O texto a seguir descreve os padrões de segurança da Asana no que diz respeito aos controles administrativos, técnicos e físicos aplicáveis ao Serviço. Os termos em letras maiúsculas terão o significado que lhes é atribuído no Acordo, salvo se aqui definido de outra forma.

1. Programa de segurança

1.1 Programa de segurança. A Asana implementará e manterá um programa de segurança da informação baseado em risco, que inclui garantias administrativas, técnicas e organizacionais elaboradas para proteger a confidencialidade, integridade e disponibilidade dos Dados do Cliente.

1.2 Estrutura de segurança. A estrutura de segurança da informação será baseada na norma ISO 27001 para Sistemas de Gestão de Segurança da Informação e abrangerá as seguintes áreas: gestão de riscos à segurança, políticas e procedimentos, gestão de incidentes de segurança, controles de acesso, gestão de vulnerabilidades, segurança física, segurança operacional, segurança corporativa, segurança da infraestrutura, segurança do produto, recuperação de desastres e continuidade dos negócios, segurança de pessoal, conformidade com a segurança e segurança do fornecedor.

1.3 Organização da segurança. A Asana terá uma equipe de segurança responsável pela implementação, manutenção, monitoramento e aplicação de medidas de segurança alinhadas ao sistema de gestão de segurança da informação.

2. Avaliações, certificações e atestados de segurança

2.1 Monitoramento do programa de segurança. A Asana realiza avaliações periódicas, por meio de testes de penetração, auditorias internas e avaliações de risco, para monitorar o seu programa de segurança da informação com o intuito de identificar riscos e assegurar a eficácia dos controles.

2.2 Auditorias. A Asana contratará auditores externos qualificados para avaliar o seu programa de segurança da informação em relação aos Critérios dos Serviços de Confiança para Segurança, Disponibilidade e Confidencialidade, estabelecidos pelo SOC 2 do AICPA, bem como às normas ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 27701:2019. As avaliações serão realizadas anualmente e resultarão em um relatório SOC 2 Tipo 2 e atestados das certificações ISO mencionadas acima, que serão disponibilizados ao Cliente conforme disposto na Seção 2.5.

2.3 Testes de Penetração. A Asana contratará uma empresa qualificada para realizar testes de penetração em todo o âmbito dos serviços pelo menos uma vez por ano. A Asana disponibilizará aos seus clientes um sumário executivo do teste de penetração mais recente, conforme disposto na Seção 2.5.

2.4 Programa de recompensa por bugs. A Asana deve manter um programa de recompensas por bugs que permita aos pesquisadores de segurança independentes relatar ameaças e vulnerabilidades de segurança de forma contínua. As falhas identificadas devem ser tratadas e mitigadas com base no risco que apresentarem e em tempo hábil.

2.5 Artefatos de segurança. A Asana disponibilizará aos clientes artefatos de segurança que demonstrem o cumprimento desses padrões de segurança de dados e das estruturas listadas na Seção 2.2. Os artefatos incluirão o Relatório de Auditoria SOC 2 Tipo 2, as certificações ISO listadas na Seção 2.2, os questionários padrão do setor preenchidos, um sumário executivo dos resultados dos testes de penetração e um resumo do Plano de Recuperação de Desastres e Continuidade dos Negócios.

2.6 Auditorias do cliente. Se, mesmo com as informações fornecidas pela Asana, o Cliente não puder confirmar a conformidade da Asana com os padrões de segurança de dados, o Cliente poderá solicitar por escrito a realização de uma auditoria remota, por sua própria conta, com pelo menos trinta dias de aviso prévio. A solicitação por escrito deve especificar as áreas que não puderam ser confirmadas por meio dos artefatos disponibilizados ao Cliente. A auditoria deve ser conduzida durante o Prazo de Assinatura e o escopo deve ser determinado por acordo mútuo entre o Cliente e a Asana antes do início da auditoria. A auditoria deve ser realizada durante o horário comercial, com o mínimo de interrupção nas operações comerciais da Asana, e pode ocorrer no máximo uma vez por ano.

3. Gestão de incidentes de segurança

3.1 Monitoramento da segurança. A Asana monitorará os seus sistemas de informação para identificar acessos não autorizado, comportamentos inesperados, determinadas marcas de ataque, além de outros indicadores de incidentes de segurança.

3.2 Resposta a incidentes. A Asana manterá um Plano de Respostas a Incidentes de Segurança, revisado e testado pelo menos uma vez por ano, para estabelecer uma resposta sensata e consistente a incidentes de segurança e a episódios suspeitos de segurança que envolvam destruição acidental ou ilegal, perda, roubo, alteração, divulgação ou acesso não autorizados a dados do Cliente transmitidos, armazenados ou processados pela Asana.

3.3 Notificação de incidente. Ao tomar conhecimento de um Incidente de Segurança, a Asana o investigará imediatamente. Dentro dos limites permitidos pela lei aplicável, a Asana notificará os clientes sobre um Incidente de Segurança de acordo com as suas obrigações dispostas nos termos do Adendo de Processamento de Dados. O Cliente é responsável por fornecer à Asana as informações atualizadas de contato sobre segurança no Painel do administrador, conforme descrito aqui.

4. Controles de segurança

4.1 Controle de acesso

• 4.1.1 Acesso restrito. O acesso aos Dados do Cliente é restrito ao pessoal autorizado da Asana que precisa acessar os Dados do Cliente para executar ações como parte da prestação de serviços. O acesso é concedido com base no princípio do privilégio mínimo e de forma adequada ao cargo. O acesso aos Dados do Cliente deve ser feito por meio de nomes de usuário e senhas exclusivos e a autenticação multifator deve estar habilitada. Após a rescisão de um funcionário, o seu acesso é desativado dentro de um dia útil.

• 4.1.2 Senhas. A Asana manterá uma política de senhas que atenda aos requisitos de senhas secretas memorizadas NIST 800-63b.

4.2 Segurança do aplicativo

• 4.2.1 Ciclo de Desenvolvimento de Software (SDLC). A Asana manterá uma Política de Gestão de Mudanças formal que assegure a segurança ao longo do ciclo de desenvolvimento do software, levando em consideração os dez principais riscos à segurança dos aplicativos web, segundo a OWASP.

• 4.2.2 Revisão e teste de código. Todas as alterações no código que afetem os Dados do Cliente serão revisadas e testadas antes de serem implementadas na produção.

• 4.2.3 Gestão de vulnerabilidades. A Asana manterá um programa de gestão de vulnerabilidades que assegure que as vulnerabilidades identificadas sejam priorizadas, tratadas e mitigadas em função do risco apresentado. A Asana empreenderá esforços comercialmente razoáveis para resolver as vulnerabilidades críticas dentro de 30 dias.

• 4.24 Dependências de software de terceiros. A Asana deve assegurar que bibliotecas e componentes de terceiros sejam administrados adequadamente e atualizados em tempo hábil, quando identificado um risco que possa afetar a postura de segurança do nosso produto.

4.3 Criptografia. A Asana criptografará os Dados do Cliente em trânsito e em repouso usando algoritmos de criptografia padrão do setor que sejam apropriados para o mecanismo de transferência (por exemplo, TLS 1.2 e AES-256).

4.4 Disponibilidade e recuperação de desastres. A Asana implementará e manterá um conjunto documentado de políticas e procedimentos de recuperação de desastre para permitir a recuperação ou continuação da infraestrutura tecnológica e dos sistemas vitais pós-desastre. Além disso, a Asana realizará testes anuais do seu plano de recuperação de desastres e disponibilizará um resumo dos resultados aos seus clientes.

4.5 Backups. A Asana realizará backups periódicos dos Dados do Cliente e se certificará de que os backups tenham as mesmas proteções dos bancos de dados de produção.

4.6 Segurança do dispositivo. Os dispositivos da Asana que acessam os Dados do Cliente devem ser administrados de forma centralizada e devem ter criptografia no disco rígido, senha local ativada e software antivírus e/ou anti-malware instalados, continuamente ativos e atualizados automaticamente.

4.7 Segurança física. A Asana assegurará que todas as unidades físicas que processam, armazenam ou transmitem Dados do Cliente se encontrem em instalações físicas seguras. A Asana deve revisar as certificações de segurança de terceiros (por exemplo, SOC 2 Tipo 2) dos seus provedores de hospedagem em nuvem pelo menos uma vez por ano, para assegurar a existência de controles de segurança física apropriados.

4.8 Gestão de riscos do fornecedor. A Asana deve manter um programa formal de gestão de riscos do fornecedor que assegure que todos os fornecedores com acesso aos Dados do Cliente passem por uma avaliação de risco antes de serem integrados. Os fornecedores com acesso aos dados dos clientes devem celebrar um acordo de processamento de dados do fornecedor com a Asana para assegurar que sejam contratualmente obrigados a proteger as nossas informações e a atender aos requisitos mínimos de segurança e privacidade das informações, incluindo relatórios de incidentes e violações de segurança.

4.9 Avaliação de riscos. A Asana manterá um programa de gestão de riscos para identificar, monitorar e controlar os riscos que podem afetar a confidencialidade, a integridade e a disponibilidade dos Dados do Cliente.

4.10 Treinamento em segurança. A Asana fornecerá treinamento em segurança da informação e privacidade ao seu pessoal após a contratação e, depois disso, ministrará treinamentos com periodicidade mínima anual. Além disso, todos os funcionários devem assinar e reconhecer a política de Segurança da Informação e Proteção de Dados da Asana no ato da contratação.

4.11 Segurança do pessoal. A Asana verificará os antecedentes dos funcionários com acesso aos Dados do Cliente de acordo com as leis, regulamentos, requisitos éticos e/ou práticas locais aceitas em jurisdições fora dos EUA para cada indivíduo, pelo menos na primeira contratação (salvo se proibido por lei). O nível de verificação deve ser adequado ao cargo do funcionário, à confidencialidade das informações a serem acessadas no desempenho da sua função, aos riscos que podem surgir do uso indevido das informações e às práticas locais aceitas em jurisdições fora dos EUA. As seguintes verificações devem ser realizadas em relação a cada indivíduo, pelo menos na primeira contratação, a menos que sejam proibidas por lei ou inconsistentes com as práticas locais aceitas em jurisdições fora dos EUA: (i) verificação de identidade e (ii) antecedentes criminais.

5. Atualizações dos Padrões de Segurança de Dados

O Cliente reconhece que a Asana pode atualizar ou modificar periodicamente os Padrões de Segurança de Dados, contanto que tais atualizações e modificações não diminuam ou prejudiquem a segurança geral do Serviço.