Avaliações de segurança
Regras da Atlassian para o teste de segurança de produtos Cloud
Os clientes da Atlassian podem realizar avaliações de segurança em seus produtos Atlassian Cloud (conforme definido abaixo) sem autorização prévia. O termo "avaliação de segurança" se refere a qualquer atividade destinada a determinar, avaliar ou testar as funções e controles de segurança dos produtos e serviços da Atlassian (como, por exemplo, testes de intrusão e varreduras de vulnerabilidade). Esta página estabelece as regras ("Regras para Testes de Segurança") vigentes para clientes que queiram realizar avaliações de segurança em seus produtos Atlassian Cloud. A plataforma da Atlassian para produtos Cloud (a "Plataforma Atlassian Cloud") usa uma infraestrutura compartilhada para hospedar os produtos Cloud que pertencem a você e a outros clientes. É preciso tomar cuidado para limitar todas as avaliações de segurança aos seus produtos e instâncias Cloud e evitar impactos indesejados a outros clientes.
Toda as avaliações de segurança devem seguir as Regras para teste de segurança da Atlassian conforme descrito nesta página. O uso dos produtos Cloud vai continuar sujeito ao Contrato do cliente da Atlassian ou a outros termos e condições pertinentes do(s) acordo(s) (coletivamente, "Termos de serviço") sob os quais você comprou os produtos Cloud relevantes. Qualquer violação das Regras para teste de segurança ou dos Termos de serviço relevantes pode resultar na suspensão ou no encerramento da sua conta e/ou em uma ação legal contra você. Você é responsável por todo e qualquer dano à Plataforma Atlassian Cloud e por qualquer impacto negativo causado a dados de outros usuários ou ao uso da Plataforma Atlassian Cloud decorrentes de uma violação sua às Regras para teste de segurança ou aos Termos de serviço.
Produtos Cloud disponíveis para avaliações de segurança
Os produtos listados abaixo constituem os "Produtos Cloud" para fins das Regras para Teste de Segurança:
- Jira
- Jira Service Management
- Jira Align
- Jira Work Management
- Confluence
- Bitbucket
- Atlassian Guard
- Statuspage
- Trello
- Opsgenie
- Halp
Regras para Teste de Segurança
Atividades permitidas
- As avaliações de segurança podem ser executadas apenas por clientes da Atlassian inscritos nos Produtos Cloud elegíveis listados acima.
- Você pode executar avaliações de segurança apenas em suas próprias instâncias de produtos Cloud, de acordo com as políticas da Atlassian referentes às avaliações de segurança, incluindo estas Regras para Teste de Segurança.
- Você pode usar ferramentas/verificadores automatizados para executar as avaliações de segurança, mas não se esqueça que a gente também utiliza essas ferramentas. Quaisquer resultados de uma varredura automatizada devem ser revisados e triados por uma equipe de segurança do cliente antes de serem encaminhado à Atlassian, com uma prova de conceito funcional e que possa ser reproduzida. A gente não aceita resultados de varreduras de segurança sem triagem.
Atividades proibidas
- Fazer varreduras, testar ou acessar produtos, instâncias ou ativos do Cloud que não pertencem a você, incluindo os pertencentes a qualquer outro cliente da Atlassian
- Acessar, de propósito, quaisquer outros dados de clientes (incluindo acessar ou usar as credenciais de qualquer cliente)
- Ataques não técnicos (incluindo, entre outros, engenharia social, phishing ou acesso não autorizado à infraestrutura)
- Ataques à segurança física (incluindo, entre outros, escritórios, equipamentos, funcionários da Atlassian, etc.)
- Testar produtos que estão fora do escopo
- Atacar a infraestrutura corporativa da Atlassian
- Ataques de negação de serviço (DoS), negação de serviço distribuído (DDoS), DoS simulado, DDoS simulado
- Saturação de portas
- Saturação de protocolos
- Saturação de solicitações (saturação de solicitações de login, saturação de solicitações de API)
- Envio de relatórios sem triagem de uma varredura de vulnerabilidade ou aplicativo de avaliação de segurança
Relatar itens
Se você achar que descobriu uma possível falha de segurança relacionada aos produtos Atlassian Cloud ou a outro serviço da Atlassian, você concorda em informar a falha dentro de 24 horas seguindo estas instruções: como relatar uma vulnerabilidade. Você também pode enviar suas descobertas para o programa de recompensa por bugs (observe que descobertas por verificador automático não são aceitas). Depois do envio, é necessário pedir permissão à Atlassian antes de divulgar o problema ao público. Os resultados de avaliações de segurança são considerados informações confidenciais da Atlassian. A Atlassian processa solicitações de divulgação ao público por relatório. Solicitações para revelar ao público um problema que ainda não foi resolvido para os clientes são rejeitadas.
Termos adicionais
Embora acessar de propósito os dados de qualquer outro cliente Atlassian seja estritamente proibido, se você achar que encontrou dados sigilosos de outros clientes (por exemplo, credenciais de login, chaves de API, etc.) ou uma forma de acessar esses dados (isto é, por meio de uma vulnerabilidade), relate isso ao Suporte da Atlassian no mesmo instante. Não tente validar a vulnerabilidade ou acessar a conta ou os dados desse cliente.
Além dos direitos da Atlassian de suspender ou encerrar a conta em caso de violação das Regras para Teste de Segurança, a Atlassian se reserva o direito de responder a quaisquer atividades nas redes da empresa que pareçam ser mal-intencionadas ou representem uma ameaça. A Atlassian poderá fazer uma lista de bloqueios para o(s) IP(s) ou intervalo de IP se receber um relatório de inconformidades em atividades ligadas à sua avaliação de segurança. Caso você entre em contato com o Suporte da Atlassian para remover as restrições, informe a causa raiz da atividade relatada e explique o que você fez para evitar que o ticket relatado ocorra de novo.
Você também pode notificar a Atlassian Security sobre a sua intenção de fazer uma avaliação de segurança. Para isso, abra um ticket com o Suporte da Atlassian com o assunto: "Intenção de avaliação de segurança". Inclua a data e duração do teste, IP(s) ou intervalo de IP de origem, domínios de destino e informações de contato. Embora a notificação prévia não seja necessária, ela ajuda a identificar o teste e a não bloquear a rede, o que pode anular o teste.
Parceiros e revendedores dos produtos Atlassian Cloud são responsáveis pelas atividades de avaliação de segurança de seus clientes.