LETZTE AKTUALISIERUNG: 4. JANUAR 2023
Im Folgenden werden Asanas Sicherheitsstandards in Hinsicht auf die administrativen, technischen und physischen Sicherheitsmechanismen des Dienstes beschrieben. Großgeschriebene Begriffe haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird, sofern hierin nicht anders angegeben.
1.1 Sicherheitsprogramm Asana implementiert und pflegt ein risikobasiertes Informationssicherheitsprogramm, das administrative, technische und organisatorische Sicherheitsmaßnahmen umfasst, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen.
1.2 Sicherheitsframework Das Informationssicherheits-Framework basiert auf dem Informationssicherheits-Managementsystem ISO 27001 und umfasst die folgenden Bereiche: Sicherheitsrisikomanagement, Richtlinien und Verfahren, Sicherheitsvorfallmanagement, Zugriffskontrollen, Schwachstellenmanagement, physische Sicherheit, operative Sicherheit, Unternehmenssicherheit, Infrastruktursicherheit, Produktsicherheit, Notfallwiederherstellung und Aufrechterhaltung des Geschäftsbetriebs, Personalsicherheit, Sicherheits-Compliance und Anbietersicherheit.
1.3 Sicherheitsorganisation Asana verfügt über ein spezielles Sicherheitsteam, das für die Implementierung, Pflege, Überwachung und Durchsetzung von Sicherheitsvorkehrungen verantwortlich ist, die mit dem Informationssicherheitsmanagementsystem im Einklang stehen.
2.1 Überwachung des Sicherheitsprogramms Asana führt regelmäßige Bewertungen durch, um sein Informationssicherheitsprogramm zu überwachen, Risiken zu identifizieren und sicherzustellen, dass die Kontrollen effektiv funktionieren, indem Penetrationstests, interne Audits und Risikobewertungen durchgeführt werden.
2.2 Audits Asana beauftragt qualifizierte externe Auditoren mit der Durchführung von Bewertungen seines Informationssicherheitsprogramms anhand der SOC 2 AICPA Trust Services Criteria for Security, Availability, and Confidentiality sowie der folgenden Standards: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Die Bewertungen werden jährlich durchgeführt und resultieren in einem SOC 2 Typ 2-Bericht und Nachweisen der oben genannten ISO-Zertifizierungen, die dem Kunden gemäß Abschnitt 2.5 zur Verfügung gestellt werden.
2.3 Penetrationstests Asana wird mindestens einmal jährlich einen qualifizierten Dritten mit der Durchführung von Penetrationstests beauftragen, die den gesamten Leistungsumfang der Plattform abdecken. Asana wird seinen Kunden eine Zusammenfassung des zuletzt durchgeführten Penetrationstests gemäß Abschnitt 2.5 zur Verfügung stellen.
2.4 Bug-Bounty-Programm Asana verpflichtet sich, ein Bug-Bounty-Programm zu unterhalten, mit dem unabhängige Sicherheitsforscher fortlaufend Sicherheitsbedrohungen und Schwachstellen melden können. Erkannte Mängel müssen je nach Risiko und innerhalb eines angemessenen Zeitraums behoben werden.
2.5 Sicherheitsartefakte Asana wird dem Kunden Sicherheitsartefakte zur Verfügung stellen, die die Einhaltung dieser Datensicherheitsstandards und der in Abschnitt 2.2 aufgeführten Rahmenwerke nachweisen. Zu den Artefakten gehören der SOC 2 Typ 2 Audit-Bericht, die in Abschnitt 2.2 aufgeführten ISO-Zertifizierungen, ausgefüllte Fragebögen zu Industriestandards, eine Zusammenfassung der Ergebnisse der Penetrationstests und eine Zusammenfassung des Geschäftskontinuitäts- und Notfallwiederherstellungsplans.
2.6 Kundenaudits Soweit der Kunde die Einhaltung dieser Datensicherheitsstandards durch Asana mit den von Asana bereitgestellten Informationen nicht angemessen feststellen kann, kann der Kunde auf eigene Kosten und mit einer Frist von mindestens dreißig Tagen eine schriftliche Anfrage zur Durchführung eines Remote-Audits stellen. In der schriftlichen Anfrage müssen die Bereiche angegeben werden, die anhand der dem Kunden zur Verfügung gestellten Artefakte nicht bestätigt werden können. Das Audit muss während der Laufzeit des Abonnements durchgeführt werden und der Umfang muss vor Beginn des Audits zwischen dem Kunden und Asana einvernehmlich vereinbart werden. Die Prüfung muss während der regulären Geschäftszeiten mit minimaler Unterbrechung des Geschäftsbetriebs von Asana durchgeführt werden und findet höchstens einmal jährlich statt.
3.1 Sicherheitsüberwachung Asana überwacht seine Informationssysteme, um unbefugten Zugriff, unerwartetes Verhalten, bestimmte Angriffssignaturen und andere Anzeichen für einen Sicherheitsvorfall zu identifizieren.
3.2 Reaktion auf Vorfälle Asana besitzt einen Reaktionsplan für Sicherheitsvorfälle, der mindestens einmal pro Jahr überprüft und getestet wird, um eine angemessene und einheitliche Reaktion auf Sicherheitsvorfälle und vermutete Sicherheitsvorfälle zu etablieren. Diese umfassen die zufällige oder rechtswidrige Zerstörung, den Verlust, den Diebstahl, die Veränderung, die unbefugte Offenlegung oder den Zugriff auf die von Asana übertragenen, gespeicherten oder anderweitig verarbeiteten Kundendaten.
3.3 Benachrichtigung über Vorfälle Asana wird unverzüglich einen Sicherheitsvorfall untersuchen, sobald ein solcher Vorfall erkannt wird. Soweit dies nach geltendem Recht zulässig ist, wird Asana seine Kunden über einen Sicherheitsvorfall in Übereinstimmung mit seinen Verpflichtungen aus der Datenverarbeitungsvereinbarung informieren. Der Kunde ist dafür verantwortlich, Asana aktuelle Sicherheits-Kontaktdaten in der Admin-Konsole zur Verfügung zu stellen. Weitere Informationen dazu finden Sie hier.
4.1 Zugriffskontrolle
4.1.1 Eingeschränkter Zugriff Der Zugriff auf Kundendaten ist auf autorisiertes Asana-Personal beschränkt, das auf Kundendaten zugreifen muss, um die Erbringung von Dienstleistungen sicherzustellen. Der Zugriff wird nach den Grundsätzen des geringsten Privilegs gewährt und entspricht der Funktion des Mitarbeiters. Der Zugriff auf Kundendaten muss über eindeutige Benutzernamen und Passwörter erfolgen und die Multi-Faktor-Authentifizierung muss aktiviert sein. Der Zugang ist innerhalb eines Werktages nach der Kündigung eines Mitarbeiters gesperrt.
4.1.2 Passwörter Asana unterhält eine Passwortrichtlinie, die den Anforderungen von NIST 800-63b für gespeicherte geheime Passwörter entspricht.
4.2 Anwendungssicherheit
4.2.1 Softwareentwicklungs-Lebenszyklus Asana unterhält formelle Richtlinien für das Change Management, die sicherstellen, dass Sicherheitsvorkehrungen im gesamten Lebenszyklus der Softwareentwicklung integriert sind und die OWASP Top 10 Web Application Security Risks berücksichtigt.
4.2.2 Codeprüfung und Tests Alle Änderungen am Code, die sich auf die Kundendaten auswirken, werden überprüft und getestet, bevor sie in der Produktion eingesetzt werden.
4.2.3 Schwachstellenmanagement Asana unterhält ein Programm zum Schwachstellenmanagement, das sicherstellt, dass identifizierte Schwachstellen auf der Grundlage des Risikos priorisiert, behoben und gemindert werden. Asana unternimmt alle wirtschaftlich vertretbaren Anstrengungen, um kritische Schwachstellen innerhalb von 30 Tagen zu beheben.
4.2.4 Abhängigkeiten von Drittanbieter-Software Asana muss sicherstellen, dass Bibliotheken und Komponenten von Drittanbietern ordnungsgemäß verwaltet werden und dass Updates rechtzeitig durchgeführt werden, wenn festgestellt wird, dass die Sicherheit unseres Produkts beeinträchtigt werden kann.
4.3 Verschlüsselung Asana verschlüsselt Kundendaten bei der Übertragung und im Ruhezustand mit dem Industriestandard entsprechenden Verschlüsselungsalgorithmen, die für den Übertragungsmechanismus geeignet sind (z. B. TLS 1.2, AES-256).
4.4 Verfügbarkeit und Notfallwiederherstellung Asana pflegt und implementiert eine Reihe von Richtlinien und Verfahren zur Wiederherstellung im Katastrophenfall, um die Wiederherstellung oder Fortsetzung wichtiger technologischer Infrastrukturen und Systeme nach einer Katastrophe zu ermöglichen. Darüber hinaus wird Asana jährliche Tests des Notfallwiederherstellungsplans durchführen und den Kunden eine Zusammenfassung der Ergebnisse zur Verfügung stellen.
4.5 Backups (Sicherungskopien) Asana führt regelmäßige Backups von Kundendaten durch und stellt sicher, dass Backups den gleichen Schutz wie „In-Production”-Datenbanken haben.
4.6 Gerätesicherheit Asana-Geräte, die auf Kundendaten zugreifen, müssen zentral verwaltet und die folgenden Sicherheitseinstellungen müssen aktiviert sein: Festplattenverschlüsselung, ein lokales Passwort und Anti-Viren- und/oder Anti-Malware-Software müssen installiert, kontinuierlich aktiviert und automatisch aktualisiert werden.
4.7 Physische Sicherheit Asana stellt sicher, dass sich alle physischen Standorte, an denen Kundendaten verarbeitet, gespeichert oder übertragen werden, in einer sicheren physischen Einrichtung befinden. Asana muss die Sicherheitszertifizierungen von Drittanbietern (z. B.SOC 2 Type 2) seiner externen Cloud-Hosting-Anbieter mindestens einmal jährlich überprüfen, um sicherzustellen, dass angemessene physische Sicherheitskontrollen vorhanden sind.
4.8 Risikomanagement von Anbietern Asana verpflichtet sich, ein formelles Programm für das Risikomanagement von Anbietern zu unterhalten, das sicherstellt, dass alle Drittanbieter, die Zugang zu Kundendaten haben, einer Risikobewertung unterzogen werden, bevor sie in das Unternehmen aufgenommen werden. Anbieter mit Zugriff auf Kundendaten müssen eine Datenverarbeitungsvereinbarung mit Asana abschließen, die sie vertraglich verpflichtet, unsere Daten zu schützen und Mindestanforderungen an Informationssicherheit und Datenschutz zu erfüllen, einschließlich der Meldung von Sicherheitsvorfällen und Verstößen.
4.9 Risikobewertung Asana unterhält ein Risikomanagementprogramm zur Identifizierung, Überwachung und Verwaltung von Risiken, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten auswirken können.
4.10 Sicherheitsschulungen Asana wird sein Personal bei der Einstellung und danach mindestens einmal jährlich in den Bereichen Informationssicherheit und Datenschutz schulen. Darüber hinaus müssen alle Mitarbeiter bei ihrer Einstellung die Asana-Richtlinien zu Informationssicherheit und Datenschutz akzeptieren und unterzeichnen.
4.11 Personalsicherheit Asana führt bei Mitarbeitern, die Zugang zu Kundendaten haben, mindestens bei der Ersteinstellung Hintergrundüberprüfungen in Übereinstimmung mit den einschlägigen Gesetzen, Vorschriften, ethischen Anforderungen und/oder den für Nicht-US-Länder anerkannten lokalen Praktiken für jede Person durch (sofern dies nicht gesetzlich verboten ist). Der Grad der Überprüfung richtet sich nach der Rolle des Mitarbeiters, der Sensibilität der Informationen, auf die im Rahmen der Rolle dieser Person zugegriffen werden soll, den Risiken, die sich aus dem Missbrauch der Informationen ergeben können, und den anerkannten lokalen Praktiken in Nicht-US-Ländern. Die folgenden Überprüfungen werden für jede Person mindestens bei der Ersteinstellung durchgeführt, es sei denn, sie sind gesetzlich verboten oder stehen im Widerspruch zu akzeptierten lokalen Praktiken für Nicht-US-Länder: (i) Identitätsüberprüfung und (ii) Überprüfung von Vorstrafen.
Der Kunde erkennt an, dass Asana die Standards für Datensicherheit von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen die Gesamtsicherheit des Dienstes nicht beeinträchtigen.