Nossas políticas de segurança e tecnologia da Atlassian
A Atlassian criou um programa de gerenciamento de segurança da informação (ISMP) que descreve os princípios e regras de manutenção dos programas de Confiança e Segurança. Cada passo é tomado sempre avaliando os riscos às operações da Atlassian e melhorando a segurança, confidencialidade, integridade e disponibilidade do ambiente da Atlassian. Revisões e atualizações das políticas de segurança, testes de aplicativos e de segurança da rede no ambiente próprio e o monitoramento da conformidade com as políticas de segurança são realizados com frequência.
A seguir, você vai encontrar uma lista e uma breve descrição de nossas principais políticas de Segurança e Tecnologia que a Atlassian estabeleceu para os ambientes internos e de nuvem.
Política de segurança, riscos e governança
Esta política define os princípios gerais e as diretrizes para gerenciar a Segurança na Atlassian.
Os princípios básicos resumidos incluem:
- gerenciamento por parte da Atlassian do acesso às informações da empresa e do cliente com base nas necessidades de negócios e de acordo com os valores da Atlassian
- adoção por parte da Atlassian de uma série de controles para gerenciar a implementação da segurança de acordo com esta política
- revisão frequente dos riscos e da eficácia dos controles com objetivo de gerenciar esses riscos
- continuidade por parte da Atlassian do suporte e demonstração do compromisso em cumprir a legislação de proteção de informações de identificação pessoal (PII, na sigla em inglês) vigente e os termos contratuais dos clientes de nuvem
Gerenciamento de acesso
Esta política define os princípios gerais e as diretrizes para o gerenciamento de acesso.
Os princípios básicos resumidos incluem:
- manutenção por parte da Atlassian de uma política de controle de acesso que descreve como gerenciar o acesso aos sistemas
- utilização de contas de usuário para gerenciamento do acesso
- responsabilidade, por parte dos usuários, de gerenciar o acesso aos seus sistemas
- registro e monitoramento dos sistemas verificação de acesso inadequado
- ativação de acesso remoto via autenticação multifator
- divisão de responsabilidades quando apropriado
Gestão de recursos
Esta política define os princípios gerais e as diretrizes para o gerenciamento dos ativos de TI da Atlassian e como eles devem ser tratados.
Os princípios básicos resumidos de gestão de recursos na Atlassian incluem:
- manutenção do inventário de ativos por parte da Atlassian;
- identificação dos proprietários de recursos mantidos no banco de dados de gestão de recursos;
- identificação, documentação e implementação do uso aceitável de ativos;
- devolução dos ativos à Atlassian se o contrato for encerrado.
Continuidade de negócios e recuperação de desastres
Esta política define os princípios gerais que estabelecem nossa abordagem quanto à resiliência, disponibilidade e continuidade dos processos, sistemas e serviços na Atlassian. Ela define os requisitos referentes aos processos de continuidade de negócios, recuperação de desastres e gerenciamento de crise.
Os princípios básicos resumidos incluem:
- proprietários de serviço, processo ou sistema crítico para a missão devem garantir que a Continuidade de Negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre.
- planos de continuidade no ambiente "last stand" adequado, fornecendo funcionalidade central (pelo menos) e um plano para falha para tal ambiente. Bem como, planos de retomada normal dos negócios.
- Nenhum sistema, processo ou função críticos do sistema podem ser implementados na produção sem o plano de continuidade adequado.
- testes trimestrais dos planos e identificação e tratamento dos problemas.
- tempo máximo para recuperação (RTO) do momento da detecção do evento até a operação da funcionalidade central. Agrupamento dos serviços em níveis que definem o RTO e o RPO máximos.
Segurança de comunicações
Esta política define os princípios gerais e as diretrizes para gerenciar a segurança de nossas comunicações e redes.
Os princípios básicos resumidos incluem:
- controle do acesso à rede
- acesso à rede e conhecimento dos usuários sobre a política de comunicações e sistemas eletrônicos
- divisão das redes com base na importância
Criptografia e encriptação
Esta política estabelece os princípios gerais para garantir que a Atlassian implemente a criptografia e a encriptação adequadas a fim de assegurar a confidencialidade e a integridade de dados cruciais. A Atlassian implementa mecanismos criptográficos para minimizar os riscos envolvidos no armazenamento e na transmissão de informações confidenciais via redes, incluindo aquelas que são acessíveis ao público (como a Internet). Facilitar o uso de tecnologias de criptografia confiáveis, seguras e de eficácia comprovada é um dos principais objetivos desta política para reduzir os riscos de acesso não autorizado e/ou modificação de informações confidenciais da empresa.
Os princípios básicos resumidos incluem:
- criptografia adequada de dados confidenciais;
- adequação da força da criptografia selecionada com o tipo de informação;
- gerenciamento seguro das chaves criptográficas;
- utilização somente de algoritmos criptográficos e módulos de software aprovados.
Classificação de dados
Esta política estabelece e define as classificações de dados e inclui descrições, exemplos, requisitos e diretrizes sobre o tratamento dos dados incluídos em cada classificação. As classificações têm por base requisitos legais, confidencialidade, valor e criticidade dos dados para a Atlassian, os clientes da Atlassian e os parceiros e fornecedores da Atlassian.
Os princípios básicos resumidos incluem:
- classificação dos dados em termos de requisitos legais, valor e criticidade para a Atlassian
- identificação, categorização e atualização dos dados em um mapa de fluxo de dados para garantir o tratamento adequado
- exclusão segura de mídias utilizadas
- proteção de mídias que tenham informações da empresa contra acesso não autorizado, uso indevido ou danos durante o transporte
Móvel e traga seu próprio dispositivo (BYOD)
Esta política estabelece os princípios e as diretrizes gerais para o uso de dispositivos pessoais nas redes e nos ambientes da Atlassian.
Os princípios básicos resumidos incluem:
- A filosofia por trás da Política Traga seu próprio dispositivo (referida aqui como Política BYOD ou a Política) é ser tão discreta e flexível quanto possível no uso de BYOD para manter a autonomia da Equipe da Atlassian e, ao mesmo tempo, garantir a proteção de dados corporativos e dos clientes.
- Sendo assim, o foco é a verificação do comportamento/da configuração e o monitoramento da conformidade dos dispositivos, com os princípios menos restritivos que garantam o cumprimento razoável dos objetivos de segurança necessários, em vez da aplicação de restrições. Quando as restrições forem necessárias, elas vão ser seletivas, dependendo dos dados que podem ser acessados.
- esta política abrange nossas necessidades atuais e previstas para o futuro. Para alguns dos recursos descritos, a implementação imediata pode não ser possível.
Operações
Esta política estabelece os princípios gerais e as diretrizes para práticas operacionais de tecnologia na Atlassian.
Os princípios básicos resumidos incluem:
- documentação dos procedimentos de atividades operacionais
- backups realizados com frequência e testados
- gerenciamento e avaliação de alterações por diversas pessoas
- capacidade avaliada e planejada
- instalação de software limitada e restrição dos softwares desnecessários
- configuração e encaminhamento dos registros à plataforma centralizada de registros
- gerenciamento de incidentes operacionais de acordo com o processo HOT padrão
Segurança dos funcionários
Esta política estabelece os princípios e as diretrizes gerais de segurança dos funcionários na Atlassian.
Os princípios básicos resumidos incluem:
- as responsabilidades de segurança sejam descritas nas definições do trabalho
- treinamentos regulares sobre conscientização de segurança com participação de todos funcionários e usuários
- todos funcionários e contratados tenha o dever de relatar incidentes ou falhas de segurança
- no desligamento do funcionário, deve ocorrer a devolução de ativos e acessos em um prazo razoável
Segurança física e ambiental
Esta política de segurança estabelece os princípios gerais e as diretrizes para proteger nossos prédios, escritórios e equipamentos.
Os princípios básicos resumidos incluem:
- oferecimento de áreas seguras de trabalho
- proteção dos equipamentos de TI onde quer que estejam
- acesso restrito aos edifícios e escritórios da Atlassian
Privacidade
Essa política estabelece os princípios para garantir que a Atlassian implemente medidas de segurança adequadas que ajudem a proteger a privacidade dos dados.
A Atlassian reconhece que, embora a criptografia e outras tecnologias de aprimoramento de privacidade (PETs) sejam ferramentas poderosas, é necessária uma análise detalhada durante a escolha e a implementação dessas tecnologias. A Atlassian adota uma abordagem de privacidade baseada em riscos que considera a natureza, o escopo, o contexto e os objetivos do processamento de dados, bem como a probabilidade e a gravidade dos riscos para os direitos e liberdades das pessoas físicas.
Os princípios básicos resumidos incluem:
- escolha de PETs de acordo com uma abordagem baseada em riscos
- as PETs não devem impedir que a Atlassian cumpra os requisitos regulatórios relacionados aos direitos de privacidade
- as PETs não devem prejudicar a segurança dos sistemas e serviços que processam dados
- as PETs não devem prejudicar a capacidade de restaurar o acesso e a disponibilidade de dados privados em caso de violação
- as PETs devem permitir testes, análises e avaliações regulares de eficácia
Gerenciamento de incidentes de segurança
Esta política estabelece os princípios e as diretrizes gerais para garantir que a Atlassian lide de modo adequado com qualquer incidente de segurança real ou suspeito. A Atlassian é responsável por monitorar incidentes que ocorram dentro da organização e que possam violar a confidencialidade, a integridade ou a disponibilidade de informações ou sistemas de informações. Todos os incidentes suspeitos devem ser relatados e avaliados. A política foi implementada para que a Segurança da Atlassian possa limitar a duração e o impacto adverso na Atlassian e em seus clientes, além de aprender com incidentes.
Os princípios básicos resumidos incluem:
- antecipação de incidentes de segurança e preparação para resposta a incidentes
- contenção, erradicação e recuperação de incidentes
- investimento em pessoas, processos e tecnologias para garantir a capacidade de detecção e análise de incidentes quando ocorrerem
- tornar a proteção dos dados pessoais e de clientes a principal prioridade durante incidentes de segurança
- utilização regular do processo de resposta a incidentes de segurança
- aprender e melhorar a função de gerenciamento de incidentes de segurança
- comunicar incidentes críticos de segurança ao grupo de liderança da Atlassian
Gerenciamento de fornecedores
Esta política estabelece os princípios e as diretrizes gerais de escolha, engajamento, monitoramento e desligamento de fornecedores.
Os princípios básicos incluem:
- vai ser responsável por gerenciar o processo de seleção dos nossos fornecedores
- todos os fornecedores devem ser integrados e gerenciados de acordo com os processos de avaliação de riscos e diligência prévia do fornecedor da Atlassian
- o proprietário de negócios que estiver solicitando o relacionamento com o fornecedor vai ser responsável por usar os contratos padrão da Atlassian
- supervisão por parte da Atlassian do relacionamento para garantir que ele atenda aos padrões da Atlassian
- direito da Atlassian de rescisão do contrato com qualquer fornecedor quando o serviço não for mais necessário
Aquisição, desenvolvimento e manutenção de sistemas
Esta política estabelece os princípios e as diretrizes gerais para o desenvolvimento de aplicativos internos e para clientes, além de criar limitações para o gerenciamento de ambientes de pré-produção e a incorporação de software de código aberto a qualquer um dos produtos e serviços Atlassian.
Os princípios básicos resumidos incluem:
- requisitos de segurança integrados e incorporados a qualquer ambiente ou aquisição ou desenvolvimento de aplicativo;
- desenvolvimento de produtos seguindo o processo interno de garantia de qualidade, que inclui a integração das verificações de segurança;
- anonimato ou mascaramento de dados de produção restritos de acordo com a Política de Gerenciamento do Ciclo de Vida das Informações de Segurança de Dados quando utilizados em ambientes de pré-produção; e
- integrações de quaisquer estruturas ou bibliotecas de código aberto vão seguir o padrão interno de uso de código de terceiros em produtos da Atlassian
Gerenciamento de ameaças e vulnerabilidades
Esta política define os princípios gerais e as diretrizes para gerenciar ameaças à segurança e vulnerabilidades tanto em nosso ambiente quanto em nossos produtos.
Os princípios básicos resumidos incluem:
- gerenciamento das vulnerabilidades de segurança nos produtos e serviços que a gente oferece, incluindo a emissão de atualizações, correções ou alertas
- gerenciamento de ameaças à segurança e vulnerabilidades em todo o ambiente da Atlassian, tanto nos internos quanto nos hospedados
- gerenciamento da ameaça de malware no ambiente
Gerenciamento de auditoria e conformidade
Essa política estabelece os princípios gerais para gerenciamento e auditoria de conformidade de controle na Atlassian.
Os princípios básicos resumidos incluem:
- implementação de controles para gerenciamento adequado dos riscos e garantia da conformidade com políticas, regulamentos e padrões externos do setor relevantes
- realização de auditorias como forma de verificar a adequação e a eficácia operacional dos controles
- auditorias coordenadas e realizadas conforme apropriado para obter um alto nível de confiança no ambiente de controle, bem como certificação interna ou externa
- busca por validação externa de controles por parte da Atlassian
- manutenção de uma visão consolidada de todos os objetivos de controle, atividades de controle e testes relevantes por parte da Atlassian