資料安全標準

生效日期:2020 年 2 月 28 日

以下內容描述了 Asana 在適用於該服務的系統管理、技術和物理控制方面的安全原則和架構。除非本文另有定義,否則以引號標記的術語應具有協議中賦予它們的含義。

1. 原則

Asana 在其安全計劃和措施的設計與實施中強調以下原則:(a) 物理和環境安全,以保護服務免受未經授權的存取、使用或修改;(b) 維護服務的營運的可用性和使用;(c) 保密,以保護客戶資料;(d) 完整性,以保持資料在其生命週期內的準確性和一致性。

2. 安全計劃

Asana 維持資訊安全計劃,其中包括:(a) 制定正式的風險管理計劃;(b) 至少每年對處理客戶資料的所有系統和網路進行定期風險評估;(c) 監控安全事件並維持層級性補救計劃,以確保及時修復任何發現的漏洞;(d) 書面資訊安全政策和事件回應計劃,明確說明並向其人員提供指導,以促進客戶資料的安全性、保密性、完整性和可用性;(e) 由合格的第三方每年進行滲透測試; (f) 擁有用於負責資訊安全工作的資源。

3. 資料中心

Asana 使用 Amazon Web Services (AWS) 在美國和歐盟提供生產伺服器和資料庫的管理和託管。AWS 採用具有多項認證的強大物理安全計劃,其中包括 SSAE 16 和 ISO 27001 認證。

4. 存取、控制與政策

存取管理 Asana 的 AWS 環境需要多因素驗證,對服務的 ssh 存取會被記錄,並且對客戶資料的存取僅限於經過核准的一組 Asana 員工。AWS 網路功能 (例如安全群組) 用於限制對 AWS 執行個體和資源的存取,並設定為使用最小權限原則限制存取。員工已接受書面資訊安全和隱私程序的培訓。每一位 Asana 員工都簽署了一項資料存取政策,該政策將他們與 Asana 的資料保密政策條款繫結在一起,並且在終止僱傭關係後立即撤銷對 Asana 系統的存取權限。

5. 稽核與驗證

自生效之日起,Asana 已獲得 SOC 2 (I 型和 II 型) 認證,證明其控制項符合 2016 年版本 TSP 第 100A 節中規定的安全性、可用性和保密性相關標準,以及「信任服務原則和標準」(AICPA,信任服務原則和標準) 的安全性、可用性、處理完整性、保密性和隱私。Asana 在涉及將個人資料從歐盟轉移到美國時遵守 歐盟-美國隱私盾架構和瑞士-美國隱私盾架構,並能自證符合歐盟-美國隱私盾架構和瑞士-美國隱私盾架構。

6. 供應商管理

Asana 採取合理措施,僅選擇和保留能夠維護和實施與本附件所述措施一致的安全措施的第三方服務提供商。在 Asana 實施軟體或使用軟體供應商之前,Asana IT 會仔細審核供應商的安全準則、資料保留政策、隱私政策和安全追蹤記錄。IT 可以拒絕使用任何軟體或軟體供應商未能證明其有能力充分保護 Asana 的資料和終端使用者。

7. 測試與補救

Asana 每年都會自行執行並聘請第三方執行各種測試,以防止未經授權的客戶資料存取並評估服務的安全性、可靠性和完整性。如果 Asana 自行決定依據此類測試的結果而需要進行任何形式的補救,將在考慮到已識別問題的性質和嚴重性的合理時間內執行此類補救。

8. 安全事件回應

Asana 每年會進行事件回應沙盤推演,並制定事件回應方案,旨在涉及 Asana 傳輸、儲存或以其他方式處理的資料或個人資料時,對意外或非法破壞、遺失、盜竊、變更、未經授權披露或存取專屬財產的安全事件和可疑安全事件,建立合理和一致的回應。如果 Asana 偵測並隨後確認未經授權的存取或披露「客戶資料」,Asana 應立即向「客戶」報告此類違規行為,及時進行根本原因評估,並及時補救此類違規行為。在任何此類相關補救過程中,Asana 應盡合理努力與「客戶」進行溝通與合作。

9. 安全監控

已安裝防毒程式或反惡意軟體應用程式以偵測或防止未經授權或惡意的軟體。Asana 還為我們的企業網路和生產環境使用入侵偵測系統 (IDS)。Asana 定期執行安全掃描。對於病毒監控,Asana 會自動或手動更新其執行的大多數軟體,並在合乎邏輯且可能的情況下將其外包給 Amazon。Asana 針對生產系統維持進行漏洞掃描流程。漏洞掃描的範圍包括生產環境中的外部和內部系統。Asana 的安全團隊至少每週執行一次漏洞掃描,並依據評估工具標準確定每個漏洞的嚴重性等級,以便需要補救高或更高等級的漏洞時使用。Asana 安全團隊確定出生產環境發生任何重大變化後,也會執行漏洞掃描。

10. 加密

客戶資料在傳輸過程中會被加密,並且依據客戶選擇的服務的適用版本,進行靜止加密 (並且在靜止狀態下維持加密)。與 app.asana.com 的連線使用 128 位元加密進行加密,並支援 TLS 1.2 及更高版本。登入和敏感資料傳輸透過 TLS 或 ssh 等加密協定執行。

11. 備份與還原

Asana 每天為資料庫拍攝快照,並將它們安全地複製到單獨的資料中心,以便在區域 AWS 發生故障時進行復原。備份已加密,並具有與生產相同的保護。此外,客戶資料透過 AWS 進行跨區域儲存。

12. 變更管理

Asana 制定了變更管理政策,以確保變更符合 Asana 的安全性、保密性和可用性要求。管理部門每年審核並核准該政策。任何具有未知或可預見安全後果的生產或 IT 設定變更都必須在部署之前由負責該職責範圍的相關團隊進行審核。

13. 災害復原與業務連續性

Asana 維護業務連續性計劃,以應對因不可預見或不可避免的災難而導致的長期服務中斷,以便在合理的時間範圍內盡可能地恢復服務。該計劃涵蓋攸關任務成敗的業務功能和相關係統。Asana 記錄了一套災難復原政策和程序,以在災難發生後進行復原,或延續重要的技術基礎設施和系統。每天都會拍攝資料庫快照,資料備份會在儲存中進行加密,備份儲存在單獨的區域中,並且服務放置在位於地理上獨立的資料中心的備援網路和伺服器基礎結構上。該計劃每年進行審核和測試。

Asana 保留不時更新這些條款並修改其安全作法的權利,前提是此類更新或修改不會在適用的訂閱期限內對服務的整體安全性造成重大不利影響。