Este documento descreve os requisitos mínimos de segurança (salvaguardas administrativas, técnicas e físicas) para qualquer fornecedor terceirizado de serviços para os Clientes da Asana (“Subcontratado(s)”). Os termos em letras maiúsculas devem manter o significado a eles atribuído no acordo de serviços subjacente entre a Asana e o Subcontratado, a menos que definido de outra maneira neste documento.
a. O Subcontratado mantém um programa de segurança de informações projetado para garantir a segurança, a disponibilidade, a integridade e a confidencialidade dos dados do Cliente. O programa inclui:
i. Gestão formal dos riscos
ii. Avaliações periódicas dos riscos
iii. Teste de penetração realizado por um terceiro qualificado e independente, com periodicidade mínima anual.
Caso seja requerida qualquer correção, o Subcontratado realizará tal correção em um período razoável de tempo, o qual deve levar em consideração a probabilidade e o impacto das descobertas.
b. O fornecedor designou um diretor de segurança e pessoal de segurança adequado, responsáveis pelos esforços de segurança da informação.
a. O Subcontratado possui e mantém as seguintes políticas:
i. Política de uso aceitável descrevendo o uso apropriado dos Dados do Cliente.
ii. Política de segurança das informações, elaborada para fornecer à equipe as diretrizes relacionadas à manutenção da segurança, da confidencialidade, da integridade e da disponibilidade dos Dados do Cliente.
b. O Subcontratado revisa as políticas e procedimentos ao menos uma vez por ano.
c. Mediante solicitação por escrito da Asana, e não mais que uma vez a cada semestre, o Fornecedor deverá entregar à Asana uma cópia da sua Política de Segurança de Informações, da Política de Uso Aceitável, de quaisquer atestados de terceiros ou certificações da indústria (como a SOC 2 tipo II ou a ISO 27001) e quaisquer atualizações ou emendas associadas a estas. Se a Asana, com base nos critérios estabelecidos neste documento, tiver motivos razoáveis para acreditar na existência de inadequações ou divergências no programa do Fornecedor, poderá solicitar por escrito o preenchimento de um questionário de segurança adicional, e o Fornecedor deverá fazê-lo dentro de 30 dias após o recebimento da solicitação. O diretor de segurança apontado pelo Fornecedor deverá reconhecer e concordar com o questionário em questão.
a. O Subcontratado deverá fornecer treinamento sobre segurança e privacidade das informações ao seu pessoal após a contratação e, depois disso, ministrar treinamentos com periodicidade mínima anual.
b. O Subcontratado deve se certificar de que o seu pessoal reconhece e concorda que leu e entendeu as políticas e procedimentos do Subcontratado, incluindo a política de segurança de informações, após a contratação e depois com periodicidade mínima anual.
a. O Subcontratado somente acessará os Dados do Cliente conforme necessário para os propósitos de realização dos serviços contratados. Para maior clareza, quando a Asana contratar o Subcontratado para serviços de capacitação, o Subcontratado não deverá acessar a instância do Cliente no Serviço da Asana em momento algum durante tal relacionamento. O Subcontratado deverá cooperar com o Cliente no desenvolvimento de melhores práticas para a realização de tais serviços de capacitação, incluindo mas não limitadas ao compartilhamento de tela, à gravação de vídeo ou outras capturas de tela, conforme necessário para entregar o treinamento e as orientações exigidos de acordo com as especificações do Pedido.
b. O Subcontratado irá assegurar que o seu pessoal somente poderá acessar os Dados do Cliente nos sistemas do Subcontratado por meio de autenticação de múltiplos fatores.
c. O Subcontratado deverá assegurar que todas as senhas atendem ou superam os requisitos de senhas secretas memorizadas NIST 800-63b.
d. O Subcontratado deverá registrar e monitorar o acesso aos Dados do Cliente e investigar prontamente as atividades suspeitas.
e. O Subcontratado deverá prover acesso de acordo com o princípio do privilégio mínimo.
f. Após a cessação do contrato, o Subcontratado deverá remover o acesso do seu pessoal aos sistemas que processam Dados dos Clientes em até 24 horas.
a. O Subcontratado mantém um Plano de Resposta a Incidentes de Segurança que é revisado pelo menos uma vez por ano. b. O Subcontratado testa o Plano de Resposta a Incidentes pelo menos uma vez por ano. c. O Subcontratado deve relatar os incidentes de segurança de acordo com o Adendo de Processamento de Dados da Asana.
a. O Subcontratado utiliza um mecanismo apropriado de criptografia em repouso e em trânsito (no mínimo TLS 1.2, ssh, AES-256).
a. O Subcontratado irá aderir aos seguintes requisitos de dispositivos, com base nos Serviços especificados no Pedido.
Para serviços de capacitação:
1. O Subcontratado mantém um inventário de ativos atualizado, auditado e revisado periodicamente com os endpoints dos usuários.
2. O Subcontratado mantém um processo documentado para o provisionamento de endpoints baseado em padrões documentados de hardening de sistemas.
3. Os endpoints do Subcontratado empregam controles de segurança razoáveis em termos comerciais e incluem, pelo menos:
Criptografia nos discos rígidos locais;
Uma senha local; e
Software de detecção e resposta a
endpoints
(Endpoint Detection and Response, EDR) com monitoramento contínuo, incluindo varredura, detecção e contenção de vírus e
malwares
, assim como capacidade de geração de relatórios.
4. O Subcontratado emprega mecanismos para a manutenção do controle sobre a distribuição de mídias sensíveis, incluindo a prevenção das transferências de arquivos pelos usuários por meio de serviços de transferência de arquivos não aprovados ou da transferência de dados para mídias externas (por exemplo, unidades USB).
5. O Subcontratado emprega mecanismos de descarte, destruição ou reutilização segura do hardware quando este deixar de ser necessário.
6. O Subcontratado assegura a devolução oportuna do hardware quando este deixar de ser necessário.
7. O Subcontratado tem a capacidade de excluir remotamente todo o conteúdo de equipamentos, caso sejam furtados ou comprometidos.
Para serviços integrados ou outros serviços não relacionados à capacitação:
1. O Subcontratado somente utilizará dispositivos que estejam sob a gestão da Asana para realizar o trabalho relacionado aos serviços. O Subcontratado pode escolher entre:
a. Receber hardware controlado pela Asana pelo período de relacionamento com os clientes da Asana. Se o Subcontratado receber tal hardware, deverá usar apenas o hardware da Asana para realizar os serviços relacionados aos clientes da Asana, segundo os termos do acordo subjacente entre a Asana e o Subcontratado; ou
b. fornecer um notebook novo e não configurado para incorporação nos sistemas de gestão de endpoints da Asana. A Asana irá instalar aplicativos antivírus / anti-malware e certificar-se de que o dispositivo atenda aos nossos requisitos mínimos de segurança.
a. O Subcontratado realiza avaliação dos riscos de segurança em quaisquer fornecedores de serviço terceirizados que possam ter acesso aos Dados do Cliente antes do início dos serviços.
b. O Subcontratado realiza esforços razoáveis para assegurar que os fornecedores de serviço terceirizados mantenham medidas de segurança mínimas consistentes com este acordo.
a. Exceto em relação aos serviços de capacitação, o Subcontratado somente irá acessar a Instância do Cliente no Serviço da Asana pelo tempo estabelecido no Pedido aplicável. Após a cessação do relacionamento com o cliente, o Fornecedor irá assegurar que não tem mais acesso ao ambiente do cliente na Asana.
b. O Subcontratado irá assegurar que quaisquer Dados do Cliente que tenham sido baixados ou retidos fora da instância da Asana, assim como quaisquer cópias, serão destruídos após a cessação dos serviços.
a. O Subcontratado verifica os antecedentes dos funcionários antes do início do vínculo empregatício. As verificações de antecedentes são elaboradas de acordo com as leis, regulações, a ética e as restrições contratuais locais, e serão proporcionais à classificação dos dados que serão acessados, aos requisitos do negócio e ao risco aceitável.