上次更新:2023 年 1 月 4 日
以下內容描述了 Asana 在適用於服務的系統管理、技術和物理控制方面之安全標準。除非本文另有定義,否則以引號標記的術語應具有協議中賦予它們的含義。
1.1 安全計劃。Asana 將實施並維持以風險為依據的資訊安全計劃,其中包括旨在保護客戶資料的機密性、完整性和可用性的系統管理、技術和組織保障措施。
1.2 安全架構。資訊安全架構將以 ISO 27001 資訊安全管理系統為基礎,並涵蓋以下領域:安全風險管理、政策和程序、安全事件管理、存取控制、弱點管理、物理安全、營運安全、企業安全、基礎架構安全、產品安全、業務連續性災害復原、人員安全、安全合規和廠商安全。
1.3 安全組織。Asana 將設立一個專門的安全團隊,負責實施、維護、監控和執行與資訊安全管理系統相配套的安全保障措施。
2.1 安全計劃監控。Asana 會定期進行評估,監控其資訊安全計劃,以識別風險,並透過執行滲透測試、內部稽核和風險評估來確保控制措施有效執行。
2.2 稽核。Asana 將聘請合格的外部稽核員,根據 SOC 2 AICPA 安全性、可用性和機密性信賴服務標準,以及 ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019 標準,對其資訊安全計劃進行評估。評估將每年進行,並將產生 SOC 2 類型 2 報告,及上述 ISO 認證之證據,根據第 2.5 節提供給客戶。
2.3 滲透測試。Asana 將聘請合格的第三方,至少每年對服務範疇進行滲透測試。Asana 將根據第 2.5 節,向客戶提供最近完成的滲透測試之執行摘要。
2.4 錯誤保全計劃。Asana 必須維持一項錯誤保全計劃,使獨立的安全研究人員能夠持續報告安全威脅和弱點。已確認的調查結果必須根據風險及時進行處理和緩解。
2.5 安全成果。Asana 將向客戶提供安全蹤跡,以證明其符合這些資料安全標準,以及第 2.2 節所列之架構。成果包括 SOC 2 類型 2 稽核報告、第 2.2 節中列出的 ISO 認證、已完成的行業標準問卷、滲透測試結果的執行摘要,以及業務連續性和災害復原計劃的摘要。
2.6 客戶稽核。如客戶無法合理確認 Asana 是否符合這些資料安全標準,客戶可於至少三十日前提出書面請求,以進行遠端稽核,費用由客戶負擔。書面請求必須指明無法透過提供給客戶的蹤跡確認之區域。稽核必須在訂閱期限內進行,且稽核範圍必須在稽核開始前由客戶和 Asana 雙方商定。稽核必須在一般工作時間內進行,並盡量減少對 Asana 業務營運的干擾,且每年不超過一次。
3.1 安全監控。Asana 將監控其資訊系統,以識別未經授權的存取、意外行為、某些攻擊簽名和其他安全事件跡象。
3.2 事件回應。Asana 將維持至少每年進行一次檢討和測試的安全事件回應計劃,旨在涉及 Asana 傳輸、儲存或對客戶資料進行其他處理時,對意外或非法破壞、遺失、盜竊、變更、未經授權披露或存取專屬財產的安全事件和可疑安全事件,建立合理和一致的回應。
3.3 事件通知。Asana 會在獲知安全事件後迅速進行調查。在適用法律允許的範圍內,Asana 將根據資料處理增補合約規定的義務,將安全事件通知客戶。客戶有責任在系統管理主控台中向 Asana 提供最新的安全聯絡資訊,詳情請參閱此處。
4.1 存取控制
4.1.1 限制存取。僅限獲得授權的 Asana 人員存取客戶資料,他們需要存取客戶資料,以便執行作為服務交付一部分的職能。授予存取權限以最低權限的原則為基礎,授予的存取權限需與工作職能相稱。存取客戶資料必須透過唯一的使用者名稱和密碼,並且必須啟用多因素驗證。存取權限在員工解僱後的一個工作日內即停用。
4.1.2 密碼。Asana 將維持遵循 NIST 800-63b 記憶密碼要求的密碼政策。
4.2 應用程式安全
4.2.1 SDLC。Asana 將維持正式的變更管理政策,以確保在將 OWASP 十大 Web 應用程式安全風險納入考量的整個軟體開發生命週期嵌入安全性。
4.2.2 程式碼審查及測試。所有影響客戶資料的程式碼變更將在部署至生產前進行審查和測試。
4.2.3 弱點管理。Asana 將維持弱點管理計劃,以確保已識別的弱點已根據風險進行優先順序排定、處理和緩解。Asana 將在 30 天內於合理範圍內做商業上最大努力來解決關鍵弱點。
4.24 第三方軟體相依性。Asana 必須確保第三方程式庫和元件得到適當管理,並在確定可能影響產品安全狀態時,即時安裝更新。
4.3 加密。Asana 將使用適用於傳輸機制的行業標準加密算法,對傳輸和靜止中的客戶資料進行加密 (例如 TLS 1.2、AES-256)。
4.4 可用性和災害復原。Asana 將實施並維持一套記錄在案的災害復原政策和程序,以在災害發生後進行復原,或用於延續重要的技術基礎架構和系統。此外,Asana 將每年對其災害復原計劃進行測試,並向客戶提供結果摘要。
4.5 備份。Asana 將定期備份客戶資料,並確保備份具有與生產資料庫相同的保護措施。
4.6 裝置安全性。可存取客戶資料的 Asana 裝置必須集中管理,並且必須啟用下列安全設定:硬碟加密、啟用本機密碼、必須安裝的防毒軟體和/或反惡意軟體、持續啟用並自動更新。
4.7 物理安全。Asana 將確保所有用於處理、儲存或傳輸客戶資料的實體位置都位於安全的實體設施中。Asana 必須至少每年審查其第三方雲端託管提供商的第三方安全認證 (例如 SOC 2 類型 2) ,以確保有適當的物理安全控制措施。
4.8 廠商風險管理。Asana 必須維持一項正式的廠商風險管理計劃,以確保所有擁有客戶資料存取權限的第三方提供商在上線前進行風險評估。可存取客戶資料的廠商必須與 Asana 簽訂廠商資料處理協議,以確保依合約要求他們保護我們的資訊,並符合最低資訊安全和隱私要求,包括報告安全事件和違規行為。
4.9 風險評估。Asana 將維持風險管理計劃,以便對可能影響客戶資料的機密性、完整性和可用性風險進行識別、監控和管理。
4.10 安全訓練。Asana 將為其員工提供資訊安全和隱私訓練,此後至少每年進行一次。此外,所有員工都必須簽署並確知 Asana 的資訊安全與資料保護政策。
4.11 人員安全。Asana 將根據相關法律、法規、道德要求和/或非美國司法管轄區公認的當地慣例,至少在最初聘用時 (除法律禁止的情況以外) 對有權存取客戶資料的員工進行背景驗證檢查。驗證的等級應根據員工的角色、該人員角色過程中需存取的資訊之敏感性、濫用資訊可能引起的風險以及非美國司法管轄區公認的當地做法而定。在首次僱用時,除法律禁止或不符合非美國司法管轄區公認當地慣例的情況外,應至少針對每位人員進行以下檢查: (i) 身分驗證和 (ii) 犯罪史。
客戶需確知,Asana 可能不時更新或修改資料安全標準,前提是此類更新和修改不會降低或減少服務的整體安全性。