateerd aan Asana-klanten overeenkomstig met de onderliggende overeenkomst tussen Asana en Onderaannemer; of
b. een nieuwe, ongeconfigureerde laptop te voorzien die opgenomen wordt in Asana's eindpuntenbeheersystemen. Asana zal antivirus-/antimalware-toepassingen installeren en verzekeren dat het apparaat voldoet aan onze minimum beveiligingsvereisten.
a. Onderaannemer voert een beveiligingsrisicoanalyse uit op alle derde partijen dienstverleners die toegang zouden kunnen hebben tot Klantgegevens voorafgaand aan het begin van de dienst.
b. Onderaannemer doet redelijke inspanningen om te verzekeren dat derde partijen dienstverleners beveiligingsmaatregelen handhaven die minstens consequent zijn met deze overeenkomst.
a. Behalve voor Activeringsdiensten, zal Onderaannemer alleen toegang hebben tot de Klantinstantie van de Asana-dienst voor de duur van de toepasselijke Bestelling. Bij beëindiging van de overeenkomst met de Klant, zal Verkoper verzekeren dat hij niet langer toegang heeft tot de Asana-omgeving van de Klant.
b. Onderaannemer zal verzekeren dat alle Klantgegevens die werden gedownload of behouden buiten hun Asana-instantie en alle kopieën zullen vernietigd worden bij beëindiging van de diensten.
a. Onderaannemer voert achtergrondonderzoek uit naar werknemers vóór ze aangeworven worden. Achtergrondverificaties zijn ontworpen volgens de lokale wetten, reguleringen, ethiek en contractuele beperkingen, en zijn proportioneel aan de toegankelijke gegevensclassificatie, bedrijfsvereisten en aanvaardbare risico's.