Declaração de segurança da Asana

Introdução

Nós usamos Asana todos os dias para manter nossa equipe organizada, conectada e focada nos resultados. Garantir que nossa plataforma seja segura é essencial para proteger nossos próprios dados, e proteger as suas informações é nossa maior prioridade.

Nossa estratégia digital abrange todos os aspectos do negócio, incluindo:

  • Políticas corporativas de segurança da Asana
  • Segurança física e ambiental
  • Processos de segurança operacionais
  • Escalabilidade e confiabilidade de nossa arquitetura do sistema
  • Controle de acesso ao modelo de dados em Asana
  • Desenvolvimento e manutenção de sistemas
  • Desenvolvimento e manutenção de serviços
  • Colaboração regular com peritos em segurança independentes

Políticas e procedimentos de segurança corporativos da Asana

Todos os colaboradores da Asana assinam uma Política de acesso a dados que os vincula aos Termos existentes em nossas políticas de confidencialidade dos dados, disponíveis em asana.com/terms e asana.com/privacy. Os direitos de acesso baseiam-se no cargo e na função profissional do colaborador.

Certificação SOC 2 (Tipo 1)

A Asana concluiu com sucesso sua auditoria SOC 2 (Tipo 1) para os controles que implementamos com respeito à segurança, à disponibilidade e à confidencialidade. Ter obtido a SOC 2 (Tipo 1) significa que estabelecemos processos e práticas relacionados a esses princípios de controle que foram validados por uma entidade independente.

A segurança em nosso ciclo de desenvolvimento de software

A Asana usa o sistema de controle de revisões git. As modificações feitas ao código de base da Asana são submetidas a um conjunto de testes automatizados e passam então por uma etapa de verificação manual para serem analisadas e processadas. Quando as modificações de código são aprovadas pelo sistema automatizado de teste, são inicialmente aplicadas a um servidor de ensaio, no qual os colaboradores da Asana podem testar as mudanças antes de eventualmentar implementá-las nos servidores de produção e nossa base de dados de clientes. Também está em funcionamento uma verificação de segurança específica para modificações e recursos particularmente sensíveis. Os engenheiros da Asana podem ainda eleger atualizações críticas para serem implementadas imediatamente nos servidores de produção.

Além de haver uma lista onde são publicadas todas as modificações feitas aos controles de acesso, temos um conjunto de testes automatizados para verificar se as regras de controles de acesso estão escritas corretamente e se são aplicadas conforme esperado. Trabalhamos além disso em colaboração com peritos em segurança independentes para:

  • Testar o nosso código contra vulnerabilidades comuns
  • Usar ferramentas de varredura de redes contra nossos servidores de produção

Segurança nos escritórios da Asana

Nossos escritórios são protegidos com acessos por cartão eletrônico que ficam gravados, e os visitantes são registrados na recepção.

Monitoramos a disponibilidade da rede e dos dispositivos existentes nos nossos escritórios. Armazenamos de forma centralizada os registros gerados por dispositivos de rede como firewalls, servidores DNS, servidores DHCP e roteadores. Os registros de rede dos dispositivos de segurança (firewall), pontos de acesso sem fio e comutadores (switch) são também coletados.

Arquitetura e escalabilidade da Asana

Escalabilidade e confiabilidade da arquitetura

A Asana utiliza os Amazon Web Services (RDS e S3) para gerenciar os dados dos usuários. A base de dados é replicada de forma síncrona para que, em caso de falha, seja possível fazer rapidamente a sua recuperação. Como precaução adicional, criamos snapshots regulares da base de dados, que são movidos com segurança para um centro de dados independente. Com isso é possível restaurá-los em outro lugar conforme necessário, mesmo na eventualidade de ocorrer uma falha regional dos serviços da Amazon.

Atualmente nossos dados são armazenados em centros de dados auditados com certificação SSAE 16 via Amazon RDS nos Estados Unidos.

Transações criptografadas

As conexões Web ao serviço da Asana são feitas via TLS 1.1 e superiores. Suportamos “forward secrecy” e AES-GCM, e proibimos conexões inseguras que usem TLS 1.0 e anteriores e o RC4.

Segurança das informações da Asana

Estações de trabalho, notebooks e dispositivos móveis dos colaboradores

Todos os notebooks e estações de trabalho são protegidos com criptografia completa de disco e administrados de forma centralizada. Aplicamos diligentemente as atualizações aos dispositivos dos funcionários e monitoramos malwares nas estações de trabalho. Também podemos aplicar patches críticos de segurança e apagar qualquer máquina remotamente. Usamos tecnologia OTP padrão da indústria para maior segurança de acesso à nossa infraestrutura corporativa.

Consultoria de segurança e verificação de aplicativos

Trabalhamos em colaboração com consultores de segurança externos e mantemos um programa de recompensas no qual pagaremos aos pesquisadores de segurança que descobrirem vulnerabilidades.

Segurança dos centros de dados

Amazon

A Amazon utiliza um programa robusto de segurança física com múltiplas certificações, incluindo a SSAE 16. Para mais informações sobre os processos de segurança física da Amazon visite aws.amazon.com/security.

Recursos do produto

Recursos do gerenciamento por administradores

  • Autenticação - Os administradores em Asana podem forçar os colaboradores a fazer a autenticação através de contas do Google ou definir um SAML. Se as senhas são armazenadas diretamente em Asana, garantimos a segurança delas usando bcrypt.

  • Gerenciamento de usuários - Os administradores podem ver as atividades recentes, status de membros e convidados e fazer a desatribuição de usuários a partir de uma interface central de administração.

Recursos dos usuários

  • Configurações de privacidade, visibilidade e compartilhamento - Os clientes podem determinar quem tem acesso às diferentes categorias de dados como equipes, projetos e tarefas. O acesso a uma organização na Asana baseia-se no e-mail com o domínio da respectiva empresa. Você pode limitar o acesso de um usuário quando este participa como convidado.

Privacidade

Políticas de privacidade

A política de privacidade da Asana, que descreve como processamos a entrada de dados em Asana, pode ser lida em asana.com/privacy.

Disponibilidade

Estamos comprometidos a proporcionar uma disponibilidade consistente da Asana para você e suas equipes. Os nossos sistemas possuem mecanismos de redundância incorporados que suportam falhas e são continuamente monitorados para manter o seu trabalho sem interrupções. Você pode monitorar a nossa disponibilidade a qualquer momento através da nossa página de confiança.

Quer informar uma questão de segurança?

Oferecemos um Programa de recompensa por vulnerabilidades de segurança. Envie um e-mail para security@asana.com.