# Segurança de dados dos parceiros de soluções da Asana > Padrões de segurança de dados dos parceiros da Asana Source: https://asana.com/pt/terms/solutions-partner-data-security Este documento descreve os requisitos mínimos de segurança (salvaguardas administrativas, técnicas e físicas) para qualquer fornecedor terceirizado de serviços para os Clientes da Asana (“Subcontratado(s)”). Os termos em letras maiúsculas devem manter o significado a eles atribuído no acordo de serviços subjacente entre a Asana e o Subcontratado, a menos que definido de outra maneira neste documento. ## 1. Programa de segurança **a.** O Subcontratado mantém um programa de segurança de informações projetado para garantir a segurança, a disponibilidade, a integridade e a confidencialidade dos dados do Cliente. O programa inclui: i. Gestão formal dos riscos ii. Avaliações periódicas dos riscos iii. Teste de penetração realizado por um terceiro qualificado e independente, com periodicidade mínima anual. Caso seja requerida qualquer correção, o Subcontratado realizará tal correção em um período razoável de tempo, o qual deve levar em consideração a probabilidade e o impacto das descobertas. **b.** O fornecedor designou um diretor de segurança e pessoal de segurança adequado, responsáveis pelos esforços de segurança da informação. ## 2. Políticas e procedimentos **a.** O Subcontratado possui e mantém as seguintes políticas: i. Política de uso aceitável descrevendo o uso apropriado dos Dados do Cliente. ii. Política de segurança das informações, elaborada para fornecer à equipe as diretrizes relacionadas à manutenção da segurança, da confidencialidade, da integridade e da disponibilidade dos Dados do Cliente. **b.** O Subcontratado revisa as políticas e procedimentos ao menos uma vez por ano. **c.** Mediante solicitação por escrito da Asana, e não mais que uma vez a cada semestre, o Fornecedor deverá entregar à Asana uma cópia da sua Política de Segurança de Informações, da Política de Uso Aceitável, de quaisquer atestados de terceiros ou certificações da indústria (como a SOC 2 tipo II ou a ISO 27001) e quaisquer atualizações ou emendas associadas a estas. Se a Asana, com base nos critérios estabelecidos neste documento, tiver motivos razoáveis para acreditar na existência de inadequações ou divergências no programa do Fornecedor, poderá solicitar por escrito o preenchimento de um questionário de segurança adicional, e o Fornecedor deverá fazê-lo dentro de 30 dias após o recebimento da solicitação. O diretor de segurança apontado pelo Fornecedor deverá reconhecer e concordar com o questionário em questão. ## 3. Treinamento **a.** O Subcontratado deverá fornecer treinamento sobre segurança e privacidade das informações ao seu pessoal após a contratação e, depois disso, ministrar treinamentos com periodicidade mínima anual. **b.** O Subcontratado deve se certificar de que o seu pessoal reconhece e concorda que leu e entendeu as políticas e procedimentos do Subcontratado, incluindo a política de segurança de informações, após a contratação e depois com periodicidade mínima anual. ## 4. Controle de acesso **a.** O Subcontratado somente acessará os Dados do Cliente conforme necessário para os propósitos de realização dos serviços contratados. Para maior clareza, quando a Asana contratar o Subcontratado para serviços de capacitação, o Subcontratado não deverá acessar a instância do Cliente no Serviço da Asana em momento algum durante tal relacionamento. O Subcontratado deverá cooperar com o Cliente no desenvolvimento de melhores práticas para a realização de tais serviços de capacitação, incluindo mas não limitadas ao compartilhamento de tela, à gravação de vídeo ou outras capturas de tela, conforme necessário para entregar o treinamento e as orientações exigidos de acordo com as especificações do Pedido. **b.** O Subcontratado irá assegurar que o seu pessoal somente poderá acessar os Dados do Cliente nos sistemas do Subcontratado por meio de autenticação de múltiplos fatores. **c.** O Subcontratado deverá assegurar que todas as senhas atendem ou superam os requisitos de senhas secretas memorizadas NIST 800-63b. **d.** O Subcontratado deverá registrar e monitorar o acesso aos Dados do Cliente e investigar prontamente as atividades suspeitas. **e.** O Subcontratado deverá prover acesso de acordo com o princípio do privilégio mínimo. **f.** Após a cessação do contrato, o Subcontratado deverá remover o acesso do seu pessoal aos sistemas que processam Dados dos Clientes em até 24 horas. ## 5. Resposta a incidentes **a.** O Subcontratado mantém um Plano de Resposta a Incidentes de Segurança que é revisado pelo menos uma vez por ano. **b.** O Subcontratado testa o Plano de Resposta a Incidentes pelo menos uma vez por ano. **c.** O Subcontratado deve relatar os incidentes de segurança de acordo com o Adendo de Processamento de Dados da Asana. ## 6. Criptografia **a.** O Subcontratado utiliza um mecanismo apropriado de criptografia em repouso e em trânsito (no mínimo TLS 1.2, ssh, AES-256). ## 7. Hardware **a.** O Subcontratado irá aderir aos seguintes requisitos de dispositivos, com base nos Serviços especificados no Pedido. **Para serviços de capacitação:** **1.** O Subcontratado mantém um inventário de ativos atualizado, auditado e revisado periodicamente com os _endpoints_ dos usuários. **2.** O Subcontratado mantém um processo documentado para o provisionamento de _endpoints_ baseado em padrões documentados de _hardening_ de sistemas. **3.** Os _endpoints_ do Subcontratado empregam controles de segurança razoáveis em termos comerciais e incluem, pelo menos: - Criptografia nos discos rígidos locais; - Uma senha local; e - Software de detecção e resposta a   _endpoints_   (Endpoint Detection and Response, EDR) com monitoramento contínuo, incluindo varredura, detecção e contenção de vírus e   _malwares_ , assim como capacidade de geração de relatórios. **4.** O Subcontratado emprega mecanismos para a manutenção do controle sobre a distribuição de mídias sensíveis, incluindo a prevenção das transferências de arquivos pelos usuários por meio de serviços de transferência de arquivos não aprovados ou da transferência de dados para mídias externas (por exemplo, unidades USB). **5.** O Subcontratado emprega mecanismos de descarte, destruição ou reutilização segura do hardware quando este deixar de ser necessário. **6.** O Subcontratado assegura a devolução oportuna do hardware quando este deixar de ser necessário. **7.** O Subcontratado tem a capacidade de excluir remotamente todo o conteúdo de equipamentos, caso sejam furtados ou comprometidos. **Para serviços integrados ou outros serviços não relacionados à capacitação:** **1.** O Subcontratado somente utilizará dispositivos que estejam sob a gestão da Asana para realizar o trabalho relacionado aos serviços. O Subcontratado pode escolher entre: **a.** Receber hardware controlado pela Asana pelo período de relacionamento com os clientes da Asana. Se o Subcontratado receber tal hardware, deverá usar apenas o hardware da Asana para realizar os serviços relacionados aos clientes da Asana, segundo os termos do acordo subjacente entre a Asana e o Subcontratado; ou **b.** fornecer um notebook novo e não configurado para incorporação nos sistemas de gestão de _endpoints_ da Asana. A Asana irá instalar aplicativos antivírus / anti-malware e certificar-se de que o dispositivo atenda aos nossos requisitos mínimos de segurança. ## 8. Gestão de fornecedores **a.** O Subcontratado realiza avaliação dos riscos de segurança em quaisquer fornecedores de serviço terceirizados que possam ter acesso aos Dados do Cliente antes do início dos serviços. **b.** O Subcontratado realiza esforços razoáveis para assegurar que os fornecedores de serviço terceirizados mantenham medidas de segurança mínimas consistentes com este acordo. ## 9. Cessação **a.** Exceto em relação aos serviços de capacitação, o Subcontratado somente irá acessar a Instância do Cliente no Serviço da Asana pelo tempo estabelecido no Pedido aplicável. Após a cessação do relacionamento com o cliente, o Fornecedor irá assegurar que não tem mais acesso ao ambiente do cliente na Asana. **b.** O Subcontratado irá assegurar que quaisquer Dados do Cliente que tenham sido baixados ou retidos fora da instância da Asana, assim como quaisquer cópias, serão destruídos após a cessação dos serviços. ## 10. Verificação de antecedentes **a.** O Subcontratado verifica os antecedentes dos funcionários antes do início do vínculo empregatício. As verificações de antecedentes são elaboradas de acordo com as leis, regulações, a ética e as restrições contratuais locais, e serão proporcionais à classificação dos dados que serão acessados, aos requisitos do negócio e ao risco aceitável.