Стандарты защиты данных

ДАТА ВСТУПЛЕНИЯ В СИЛУ: 28 ФЕВРАЛЯ 2020 Г.

Здесь описаны принципы и архитектура безопасности Asana в отношении административных, технических и физических мер контроля, применимых к Сервису. Термины, употребляемые с заглавной буквы, имеют значение, определённое в Соглашении, если в настоящем документе им не дано другое определение.

1. Принципы

Asana обращает особое внимание на следующие принципы при разработке и внедрении программы обеспечения безопасности: (а) физическая безопасность и безопасность среды для защиты Сервиса от несанкционированного доступа, использования и изменений; (б) поддержание доступности работы и использования Сервиса; (в) конфиденциальность для защиты данных клиентов; а также (г) целостность для поддержания точности и согласованности данных на протяжении их жизненного цикла.

2. Программа обеспечения безопасности

Asana выполняет программу обеспечения информационной безопасности, которая включает в себя: (а) наличие формальной программы управления рисками; (б) проведение регулярных оценок рисков для всех систем и сетей, использующихся для обработки Данных клиентов не реже одного раза в год; (в) отслеживание инцидентов безопасности и исполнение многоуровневого плана восстановления для обеспечения своевременного устранения любых обнаруженных уязвимостей; (г) письменную политику обеспечения информационной безопасности и план реагирования на инциденты, в которых содержатся все необходимые указания по поддержанию безопасности, конфиденциальности, целостности и доступности Данных клиентов; (д) тестирование на возможность проникновения, выполняемое ежегодно квалифицированной третьей стороной; (ж) наличие ресурсов, ответственных за информационную безопасность.

3. Центры обработки данных

Asana использует Amazon Web Services (AWS) для управления и размещения рабочих серверов и баз данных в США и в ЕС. В AWS действует надёжная программа физической безопасности, которая прошла множество сертификаций, в том числе по стандартам SSAE 16 и ISO 27001.

4. Доступ, меры контроля и политики

Для доступа к среде Asana в AWS требуется пройти многофакторную аутентификацию, SSH-доступ к сервису регистрируется, а доступ к Данным клиентов имеют только определённые сотрудники Asana. Сетевые функции AWS, такие, как группы безопасности, используются для ограничения доступа к экземплярам и ресурсам AWS и настраиваются для ограничения доступа по принципу наименьших необходимых прав. Каждый сотрудник Asana подписывает политику доступа данных, которая обязывает его придерживаться политик конфиденциальности данных Asana. Доступ к системам Asana отзывается в момент увольнения сотрудника.

5. Аудиты и сертификации

По состоянию на момент публикации этого документа, Asana имеет сертификацию SOC 2 (Тип I и Тип II) в отношении мер, принимаемых для соответствия критериям безопасности, доступности и конфиденциальности, установленных в Разделе 100A TSP, «Принципы и критерии доверенных сервисов для безопасности, доступности, целостности обработки, конфиденциальности и приватности» (Принципы и критерии доверенных сервисов AICPA) от 2016 года. Asana придерживается требований Соглашения о правилах обмена конфиденциальной информацией между ЕС и США и Соглашения о правилах обмена конфиденциальной информацией между Швейцарией и США касательно передачи Персональных данных из ЕС в США, и самостоятельно заявила о своей приверженности соблюдению Соглашения о правилах обмена конфиденциальной информацией между ЕС и США и Соглашения о правилах обмена конфиденциальной информацией между ЕС и Швейцарией.

6. Управление поставщиками

Asana принимает необходимые шаги для отбора и сохранения отношений только с теми сторонними поставщиками услуг, которые придерживаются мер обеспечения безопасности в соответствии с требованиями настоящего приложения. До развёртывания программного обеспечения и его использования в Asana, отдел ИТ Asana внимательно изучает протоколы безопасности, политики хранения данных, политики безопасности и репутацию поставщика в отношении безопасности. Отдел ИТ может вынести решение об отказе от использования конкретного программного поставщика или работы с поставщиком в целом в случае, если поставщик не может обеспечить защиту данных Asana и Конечных пользователей.

7. Тестирование и восстановление

Asana ежегодно проводит самостоятельно и привлекает сторонних специалистов к проведению различных тестов, направленных на защиту от несанкционированного доступа к Данным клиентов, а также оценку безопасности, надёжности и целостности Сервиса. В тех случаях, когда Asana определяет по своему собственному усмотрению, что требуется внесение каких-либо изменений, исходя из результатов такого тестирования, Asana выполняет необходимые меры в течение разумного периода времени с учётом характера и серьёзности выявленной проблемы.

8. Реагирование на инциденты информационной безопасности

Asana ежегодно проводит командные учения по реагированию на инциденты и имеет план реагирования на инциденты, предназначенный для обеспечения разумного и последовательного реагирования на инциденты безопасности и возможные инциденты безопасности, связанные со случайным или незаконным уничтожением, потерей, кражей, изменением, несанкционированным раскрытием или доступом к передаваемым, хранимым или обрабатываемым Asana персональным данным или собственным данным Asana. Если Asana обнаружит и впоследствии подтвердит несанкционированный доступ к Данным клиентов или их раскрытие, Asana незамедлительно сообщит о таком нарушении Клиенту, своевременно проведёт анализ первопричины и своевременно устранить такое нарушение. Asana обязуется прилагать разумные усилия для обмена информацией и сотрудничества с Клиентом в ходе реализации любых мер по восстановлению.

9. Мониторинг безопасности

Для обнаружения или предотвращения использования несанкционированного или вредоносного программного обеспечения установлены приложения для защиты от вирусов и вредоносного ПО. Asana также использует системы обнаружения вторжений (IDS) в своих корпоративных сетях и производственных средах. Asana регулярно выполняет проверки безопасности. Для контроля вирусов Asana автоматически или вручную обновляет большую часть программного обеспечения, которое она использует, и передаёт обеспечение работы такого ПО Amazon, когда это логично и возможно. В Asana действует процесс поиска уязвимостей для производственных систем. Сканирование на наличие уязвимостей ведётся как во внешних, так и во внутренних системах, работающих в производственной среде. Команда безопасности Asana выполняет поиск уязвимостей не реже одного раза в неделю и определяет рейтинг серьёзности для каждой уязвимости на основе критериев инструментов оценки, таких как уязвимости высокого или более высокого уровня, требующие устранения. Поиск уязвимостей также проводится после любых значительных изменений в производственной среде, если команда безопасности Asana решит, что это необходимо.

10. Шифрование

Данные клиентов шифруются при передаче, и, в зависимости от версии Сервиса, выбранной Клиентом, шифруются в состоянии покоя (и остаются зашифрованными в состоянии покоя). Для подключения к app.asana.com используется 128-разрядное шифрование и поддерживается протокол TLS 1.2 и выше. Учётные данные и конфиденциальная информация передаются с использованием зашифрованных протоколов TLS или SSH.

11. Резервное копирование и восстановление

Asana ежедневно делает моментальные снимки баз данных и безопасно перемещает их в отдельный центр обработки данных, чтобы их можно было восстановить при необходимости даже в случае регионального сбоя в Amazon. Резервные копии шифруются и защищены теми же мерами, что и производственная среда. Кроме того, Данные клиентов хранятся в AWS в разных регионах.

12. Управление изменениями

В Asana действует политика управления изменениями, направленная на обеспечение соответствия всех изменений требованиям безопасности, конфиденциальности и доступности, установленным в Asana. Руководство ежегодно пересматривает и согласовывает эту политику. Любые изменения производственной или ИТ-конфигурации с неизвестными или предсказуемыми последствиями для безопасности должны быть рассмотрены соответствующими командами, отвечающими за данную область, до их развёртывания.

13. Аварийное восстановление и бесперебойная работа

Asana имеет план обеспечения непрерывности бизнеса на случай продолжительных перебоев в работе Сервиса, вызванных непредвиденными или неизбежными аварийными ситуациями, и будет стараться восстановить работу Сервиса в кратчайшие сроки. План касается критически важных для бизнеса функций и связанных с ними систем. Asana задокументировала набор политик и процедур аварийного восстановления, позволяющих возобновить или продолжить работу жизненно важной технологической инфраструктуры и систем после аварии. Моментальные снимки баз данных делаются ежедневно, резервные копии данных шифруются в хранилище, резервные копии хранятся в отдельном регионе, а Сервис размещён в сети и серверной инфраструктуре с резервированием, которые расположены в центрах обработки данных, находящихся в разных регионах. Этот план пересматривается и тестируется ежегодно.

Asana оставляет за собой право время от времени менять настоящие условия и методики обеспечения безопасности, при этом такие обновления или изменения не приведут к понижению уровня безопасности Сервиса во время действия применимого срока Подписки.