Standardy bezpieczeństwa danych

OBOWIĄZUJE OD: 28 LUTEGO 2020 R.

Poniższy dokument opisuje zasady bezpieczeństwa oraz architekturę Asany w odniesieniu do stosowanych w Usłudze metod kontroli administracyjnej, technicznej i fizycznej. Chyba że określono inaczej w niniejszym dokumencie, terminy zapisane wielką literą mają znaczenie nadane im w Umowie.

1. Zasady

Asana kładzie nacisk na poniższe zasady projektowania oraz wdrażania jej programu i zasad bezpieczeństwa: (a) bezpieczeństwo fizyczne i otoczenia dla ochrony Usługi przed nieuprawnionym dostępem, użyciem i modyfikacją; (b) zapewnianie dostępności działania i użytkowania Usługi; (c) poufność dla ochrony danych klientów; oraz (d) integralność dla zapewnienia dokładności i spójności danych w ich okresie żywotności.

2. Program bezpieczeństwa

Asana prowadzi program bezpieczeństwa informacji, który obejmuje: (a) formalny program zarządzania ryzykiem; (b) przeprowadzanie co najmniej raz w roku okresowej oceny ryzyka wszystkich systemów i sieci przetwarzających Dane klientów; (c) monitorowanie incydentów bezpieczeństwa oraz prowadzenie wielopoziomowego planu naprawy dla szybkiej naprawy wszelkich wykrytych luk; (d) spisane zasady bezpieczeństwa informacji oraz plan reagowania na incydenty, które zapewniają pracownikom wytyczne dotyczące bezpieczeństwa, poufności, integralności i dostępności Danych klientów oraz opisują te kwestie; (e) coroczne testy penetracyjne wykonywane przez wykwalifikowaną firmę zewnętrzną; oraz (f) osoby odpowiedzialne za kwestie związane z zapewnieniem bezpieczeństwa informacji.

3. Centra danych

Asana korzysta z Amazon Web Services (AWS) do hostingu i zarządzania serwerami produkcyjnymi oraz bazami danych na terenie Stanów Zjednoczonych i Unii Europejskiej. AWS stosuje złożony program bezpieczeństwa fizycznego z wieloma certyfikatami, w tym SSAE 16 i ISO 27001.

4. Dostęp, kontrola i zasady

Dostęp do zarządzania środowiskiem AWS Asany wymaga uwierzytelniania wieloetapowego, dostęp ssh do Usługi jest logowany, a dostęp do Danych klientów ma ograniczona liczba upoważnionych pracowników Asany. Funkcje sieciowe AWS, takie jak grupy bezpieczeństwa, ograniczają dostęp do instancji AWS oraz zasobów, a ograniczenie dostępu zostało skonfigurowane na zasadzie najmniejszego przywileju. Pracownicy są szkoleni z zakresu udokumentowanych procedur bezpieczeństwa informacji i prywatności. Każdy pracownik Asany podpisuje zasady dostępu do danych i zobowiązuje się przestrzegać warunków zachowania poufności danych Asany, a jego dostęp do systemów Asany zostaje natychmiast zablokowany po ustaniu stosunku pracy.

5. Audyty i certyfikacje

Od daty obowiązywania Asana zdobyła certyfikat SOC 2 (typu I i typu II) potwierdzający spełnianie przez jej elementy kontrolne kryteriów bezpieczeństwa, dostępności i poufności, jak opisano w wydaniu „Zasad usług zaufania”, sekcja 100A z 2016 roku, „Zasady i kryteria usług zaufania dla bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności” (AICPA, „Zasady i kryteria usług zaufania”). Asana spełnia wymogi Tarczy prywatności UE – USA oraz Tarczy prywatności Szwajcaria – USA dotyczące przekazywania danych osobowych między Unią Europejską a Stanami Zjednoczonymi oraz deklaruje przestrzeganie zasad Tarczy prywatności UE – USA oraz Tarczy prywatności Szwajcaria – USA.

6. Zarządzanie dostawcami

Asana podejmuje uzasadnione kroki, aby wybierać i współpracować tylko z usługodawcami zewnętrznymi, którzy zapewniają i wdrażają środki bezpieczeństwa zgodne ze środkami opisanymi w niniejszym załączniku. Przed wdrożeniem oprogramowania lub skorzystaniem z usług dostawcy oprogramowania w Asanie, dział IT Asany dokładnie sprawdza protokoły bezpieczeństwa dostawcy, zasady przechowywania danych, politykę prywatności oraz wpisy historii bezpieczeństwa. Dział IT może odrzucić oprogramowanie lub usługi dostawcy oprogramowania, jeśli nie udowodni on możliwości zapewnienia dostatecznej ochrony danych Asany i jej klientów końcowych.

7. Testy i naprawy

Corocznie Asana wykonuje we własnym zakresie oraz we współpracy z firmami zewnętrznymi różne testy mające na celu ochronę Danych klientów przed nieuprawnionym dostępem oraz oszacowanie bezpieczeństwa, niezawodności i integralności Usługi. Gdy Asana według własnego uznania określi, że zgodnie z wynikami takich testów konieczne jest wykonanie czynności naprawczych, przeprowadzi je w rozsądnym czasie, biorąc pod uwagę naturę i powagę wykrytego problemu.

8. Odpowiedź na incydenty bezpieczeństwa

Asana przeprowadza corocznie ćwiczenia z symulowanych odpowiedzi na incydenty oraz ma plan odpowiedzi na incydenty stworzony, aby zapewnić rozsądne i spójne odpowiedzi na incydenty bezpieczeństwa oraz podejrzewane incydenty bezpieczeństwa obejmujące przypadkowe lub nielegalne uszkodzenie, utracenie, kradzież, zmianę lub nieuprawnione ujawnienie przesyłanych, przechowywanych albo w inny sposób przetwarzanych przez Asanę danych własności i osobowych. Jeśli Asana wykryje i potwierdzi nieuprawniony dostęp do Danych klientów lub ich ujawnienie, szybko poinformuje Klienta o takim naruszeniu, określi przyczynę problemu, a także naprawi ją najszybciej, jak będzie to możliwe. Asana podejmie rozsądne działania, aby w ramach czynności naprawczych prowadzić z Klientem komunikację i współpracę.

9. Monitorowanie bezpieczeństwa

Aby wykryć nieuprawnione i złośliwe oprogramowanie oraz przeciwdziałać mu, zostały zainstalowane aplikacje antywirusowe oraz aplikacje przeciwdziałające oprogramowaniu złośliwemu. Asana używa także w naszych firmowych sieciach i środowiskach produkcyjnych systemów wykrywania włamań (IDS). Asana regularnie wykonuje skanowanie bezpieczeństwa. W ramach monitorowania wirusów Asana automatycznie lub ręcznie aktualizuje większość używanego oprogramowania lub zleca to firmie Amazon, gdy jest to logicznie uzasadnione i możliwe. Asana obsługuje proces skanowania luk systemów produkcyjnych. Zakres skanowania luk obejmuje zarówno systemy zewnętrzne, jak i wewnętrzne środowiska produkcyjnego. Zespół bezpieczeństwa Asany co najmniej raz w tygodniu przeprowadza skanowanie pod kątem luk oraz ocenia wagę każdej luki na podstawie kryteriów narzędzi oceny, aby określić wymagające naprawy luki wysokiego lub najwyższego poziomu. Skanowanie pod kątem luk jest także przeprowadzane po każdej ważnej zmianie w środowisku produkcyjnym, co określa zespół ds. bezpieczeństwa Asany.

10. Szyfrowanie

Dane klientów są szyfrowane podczas ich przesyłania oraz, zgodnie z wersją Usługi wybraną przez Klienta, szyfrowane podczas przechowywania (i pozostają zaszyfrowane podczas ich przechowywania). Połączenie z witryną app.asana.com jest szyfrowane szyfrowaniem 128-bitowym obsługującym protokół TLS w wersji 1.2 i wyższych. Logowanie i przesyłanie danych wrażliwych odbywa się przez protokoły szyfrowania, takie jak TLS lub ssh.

11. Kopia zapasowa i przywracanie

Asana wykonuje codziennie migawki jej baz danych i bezpiecznie kopiuje je do osobnego centrum danych, aby móc przywrócić je w przypadku regionalnej awarii usługi AWS. Kopie zapasowe są szyfrowane i mają ochronę na poziomie środowiska produkcyjnego. Dodatkowo Dane klientów są przechowywane w różnych regionach dzięki usłudze AWS.

12. Zarządzanie zmianą

Asana wprowadziła zasady zarządzania zmianą, aby zapewnić, że wprowadzane zmiany będą spełniały wymogi Asany w zakresie bezpieczeństwa, poufności i dostępności. Zarząd co roku sprawdza i zatwierdza te zasady. Każda zmiana środowiska produkcyjnego lub konfiguracji IT, która ma nieznane lub niemożliwe do przewidzenia konsekwencje dla bezpieczeństwa, musi zostać przed jej wprowadzeniem sprawdzona przez odpowiednie zespoły ponoszące odpowiedzialność w danym obszarze.

13. Odzyskiwanie po awarii i ciągłość działalności

Asana ma plan ciągłości biznesowej opracowany dla przypadków wydłużonej awarii usługi spowodowanej nieprzewidzianymi lub niemożliwymi do uniknięcia awariami, którego celem jest jak najszybsze przywrócenie działania usług w największym możliwym zakresie. Plan ten obejmuje krytyczne funkcje biznesowe i związane z nimi systemy. Asana stworzyła zestaw zasad i procedur odzyskiwania po awarii, aby umożliwić odzyskanie kluczowej infrastruktury technologicznej i systemów po awarii oraz zapewnić ciągłość ich działania. Codziennie wykonywane są migawki baz danych, kopie zapasowe danych są przechowywane w formie zaszyfrowanej, kopie zapasowe są magazynowane w innym regionie, a Usługa działa w niezależnej sieci i na osobnej infrastrukturze serwerów rozmieszczonej w centrach danych znajdujących się w różnych lokacjach geograficznych. Plan ten jest corocznie sprawdzany i testowany.

Asana zastrzega sobie prawo do okresowej aktualizacji niniejszych warunków oraz zmiany jej praktyk z zakresu bezpieczeństwa, o ile taka aktualizacja lub zmiana nie będzie miała istotnego, negatywnego wpływu na ogólne bezpieczeństwo Usługi w obowiązującym Okresie subskrypcji.