Dokument ten przedstawia minimalne wymagania dotyczące bezpieczeństwa (zabezpieczenia administracyjne, techniczne i fizyczne) wszystkich stron trzecich świadczących usługi Klientom Asany („Podwykonawcy”). Chyba że w niniejszym dokumencie określono inaczej, terminy zapisane wielką literą mają znaczenie przypisane im w obowiązujących umowach świadczenia usług zawartych między Asaną i Podwykonawcą.
a. Podwykonawca prowadzi program bezpieczeństwa informacji mający na celu zapewnienie bezpieczeństwa, dostępności, integralności i poufności Danych klienta. Program obejmuje: i. Formalne zarządzanie ryzykiem ii. Okresową ocenę ryzyka iii. Testy penetracyjne przeprowadzane co najmniej raz w roku przez wykwalifikowaną, niezależną stronę trzecią. Jeśli konieczne będzie podjęcie czynności naprawczych, Podwykonawca wykona je w rozsądnym czasie, uwzględniającym prawdopodobieństwo wystąpienia i wpływ wykrytych problemów.
b. Dostawca ma wyznaczonego Kierownika ds. bezpieczeństwa oraz pracowników odpowiedzialnych za kwestie związane z bezpieczeństwem informacji.
a. Podwykonawca wdrożył następujące zasady: i. Zasady dotyczące akceptowalnego wykorzystania Danych klienta. ii. Zasady dotyczące bezpieczeństwa informacji mające na celu zapewnienie pracownikom informacji na temat zachowywania bezpieczeństwa, poufności, integralności i dostępności Danych klienta.
b. Podwykonawca co najmniej raz w roku sprawdza i aktualizuje te zasady i procedury.
c. Na pisemne żądanie Asany, a nie częściej niż raz na sześć miesięcy, Dostawca udostępni Asanie kopię swoich Zasad dotyczących bezpieczeństwa informacji, Zasad dotyczących akceptowalnego użycia oraz wszelkie aktualne branżowe albo wydane przez strony trzecie atesty i certyfikaty (np. SOC 2 typu II, ISO 27001), a także wszelkie zmiany i uaktualnienia tych zasad. Jeśli Asana będzie miała uzasadnione przypuszczenie, że na podstawie opisanych tutaj kryteriów Dostawca ma luki w programie, Asana może zażądać w formie pisemnej uzupełnienia przez Dostawcę dodatkowego kwestionariusza dotyczącego bezpieczeństwa, a Dostawca potwierdzi odebranie tego żądania w ciągu trzydziestu dni. Uzupełnienie takiego kwestionariusza musi potwierdzić i przyjąć mianowany Kierownik ds. bezpieczeństwa Dostawcy.
a. Podwykonawca musi przeszkolić pracowników z zakresu bezpieczeństwa i prywatności informacji zaraz po ich zatrudnieniu, a następnie przeprowadzać takie szkolenie co najmniej raz w roku.
b. Podwykonawca musi uzyskać potwierdzenie, że nowi pracownicy przeczytali i akceptują zasady oraz procedury Podwykonawcy, w tym zasady dotyczące bezpieczeństwa informacji, a następnie co najmniej raz w roku odnawiać to potwierdzenie.
a. Podwykonawca będzie uzyskiwał dostęp tylko do Danych klienta niezbędnych do świadczenia umówionych usług. Dla przykładu, jeśli Asana zamówiła u Podwykonawcy Usługi szkoleniowe, w żadnym momencie realizacji tego zamówienia Podwykonawca nie uzyska dostępu do instancji usługi Asany Klienta. Podwykonawca powinien współpracować z Klientem, aby opracować najlepsze metody świadczenia Usług szkoleniowych, co obejmuje między innymi udostępnianie ekranu, nagrywanie wideo i inne metody przechwytywania ekranu potrzebne do udostępnienia wyszczególnionego w Zamówieniu szkolenia lub wsparcia.
b. Podwykonawca zapewni, że jego pracownicy będą mogli uzyskać dostęp do Danych klienta w systemach Podwykonawcy tylko za pomocą uwierzytelniania wieloetapowego.
c. Podwykonawca musi zapewnić, ze wszystkie hasła mają co najmniej siłę zgodną z wymogami NIST 800-63b dotyczącymi siły haseł.
d. Podwykonawca musi zapisywać i monitorować dostęp do Danych klienta oraz szybko sprawdzać podejrzane działania.
e. Podwykonawca musi przyznawać dostęp zgodnie z zasadą przydzielania jak najmniejszych uprawnień.
f. Po rozwiązaniu umowy Podwykonawca musi w ciągu 24 godzin zablokować w swoich systemach dostęp pracowników do Danych klienta.
a. Podwykonawca ma weryfikowany co najmniej raz w roku Plan reagowania na incydenty bezpieczeństwa. b. Podwykonawca sprawdza co najmniej raz w roku Plan reagowania na incydenty bezpieczeństwa. c. Podwykonawca musi zgłaszać Incydenty bezpieczeństwa zgodnie z Aneksem dotyczącym przetwarzania danych Asany.
a. Podwykonawca stosuje odpowiedni mechanizm szyfrowania podczas przechowywania i przesyłania danych (minimalnie: TLS 1.2, ssh, AES-256).
a. Podwykonawca spełni wymagania dotyczące sprzętu na podstawie Usług wymienionych w Zamówieniu.
W przypadku Usług szkolenia:
1. Podwykonawca prowadzi okresowo uaktualniany, analizowany i sprawdzany inwentarz punktów końcowych użytkownika.
2. Podwykonawca ma udokumentowany proces aprowizacji punktów końcowych oparty na udokumentowanych standardach zwiększania bezpieczeństwa.
3. Punkty końcowe Podwykonawcy obejmują uzasadnione komercyjnie mechanizmy bezpieczeństwa, w tym minimalnie:
lokalne szyfrowanie dysku twardego;
lokalne hasło;
oprogramowanie EDR oferujące stałe monitorowanie, w tym skanowanie przeciwko wirusom i oprogramowaniu złośliwemu, zapewniające możliwości wykrywania, kwarantanny i raportowania.
4. Podwykonawca korzysta z mechanizmów zachowania kontroli nad dystrybucją nośników wrażliwych, co obejmuje uniemożliwienie użytkownikom przesyłania plików za pomocą niezatwierdzonych usług transferu plików albo przenoszenia danych na nośniki zewnętrzne (np. dyski USB).
5. Podwykonawca stosuje mechanizmy bezpiecznej utylizacji, zniszczenia lub zmiany przeznaczenia nieużywanego dłużej sprzętu.
6. Podwykonawca zobowiązuje się zwrócić w rozsądnym czasie niepotrzebny dłużej sprzęt.
7. Podwykonawca ma możliwość zdalnego wykasowania danych na skradzionych lub w inny sposób utraconych urządzeniach.
W przypadku Usług zintegrowanych i usług innych niż Usługi szkolenia:
1. Podwykonawca do wykonania pracy związanej z usługami będzie używał tylko urządzeń zarządzanych przez Asanę. Podwykonawca może wybrać jedno z poniższych:
a. Odebrać zarządzany sprzęt od Asany potrzebny do interakcji z Klientami Asany. Jeśli Podwykonawca odbierze sprzęt, będzie musiał używać tylko sprzętu Asany podczas świadczenia usług powiązanych z Klientami Asany zgodnie z warunkami umowy zawartej między Asaną i Podwykonawcą.
b. Udostępnić nowego, nieskonfigurowanego laptopa, na którym zostaną wdrożone systemy zarządzania punktami końcowymi Asany. Asana zainstaluje aplikacje przeciwdziałające wirusom i oprogramowaniu złośliwemu, aby zapewnić, że urządzenie spełnia nasze minimalne wymogi dotyczące bezpieczeństwa.
a. Przed rozpoczęciem świadczenia usługi Podwykonawca przeprowadzi ocenę ryzyka wszelkich zewnętrznych usługodawców mających dostęp do Danych klienta.
b. Podwykonawca podejmie rozsądne działania mające na celu zapewnienie spełniania przez zewnętrznego usługodawcę minimalnych środków bezpieczeństwa opisanych w niniejszej umowie.
a. Poza Usługami szkolenia Podwykonawca uzyska dostęp do instancji Usługi Asany Klienta tylko w okresie określonym w odpowiednim Zamówieniu. Po zakończeniu współpracy z Klientem Dostawca nie będzie miał dalszego dostępu do środowiska Asany Klienta.
b. Podwykonawca zapewnia, że po zakończeniu świadczenia usług wszelkie Dane klienta pobrane lub zapisane poza jego instancją Asany oraz wszelkie kopie zostaną zniszczone.
a. Podwykonawca sprawdzi przeszłość zatrudnianych pracowników. Kontrola ta zostanie przeprowadzona zgodnie z lokalnymi przepisami prawa, zasadami, normami etycznymi i zobowiązaniami umownymi, a także proporcjonalnie do klasyfikacji danych, wymagań biznesowych i akceptowalnego ryzyka.