Close

Nossas políticas de segurança e tecnologia da Atlassian

A Atlassian criou um programa de gerenciamento de segurança da informação (ISMP) que descreve os princípios e regras de manutenção dos programas de Confiança e Segurança. Cada passo é tomado sempre avaliando os riscos às operações da Atlassian e melhorando a segurança, confidencialidade, integridade e disponibilidade do ambiente da Atlassian. Revisões e atualizações das políticas de segurança, testes de aplicativos e de segurança da rede no ambiente próprio e o monitoramento da conformidade com as políticas de segurança são realizados com frequência.

A seguir, você vai encontrar uma lista e uma breve descrição de nossas principais políticas de Segurança e Tecnologia que a Atlassian estabeleceu para os ambientes internos e de nuvem.

Política de segurança, riscos e governança

Esta política define os princípios gerais e as diretrizes para gerenciar a Segurança na Atlassian.

Os princípios básicos resumidos incluem:

  • gerenciamento por parte da Atlassian do acesso às informações da empresa e do cliente com base nas necessidades de negócios e de acordo com os valores da Atlassian
  • adoção por parte da Atlassian de uma série de controles para gerenciar a implementação da segurança de acordo com esta política
  • revisão frequente dos riscos e da eficácia dos controles com objetivo de gerenciar esses riscos
  • continuidade por parte da Atlassian do suporte e demonstração do compromisso em cumprir a legislação de proteção de informações de identificação pessoal (PII, na sigla em inglês) vigente e os termos contratuais dos clientes de nuvem

Gerenciamento de acesso

Esta política define os princípios gerais e as diretrizes para o gerenciamento de acesso.

Os princípios básicos resumidos incluem:

  • manutenção por parte da Atlassian de uma política de controle de acesso que descreve como gerenciar o acesso aos sistemas
  • utilização de contas de usuário para gerenciamento do acesso
  • responsabilidade, por parte dos usuários, de gerenciar o acesso aos seus sistemas
  • registro e monitoramento dos sistemas verificação de acesso inadequado
  • ativação de acesso remoto via autenticação multifator
  • divisão de responsabilidades quando apropriado

Gestão de recursos

Esta política define os princípios gerais e as diretrizes para o gerenciamento dos ativos de TI da Atlassian e como eles devem ser tratados.

Os princípios básicos resumidos de gestão de recursos na Atlassian incluem:

  • manutenção do inventário de ativos por parte da Atlassian;
  • identificação dos proprietários de recursos mantidos no banco de dados de gestão de recursos;
  • identificação, documentação e implementação do uso aceitável de ativos;
  • devolução dos ativos à Atlassian se o contrato for encerrado.

Continuidade de negócios e recuperação de desastres

Esta política define os princípios gerais que estabelecem nossa abordagem quanto à resiliência, disponibilidade e continuidade dos processos, sistemas e serviços na Atlassian. Ela define os requisitos referentes aos processos de continuidade de negócios, recuperação de desastres e gerenciamento de crise.

Os princípios básicos resumidos incluem:

  • proprietários de serviço, processo ou sistema crítico para a missão devem garantir que a Continuidade de Negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre.
  • planos de continuidade no ambiente "last stand" adequado, fornecendo funcionalidade central (pelo menos) e um plano para falha para tal ambiente. Bem como, planos de retomada normal dos negócios.
  • Nenhum sistema, processo ou função críticos do sistema podem ser implementados na produção sem o plano de continuidade adequado.
  • testes trimestrais dos planos e identificação e tratamento dos problemas.
  • tempo máximo para recuperação (RTO) do momento da detecção do evento até a operação da funcionalidade central. Agrupamento dos serviços em níveis que definem o RTO e o RPO máximos.

Segurança de comunicações

Esta política define os princípios gerais e as diretrizes para gerenciar a segurança de nossas comunicações e redes.

Os princípios básicos resumidos incluem:

  • controle do acesso à rede
  • acesso à rede e conhecimento dos usuários sobre a política de comunicações e sistemas eletrônicos
  • divisão das redes com base na importância

Criptografia e encriptação

Esta política estabelece os princípios gerais para garantir que a Atlassian implemente a criptografia e a encriptação adequadas a fim de assegurar a confidencialidade e a integridade de dados cruciais. A Atlassian implementa mecanismos criptográficos para minimizar os riscos envolvidos no armazenamento e na transmissão de informações confidenciais via redes, incluindo aquelas que são acessíveis ao público (como a Internet). Facilitar o uso de tecnologias de criptografia confiáveis, seguras e de eficácia comprovada é um dos principais objetivos desta política para reduzir os riscos de acesso não autorizado e/ou modificação de informações confidenciais da empresa.

Os princípios básicos resumidos incluem:

  • criptografia adequada de dados confidenciais;
  • adequação da força da criptografia selecionada com o tipo de informação;
  • gerenciamento seguro das chaves criptográficas;
  • utilização somente de algoritmos criptográficos e módulos de software aprovados.

Classificação de dados

Esta política estabelece e define as classificações de dados e inclui descrições, exemplos, requisitos e diretrizes sobre o tratamento dos dados incluídos em cada classificação. As classificações têm por base requisitos legais, confidencialidade, valor e criticidade dos dados para a Atlassian, os clientes da Atlassian e os parceiros e fornecedores da Atlassian.

Os princípios básicos resumidos incluem:

  • classificação dos dados em termos de requisitos legais, valor e criticidade para a Atlassian
  • identificação, categorização e atualização dos dados em um mapa de fluxo de dados para garantir o tratamento adequado
  • exclusão segura de mídias utilizadas
  • proteção de mídias que tenham informações da empresa contra acesso não autorizado, uso indevido ou danos durante o transporte

Móvel e traga seu próprio dispositivo (BYOD)

Esta política estabelece os princípios e as diretrizes gerais para o uso de dispositivos pessoais nas redes e nos ambientes da Atlassian.

Os princípios básicos resumidos incluem:

  • A filosofia por trás da Política Traga seu próprio dispositivo (referida aqui como Política BYOD ou a Política) é ser tão discreta e flexível quanto possível no uso de BYOD para manter a autonomia da Equipe da Atlassian e, ao mesmo tempo, garantir a proteção de dados corporativos e dos clientes.
  • Sendo assim, o foco é a verificação do comportamento/da configuração e o monitoramento da conformidade dos dispositivos, com os princípios menos restritivos que garantam o cumprimento razoável dos objetivos de segurança necessários, em vez da aplicação de restrições. Quando as restrições forem necessárias, elas vão ser seletivas, dependendo dos dados que podem ser acessados.
  • esta política abrange nossas necessidades atuais e previstas para o futuro. Para alguns dos recursos descritos, a implementação imediata pode não ser possível.

Operações

Esta política estabelece os princípios gerais e as diretrizes para práticas operacionais de tecnologia na Atlassian.

Os princípios básicos resumidos incluem:

  • documentação dos procedimentos de atividades operacionais
  • backups realizados com frequência e testados
  • gerenciamento e avaliação de alterações por diversas pessoas
  • capacidade avaliada e planejada
  • instalação de software limitada e restrição dos softwares desnecessários
  • configuração e encaminhamento dos registros à plataforma centralizada de registros
  • gerenciamento de incidentes operacionais de acordo com o processo HOT padrão

Segurança dos funcionários

Esta política estabelece os princípios e as diretrizes gerais de segurança dos funcionários na Atlassian.

Os princípios básicos resumidos incluem:

  • as responsabilidades de segurança sejam descritas nas definições do trabalho
  • treinamentos regulares sobre conscientização de segurança com participação de todos funcionários e usuários
  • todos funcionários e contratados tenha o dever de relatar incidentes ou falhas de segurança
  • no desligamento do funcionário, deve ocorrer a devolução de ativos e acessos em um prazo razoável

Segurança física e ambiental

Esta política de segurança estabelece os princípios gerais e as diretrizes para proteger nossos prédios, escritórios e equipamentos.

Os princípios básicos resumidos incluem:

  • oferecimento de áreas seguras de trabalho
  • proteção dos equipamentos de TI onde quer que estejam
  • acesso restrito aos edifícios e escritórios da Atlassian

Privacidade

Essa política estabelece os princípios para garantir que a Atlassian implemente medidas de segurança adequadas que ajudem a proteger a privacidade dos dados.

A Atlassian reconhece que, embora a criptografia e outras tecnologias de aprimoramento de privacidade (PETs) sejam ferramentas poderosas, é necessária uma análise detalhada durante a escolha e a implementação dessas tecnologias. A Atlassian adota uma abordagem de privacidade baseada em riscos que considera a natureza, o escopo, o contexto e os objetivos do processamento de dados, bem como a probabilidade e a gravidade dos riscos para os direitos e liberdades das pessoas físicas.

Os princípios básicos resumidos incluem:

  • escolha de PETs de acordo com uma abordagem baseada em riscos
  • as PETs não devem impedir que a Atlassian cumpra os requisitos regulatórios relacionados aos direitos de privacidade
  • as PETs não devem prejudicar a segurança dos sistemas e serviços que processam dados
  • as PETs não devem prejudicar a capacidade de restaurar o acesso e a disponibilidade de dados privados em caso de violação
  • as PETs devem permitir testes, análises e avaliações regulares de eficácia

Gerenciamento de incidentes de segurança

Esta política estabelece os princípios e as diretrizes gerais para garantir que a Atlassian lide de modo adequado com qualquer incidente de segurança real ou suspeito. A Atlassian é responsável por monitorar incidentes que ocorram dentro da organização e que possam violar a confidencialidade, a integridade ou a disponibilidade de informações ou sistemas de informações. Todos os incidentes suspeitos devem ser relatados e avaliados. A política foi implementada para que a Segurança da Atlassian possa limitar a duração e o impacto adverso na Atlassian e em seus clientes, além de aprender com incidentes.

Os princípios básicos resumidos incluem:

  • antecipação de incidentes de segurança e preparação para resposta a incidentes
  • contenção, erradicação e recuperação de incidentes
  • investimento em pessoas, processos e tecnologias para garantir a capacidade de detecção e análise de incidentes quando ocorrerem
  • tornar a proteção dos dados pessoais e de clientes a principal prioridade durante incidentes de segurança
  • utilização regular do processo de resposta a incidentes de segurança
  • aprender e melhorar a função de gerenciamento de incidentes de segurança
  • comunicar incidentes críticos de segurança ao grupo de liderança da Atlassian

Gerenciamento de fornecedores

Esta política estabelece os princípios e as diretrizes gerais de escolha, engajamento, monitoramento e desligamento de fornecedores.

Os princípios básicos incluem:

  • vai ser responsável por gerenciar o processo de seleção dos nossos fornecedores
  • todos os fornecedores devem ser integrados e gerenciados de acordo com os processos de avaliação de riscos e diligência prévia do fornecedor da Atlassian
  • o proprietário de negócios que estiver solicitando o relacionamento com o fornecedor vai ser responsável por usar os contratos padrão da Atlassian
  • supervisão por parte da Atlassian do relacionamento para garantir que ele atenda aos padrões da Atlassian
  • direito da Atlassian de rescisão do contrato com qualquer fornecedor quando o serviço não for mais necessário

Aquisição, desenvolvimento e manutenção de sistemas

Esta política estabelece os princípios e as diretrizes gerais para o desenvolvimento de aplicativos internos e para clientes, além de criar limitações para o gerenciamento de ambientes de pré-produção e a incorporação de software de código aberto a qualquer um dos produtos e serviços Atlassian.

Os princípios básicos resumidos incluem:

  • requisitos de segurança integrados e incorporados a qualquer ambiente ou aquisição ou desenvolvimento de aplicativo;
  • desenvolvimento de produtos seguindo o processo interno de garantia de qualidade, que inclui a integração das verificações de segurança;
  • anonimato ou mascaramento de dados de produção restritos de acordo com a Política de Gerenciamento do Ciclo de Vida das Informações de Segurança de Dados quando utilizados em ambientes de pré-produção; e
  • integrações de quaisquer estruturas ou bibliotecas de código aberto vão seguir o padrão interno de uso de código de terceiros em produtos da Atlassian

Gerenciamento de ameaças e vulnerabilidades

Esta política define os princípios gerais e as diretrizes para gerenciar ameaças à segurança e vulnerabilidades tanto em nosso ambiente quanto em nossos produtos.

Os princípios básicos resumidos incluem:

  • gerenciamento das vulnerabilidades de segurança nos produtos e serviços que a gente oferece, incluindo a emissão de atualizações, correções ou alertas
  • gerenciamento de ameaças à segurança e vulnerabilidades em todo o ambiente da Atlassian, tanto nos internos quanto nos hospedados
  • gerenciamento da ameaça de malware no ambiente

Gerenciamento de auditoria e conformidade

Essa política estabelece os princípios gerais para gerenciamento e auditoria de conformidade de controle na Atlassian.

Os princípios básicos resumidos incluem:

  • implementação de controles para gerenciamento adequado dos riscos e garantia da conformidade com políticas, regulamentos e padrões externos do setor relevantes
  • realização de auditorias como forma de verificar a adequação e a eficácia operacional dos controles
  • auditorias coordenadas e realizadas conforme apropriado para obter um alto nível de confiança no ambiente de controle, bem como certificação interna ou externa
  • busca por validação externa de controles por parte da Atlassian
  • manutenção de uma visão consolidada de todos os objetivos de controle, atividades de controle e testes relevantes por parte da Atlassian