Padrões de segurança de dados

DATA DE ENTRADA EM VIGOR: 28 DE FEVEREIRO DE 2020

O texto a seguir descreve os princípios e a arquitetura de segurança da Asana no que diz respeito aos controles administrativos, técnicos e físicos aplicáveis ao serviço. Os termos em letras maiúsculas terão o significado que lhes é atribuído no Acordo, salvo se aqui definido de outra forma.

1. Princípios

A Asana enfatiza os seguintes princípios na concepção e implementação de seu programa de segurança e práticas: (a) segurança física e ambiental para proteger o Serviço de acesso, uso ou modificação não autorizados; (b) manutenção da disponibilidade para o funcionamento e a utilização do Serviço; (c) confidencialidade para proteger os dados dos clientes; e (d) integridade para manter a precisão e consistência dos dados ao longo de seu ciclo de vida.

2. Programa de segurança

A Asana mantém um programa de segurança da informação que inclui: (a) dispor de um programa formal de gestão de risco; (b) realizar avaliações periódicas de risco de todos os sistemas e redes que processam Dados de Clientes com periodicidade mínima anual; (c) monitorar incidentes de segurança e manter um plano de correção escalonado para garantir correções oportunas de quaisquer vulnerabilidades descobertas; (d) uma política de segurança da informação e plano de resposta a incidentes por escrito que explicitamente aborde e forneça orientação ao seu pessoal em relação à segurança, confidencialidade, integridade e disponibilidade dos Dados de Clientes; (e) testes de penetração realizados por entidades externas qualificadas com periodicidade anual; e (f) manter recursos responsáveis pela realização de esforços em prol da segurança da informação.

3. Centros de dados

A Asana utiliza a Amazon Web Services (AWS) para fornecer gerenciamento e hospedagem de servidores de produção e bancos de dados nos Estados Unidos e na União Europeia. A AWS emprega um programa de segurança física robusto com diversas certificações, incluindo a SSAE 16 e a ISO 27001.

4. Acesso, controles e políticas

O acesso para gerenciar o ambiente AWS da Asana requer autenticação multifator, o acesso ssh ao serviço é registrado e o acesso aos Dados de Clientes é restrito a um conjunto limitado de funcionários aprovados pela Asana. Utilizam-se os recursos de rede da AWS, como grupos de segurança, para restringir o acesso a instâncias e recursos da AWS, e estão configurados para limitar o acesso usando o princípio do privilégio mínimo. Os funcionários são treinados em procedimentos protocolados de segurança e privacidade da informação. Todos os funcionários da Asana assinam uma política de acesso aos dados que os vincula aos termos das políticas de confidencialidade de dados da Asana e o acesso aos sistemas da Asana é imediatamente revogado após a rescisão do contrato de trabalho.

5. Auditoria e certificação

Desde a Data de início de Vigência, a Asana recebeu a certificação SOC 2 (Tipo I e Tipo II), relativa à adequação de seus controles para atender aos critérios relacionados à segurança, disponibilidade e confidencialidade estabelecidos na edição 2016 da seção 100A do TSP, Princípios e critérios dos serviços de confiança para a segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade (AICPA, Princípios e critérios dos serviços de confiança). A Asana adere ao Escudo de Proteção da Privacidade UE-EUA e ao Escudo de Proteção da Privacidade Suíça-EUA, relativos à transferência de Dados Pessoais da União Europeia para os Estados Unidos da América, e autocertificou a própria conformidade com o Escudo de Proteção da Privacidade UE-EUA e com o Escudo de Proteção da Privacidade Suíça-EUA.

6. Gerenciamento de fornecedores

A Asana toma as medidas cabíveis para selecionar e reter apenas prestadores de serviços terceirizados que mantenham e implementem medidas de segurança em conformidade com as medidas indicadas neste anexo. Antes que um software seja implementado ou um fornecedor de software possa ser utilizado pela Asana, a equipe de TI da Asana analisa cuidadosamente os protocolos de segurança, as políticas de retenção de dados, as políticas de privacidade e o histórico de segurança do fornecedor. O departamento de TI da Asana pode rejeitar o uso de qualquer software ou fornecedor de software caso não seja demonstrada a capacidade de proteger suficientemente os dados e Usuários Finais da Asana.

7. Testes e correção

Todos os anos, a Asana realiza e contrata prestadores de serviços para realizar uma série de testes visando impedir o acesso não autorizado aos Dados de Clientes e avaliar a segurança, confiabilidade e integridade do Serviço. Na medida em que a Asana considere, a seu exclusivo critério, que se faz necessário realizar qualquer correção com base nos resultados dos testes, a devida correção será realizada num período de tempo razoável, levando-se em conta a natureza e a gravidade do problema identificado.

8. Resposta a incidentes de segurança

A Asana realiza anualmente exercícios simulados de resposta a incidentes e mantém um plano de resposta a incidentes concebido para determinar uma resposta razoável e consistente aos incidentes de segurança e suspeitas de incidentes de segurança envolvendo destruição acidental ou ilegal, perda, roubo, alteração, divulgação ou acesso não autorizados a dados de propriedade industrial ou dados pessoais transferidos, armazenados ou de outra maneira processados pela Asana. Se a Asana detectar e subsequentemente confirmar o acesso não autorizado ou a divulgação de Dados de Clientes, deverá comunicar imediatamente tal violação ao Cliente, realizar uma avaliação das causas e remediar tal violação em tempo hábil. A Asana empregará todos os esforços razoáveis para comunicar e cooperar com o Cliente durante o andamento de qualquer correção relevante.

9. Monitoramento da segurança

Foram instalados aplicativos antivírus e antimalware para detectar ou prevenir softwares mal-intencionados ou não autorizados. Além disso, a Asana também utiliza sistemas de detecção de intrusão (IDS) para suas redes corporativas e ambientes de produção e executa varreduras de segurança regularmente. Para o monitoramento de vírus, são feitas atualizações automáticas ou manuais na maioria dos softwares que a Asana executa, terceirizando-os com a Amazon sempre que essa for uma medida sensata e possível. A Asana mantém um processo de varredura de vulnerabilidades nos sistemas de produção. A abrangência das varreduras de vulnerabilidades inclui tanto sistemas externos quanto internos no ambiente de produção. A equipe de segurança da Asana executa varreduras de vulnerabilidades pelo menos uma vez por semana e determina a gravidade de cada vulnerabilidade com base nos critérios das ferramentas de avaliação, de forma que vulnerabilidades altas ou vulnerabilidades mais severas exijam correções. As varreduras de vulnerabilidade também são executadas após qualquer mudança significativa no ambiente de produção, conforme determinado pela equipe de segurança da Asana.

10. Criptografia

Os Dados de Clientes são criptografados em trânsito e, sujeito à versão aplicável ao Serviço escolhido pelo Cliente, são criptografados em repouso (e permanecem criptografados em repouso). A conexão com app.asana.com usa criptografia de 128 bits e suporta TLS 1.2 e versões posteriores. Logins e transferência de dados sensíveis são realizados através de protocolos criptografados, como TLS ou ssh.

11. Backup e restaurações

A Asana captura diariamente instantâneos de seus bancos de dados e os envia com segurança para um centro de dados separado para fins de restauração numa eventual falha regional da AWS. Os backups são criptografados e recebem a mesma proteção aplicada aos dados de produção. Além disso, os Dados de Clientes são armazenados de forma inter-regional na AWS.

12. Gestão de mudanças

A Asana estabeleceu uma política de gestão de mudanças para assegurar que estas atendam aos seus requisitos de segurança, confidencialidade e disponibilidade. A Gerência revisa e aprova a política anualmente. Qualquer mudança na produção ou configuração de TI com consequências em termos de segurança desconhecidas ou previsíveis deve ser examinada pelas equipes encarregadas pela área de responsabilidade antes da implantação.

13. Recuperação de desastre e continuidade do negócio

A Asana mantém um plano de continuidade do negócio para interrupções prolongadas de serviços causadas por desastres imprevistos ou inevitáveis, num esforço para restaurar os serviços na medida do possível e dentro de um período de tempo razoável. Este plano abrange as funções essenciais do negócio e sistemas associados. A Asana registrou um conjunto de políticas e procedimentos de recuperação de desastre para permitir a recuperação ou continuação da infraestrutura e sistemas tecnológicos vitais pós-desastre. São realizadas diariamente capturas de instantâneos dos bancos de dados, os backups de dados são criptografados durante o armazenamento, os backups são armazenados numa região distinta, e o Serviço reside numa infraestrutura de rede e servidor redundante em centros de dados geograficamente separados. Este plano é revisado e testado anualmente.

A Asana reserva-se o direito de atualizar periodicamente estes termos e modificar suas práticas de segurança, desde que tal atualização ou modificação não diminua material e adversamente a segurança geral do Serviço durante a Vigência de Assinatura aplicável.