以下は、当サービスに適用される管理上、技術上、および物理的な制御に関する Asana のセキュリティ基準を説明するものです。利用規約で定義されている用語は、こちらに別途明記されている場合を除き、利用規約に定める意味を有するものとします。

1. セキュリティプログラム

1.1 セキュリティプログラム。Asana は、顧客データの機密性、整合性および可用性を保護する目的で設計された管理上、技術上および組織上の保護措置を含む、リスクに基づく情報セキュリティプログラムを運用し、維持するものとします。

1.2 セキュリティのフレームワーク。情報セキュリティのフレームワークは、ISO 27001 情報セキュリティマネジメントシステムに基づき、セキュリティリスク管理、ポリシーと手順、セキュリティインシデント管理、アクセスコントロール、脆弱性管理、物理的セキュリティ、運用上のセキュリティ、コーポレートセキュリティ、インフラセキュリティ、製品セキュリティ、事業継続・災害復旧、人事セキュリティ、セキュリティコンプライアンス、ベンダーセキュリティなどの領域を対象とします。

1.3 セキュリティ体制。Asana は、情報セキュリティマネジメントシステムに沿ったセキュリティ保護措置の実装、維持、監視、実施を担当するセキュリティ専門チームを設置します。

2. セキュリティ評価、証明書、認証書

2.1 セキュリティプログラムの監視。Asana は定期的に評価を行い、情報セキュリティプログラムを監視してリスクを特定し、侵入テスト、社内監査、リスク評価を実施することで、コントロールが効果的に機能していることを確認しています。

2.2 監査。Asana は、公認外部監査人を採用し、AICPA の Trust サービス規準 SOC 2 (セキュリティ、可用性、機密性の 3 領域)、および ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019 標準に照らして情報セキュリティプログラムの評価を実行します。評価は毎年実施され、SOC 2 Type 2 レポートおよび前述の ISO 認証の証拠が作成され、第 2.5 項に従ってお客様に提供されます。

2.3 侵入テスト。Asana は、資格を有するサードパーティに依頼して、少なくとも年 1 回、サービスの範囲を対象とした侵入テストを実施します。Asana は、第 2.5 項に基づいて、直近に完了した侵入テストのエグゼクティブサマリーをお客様に提供するものとします。

2.4 バグバウンティプログラム。Asana はバグバウンティプログラムを実施して、外部のセキュリティリサーチャーがセキュリティの脅威と脆弱性を常時報告できるようにしています。特定された問題は、そのリスクに応じて、速やかに対処し、軽減されます。

2.5 セキュリティアーティファクト。Asana は、当該データセキュリティ基準および第 2.2 項に記載されたフレームワークへの準拠を証明するセキュリティのアーティファクトをお客様に提供します。なお、アーティファクトには、SOC 2 Type 2 監査報告書、第 2.2 項に記載の ISO 認証、記入済みの業界標準のアンケート、侵入テスト結果のエグゼクティブサマリー、事業継続・災害復旧計画書の要旨が含まれます。

2.6 顧客監査。お客様は、Asana から提供された情報をもとに、Asana がこれらのデータセキュリティ基準を遵守していることを合理的に確認できない場合、少なくとも 30 日の予告期間をもって、お客様負担でリモート監査を行うよう書面で要求することができます。書面による要求には、お客様に提供されたアーティファクトを通じて確認できない点を明記するものとします。監査はサブスクリプション期間中に実施されなければならず、その範囲は監査開始前にお客様と Asana の間で相互に合意する必要があります。監査は通常の営業時間内に、Asana の業務への影響を最小限に抑えて行い、年に 1 回までとすることを条件とします。

3. セキュリティインシデント管理

3.1 セキュリティ監視。Asana は自社の情報システムを監視し、不正アクセス、予期せぬ動作、一部の攻撃シグネチャ、およびその他のセキュリティインシデントの兆候を特定します。

3.2 インシデント対応。Asana は、Asana により転送、保管、またはその他の方法で処理される顧客データの偶発的または不法な破壊、損失、盗難、改ざん、不正な開示、またはアクセスに関連するセキュリティインシデントやセキュリティインシデントと疑われる事象への合理的で一貫性のある対応を確立するために、セキュリティインシデント対応計画を維持し、少なくとも年に一度はその内容を見直し、テストするものとします。

3.3 インシデント通知。Asana は、セキュリティインシデントの発生を認識した場合、速やかに調査を行います。適用される法令で認められる範囲内で、Asana はデータ処理補遺条項に定められた義務に従って、セキュリティインシデントをお客様に通知します。ガイド記事で説明されているように、管理者コンソールで最新のセキュリティ担当者情報を Asana に提供するのはお客様の責任です。

4. セキュリティコントロール

4.1 アクセスコントロール

• 4.1.1 アクセス制限。顧客データにアクセスできるのは、サービスを提供する上で顧客データにアクセスする必要がある、権限を与えられた Asana の従業員に限定されています。アクセス権は最小権限の原則に基づき、職務権限に見合ったアクセス権が付与されています。顧客データにアクセスするには、固有のユーザー名とパスワードを使用し、多要素認証を有効にする必要があります。従業員が退職した場合、1 営業日以内にアクセスできなくなります。

• 4.1.2 パスワード。Asana は、NIST 800-63b に定められた記憶された秘密パスワードの要求事項に沿ったパスワードポリシーを維持します。

4.2 アプリケーションのセキュリティ

• 4.2.1 SDLC。Asana は、正式なチェンジマネジメントポリシーを維持し、OWASP Top 10 ウェブアプリケーションのセキュリティリスクを念頭に置いて、ソフトウェア開発ライフサイクル全体にセキュリティが組み込まれていることを徹底させます。

• 4.2.2 コードのレビューとテスト。顧客データに影響を与えるコードを変更する場合は、本番環境に導入する前に、必ずレビューとテストを行います。

• 4.2.3 脆弱性の管理。Asana は、特定された脆弱性をリスクに基づいて優先順位づけし、対処し、緩和することを保証する脆弱性管理プログラムを維持します。Asana は、商業的に合理的な努力を尽くして、重要な脆弱性に 30 日以内に対処します。

• 4.2.4 サードパーティソフトウェアの依存関係。Asana は、サードパーティのライブラリやコンポーネントを適切に管理し、当社製品のセキュリティ体制に影響を与える可能性があると判断された場合には、速やかにアップデートをインストールすることを保証するものとします。

4.3 暗号化。Asana は、顧客データの転送時および保存時に、転送のメカニズムに適した業界標準の暗号化アルゴリズム (たとえば、TLS 1.2、AES-256) を使用して暗号化するものとします。

4.4 可用性と災害復旧。Asana は、災害後に最重要な技術インフラストラクチャとシステムを復旧または持続させるために、一連の災害復旧ポリシーと手順を文書化して、それを実施および維持します。さらに、Asana は災害復旧計画のテストを毎年実施し、その結果をまとめたものをお客様に提供します。

4.5 バックアップ。Asana は顧客データの定期的なバックアップを行い、バックアップが本番環境のデータベースと同じ方法で保護されていることを確認します。

4.6 デバイスのセキュリティ。顧客データにアクセスする Asana デバイスは一元管理され、ハードドライブの暗号化、ローカルパスワードの有効化、ウイルス対策 / アンチマルウェアソフトウェアのインストール、継続的な有効化、および自動更新のセキュリティ設定が有効でなければなりません。

4.7 物理的セキュリティ。Asana は、顧客データを処理、保管、または転送するすべての物理的拠点が安全な物理的設備に設置されていることを保証するものとします。Asana は、サードパーティのクラウドホスティングプロバイダーのセキュリティ証明書 (たとえば、SOC 2 Type 2) を少なくとも年 1 回レビューし、適切な物理的セキュリティ管理が行われていることを確認します。

4.8 ベンダーのリスク管理。Asana は、正式なベンダーリスク管理プログラムを運用し、顧客データにアクセスするすべてのサードパーティベンダーが、オンボーディング前にリスク評価を受けることを保証するものとします。顧客データへのアクセス権を持つベンダーは、Asana とベンダーデータ処理契約を締結し、当社の情報を保護し、セキュリティインシデントや違反の報告など、最低限の情報セキュリティおよびプライバシー要件を満たすことを契約上義務付けられるものとします。

4.9 リスク評価。Asana は、リスク管理プログラムを運用し、顧客データの機密性、整合性、および可用性に影響を与えるリスクを特定、監視、および管理するものとします。

4.10 セキュリティトレーニング。Asana は、新しく採用したスタッフに対して、採用時に、およびその後は少なくとも年に一度の頻度で、セキュリティとプライバシーに関する研修を実施するものとします。さらに、すべての従業員は雇用時に Asana の情報セキュリティとデータ保護に関するポリシーに署名し、承認することが義務付けられています。

4.11 人事セキュリティ。Asana は、顧客データにアクセス権を持つ従業員について、関連する法律、規制、倫理上の要件、ならびに米国以外の管轄区域で受け入れられている現地の慣行に従って、少なくとも初回雇用時に各個人の身元調査を行うものとします。ただし、これは法令により禁止されていないことを条件とします。調査の範囲は、その従業員の役割、その従業員が役割を果たす過程でアクセスする情報の機密性、情報の誤用から生じる可能性のあるリスク、及び米国以外の管轄区域で受け入れられている現地の慣行に従って適切であるものとします。法律で禁止されている場合、または米国以外の管轄区域で受け入れられている現地での慣行に反する場合を除き、少なくとも初回雇用時に、各個人に対して、(i) 本人確認および (ii) 犯罪歴確認を行うものとします。

5. データセキュリティ基準の更新

お客様は、本サービスの全体的なセキュリティに劣化や悪影響をもたらさない限り、Asana がデータセキュリティ基準を随時更新または修正する場合があることに同意するものとします。