Close
Logo do ACSC

ACSC – Cloud Computing Security for Cloud Service Providers (revisão de 2023)

Isenção de responsabilidade

Estas orientações destinadas aos clientes de nuvem do setor público e empresas consideradas como entidades regulamentadas pelo Australian Cyber Security Center (ACSC) se referem apenas aos produtos Atlassian Cloud e aos serviços oferecidos por eles.

Este relatório inclui somente informações e orientações fornecidas pela Atlassian e destinadas aos clientes de nuvem sobre como nos alinhamos ao documento Cloud Computing Security for Cloud Service Providers. Da mesma maneira, temos um whitepaper especial sobre responsabilidade compartilhada que discute as diferentes responsabilidades atribuídas a CSPs (provedores de serviços de nuvem) e clientes. O modelo de responsabilidade compartilhada não elimina as obrigações e o risco dos clientes que usam os produtos Atlassian Cloud. Na verdade, ele ajuda a aliviar o trabalho à medida que gerenciamos e controlamos os componentes do sistema e o controle físico das instalações. O modelo também atribui à Atlassian uma parte do custo de segurança e conformidade normalmente paga pelos clientes.

Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança.

Risco

Referência

Mitigações

Resposta da Atlassian

Mitigações de risco mais eficazes geralmente relevantes a todos os tipos de serviços de nuvem

Falha geral em manter a confidencialidade, integridade e disponibilidade dos dados do locatário

Referência

1 – Geral

Mitigações

Avaliar o serviço de nuvem e a infraestrutura subjacente (usando explicitamente as correções contidas nesta publicação) em relação ao ISM [1] no nível de classificação apropriado necessário para lidar com os dados do locatário.

Resposta da Atlassian

A Atlassian tem mecanismos robustos para garantir a conformidade com o Data Privacy Framework Principles, recursos para indivíduos afetados pela não conformidade com esse documento e consequências para quando os princípios não são seguidos. Isso é feito por meio de autoavaliações periódicas e ad hoc, além de auditorias externas e análises de conformidade frequentes conforme necessário. Em específico, trabalhamos todos os anos com a TrustArc, uma fornecedora externa que certifica a conformidade das nossas práticas de privacidade com os Data Privacy Framework Principles. Ela oferece suporte à nossa certificação e fornece serviços independentes de mediação de disputas para o caso de reclamações de clientes relacionadas à privacidade. Também monitoramos a conformidade com os tickets do Jira, que podem ser usados como trilha de auditoria, além de realizar autoavaliações, fazer auditorias externas/análises de conformidade e elaborar planos de correção conforme necessário. Monitoramos as práticas de uso de dados e temos um programa contra violação de privacidade dos dados para rastrear incidentes/violações relacionadas.

 

Referência

2 – Geral

Mitigações

Implementar a governança da segurança envolvendo a gerência sênior que conduz e coordena atividades relacionadas à segurança, incluindo o gerenciamento robusto de alterações, além de implementar uma equipe com habilidades técnicas em funções de segurança definidas.

Resposta da Atlassian

Bala Sathiamurthy é CISO da Atlassian e trabalha no nosso escritório em São Francisco. Nossa equipe de segurança tem mais de 230 membros que atuam nas áreas de segurança de produtos, inteligência de segurança, arquitetura de segurança e confiança, risco e conformidade. Além disso, contamos com uma equipe de desenvolvimento e SRE nos escritórios de Sydney, Amsterdã, Austin, Bangalore, Mountain View, São Francisco e Nova York e com vários membros que adotam o trabalho remoto.

 

Referência

3 – Geral

Mitigações

Implementar e testar um plano de resposta a incidentes de segurança cibernética todos os anos, fornecendo ao locatário detalhes de contato de emergência, a capacidade de visualizar evidências forenses a que ele costuma não ter acesso e avisos sobre incidentes.

Resposta da Atlassian

A Atlassian criou um documento com a política e plano de resposta a incidentes de segurança, cujos princípios fundamentais incluem o seguinte:

  • antecipação de incidentes de segurança e preparação para resposta a incidentes
  • contenção, erradicação e recuperação de incidentes
  • investimento em pessoas, processos e tecnologias para garantir a capacidade de detecção e análise de incidentes quando ocorrerem
  • tornar a proteção dos dados pessoais e de clientes a principal prioridade durante incidentes de segurança
  • Utilização regular do processo de resposta a incidentes de segurança
  • aprender e melhorar a função de gerenciamento de incidentes de segurança
  • comunicar incidentes críticos de segurança ao grupo de liderança da Atlassian
De acordo com essa política, a Atlassian mantém um plano de resposta a incidentes de segurança.  Para saber mais sobre nosso processo de resposta a incidentes de segurança, consulte este artigo

Dados do locatário comprometidos em trânsito por terceiros maliciosos

Referência

4 – Geral

Mitigações

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre o locatário e o CSP. Por exemplo: VPN IPsec ou TLS na camada do aplicativo com algoritmos aprovados, além de tamanho e gerenciamento de chaves.

Resposta da Atlassian

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

Referência

5 – Geral

Mitigações

Usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre os data centers do CSP por canais de comunicação não seguros, como infraestruturas de Internet pública.

Resposta da Atlassian

A Atlassian mantém políticas de criptografia e diretrizes de implementação. Elas são revisadas e atualizadas todos os anos de acordo com nosso Programa de Gerenciamento de Políticas (PMP). Para saber mais, consulte: Atlassian Trust Management System (ATMS).

Referência

6 – Geral

Mitigações

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em repouso na mídia de armazenamento em trânsito via postagem/correio entre o locatário e o CSP durante a transferência de dados em uma integração ou desligamento.

Resposta da Atlassian

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

Credenciais da conta do serviço de nuvem do locatário comprometidas por terceiros maliciosos [2] [3] [4] [5]

Referência

7 – Geral

Mitigações

Fornecer gerenciamento de identidade e acesso (por exemplo, autenticação multifator e funções de conta com privilégios variados) [6] para que o locatário use e administre o serviço de nuvem por meio da API e painel de controle do site do CSP.

Resposta da Atlassian

Sim. Em relação ao Confluence e Jira, a autenticação multifator está disponível para contas individuais. Para saber mais sobre como ativar a autenticação multifator, consulte: Aplicar verificação em duas etapas

A BBC ainda implementa a 2FA em fevereiro de 2022 e, em geral, integra o Atlassian Access e oferece suporte a outras funcionalidades dessa solução. A aplicação da autenticação multifator pode ser feita no nível da organização com o Atlassian Access. Para saber mais, consulte: Aplicar a verificação em duas etapas

Em relação a produtos específicos, o Bitbucket oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Aplicar a verificação em duas etapas | Bitbucket Cloud

A Halp usa o SSO por meio do OAuth do Slack e MS Teams. O Slack e o MS Teams oferecem várias opções de autenticação multifator. Para saber mais, consulte: Login único de SAML e Azure AD Connect: login único otimizado
O Opsgenie oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Configurar o SSO para o Opsgenie
O Statuspage oferece suporte ao uso de opções de SSO baseadas na MFA.
O Trello oferece suporte à autenticação multifator. Para saber mais sobre como habilitar a autenticação multifator, consulte: Como habilitar a autenticação de dois fatores na conta do TrelloO Jira Align oferece suporte ao uso de opções de SSO baseadas na MFA.

Referência

8 – Geral

Mitigações

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito quando o locatário usar e administrar o serviço de nuvem por meio da API e painel de controle do site do CSP.

Resposta da Atlassian

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

Referência

9 – Geral

Mitigações

Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados nas contas do locatário usadas para acessar e administrar o serviço de nuvem.

Resposta da Atlassian

Os principais registros são encaminhados de cada sistema para uma plataforma centralizada em que eles são somente leitura. A equipe de segurança da Atlassian cria alertas na plataforma de análise de segurança (Splunk) e monitora indicadores de comprometimento. As equipes de SRE usam essa plataforma para monitorar problemas de disponibilidade ou desempenho. Os registros são retidos por 30 dias em backup dinâmico e 365 dias em backup estático.

Registros principais detalhados: Acompanhe as atividades da organização no log de auditoria

Dados do locatário comprometidos por terceiros maliciosos ou funcionários mal-intencionados do CSP

Referência

10 – Geral

Mitigações

Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados pelo serviço de nuvem usado pelo locatário. Por exemplo, sistema operacional, servidor web e registros de aplicativos.

Resposta da Atlassian

Utilizamos o Casper (https://www.jamf.com) e o OSQuery (https://osquery.io/) para gerenciar o que é registrado e por quanto tempo isso é retido. Os registros são armazenados em um sistema separado de modo lógico, e o acesso de gravação aos registros é restrito aos membros da equipe de segurança. Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros. Nosso serviço centralizado de geração de registros (Splunk) é integrado à infraestrutura de análise de segurança para automatizar as verificações, e são criados alertas para identificar possíveis itens.

Os verificadores de vulnerabilidade internos e externos enviam alertas sobre a abertura inesperada de portas ou sobre outras alterações de configuração (por exemplo, perfis TLS de servidores de escuta). Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros.

Referência

11 – Geral

Mitigações

Divulgar os países e jurisdições legais em que os dados do locatário são (ou serão nos próximos meses) armazenados, copiados em backup, processados e acessados pela equipe do CSP para solucionar problemas, fazer a administração remota e oferecer suporte ao cliente.

Resposta da Atlassian

A Atlassian usa a Amazon Web Services (AWS) nas regiões US-East, US-West, Irlanda, Frankfurt, Singapura e Sydney (Confluence e Jira). Para saber mais, consulte Infraestrutura de hospedagem em nuvem.

Em relação a produtos específicos, o Trello está disponível na região US-East (Ohio) da AWS. Jira Align: é possível solicitar a localização física dos dados do cliente por meio de um ticket de suporte. Consulte Suporte do Jira Align.

O Statuspage está disponível nas regiões US-West (Oregon, California) e US-East (Ohio) da AWS. O OpsGenie oferece contas da AWS nos EUA e na Europa. O cliente pode escolher a região US-West (Oregon, California) ou US-East (Ohio) ao se inscrever.

O Halp é hospedado nas regiões US-East-2 and US-West 2 da AWS. Os repositórios do Bitbucket e as principais funções do aplicativo são hospedados nas regiões US-East e US-West da AWS.

Referência

12 – Geral

Mitigações

Realizar verificações de antecedentes da equipe do CSP de acordo com o nível de acesso a sistemas e dados. Oferecer autorizações de segurança a funcionários com acesso a dados altamente confidenciais [7].

Resposta da Atlassian

Sim. Os novos membros da Equipe da Atlassian precisam realizar uma verificação de antecedentes. Os funcionários recém-contratados como resultado de uma aquisição são submetidos a uma verificação de antecedentes após a data de aquisição. Todos os novos contratados e fornecedores independentes também precisam passar por uma verificação de antecedentes criminais. Também podem ser exigidas verificações de formação acadêmica, empregatícia ou de crédito de acordo com a função ou o nível do cargo. Funcionários em cargos contábeis e executivos seniores também passam por uma verificação completa de antecedentes.

Referência

13 – Geral

Mitigações

Usar data centers e escritórios com proteção física garantida que armazenam ou podem acessar dados do locatário [8]. Verificar e registrar a identidade de todos os funcionários e visitantes. Acompanhar os visitantes para evitar que eles acessem dados sem autorização.

Resposta da Atlassian

Os escritórios da Atlassian são regidos pela nossa política de segurança ambiental e física, incluindo o monitoramento dos pontos físicos de entrada e saída. Nossos data centers parceiros precisam ter várias certificações de conformidade. Essas certificações estão relacionadas à segurança física, disponibilidade do sistema, acesso à rede e ao backbone de IP, provisionamento de clientes e gerenciamento de problemas. O acesso aos data centers é limitado ao pessoal autorizado, em que são aplicadas medidas de verificação de identidade por biometria. As medidas de segurança física incluem: profissionais de segurança na premissa, monitoramento de câmeras de vídeo, "mantraps" (portas com controle de acesso) e outras medidas de proteção contra invasões. A AWS tem várias certificações para proteger seus data centers. Você encontra as informações de garantia de proteção física da AWS em: http://aws.amazon.com/compliance/.

Referência

14 – Geral

Mitigações

Limitar o acesso privilegiado da equipe do CSP a sistemas e dados de acordo com as tarefas no trabalho [9]. Exigir uma nova aprovação a cada três meses aos funcionários do CSP que precisam de acesso privilegiado. Revogar o acesso após o desligamento do funcionário na equipe do CSP.

Resposta da Atlassian

A Atlassian mantém restrições apenas ao pessoal que precisa desse acesso para as devidas funções e responsabilidades. Todos os sistemas de nível 1 são gerenciados por meio da solução centralizada de login único (SSO) e de diretório da Atlassian. Os usuários recebem direitos de acesso apropriados com base nesses perfis, orientados por meio do fluxo de trabalho do sistema de gerenciamento de RH. A Atlassian utiliza a autenticação multifator (MFA) para acessar todos os sistemas de nível 1. A gente habilitou a autenticação de dois fatores no console de gerenciamento do hipervisor e na API da AWS, além de um relatório diário de auditoria sobre todo o acesso às funções de gerenciamento do hipervisor. As listas de acesso ao console de gerenciamento de hipervisores e à API da AWS são revisadas a cada trimestre. A gente também mantém uma sincronização de 8 horas entre o sistema de RH e a loja de identidades.

Referência

15 – Geral

Mitigações

Analisar com agilidade os registros de ações da equipe do CSP que foram incluídos em um servidor seguro e isolado. Separar deveres com a exigência de que a análise de registros seja realizada por funcionários do CSP sem outros privilégios ou funções.

Resposta da Atlassian

Os principais produtos da Atlassian têm controles de segregação de deveres e incluem, dentre outros:

  • Avaliações de controles de acesso
  • Grupos de segurança gerenciados por aplicativos de RH
  • Aprovação de alterações/revisão/implementação por pares (PRGB)
  • Controles de fluxo de trabalho
As certificações SOC2 e ISO 27001 estão disponíveis para download em: Proteção completa dos dados.

Referência

16 – Geral

Mitigações

Realizar uma auditoria dos fornecedores antes de obter software, hardware ou serviços para avaliar um possível aumento no perfil de risco de segurança do CSP.

Resposta da Atlassian

Os novos fornecedores da Atlassian precisam concordar com as políticas e adendo de segurança e privacidade contidos nos nossos contratos. Os departamentos jurídico e de aquisição da Atlassian analisam contratos, SLAs e políticas internas de fornecedores para determinar se o fornecedor atende aos requisitos de segurança, disponibilidade e confidencialidade. A Atlassian oferece esta página pública: Lista de subprocessadores de dados.

Referência

17 – Geral

Mitigações

Usar controles de criptografia aprovados pela ASD para proteger dados altamente confidenciais em repouso. Limpar a mídia de armazenamento antes do reparo, descarte e desligamento do locatário com um contrato de confidencialidade para os dados contidos em backups residuais.

Resposta da Atlassian

A equipe de tecnologia do local de trabalho cuida desse processo e faz a limpeza e desmagnetização adequadas do equipamento. A Atlassian não gerencia as mídias físicas que oferecem suporte aos nossos produtos e serviços de nuvem.

As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Dados do locatário comprometidos por outro locatário malicioso/comprometido [10] [11] [12] [13] [14] [15] [16] [17] [18].

Referência

18 – Geral

Mitigações

Implementar mecanismos de vários locatários para evitar que os dados do locatário sejam acessados por outros. Isolar o tráfego de rede, armazenamento, memória e processamento do computador. Limpar a mídia de armazenamento antes da sua reutilização.

Resposta da Atlassian

A Atlassian é um aplicativo SaaS de vários locatários. O modelo de vários locatários é uma função essencial do Atlassian Cloud. Com ele, vários clientes podem usar uma mesma instância da camada de aplicativo do Jira e Confluence, isolando os dados de aplicativo de cada locatário. O Atlassian Cloud faz isso por meio do serviço de contexto do locatário (TCS). Cada ID de usuário é associado apenas a um locatário, que é usado para acessar os aplicativos do Atlassian Cloud. Para saber mais, consulte: Práticas de segurança.
Implementamos uma separação lógica e física dos ambientes de produção e de não produção (desenvolvimento) e usamos diferentes métodos para isolar esses locais.
O ambiente de staging é separado na estrutura lógica (mas não física) e gerenciado com base em processos de acesso e controle de alterações em nível de produção.

Dados do locatário indisponíveis devido a corrupção, exclusão [19] ou encerramento da conta/serviço pelo CSP

Referência

19 - Geral

Mitigações

Permita que o locatário faça backups atualizados em um formato que evite o bloqueio por parte do CSP. Se uma conta ou um serviço em nuvem for encerrado, notifique imediatamente o locatário e ofereça pelo menos um mês para baixar os dados.

Resposta da Atlassian

A Atlassian mantém um padrão de Retenção e Destruição de Dados, que designa por quanto tempo a gente precisa manter diferentes tipos de dados. Os dados são classificados conforme nossa Política de Ciclo de Vida das Informações e Segurança de Dados da Atlassian, e os controles são implementados com base nisso. Após a rescisão de um contrato da Atlassian, os dados pertencentes a uma equipe do cliente vão ser removidos do banco de dados de produção ativo e todos os anexos de arquivos enviados diretamente para a Atlassian vão ser removidos em 14 dias. Os dados da equipe vão permanecer em backups criptografados até ultrapassarem a janela de retenção de backup de 60 dias e serem destruídos conforme a política de retenção de dados da Atlassian. Caso uma restauração do banco de dados seja necessária no prazo de 60 dias após a solicitação de exclusão de dados, a equipe de operações vai excluir de novo os dados assim que for possível após a restauração completa do sistema de produção ativo. Para mais informações, consulte: Rastrear o armazenamento e mover dados entre produtos

Dados do locatário indisponíveis ou comprometidos devido à falência do CSP ou outra ação legal

Referência

20 - Geral

Mitigações

Garanta contratualmente que o locatário mantenha a propriedade legal de próprios dados.

Resposta da Atlassian

Os clientes da Atlassian mantêm a responsabilidade de garantir que o uso de nosso serviço esteja em conformidade com as leis e os regulamentos vigentes. Mais informações sobre acordos e políticas legais específicos estão disponíveis em na página de recursos legais: https://www.atlassian.com/legal

Serviço em nuvem indisponível por conectividade de rede inadequada do CSP

Referência

21 - Geral

Mitigações

Viabilize conectividade de rede confiável, de baixa latência e largura de banda adequada entre o locatário e o serviço em nuvem para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário.

Resposta da Atlassian

A Atlassian monitora o desempenho e a disponibilidade de todas as instâncias do Cloud, porém, no momento, não há um SLA formal de disponibilidade para aplicativos. A equipe de suporte disponibiliza um SLA de tempo de resposta inicial e, embora não haja um SLA oficial de resolução para suporte, a meta interna é resolver todos os casos atribuídos à equipe em 48 horas. A Atlassian exibe as estatísticas de status mais recentes do sistema Cloud aqui: https://status.atlassian.com

Garantias de SLA estão disponíveis nas ofertas Premium e Enterprise.

Serviço em nuvem indisponível devido a erro do CSP, interrupção planejada, falha de hardware ou força maior

Referência

22 - Geral

Mitigações

Planeje a arquitetura para atender ao nível declarado de disponibilidade, conforme exigido pelo locatário, por exemplo, pontos únicos de falha mínimos, clustering e balanceamento de carga, replicação de dados, failover automatizado e monitoramento da disponibilidade em tempo real.

Resposta da Atlassian

Para os serviços Atlassian Cloud, os planos de Continuidade de Negócios e Recuperação de Desastres são testados pelo menos todos os trimestres. A disponibilidade em várias regiões é monitorada em tempo real. Testes automatizados de failover regional são feitos todas as semanas no ambiente de pré-produção. Testes automatizados de restauração de dados de configuração são feitos todos os dias na produção.

Todos os serviços da Atlassian testam a cada trimestre a resiliência da zona de disponibilidade no ambiente de pré-produção. Para mais informações sobre o programa de continuidade de negócios, consulte: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e

Os planos de Recuperação de Desastres são testados e validados por auditores externos como parte do Programa de Conformidade. Para mais informações, consulte: https://www.atlassian.com/trust/compliance/resources.

Referência

23 - Geral

Mitigações

Desenvolva e, a cada ano, teste um plano de recuperação de desastres e continuidade de negócios para atender ao nível de disponibilidade declarado conforme exigido pelo locatário, por exemplo, promulgado para incidentes que causam perda duradoura da equipe ou da infraestrutura do CSP.

Resposta da Atlassian

Uma política de continuidade de negócios e recuperação de desastres e um plano de continuidade de negócios e recuperação de desastres estão em vigor e são revisados a cada ano pelo comitê diretor de continuidade de negócios/recuperação de desastres. Todos os proprietários de serviços, processos ou sistemas essenciais devem garantir que a continuidade de negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre. Os planos de continuidade de negócios e recuperação de desastres são testados todos os trimestres, e os problemas identificados são resolvidos. Para mais informações, consulte Práticas de segurança e a abordagem da Atlassian à resiliência.

Serviço em nuvem indisponível devido a um aumento genuíno na demanda ou à negação de serviço de largura de banda/CPU

Referência

24 - Geral

Mitigações

Implemente mitigações de negação de serviço para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário, por exemplo, conectividade de rede externa e interna redundante de alta largura de banda com limitação e filtragem de tráfego.

Resposta da Atlassian

A Atlassian Security Engineering usa tecnologias IPS que são implementadas em nossos ambientes de escritório. A proteção contra ameaças de rede é feita pela AWS, incluindo proteção contra DDoS e algumas funções do Web Application Firewall.

Com relação a produtos específicos, o Jira Align usa o Cloudflare para WAF, DDOS e DNS-SEC. A gente usa Alert Logic IDS, análise de registro e CloudTrail. O Nexpose é usado para verificar componentes de rede compartilhados com a pilha do Atlassian Cloud. A análise personalizada de registro do Splunk é usada.

Referência

25 - Geral

Mitigações

Disponibilize capacidade de infraestrutura e escalabilidade automatizada responsiva para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário.

Resposta da Atlassian

A Atlassian planeja a capacidade com 6 a 12 meses de antecedência, com um planejamento estratégico de alto nível em 36 meses.

SLAs/SLOs: os sistemas da Atlassian concordaram com os objetivos de suas características operacionais
(1) todos os sistemas têm um conjunto de SLOs vinculados às principais capacidades desses sistemas
(2) esses SLOs são revisados a cada trimestre (ou com mais frequência)
(3) alguns clientes da Atlassian recebem SLAs para serviços prestados pela Atlassian. Esses SLAs devem ser respaldados por SLOs internos.
(4) se a equipe não alcança um ou mais SLOs, ela deve priorizar o esforço para restaurar a métrica antes de qualquer outro trabalho.

Consequências financeiras de um aumento genuíno na demanda ou negação de serviço de largura de banda/CPU

Referência

26 - Geral

Mitigações

Permita que o locatário gerencie o custo de um aumento genuíno na demanda ou negação de serviço por meio de limites de gastos contratuais, alertas em tempo real e limites máximos configuráveis para o uso da capacidade de infraestrutura do CSP.

Resposta da Atlassian

Para nossas ofertas de SaaS, não cobramos os clientes conforme o uso. Atualmente, não compartilhamos relatórios de capacidade ou de usuários com locatários.

Infraestrutura do CSP comprometida por locatário ou terceiro mal-intencionado

Referência

27 - Geral

Mitigações

Use computadores protegidos e aprovados pela empresa, servidores intermediários, contas dedicadas, senhas fortes e autenticação multifator para dar suporte ao cliente e administrar serviços e infraestrutura em nuvem.

Resposta da Atlassian

Os funcionários devem aplicar a autenticação de dois fatores quando disponível e usar um gerenciador de senhas com senhas aleatórias e fortes. Funcionários autorizados acessam o ambiente de produção fazendo a autenticação na VPN com senhas fortes exclusivas e autenticação de dois fatores baseada em TOTP e apenas por meio de conexões de terminal SSH usando certificados RSA pessoais protegidos por senha. SSO, SSH, autenticação de dois fatores e VPN são necessários.

Referência

28 - Geral

Mitigações

Use controles criptográficos aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito em canais de comunicação inseguros entre o data center do CSP e a equipe de atendimento ao cliente/administração do CSP.

Resposta da Atlassian

Todos os dados de clientes armazenados em produtos e serviços em nuvem da Atlassian são criptografados em trânsito em redes públicas usando o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgação ou modificação não autorizadas. A implementação do TLS garante o uso de criptografia forte e chaves longas, se compatível com o navegador.

As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia de dados em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou dados de páginas do Confluence (conteúdo da página, comentários e anexos). A criptografia de dados em repouso ajuda a proteger contra acesso não autorizado e garante que os dados só possam ser acessados por funções e serviços autorizados com acesso monitorado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) para o gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pelo AWS com frequência, como parte dos processos internos de validação. Um proprietário é atribuído a cada chave e é responsável por garantir que o nível adequado de controles de segurança seja aplicado nas chaves.

Referência

29 - Geral

Mitigações

Implemente segmentação e segregação de rede [20] entre a internet, a infraestrutura de CSP usada pelos locatários, a rede que o CSP usa para administrar serviços e infraestrutura em nuvem e a LAN corporativa do CSP.

Resposta da Atlassian

Os dados do cliente nunca devem ser replicados fora do ambiente de produção, que é armazenado nos servidores seguros da AWS. Regras rígidas de firewall estão em vigor, limitando assim o acesso ao ambiente de produção à rede VPN da Atlassian e sistemas autorizados. O acesso à VPN da Atlassian requer autenticação multifator. Os controles de segregação de funções estão em vigor para os produtos principais da Atlassian e incluem, mas não se limitam a:

  • Avaliações de controles de acesso
  • Grupos de segurança gerenciados por aplicativos de RH
  • Aprovação de alterações/revisão/implementação por pares (PRGB)
  • Controles de fluxo de trabalho
As certificações SOC2 e ISO 27001 estão disponíveis para download em: Proteção completa dos dados.

Referência

30 - Geral

Mitigações

Utilize práticas de programação seguras para software desenvolvido pelo CSP [21] [22] [23].

Resposta da Atlassian

A Atlassian utiliza práticas de desenvolvimento seguras em todas as fases do ciclo de vida do desenvolvimento. Consulte: Segurança no desenvolvimento de software na Atlassian para mais informações.

Na fase de projeto, práticas que incluem modelagem de ameaças e revisão de projeto, além da biblioteca de padrões de segurança atualizada com frequência garantem que os requisitos de segurança adequados sejam considerados.

Durante o desenvolvimento, a gente conta com um processo obrigatório de revisão de pares como a primeira linha de revisão de segurança. Esse processo tem suporte de verificações de análise estática automatizadas (SAST) e testes manuais de segurança (tanto por equipes internas quanto por parceiros terceiros, conforme determinado pelo processo de avaliação de riscos). O desenvolvimento também tem suporte de programas de treinamento de segurança de aplicativos e uma base de conhecimento de segurança mantida pela equipe de segurança.

Os processos formais de prontidão operacional e controle de alterações garantem que só as alterações aprovadas sejam implementadas na produção. Após a implementação, a gente usa varreduras automatizadas regulares de vulnerabilidades e um programa de recompensas por bugs líder do setor (https://bugcrowd.com/atlassian) para oferecer a garantia contínua dos aplicativos.

Referência

31 - Geral

Mitigações

Use configurações seguras, gerenciamento contínuo de vulnerabilidades, aplicação imediata de patches, análises anuais de segurança de terceiros e testes de intrusão dos serviços em nuvem e da infraestrutura subjacente.

Resposta da Atlassian

Consultorias terceirizadas são contratadas para fazer testes de intrusão anuais em aplicativos externos. Esses testes são complementados por testes de segurança menores e contínuos feitos pela equipe interna de testes de segurança da Atlassian. As Cartas de Avaliação desses testes de intrusão podem ser encontradas aqui, junto com mais informações sobre nosso processo de teste: Abordagem aos testes de segurança externos

Além disso, trabalhamos com a Bugcrowd para manter um Programa de Recompensas por Bugs, para conduzir avaliações contínuas de vulnerabilidade dos produtos e serviços que disponibilizamos ao público. O programa está disponível em: https://bugcrowd.com/atlassian. Compartilhamos os resultados contínuos dos testes de intrusão do Programa de Recompensas por Bugs em: Abordagem aos testes de segurança externos

Todas as vulnerabilidades encontradas estão sujeitas à política de atualizações de segurança, que define os Objetivos de Nível de Serviço (SLOs), calculados com base nos níveis de gravidade de cada problema de segurança. Os prazos de resolução para essas questões e mais informações sobre a política podem ser encontrados em: Política de atualizações de segurança Mais informações sobre o nosso programa de Gerenciamento de Vulnerabilidades podem ser encontradas em: Gerenciamento de Vulnerabilidades da Atlassian

Para mais informações sobre como a gente incorpora a segurança nas práticas de desenvolvimento, consulte: Segurança no desenvolvimento de software na Atlassian

Referência

32 - Geral

Mitigações

Treine toda a equipe do CSP, principalmente os administradores, no início do emprego e a cada ano, para proteger os dados do locatário, manter a disponibilidade dos serviços em nuvem e identificar proativamente incidentes de segurança, por exemplo, por meio de análise imediata de registros.

Resposta da Atlassian

A Atlassian oferece treinamento em segurança da informação como parte do treinamento de integração (“Rocketfuel”) para novos contratados e de forma contínua para toda a equipe. Candidatos e prestadores de serviços devem assinar um acordo de confidencialidade antes de começar a trabalhar na empresa. No caso de uma mudança tecnológica ou outra mudança importante, cursos são disponibilizados e anunciados aos funcionários por meio da intranet.

Além desse treinamento geral de segurança da informação, um treinamento mais direcionado está disponível para os desenvolvedores sobre codificação segura e é reforçado por meio do programa de engenheiros de segurança incorporado. A gente também oferece treinamento específico contínuo relacionado a malware, phishing e outras questões de segurança. Os funcionários e prestadores de serviços da Atlassian estão sujeitos a identificação e verificação de elegibilidade para trabalhar.

As mitigações de risco mais eficazes especialmente relevantes para IaaS

Máquina virtual (VM) do locatário comprometida por terceiros mal-intencionados [24]

Referência

1 - IaaS

Mitigações

Disponibilize controles de acesso à rede que permitam ao locatário implementar segmentação e segregação de rede [25], incluindo um recurso de filtragem de rede para proibir a administração remota de suas VMs, exceto a partir de seu endereço IP.

Resposta da Atlassian

Isso não se aplica. A Atlassian é uma provedora de SaaS.

Referência

2 - IaaS

Mitigações

Disponibilize ao locatário imagens de template de VM configuradas e corrigidas com segurança. Evite atribuir uma senha administrativa fraca às VMs recém-provisionadas.

Resposta da Atlassian

Isso não se aplica. A Atlassian é uma provedora de SaaS.

As mitigações de risco mais eficazes especialmente relevantes para PaaS

Dados do locatário comprometidos por terceiros mal-intencionados

Referência

1 - PaaS

Mitigações

Fortaleça e configure com segurança o sistema operacional, o servidor da web e o software da plataforma. Limite a conectividade de rede de entrada e saída apenas a portas/protocolos necessários. Execute imediatamente a aplicação de patches e a análise de registros.

Resposta da Atlassian

Isso não se aplica. A Atlassian é uma provedora de SaaS.

As mitigações de risco mais eficazes especialmente relevantes para SaaS

Dados do locatário comprometidos por terceiros mal-intencionados

Referência

1 - SaaS

Mitigações

Implemente controles específicos para o serviço em nuvem, por exemplo, para e-mails entregues como serviço, ofereça funções como filtragem de conteúdo com análise dinâmica automatizada de e-mails e seus anexos.

Resposta da Atlassian

Nós oferecemos isso em nossos produtos. A Atlassian utiliza o Proofpoint (https://www.proofpoint.com/au/products/email-protection) para verificar anexos e reescrever URLs para bloquear tentativas de phishing. A Atlassian também utiliza proteções para e-mail integradas ao Google G-Suite (serviços de segurança na nuvem e proteção de dados)

Referência

2 - SaaS

Mitigações

Implemente controles gerais [26], por exemplo, conectividade de rede de entrada e saída limitada apenas às portas/protocolos necessários, software antivírus atualizado diariamente, sistemas de prevenção de intrusões e análise imediata de registros.

Resposta da Atlassian

Não aplicável. A Atlassian não tem antimalware em nossos servidores de produção, pois eles não podem ser gravados de forma alguma, exceto pelo nosso pipeline de IC/CD. Os serviços de aplicativos da Atlassian que hospedam o Jira Cloud ou o Confluence Cloud hospedam apenas o código do aplicativo e nada mais. Os servidores do Jira e do Confluence Cloud não podem ser gravados de forma alguma, exceto pelo pipeline de implementação da Atlassian ou pipeline de IC/CD.

Qualquer conteúdo gerado pelo cliente permanece nos servidores de banco de dados/RDS, e todos os anexos ou outros itens são salvos em um serviço comum dos Serviços de mídia, que é basicamente apenas um front-end para um bucket do S3. A equipe antiabuso da Atlassian pode remover anexos dos Serviços de mídia identificados como malware ou outro material desagradável, mas ela não verifica ativamente o malware. Confiamos em nossos próprios recursos de detecção de endpoints, bem como na detecção de malware dos clientes.

A Atlassian usa o Crowdstrike Falcon em todos os servidores Windows. A Atlassian atualiza as assinaturas do Crowdstrike diariamente, o que inclui qualquer malware que o fornecedor Crowdstrike conheça.