ACSC – Cloud Computing Security for Cloud Service Providers (revisão de 2023)

1 – Geral

Avaliar o serviço de nuvem e a infraestrutura subjacente (usando explicitamente as correções contidas nesta publicação) em relação ao ISM [1] no nível de classificação apropriado necessário para lidar com os dados do locatário.

A Atlassian tem mecanismos robustos para garantir a conformidade com o Data Privacy Framework Principles, recursos para indivíduos afetados pela não conformidade com esse documento e consequências para quando os princípios não são seguidos. Isso é feito por meio de autoavaliações periódicas e ad hoc, além de auditorias externas e análises de conformidade frequentes conforme necessário. Em específico, trabalhamos todos os anos com a TrustArc, uma fornecedora externa que certifica a conformidade das nossas práticas de privacidade com os Data Privacy Framework Principles. Ela oferece suporte à nossa certificação e fornece serviços independentes de mediação de disputas para o caso de reclamações de clientes relacionadas à privacidade. Também monitoramos a conformidade com os tickets do Jira, que podem ser usados como trilha de auditoria, além de realizar autoavaliações, fazer auditorias externas/análises de conformidade e elaborar planos de correção conforme necessário. Monitoramos as práticas de uso de dados e temos um programa contra violação de privacidade dos dados para rastrear incidentes/violações relacionadas.

2 – Geral

Implementar a governança da segurança envolvendo a gerência sênior que conduz e coordena atividades relacionadas à segurança, incluindo o gerenciamento robusto de alterações, além de implementar uma equipe com habilidades técnicas em funções de segurança definidas.

Bala Sathiamurthy é CISO da Atlassian e trabalha no nosso escritório em São Francisco. Nossa equipe de segurança tem mais de 230 membros que atuam nas áreas de segurança de produtos, inteligência de segurança, arquitetura de segurança e confiança, risco e conformidade. Além disso, contamos com uma equipe de desenvolvimento e SRE nos escritórios de Sydney, Amsterdã, Austin, Bangalore, Mountain View, São Francisco e Nova York e com vários membros que adotam o trabalho remoto.

3 – Geral

Implementar e testar um plano de resposta a incidentes de segurança cibernética todos os anos, fornecendo ao locatário detalhes de contato de emergência, a capacidade de visualizar evidências forenses a que ele costuma não ter acesso e avisos sobre incidentes.

A Atlassian criou um documento com a política e plano de resposta a incidentes de segurança, cujos princípios fundamentais incluem o seguinte:

• antecipação de incidentes de segurança e preparação para resposta a incidentes
• contenção, erradicação e recuperação de incidentes
• investimento em pessoas, processos e tecnologias para garantir a capacidade de detecção e análise de incidentes quando ocorrerem
• tornar a proteção dos dados pessoais e de clientes a principal prioridade durante incidentes de segurança
• Utilização regular do processo de resposta a incidentes de segurança
• aprender e melhorar a função de gerenciamento de incidentes de segurança
• comunicar incidentes críticos de segurança ao grupo de liderança da Atlassian

4 – Geral

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre o locatário e o CSP. Por exemplo: VPN IPsec ou TLS na camada do aplicativo com algoritmos aprovados, além de tamanho e gerenciamento de chaves.

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

5 – Geral

Usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre os data centers do CSP por canais de comunicação não seguros, como infraestruturas de Internet pública.

A Atlassian mantém políticas de criptografia e diretrizes de implementação. Elas são revisadas e atualizadas todos os anos de acordo com nosso Programa de Gerenciamento de Políticas (PMP). Para saber mais, consulte: Atlassian Trust Management System (ATMS).

6 – Geral

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em repouso na mídia de armazenamento em trânsito via postagem/correio entre o locatário e o CSP durante a transferência de dados em uma integração ou desligamento.

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

7 – Geral

Fornecer gerenciamento de identidade e acesso (por exemplo, autenticação multifator e funções de conta com privilégios variados) [6] para que o locatário use e administre o serviço de nuvem por meio da API e painel de controle do site do CSP.

Sim. Em relação ao Confluence e Jira, a autenticação multifator está disponível para contas individuais. Para saber mais sobre como ativar a autenticação multifator, consulte: Aplicar verificação em duas etapas

A BBC ainda implementa a 2FA em fevereiro de 2022 e, em geral, integra o Atlassian Access e oferece suporte a outras funcionalidades dessa solução. A aplicação da autenticação multifator pode ser feita no nível da organização com o Atlassian Access. Para saber mais, consulte: Aplicar a verificação em duas etapas

Em relação a produtos específicos, o Bitbucket oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Aplicar a verificação em duas etapas | Bitbucket Cloud

A Halp usa o SSO por meio do OAuth do Slack e MS Teams. O Slack e o MS Teams oferecem várias opções de autenticação multifator. Para saber mais, consulte: Login único de SAML e Azure AD Connect: login único otimizado
O Opsgenie oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Configurar o SSO para o Opsgenie
O Statuspage oferece suporte ao uso de opções de SSO baseadas na MFA.
O Trello oferece suporte à autenticação multifator. Para saber mais sobre como habilitar a autenticação multifator, consulte: Como habilitar a autenticação de dois fatores na conta do TrelloO Jira Align oferece suporte ao uso de opções de SSO baseadas na MFA.

8 – Geral

Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito quando o locatário usar e administrar o serviço de nuvem por meio da API e painel de controle do site do CSP.

Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador.

As unidades nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou de páginas do Confluence (conteúdo, comentários e anexos). A criptografia em repouso oferece proteção contra acessos não autorizados e garante que os dados sejam visualizados apenas por funções e serviços permitidos com acesso auditado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) no gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pela AWS com frequência como parte dos processos internos de validação dessa solução. Um proprietário é atribuído a cada chave e fica responsável por garantir que o nível adequado de controles de segurança seja aplicado a elas.

9 – Geral

Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados nas contas do locatário usadas para acessar e administrar o serviço de nuvem.

Os principais registros são encaminhados de cada sistema para uma plataforma centralizada em que eles são somente leitura. A equipe de segurança da Atlassian cria alertas na plataforma de análise de segurança (Splunk) e monitora indicadores de comprometimento. As equipes de SRE usam essa plataforma para monitorar problemas de disponibilidade ou desempenho. Os registros são retidos por 30 dias em backup dinâmico e 365 dias em backup estático.

Registros principais detalhados: Acompanhe as atividades da organização no log de auditoria

10 – Geral

Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados pelo serviço de nuvem usado pelo locatário. Por exemplo, sistema operacional, servidor web e registros de aplicativos.

Utilizamos o Casper (https://www.jamf.com) e o OSQuery (https://osquery.io/) para gerenciar o que é registrado e por quanto tempo isso é retido. Os registros são armazenados em um sistema separado de modo lógico, e o acesso de gravação aos registros é restrito aos membros da equipe de segurança. Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros. Nosso serviço centralizado de geração de registros (Splunk) é integrado à infraestrutura de análise de segurança para automatizar as verificações, e são criados alertas para identificar possíveis itens.

Os verificadores de vulnerabilidade internos e externos enviam alertas sobre a abertura inesperada de portas ou sobre outras alterações de configuração (por exemplo, perfis TLS de servidores de escuta). Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros.

11 – Geral

Divulgar os países e jurisdições legais em que os dados do locatário são (ou serão nos próximos meses) armazenados, copiados em backup, processados e acessados pela equipe do CSP para solucionar problemas, fazer a administração remota e oferecer suporte ao cliente.

A Atlassian usa a Amazon Web Services (AWS) nas regiões US-East, US-West, Irlanda, Frankfurt, Singapura e Sydney (Confluence e Jira). Para saber mais, consulte Infraestrutura de hospedagem em nuvem.

Em relação a produtos específicos, o Trello está disponível na região US-East (Ohio) da AWS. Jira Align: é possível solicitar a localização física dos dados do cliente por meio de um ticket de suporte. Consulte Suporte do Jira Align.

O Statuspage está disponível nas regiões US-West (Oregon, California) e US-East (Ohio) da AWS. O OpsGenie oferece contas da AWS nos EUA e na Europa. O cliente pode escolher a região US-West (Oregon, California) ou US-East (Ohio) ao se inscrever.

O Halp é hospedado nas regiões US-East-2 and US-West 2 da AWS. Os repositórios do Bitbucket e as principais funções do aplicativo são hospedados nas regiões US-East e US-West da AWS.

12 – Geral

Realizar verificações de antecedentes da equipe do CSP de acordo com o nível de acesso a sistemas e dados. Oferecer autorizações de segurança a funcionários com acesso a dados altamente confidenciais [7].

Sim. Os novos membros da Equipe da Atlassian precisam realizar uma verificação de antecedentes. Os funcionários recém-contratados como resultado de uma aquisição são submetidos a uma verificação de antecedentes após a data de aquisição. Todos os novos contratados e fornecedores independentes também precisam passar por uma verificação de antecedentes criminais. Também podem ser exigidas verificações de formação acadêmica, empregatícia ou de crédito de acordo com a função ou o nível do cargo. Funcionários em cargos contábeis e executivos seniores também passam por uma verificação completa de antecedentes.

13 – Geral

Usar data centers e escritórios com proteção física garantida que armazenam ou podem acessar dados do locatário [8]. Verificar e registrar a identidade de todos os funcionários e visitantes. Acompanhar os visitantes para evitar que eles acessem dados sem autorização.

Os escritórios da Atlassian são regidos pela nossa política de segurança ambiental e física, incluindo o monitoramento dos pontos físicos de entrada e saída. Nossos data centers parceiros precisam ter várias certificações de conformidade. Essas certificações estão relacionadas à segurança física, disponibilidade do sistema, acesso à rede e ao backbone de IP, provisionamento de clientes e gerenciamento de problemas. O acesso aos data centers é limitado ao pessoal autorizado, em que são aplicadas medidas de verificação de identidade por biometria. As medidas de segurança física incluem: profissionais de segurança na premissa, monitoramento de câmeras de vídeo, "mantraps" (portas com controle de acesso) e outras medidas de proteção contra invasões. A AWS tem várias certificações para proteger seus data centers. Você encontra as informações de garantia de proteção física da AWS em: http://aws.amazon.com/compliance/.

14 – Geral

Limitar o acesso privilegiado da equipe do CSP a sistemas e dados de acordo com as tarefas no trabalho [9]. Exigir uma nova aprovação a cada três meses aos funcionários do CSP que precisam de acesso privilegiado. Revogar o acesso após o desligamento do funcionário na equipe do CSP.

A Atlassian mantém restrições apenas ao pessoal que precisa desse acesso para as devidas funções e responsabilidades. Todos os sistemas de nível 1 são gerenciados por meio da solução centralizada de login único (SSO) e de diretório da Atlassian. Os usuários recebem direitos de acesso apropriados com base nesses perfis, orientados por meio do fluxo de trabalho do sistema de gerenciamento de RH. A Atlassian utiliza a autenticação multifator (MFA) para acessar todos os sistemas de nível 1. A gente habilitou a autenticação de dois fatores no console de gerenciamento do hipervisor e na API da AWS, além de um relatório diário de auditoria sobre todo o acesso às funções de gerenciamento do hipervisor. As listas de acesso ao console de gerenciamento de hipervisores e à API da AWS são revisadas a cada trimestre. A gente também mantém uma sincronização de 8 horas entre o sistema de RH e a loja de identidades.

15 – Geral

Analisar com agilidade os registros de ações da equipe do CSP que foram incluídos em um servidor seguro e isolado. Separar deveres com a exigência de que a análise de registros seja realizada por funcionários do CSP sem outros privilégios ou funções.

Os principais produtos da Atlassian têm controles de segregação de deveres e incluem, dentre outros:

• Avaliações de controles de acesso
• Grupos de segurança gerenciados por aplicativos de RH
• Aprovação de alterações/revisão/implementação por pares (PRGB)
• Controles de fluxo de trabalho

16 – Geral

Realizar uma auditoria dos fornecedores antes de obter software, hardware ou serviços para avaliar um possível aumento no perfil de risco de segurança do CSP.

Os novos fornecedores da Atlassian precisam concordar com as políticas e adendo de segurança e privacidade contidos nos nossos contratos. Os departamentos jurídico e de aquisição da Atlassian analisam contratos, SLAs e políticas internas de fornecedores para determinar se o fornecedor atende aos requisitos de segurança, disponibilidade e confidencialidade. A Atlassian oferece esta página pública: Lista de subprocessadores de dados.

17 – Geral

Usar controles de criptografia aprovados pela ASD para proteger dados altamente confidenciais em repouso. Limpar a mídia de armazenamento antes do reparo, descarte e desligamento do locatário com um contrato de confidencialidade para os dados contidos em backups residuais.

A equipe de tecnologia do local de trabalho cuida desse processo e faz a limpeza e desmagnetização adequadas do equipamento. A Atlassian não gerencia as mídias físicas que oferecem suporte aos nossos produtos e serviços de nuvem.

As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

18 – Geral

Implementar mecanismos de vários locatários para evitar que os dados do locatário sejam acessados por outros. Isolar o tráfego de rede, armazenamento, memória e processamento do computador. Limpar a mídia de armazenamento antes da sua reutilização.

A Atlassian é um aplicativo SaaS de vários locatários. O modelo de vários locatários é uma função essencial do Atlassian Cloud. Com ele, vários clientes podem usar uma mesma instância da camada de aplicativo do Jira e Confluence, isolando os dados de aplicativo de cada locatário. O Atlassian Cloud faz isso por meio do serviço de contexto do locatário (TCS). Cada ID de usuário é associado apenas a um locatário, que é usado para acessar os aplicativos do Atlassian Cloud. Para saber mais, consulte: Práticas de segurança.
Implementamos uma separação lógica e física dos ambientes de produção e de não produção (desenvolvimento) e usamos diferentes métodos para isolar esses locais.
O ambiente de staging é separado na estrutura lógica (mas não física) e gerenciado com base em processos de acesso e controle de alterações em nível de produção.

19 - Geral

Permita que o locatário faça backups atualizados em um formato que evite o bloqueio por parte do CSP. Se uma conta ou um serviço em nuvem for encerrado, notifique imediatamente o locatário e ofereça pelo menos um mês para baixar os dados.

A Atlassian mantém um padrão de Retenção e Destruição de Dados, que designa por quanto tempo a gente precisa manter diferentes tipos de dados. Os dados são classificados conforme nossa Política de Ciclo de Vida das Informações e Segurança de Dados da Atlassian, e os controles são implementados com base nisso. Após a rescisão de um contrato da Atlassian, os dados pertencentes a uma equipe do cliente vão ser removidos do banco de dados de produção ativo e todos os anexos de arquivos enviados diretamente para a Atlassian vão ser removidos em 14 dias. Os dados da equipe vão permanecer em backups criptografados até ultrapassarem a janela de retenção de backup de 60 dias e serem destruídos conforme a política de retenção de dados da Atlassian. Caso uma restauração do banco de dados seja necessária no prazo de 60 dias após a solicitação de exclusão de dados, a equipe de operações vai excluir de novo os dados assim que for possível após a restauração completa do sistema de produção ativo. Para mais informações, consulte: Rastrear o armazenamento e mover dados entre produtos

20 - Geral

Os clientes da Atlassian mantêm a responsabilidade de garantir que o uso de nosso serviço esteja em conformidade com as leis e os regulamentos vigentes. Mais informações sobre acordos e políticas legais específicos estão disponíveis em na página de recursos legais: https://www.atlassian.com/legal

21 - Geral

Viabilize conectividade de rede confiável, de baixa latência e largura de banda adequada entre o locatário e o serviço em nuvem para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário.

A Atlassian monitora o desempenho e a disponibilidade de todas as instâncias do Cloud, porém, no momento, não há um SLA formal de disponibilidade para aplicativos. A equipe de suporte disponibiliza um SLA de tempo de resposta inicial e, embora não haja um SLA oficial de resolução para suporte, a meta interna é resolver todos os casos atribuídos à equipe em 48 horas. A Atlassian exibe as estatísticas de status mais recentes do sistema Cloud aqui: https://status.atlassian.com

Garantias de SLA estão disponíveis nas ofertas Premium e Enterprise.

22 - Geral

Planeje a arquitetura para atender ao nível declarado de disponibilidade, conforme exigido pelo locatário, por exemplo, pontos únicos de falha mínimos, clustering e balanceamento de carga, replicação de dados, failover automatizado e monitoramento da disponibilidade em tempo real.

Para os serviços Atlassian Cloud, os planos de Continuidade de Negócios e Recuperação de Desastres são testados pelo menos todos os trimestres. A disponibilidade em várias regiões é monitorada em tempo real. Testes automatizados de failover regional são feitos todas as semanas no ambiente de pré-produção. Testes automatizados de restauração de dados de configuração são feitos todos os dias na produção.

Todos os serviços da Atlassian testam a cada trimestre a resiliência da zona de disponibilidade no ambiente de pré-produção. Para mais informações sobre o programa de continuidade de negócios, consulte: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e

Os planos de Recuperação de Desastres são testados e validados por auditores externos como parte do Programa de Conformidade. Para mais informações, consulte: https://www.atlassian.com/trust/compliance/resources.

23 - Geral

Desenvolva e, a cada ano, teste um plano de recuperação de desastres e continuidade de negócios para atender ao nível de disponibilidade declarado conforme exigido pelo locatário, por exemplo, promulgado para incidentes que causam perda duradoura da equipe ou da infraestrutura do CSP.

Uma política de continuidade de negócios e recuperação de desastres e um plano de continuidade de negócios e recuperação de desastres estão em vigor e são revisados a cada ano pelo comitê diretor de continuidade de negócios/recuperação de desastres. Todos os proprietários de serviços, processos ou sistemas essenciais devem garantir que a continuidade de negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre. Os planos de continuidade de negócios e recuperação de desastres são testados todos os trimestres, e os problemas identificados são resolvidos. Para mais informações, consulte Práticas de segurança e a abordagem da Atlassian à resiliência.

24 - Geral

Implemente mitigações de negação de serviço para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário, por exemplo, conectividade de rede externa e interna redundante de alta largura de banda com limitação e filtragem de tráfego.

A Atlassian Security Engineering usa tecnologias IPS que são implementadas em nossos ambientes de escritório. A proteção contra ameaças de rede é feita pela AWS, incluindo proteção contra DDoS e algumas funções do Web Application Firewall.

Com relação a produtos específicos, o Jira Align usa o Cloudflare para WAF, DDOS e DNS-SEC. A gente usa Alert Logic IDS, análise de registro e CloudTrail. O Nexpose é usado para verificar componentes de rede compartilhados com a pilha do Atlassian Cloud. A análise personalizada de registro do Splunk é usada.

25 - Geral

Disponibilize capacidade de infraestrutura e escalabilidade automatizada responsiva para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário.

A Atlassian planeja a capacidade com 6 a 12 meses de antecedência, com um planejamento estratégico de alto nível em 36 meses.

SLAs/SLOs: os sistemas da Atlassian concordaram com os objetivos de suas características operacionais
(1) todos os sistemas têm um conjunto de SLOs vinculados às principais capacidades desses sistemas
(2) esses SLOs são revisados a cada trimestre (ou com mais frequência)
(3) alguns clientes da Atlassian recebem SLAs para serviços prestados pela Atlassian. Esses SLAs devem ser respaldados por SLOs internos.
(4) se a equipe não alcança um ou mais SLOs, ela deve priorizar o esforço para restaurar a métrica antes de qualquer outro trabalho.

26 - Geral

Permita que o locatário gerencie o custo de um aumento genuíno na demanda ou negação de serviço por meio de limites de gastos contratuais, alertas em tempo real e limites máximos configuráveis para o uso da capacidade de infraestrutura do CSP.

Para nossas ofertas de SaaS, não cobramos os clientes conforme o uso. Atualmente, não compartilhamos relatórios de capacidade ou de usuários com locatários.

27 - Geral

Use computadores protegidos e aprovados pela empresa, servidores intermediários, contas dedicadas, senhas fortes e autenticação multifator para dar suporte ao cliente e administrar serviços e infraestrutura em nuvem.

Os funcionários devem aplicar a autenticação de dois fatores quando disponível e usar um gerenciador de senhas com senhas aleatórias e fortes. Funcionários autorizados acessam o ambiente de produção fazendo a autenticação na VPN com senhas fortes exclusivas e autenticação de dois fatores baseada em TOTP e apenas por meio de conexões de terminal SSH usando certificados RSA pessoais protegidos por senha. SSO, SSH, autenticação de dois fatores e VPN são necessários.

28 - Geral

Use controles criptográficos aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito em canais de comunicação inseguros entre o data center do CSP e a equipe de atendimento ao cliente/administração do CSP.

Todos os dados de clientes armazenados em produtos e serviços em nuvem da Atlassian são criptografados em trânsito em redes públicas usando o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgação ou modificação não autorizadas. A implementação do TLS garante o uso de criptografia forte e chaves longas, se compatível com o navegador.

As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie e Trello utilizam a criptografia em repouso de disco completo AES-256, padrão do setor.

Na criptografia de dados em repouso, a Atlassian criptografa os dados do cliente armazenados em um disco, como os dados de itens do Jira (informações, comentários e anexos) ou dados de páginas do Confluence (conteúdo da página, comentários e anexos). A criptografia de dados em repouso ajuda a proteger contra acesso não autorizado e garante que os dados só possam ser acessados por funções e serviços autorizados com acesso monitorado por chaves de criptografia.

A Atlassian usa o AWS Key Management Service (KMS) para o gerenciamento de chaves. A criptografia, a descriptografia e o processo de gerenciamento de chaves são inspecionados e autenticados pelo AWS com frequência, como parte dos processos internos de validação. Um proprietário é atribuído a cada chave e é responsável por garantir que o nível adequado de controles de segurança seja aplicado nas chaves.

29 - Geral

Implemente segmentação e segregação de rede [20] entre a internet, a infraestrutura de CSP usada pelos locatários, a rede que o CSP usa para administrar serviços e infraestrutura em nuvem e a LAN corporativa do CSP.

Os dados do cliente nunca devem ser replicados fora do ambiente de produção, que é armazenado nos servidores seguros da AWS. Regras rígidas de firewall estão em vigor, limitando assim o acesso ao ambiente de produção à rede VPN da Atlassian e sistemas autorizados. O acesso à VPN da Atlassian requer autenticação multifator. Os controles de segregação de funções estão em vigor para os produtos principais da Atlassian e incluem, mas não se limitam a:

• Avaliações de controles de acesso
• Grupos de segurança gerenciados por aplicativos de RH
• Aprovação de alterações/revisão/implementação por pares (PRGB)
• Controles de fluxo de trabalho

30 - Geral

Utilize práticas de programação seguras para software desenvolvido pelo CSP [21] [22] [23].

A Atlassian utiliza práticas de desenvolvimento seguras em todas as fases do ciclo de vida do desenvolvimento. Consulte: Segurança no desenvolvimento de software na Atlassian para mais informações.

Na fase de projeto, práticas que incluem modelagem de ameaças e revisão de projeto, além da biblioteca de padrões de segurança atualizada com frequência garantem que os requisitos de segurança adequados sejam considerados.

Durante o desenvolvimento, a gente conta com um processo obrigatório de revisão de pares como a primeira linha de revisão de segurança. Esse processo tem suporte de verificações de análise estática automatizadas (SAST) e testes manuais de segurança (tanto por equipes internas quanto por parceiros terceiros, conforme determinado pelo processo de avaliação de riscos). O desenvolvimento também tem suporte de programas de treinamento de segurança de aplicativos e uma base de conhecimento de segurança mantida pela equipe de segurança.

Os processos formais de prontidão operacional e controle de alterações garantem que só as alterações aprovadas sejam implementadas na produção. Após a implementação, a gente usa varreduras automatizadas regulares de vulnerabilidades e um programa de recompensas por bugs líder do setor (https://bugcrowd.com/atlassian) para oferecer a garantia contínua dos aplicativos.

31 - Geral

Use configurações seguras, gerenciamento contínuo de vulnerabilidades, aplicação imediata de patches, análises anuais de segurança de terceiros e testes de intrusão dos serviços em nuvem e da infraestrutura subjacente.

Consultorias terceirizadas são contratadas para fazer testes de intrusão anuais em aplicativos externos. Esses testes são complementados por testes de segurança menores e contínuos feitos pela equipe interna de testes de segurança da Atlassian. As Cartas de Avaliação desses testes de intrusão podem ser encontradas aqui, junto com mais informações sobre nosso processo de teste: Abordagem aos testes de segurança externos

Além disso, trabalhamos com a Bugcrowd para manter um Programa de Recompensas por Bugs, para conduzir avaliações contínuas de vulnerabilidade dos produtos e serviços que disponibilizamos ao público. O programa está disponível em: https://bugcrowd.com/atlassian. Compartilhamos os resultados contínuos dos testes de intrusão do Programa de Recompensas por Bugs em: Abordagem aos testes de segurança externos

Todas as vulnerabilidades encontradas estão sujeitas à política de atualizações de segurança, que define os Objetivos de Nível de Serviço (SLOs), calculados com base nos níveis de gravidade de cada problema de segurança. Os prazos de resolução para essas questões e mais informações sobre a política podem ser encontrados em: Política de atualizações de segurança Mais informações sobre o nosso programa de Gerenciamento de Vulnerabilidades podem ser encontradas em: Gerenciamento de Vulnerabilidades da Atlassian

Para mais informações sobre como a gente incorpora a segurança nas práticas de desenvolvimento, consulte: Segurança no desenvolvimento de software na Atlassian

32 - Geral

Treine toda a equipe do CSP, principalmente os administradores, no início do emprego e a cada ano, para proteger os dados do locatário, manter a disponibilidade dos serviços em nuvem e identificar proativamente incidentes de segurança, por exemplo, por meio de análise imediata de registros.

A Atlassian oferece treinamento em segurança da informação como parte do treinamento de integração (“Rocketfuel”) para novos contratados e de forma contínua para toda a equipe. Candidatos e prestadores de serviços devem assinar um acordo de confidencialidade antes de começar a trabalhar na empresa. No caso de uma mudança tecnológica ou outra mudança importante, cursos são disponibilizados e anunciados aos funcionários por meio da intranet.

Além desse treinamento geral de segurança da informação, um treinamento mais direcionado está disponível para os desenvolvedores sobre codificação segura e é reforçado por meio do programa de engenheiros de segurança incorporado. A gente também oferece treinamento específico contínuo relacionado a malware, phishing e outras questões de segurança. Os funcionários e prestadores de serviços da Atlassian estão sujeitos a identificação e verificação de elegibilidade para trabalhar.

1 - IaaS

Disponibilize controles de acesso à rede que permitam ao locatário implementar segmentação e segregação de rede [25], incluindo um recurso de filtragem de rede para proibir a administração remota de suas VMs, exceto a partir de seu endereço IP.

Isso não se aplica. A Atlassian é uma provedora de SaaS.

2 - IaaS

Disponibilize ao locatário imagens de template de VM configuradas e corrigidas com segurança. Evite atribuir uma senha administrativa fraca às VMs recém-provisionadas.

Isso não se aplica. A Atlassian é uma provedora de SaaS.

1 - PaaS

Fortaleça e configure com segurança o sistema operacional, o servidor da web e o software da plataforma. Limite a conectividade de rede de entrada e saída apenas a portas/protocolos necessários. Execute imediatamente a aplicação de patches e a análise de registros.

Isso não se aplica. A Atlassian é uma provedora de SaaS.

1 - SaaS

Implemente controles específicos para o serviço em nuvem, por exemplo, para e-mails entregues como serviço, ofereça funções como filtragem de conteúdo com análise dinâmica automatizada de e-mails e seus anexos.

Nós oferecemos isso em nossos produtos. A Atlassian utiliza o Proofpoint (https://www.proofpoint.com/au/products/email-protection) para verificar anexos e reescrever URLs para bloquear tentativas de phishing. A Atlassian também utiliza proteções para e-mail integradas ao Google G-Suite (serviços de segurança na nuvem e proteção de dados)

2 - SaaS

Implemente controles gerais [26], por exemplo, conectividade de rede de entrada e saída limitada apenas às portas/protocolos necessários, software antivírus atualizado diariamente, sistemas de prevenção de intrusões e análise imediata de registros.

Não aplicável. A Atlassian não tem antimalware em nossos servidores de produção, pois eles não podem ser gravados de forma alguma, exceto pelo nosso pipeline de IC/CD. Os serviços de aplicativos da Atlassian que hospedam o Jira Cloud ou o Confluence Cloud hospedam apenas o código do aplicativo e nada mais. Os servidores do Jira e do Confluence Cloud não podem ser gravados de forma alguma, exceto pelo pipeline de implementação da Atlassian ou pipeline de IC/CD.

Qualquer conteúdo gerado pelo cliente permanece nos servidores de banco de dados/RDS, e todos os anexos ou outros itens são salvos em um serviço comum dos Serviços de mídia, que é basicamente apenas um front-end para um bucket do S3. A equipe antiabuso da Atlassian pode remover anexos dos Serviços de mídia identificados como malware ou outro material desagradável, mas ela não verifica ativamente o malware. Confiamos em nossos próprios recursos de detecção de endpoints, bem como na detecção de malware dos clientes.

A Atlassian usa o Crowdstrike Falcon em todos os servidores Windows. A Atlassian atualiza as assinaturas do Crowdstrike diariamente, o que inclui qualquer malware que o fornecedor Crowdstrike conheça.