# Asana 解決方案合作夥伴資料安全 > Asana 合作夥伴資料安全標準 Source: https://asana.com/zh-tw/terms/solutions-partner-data-security 本文件概述向 Asana 客戶提供服務的任何第三方 (即「子承包商」) 所需達到的最低安全要求 (行政、技術和實體保護措施)。除非本文另行定義,否則引號 (英文版本中以大寫表示) 註明的用語均以 Asana 和「子承包商」雙方在基礎服務合約中指明的意思為準。 ## 1. 安全計劃 **a.** 「子承包商」維護資訊安全計劃,此計劃旨在確保「客戶資料」的安全性、可用性、完整性及保密性。此計劃包括: i. 正規的風險管理 ii. 定期的風險評估 iii. 由合格獨立第三方每年至少一次執行滲透測試。如需補救,「子承包商」將在合理時間範圍內實施補救,且補救應一併考量發現結果的可能影醒和衝擊。 **b.** 「廠商」已指定「安全專員」和適當的安全人員,由其負責資訊安全的相關作業。 ## 2. 政策及程序 **a.** 「子承包商」具備且維持以下政策: i. 可接受的使用政策,內容闡述如何適當使用「客戶資料」。 ii. 資訊安全政策,旨在指引人員如何維護「客戶資料」的安全性、保密性、完整性和可用性。 **b.** 「子承包商」每年至少需自行進行年度政策與程序審查。 **c.** Asana 至多可在半年一次的頻率內以書面方式提出請求,由「廠商」向 Asana 提供其「資訊安全政策」、「可接受使用政策」和最近期第三方證明或產業認證 (例如:SOC 2 第 II 類、ISO 27001) 的複本,以及任何此類文件的更新資訊或修訂內容。倘若在合理的前提下,Asana 認為「廠商」依據本文所載條件制訂的計劃中有疏漏,Asana 可以透過書面方式提出請求,屆時「廠商」必須在收到此類請求的三十天之內完成一份額外的安全問卷。此問卷必須由「廠商」指定的「安全專員」確認並同意。 ## 3. 培訓 **a.** 「子承包商」必須在一聘用後,即向其人員提供資訊安全與隱私相關之培訓,且其後至少每年必須進行一次培訓。 **b.** 「子承包商」必須在一聘用後,就確實讓人員確認他們已閱讀並瞭解「子承包商」的政策和程序,包括資訊安全政策,且其後每年至少一年必須重新確認一次。 ## 4. 存取權限控制 **a.** 「子承包商」僅在必須知道、且目的是為了執行達成協議的服務之前提下存取「客戶資料」。為確保清楚說明,Asana 已向「子承包商」購買「啟用服務」,「子承包商」不得在從事此類服務期間的任何時候存取「客戶」使用「Asana 服務」的執行個體。「子承包商」應與「客戶」合作開發執行「啟用服務」的最佳做法,包括但不限於「訂單」所指明、基於提供必要培訓和指引所需要的畫面分享、影音錄製或其他畫面擷取。 **b.** 「子承包商」將確保人員僅可在「子承包商」系統上使用多因素認證存取「客戶資料」。 **c.** 「子承包商」必須確保所有密碼的強度均等同或大於 NIST 800-63b 記憶的機密密碼要求。 **d.** 「子承包商」必須紀錄並監控「客戶資料」之存取活動,並即時調查可疑的活動。 **e.** 「子承包商」提供存取權限時,必須遵循最少權限的原則。 **f.** 一旦終止,「子承包商」即必須在 24 小時內移除人員對其系統處理「客戶資料」的存取權限。 ## 5. 事件回應 **a.** 「子承包商」負責維護「安全事件回應計劃」,且此計劃每年至少應審查一次。 **b.** 「子承包商」每年至少應測試「事件回應計劃」一次。 **c.** 「子承包商」必須依據 Asana 的「資料處理附錄」回報「安全事件」。 ## 6. 加密 **a.** 「子承包商」使用適當的靜態加密和傳輸中加密機制 (至少應為:TLS 1.2、ssh、AES-256)。 ## 7. 硬體 **a.** 「子承包商」將根據「訂單」所載之「服務」嚴格遵守以下裝置規格要求。 **針對「啟用服務」:** **1.** 「承包商」針對使用者端點維護一個資產目錄,並且定期加以更新、稽核及審查。 **2.** 「子承包商」根據記錄的強化標準,維護一個提供端點的有記錄流程。 **3.** 「子承包商」端點採用合理的商業安全控制措施,(至少應) 包括: - 本機硬碟加密; - 本機密碼;以及 - 持續監控的 EDR 軟體,包括防毒及防惡意軟體掃描、偵測、封閉及回報功能。 **4.** 「子承包商」採用必要機制來維持對敏感媒體之散佈的控制,包括預防使用者透過未核准的檔案傳輸服務進行檔案傳輸,或將資料傳輸至外接式媒體 (例如:USB 裝置)。 **5.** 「子承包商」採用必要機制,以便在不需要時安全地處置、銷毀或重新規劃硬體。 **6.** 「子承包商」確保在不需要時,及時歸還硬體。 **7.** 若面臨遭竊或入侵時,「子承包商」有能力以遠端方式抹除裝置內容。 **針對「整合服務」或其他「非啟用服務」:** **1.** 「子承包商」僅會使用由 Asana 管理的裝置來執行與服務相關的工作。「子承包商」可從以下擇一選擇: **a.** 在與「Asana 客戶」互動的整個過程中,接受 Asana 提供的受管理硬體。若「子承包商」獲得此硬體,必須根據 Asana 和「子承包商」雙方簽訂的基礎合約,僅使用 Asana 硬體來執行與「Asana 客戶」有關的「服務」;或者也可 **b.** 提供一台全新、尚未設定的膝上型電腦,將其註冊於 Asana 的端點管理系統。Asana 將安裝防毒/防惡意軟體應用程式,並確保該裝置符合我們的最低安全要求。 ## 8. 廠商管理 **a.** 「子承包商」在服務開始之前,對可能有「客戶資料」存取權限的任何第三方服務供應商實施安全風險評估。 **b.** 「子承包商」在合理範圍內做最大努力,以確保第三方服務供應商能始終滿足符合本協議、達最低要求的安全措施。 ## 9. 終止 **a.** 除「啟用服務」外,「子承包商」僅會在適用「訂單」所載期間存取「客戶」使用「Asana 服務」的執行個體。一旦終止與「客戶」的互動,「廠商」即必須確保對「客戶」所擁有的 Asana 環境不再具有存取權限。 **b.** 「子承包商」將確保已被下載的或保留在 Asana 執行個體以外的任何「客戶資料」以及任何複本,在終止服務時即一併銷毀。 ## 10. 背景調查 **a.** 「子承包商」在任用開始前事先對員工執行背景調查。背景確認旨在符合當地法律、規定、道德及合約約束,並且與待評估的資料分類、商業要求及可接受風險相應。