Di seguito vengono descritti gli standard di sicurezza di Asana, in relazione ai controlli amministrativi, tecnici e fisici applicabili al Servizio. I termini in maiuscolo mantengono il significato a loro assegnato nell'Accordo, a meno che non venga indicato diversamente in questo documento.

1. Programma di sicurezza

1.1 Programma di sicurezza. Asana implementerà e manterrà un programma di sicurezza delle informazioni basato sul rischio che include garanzie amministrative, tecniche e organizzative ideate per proteggere la riservatezza, l'integrità e la disponibilità dei Dati del cliente.

1.2 Framework di sicurezza. Il framework per la sicurezza delle informazioni si baserà sul sistema di gestione della sicurezza delle informazioni ISO 27001 e coprirà le seguenti aree: gestione del rischio di sicurezza, politiche e procedure, gestione degli incidenti di sicurezza, controlli degli accessi, gestione delle vulnerabilità, sicurezza fisica, sicurezza operativa, sicurezza aziendale, sicurezza delle infrastrutture, sicurezza dei prodotti, continuità aziendale, disaster recovery, sicurezza del personale, conformità alla sicurezza e sicurezza dei fornitori.

1.3 Organizzazione della sicurezza. Asana si avvarrà di un team dedicato alla sicurezza, responsabile dell'implementazione, del mantenimento, del monitoraggio e dell'applicazione delle misure di sicurezza in linea con il sistema di gestione della sicurezza delle informazioni.

2. Valutazioni di sicurezza, certificazioni e attestati

2.1 Monitoraggio del programma di sicurezza. Asana esegue valutazioni periodiche per monitorare il suo programma di sicurezza delle informazioni per identificare i rischi e garantire che i controlli funzionino in modo efficace eseguendo test di penetrazione, audit interni e valutazioni dei rischi.

2.2 Audit. Asana incaricherà revisori esterni qualificati di eseguire valutazioni del proprio programma di sicurezza delle informazioni rispetto ai Criteri dei Servizi Fiduciari SOC 2 AICPA per la sicurezza, la disponibilità e la riservatezza e alle seguenti norme ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Le valutazioni saranno condotte annualmente e daranno luogo a un report SOC 2 di tipo 2 e all'evidenza delle suddette certificazioni ISO che saranno rese disponibili al Cliente ai sensi della Sezione 2.5.

2.3 Test di penetrazione. Asana incaricherà una terza parte qualificata di eseguire test di penetrazione che coprano l'ambito dei servizi almeno una volta all'anno. Asana metterà a disposizione dei propri clienti un executive summary dell'ultimo test di penetrazione completato, ai sensi della Sezione 2.5.

2.4 Programma di correzione dei bug. Asana deve garantire un programma di correzione dei bug che consenta a ricercatori di sicurezza indipendenti di segnalare costantemente le minacce e le vulnerabilità alla sicurezza. I risultati identificati devono essere analizzati e mitigati in base al rischio e in modo tempestivo.

2.5 Artefatti di sicurezza. Asana metterà a disposizione dei clienti artefatti di sicurezza che ne dimostrino la conformità a questi standard di sicurezza dei dati e ai framework elencati nella Sezione 2.2. Gli artefatti comprenderanno il report di audit SOC 2 di tipo 2, le certificazioni ISO elencate nella sezione 2.2, i questionari standard di settore completati, un executive summary dei risultati dei test di penetrazione e un riepilogo del piano di continuità operativa e di ripristino d'emergenza.

2.6 Audit del cliente. Nella misura in cui il Cliente non può ragionevolmente confermare la conformità di Asana a questi standard di sicurezza dei dati con le informazioni fornite da quest'ultima, il Cliente può presentare una richiesta scritta per condurre un audit da remoto a spese del Cliente con un preavviso di almeno trenta giorni. La richiesta scritta deve specificare le aree che non possono essere confermate attraverso gli artefatti messi a disposizione del Cliente. L'audit deve essere condotto durante il Periodo di abbonamento e l'ambito deve essere reciprocamente concordato tra il Cliente e Asana prima dell'inizio dell'audit. L'audit deve essere effettuato durante il normale orario lavorativo con la minima interruzione delle operazioni commerciali di Asana e non si verificherà più di una volta all'anno.

3. Gestione degli incidenti di sicurezza

3.1 Monitoraggio della sicurezza. Asana monitorerà i propri sistemi informatici per identificare accessi non autorizzati, comportamenti inaspettati, determinate firme di attacco e altri indicatori di un incidente di sicurezza.

3.2 Risposta agli incidenti. Asana manterrà un Piano di risposta agli incidenti di sicurezza che sarà riesaminato e testato almeno una volta all'anno per stabilire una risposta ragionevole e coerente agli incidenti di sicurezza e ai sospetti incidenti di sicurezza che coinvolgono la distruzione accidentale o illegale, la perdita, il furto, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati del cliente trasmessi, archiviati o altrimenti elaborati da Asana.

3.3 Notifica degli incidenti. Asana provvederà a indagare tempestivamente in merito a un incidente di sicurezza non appena ne verrà a conoscenza. Nella misura consentita dalla legge in vigore, Asana comunicherà ai clienti un incidente di sicurezza in conformità agli obblighi previsti dall'Appendice sull'elaborazione dei dati. Il Cliente è responsabile di fornire ad Asana le informazioni di contatto per la sicurezza aggiornate nella Console di amministrazione come descritto qui.

4. Controlli di sicurezza

4.1 Controllo degli accessi

• 4.1.1 Accesso limitato. L'accesso ai Dati del cliente è limitato al personale autorizzato di Asana che è tenuto ad accedere ai Dati del cliente per svolgere funzioni nell'ambito dell'erogazione dei servizi. L'accesso è concesso sulla base del principio dei privilegi minimi e l'accesso concesso è commisurato alla funzione lavorativa. L'accesso ai Dati del cliente deve avvenire tramite nomi utente e password univoci e l'autenticazione a più fattori deve essere abilitata. L'accesso viene disabilitato entro un giorno lavorativo dal termine del rapporto di lavoro del dipendente.

• 4.1.2 Password. Asana manterrà una politica in materia di password che segue i requisiti NIST 800-63b per le password segrete memorizzate.

4.2 Sicurezza delle applicazioni

• 4.2.1 SDLC. Asana manterrà una Politica formale di gestione delle modifiche che garantisca l'integrazione della sicurezza nell'intero ciclo di vita dello sviluppo del software e che tenga conto dei 10 principali rischi OWASP per la sicurezza delle applicazioni web.

• 4.2.2 Revisione e test del codice. Tutte le modifiche al codice che incidono sui Dati del Cliente saranno esaminate e testate prima di essere introdotte in produzione.

• 4.2.3 Gestione delle vulnerabilità. Asana manterrà un programma di gestione delle vulnerabilità in grado di garantire che le vulnerabilità identificate ricevano la priorità e siano esaminate e mitigate in base al rischio. Asana si impegnerà ragionevolmente a risolvere le vulnerabilità critiche entro 30 giorni.

• 4.2.4 Dipendenze da software di terze parti. Asana deve garantire che le librerie e i componenti di terze parti siano gestiti in modo appropriato e che gli aggiornamenti siano installati in modo tempestivo quando si stabilisce che possono influire sulla sicurezza del nostro prodotto.

4.3 Crittografia. Asana effettuerà la crittografia dei Dati del cliente in transito e inattivi utilizzando algoritmi di crittografia standard del settore appropriati per il meccanismo di trasferimento (ad esempio,  TLS 1.2, AES-256).

4.4 Disponibilità e ripristino di emergenza. Asana implementerà e manterrà una serie di politiche e procedure di ripristino di emergenza per consentire il recupero e la continuazione di infrastrutture e sistemi tecnologici vitali in seguito a un disastro. Inoltre, Asana eseguirà test annuali del proprio piano di ripristino d'emergenza e metterà a disposizione dei propri clienti una sintesi dei risultati.

4.5 Backup. Asana eseguirà backup regolari dei Dati dei clienti e garantirà che i backup abbiano le stesse protezioni dei database di produzione.

4.6 Sicurezza dei dispositivi. I dispositivi Asana che accedono ai Dati del cliente devono essere gestiti centralmente e le seguenti impostazioni di sicurezza devono essere abilitate: crittografia del disco rigido, password locale abilitata e software antivirus e/o antimalware devono essere installati, costantemente abilitati e aggiornati automaticamente.

4.7 Sicurezza fisica. Asana si assicurerà che tutte le posizioni fisiche che elaborano, archiviano o trasmettono i Dati del cliente si trovino in una struttura fisica sicura. Asana deve esaminare le certificazioni di sicurezza di terze parti (ad esempio,  SOC 2 Tipo 2) dei suoi provider di hosting in cloud di terze parti almeno una volta all'anno per garantire l'esistenza di adeguati controlli di sicurezza fisica.

4.8 Gestione dei rischi dei fornitori. Asana deve mantenere un programma formale di gestione del rischio dei fornitori che garantisca che tutti i fornitori terzi che hanno accesso ai Dati dei clienti siano sottoposti a una valutazione del rischio prima di essere accettati. I fornitori che hanno accesso ai dati dei clienti devono stipulare un accordo sull'elaborazione dei dati del fornitore con Asana per garantire di essere contrattualmente vincolati a proteggere le nostre informazioni e a soddisfare i requisiti minimi di sicurezza e privacy delle informazioni, compresa la segnalazione di incidenti e violazioni della sicurezza.

4.9 Valutazione del rischio. Asana manterrà un programma di gestione del rischio per identificare, monitorare e gestire i rischi che possono influire sulla riservatezza, l'integrità e la disponibilità dei Dati del cliente.

4.10 Formazione in materia di sicurezza. Asana provvederà alla formazione del proprio personale in merito alla sicurezza e alla riservatezza delle informazioni al momento dell'assunzione e, successivamente, con cadenza almeno annuale. Inoltre, al momento dell'assunzione, tutti i dipendenti sono tenuti a firmare e accettare la politica sulla sicurezza delle informazioni e sulla protezione dei dati di Asana.

4.11 Sicurezza del personale. Asana effettuerà controlli sui precedenti dei dipendenti che hanno accesso ai Dati del cliente in conformità con le leggi, i regolamenti, i requisiti etici e/o le pratiche locali consolidate per le giurisdizioni non statunitensi per ciascun individuo almeno al momento dell'assunzione iniziale (a meno che non sia vietato dalla legge). Il livello di verifica deve essere adeguato al ruolo del dipendente, alla sensibilità delle informazioni a cui deve accedere nell'ambito del suo ruolo, ai rischi che possono derivare da un uso improprio delle informazioni e alle prassi locali accettate nelle giurisdizioni non statunitensi. Per ciascun individuo devono essere eseguiti i seguenti controlli almeno al momento dell'assunzione, a meno che non siano vietati dalla legge o non siano in contrasto con le pratiche locali accettate per le giurisdizioni non statunitensi: (i) verifica dell'identità e (ii) precedenti penali.

5. Aggiornamenti degli standard di sicurezza dei dati

Il Cliente prende atto della facoltà di Asana di aggiornare o modificare periodicamente gli Standard di sicurezza dei dati, a condizione che tali aggiornamenti e modifiche non compromettano o diminuiscano la sicurezza complessiva del Servizio.