Det här dokumentet beskriver minimikraven för säkerhet (administrativa, tekniska och fysiska skyddsåtgärder) för alla tredje parter som tillhandahåller tjänster till Asana-användare (”underleverantör(er)”). Termer med versaler ska ha den betydelse de har i det underliggande tjänsteavtalet mellan Asana och underleverantören om de inte definieras på annat sätt här nedan.
a. Underleverantören upprätthåller ett program för informationssäkerhet som är utformat för att säkerställa säkerhet, tillgänglighet, integritet och sekretess av kunduppgifter. Programmet omfattar: i. Formell riskhantering ii. Återkommande riskbedömningar iii. Penetrationsprovning som utförs av en kvalificerad, oberoende tredje part minst en gång per år. Om åtgärder krävs så kommer underleverantören att hantera det inom en rimlig tidsperiod med hänsyn till sannolikheten för och konsekvensen av det konstaterade resultatet.
b. Leverantören har utsett en säkerhetschef och lämplig säkerhetspersonal som har ansvar för informationssäkerhetsarbetet.
a. Underleverantören har och upprätthåller följande policyer: i. Policy för tillåten användning som beskriver lämplig användning av kunduppgifter. ii. Informationssäkerhetspolicy som är utformad för att ge vägledning till personal för att upprätthålla säkerhet, sekretess, integritet och tillgänglighet av kunduppgifter.
b. Underleverantören granskar sina policyer och rutiner minst en gång per år.
c. På Asanas skriftliga begäran, och inte mer än en gång under en sexmånadersperiod, ska leverantören förse Asana med en kopia av sin informationssäkerhetspolicy, sin policy för tillåten användning, alla aktuella tredjepartsintyg eller branschcertifieringar (dvs. SOC 2 typ II, ISO 27001) och eventuella uppdateringar eller ändringar av dessa. Om Asana rimligen anser att det finns luckor i leverantörens program baserat på de kriterier som anges här nedan, kan Asana skriftligen begära att leverantören fyller i ytterligare ett säkerhetsformulär inom trettio dagar efter mottagandet av en sådan begäran. Frågeformuläret ska bekräftas och godkännas av leverantörens utsedda säkerhetschef.
a. Underleverantören ska tillhandahålla en informationssäkerhets- och sekretessutbildning åt sin personal vid anställningstillfället och minst en gång per år därefter.
b. Underleverantören ska säkerställa att personalen bekräftar att de har läst och förstått underleverantörens policyer och rutiner, inklusive informationssäkerhetspolicyn, vid anställningstillfället och minst en gång per år därefter.
a. Underleverantören har endast tillgång till de kunduppgifter som är nödvändiga för att tillhandahålla de avtalade tjänsterna. För extra tydlighet: när Asana har anlitat en underleverantör för stödtjänster, ska underleverantören inte vid någon tidpunkt under ett sådant samarbete få tillgång till kundens instans av Asana-tjänsten. Underleverantören ska samarbeta med kunden för att utveckla bästa praxis för att tillhandahålla stödtjänster, inklusive, men inte begränsat till skärmdelning, videoinspelning eller andra skärmbilder som krävs för att leverera den nödvändig utbildningen och vägledningen som anges i beställningen.
b. Underleverantören säkerställer att personalen endast har åtkomst till kunduppgifter i underleverantörens system genom multifaktorautentisering.
c. Underleverantören måste säkerställa att alla lösenord uppfyller eller är starkare än NIST 800-63b lagrade hemliga lösenordskrav.
d. Underleverantören ska logga och övervaka åtkomst till kunduppgifter och omedelbart utreda misstänkta aktiviteter.
e. Underleverantören ska tillhandahålla åtkomst i enlighet med principerna om begränsad behörighet.
f. Vid uppsägning ska underleverantören inom 24 timmar ta bort personalens åtkomst till de system som behandlar kunduppgifter.
a. Underleverantören upprätthåller en plan för hantering av säkerhetsincidenter som granskas minst en gång per år. b. Underleverantören testar planen för incidenthantering minst en gång per år. c. Underleverantören ska rapportera säkerhetsincidenter i enlighet med Asanas databehandlingstillägg.
a. Underleverantören använder en lämplig krypteringsmekanism vid vila och under överföring (minst: TLS 1.2, ssh, AES-256).
a. Underleverantören följer nedanstående enhetskrav baserat på de tjänster som anges i beställningen.
För stödtjänster:
1. Underleverantören upprätthåller en förteckning över användarens slutpunkter som regelbundet uppdateras, kontrolleras och granskas.
2. Underleverantören upprätthåller en dokumenterad process för att tillhandahålla slutpunkter baserat på dokumenterade härdningsstandarder.
3. Underleverantörens slutpunkter använder säkerhetskontroller som är kommersiellt rimliga och som minst omfattar:
Lokal hårddiskkryptering.
Ett lokalt lösenord.
EDR-programvara med kontinuerlig övervakning, inklusive funktioner för skanning, upptäckt, inneslutning och rapportering av antivirus och skadlig kod.
4. Underleverantören använder lämpliga tillvägagångssätt för att upprätthålla kontrollen över distributionen av känsliga medier, inklusive att förhindra användare från att göra filöverföringar via icke godkända filöverföringstjänster eller överföra data till externa medier (t.ex. USB-enheter).
5. Underleverantören använder lämpliga tillvägagångssätt för att säkert göra sig av med, förstöra eller återanvända hårdvaran när den inte längre behövs.
6. Underleverantören säkerställer att hårdvaran återlämnas i tid när den inte längre behövs.
7. Underleverantören har möjlighet att fjärradera datorer om de blir stulna eller på något sätt äventyras.
För integrerade tjänster eller andra tjänster som inte är stödtjänster:
1. Underleverantören kommer endast att använda enheter som hanteras av Asana för att utföra arbetet som är relaterat till tjänsterna. Underleverantören kan välja mellan följande alternativ:
a. Få hårdvara som hanteras av Asana under samarbetet med Asana-kunderna. Om underleverantören förses med hårdvara får underleverantören endast använda Asanas hårdvara för att tillhandahålla tjänster till Asanas kunder i enlighet med det underliggande avtalet mellan Asana och underleverantören.
b. Tillhandahålla en ny, ej konfigurerad bärbar dator som registreras i Asanas system för slutpunktshantering. Asana kommer att installera antivirusprogram/skydd mot skadlig kod och säkerställa att enheten uppfyller våra minimikrav för säkerhet.
a. Underleverantören genomför en säkerhetsriskbedömning för alla tredjepartsleverantörer som kan få åtkomst till kunduppgifter innan tjänsten påbörjas.
b. Underleverantören vidtar rimliga åtgärder för att säkerställa att tredjepartsleverantörer upprätthåller de säkerhetsåtgärder som minst överensstämmer med detta avtal.
a. Med undantag för stödtjänster kommer underleverantören endast att ha åtkomst till kundens instans av Asana-tjänsten under den tid som anges i själva beställningen. Vid uppsägning av samarbetet med kunden kommer leverantören att säkerställa att de inte längre har tillgång till kundens Asana-miljö.
b. Underleverantören säkerställer att alla kunduppgifter som har laddats ned eller lagrats utanför deras Asana-instans, samt alla kopior, kommer att förstöras när tjänsterna avslutas.
a. Underleverantören genomför bakgrundskontroller av de anställda innan anställningen påbörjas. Bakgrundskontrollerna är utformade i enlighet med lokala lagar, förordningar och etiska och avtalsmässiga villkor, och står i proportion till dataklassificeringen som ska uppnås, verksamhetskraven och den acceptabla risknivån.