ACSC - Cloud Computing Security for Cloud Service Providers - Revisión de las directrices de 2023

1 - General

Evalúa el servicio en la nube y la infraestructura subyacente (abordando explícitamente las mitigaciones en esta publicación) comparándolos con el ISM [1] en el nivel de clasificación adecuado requerido para gestionar los datos del inquilino.

Atlassian cuenta con eficaces mecanismos para garantizar el cumplimiento de los Principios del Marco de Privacidad de los Datos, los recursos para las personas afectadas por el incumplimiento de estos principios y las consecuencias en caso de incumplimiento de los principios. Llevamos esto a cabo mediante autoevaluaciones periódicas y ad hoc, así como con auditorías externas y revisiones de cumplimiento ocasionales, según se requiera. En concreto, trabajamos todos los años con TrustArc, un proveedor externo que certifica que nuestras prácticas de privacidad cumplen con los Principios del Marco de Privacidad de los Datos. Avala nuestra autocertificación y también ofrece servicios independientes de mediación en conflictos para reclamaciones de clientes relacionadas con la privacidad. Asimismo, realizamos un seguimiento de los tickets de Jira, y supervisamos el cumplimiento en relación con ellos, que pueden utilizarse como registro de auditoría, junto con nuestras autoevaluaciones, auditorías externas o revisiones de cumplimiento y cualquier plan de corrección que podamos tener de vez en cuando. Supervisamos las prácticas de tratamiento de datos y mantenemos un programa de violación de la privacidad de los datos para hacer un seguimiento de los incidentes o violaciones de la privacidad de los datos.

2. General

Implementar una gobernanza de la seguridad basada en la dirección y coordinación de las actividades relacionadas con la seguridad por parte de la alta dirección, incluida una rigurosa gestión del cambio, así como contar con personal técnicamente cualificado en funciones de seguridad definidas.

El director de Seguridad de la Información de Atlassian, Bala Sathiamurthy, trabaja en nuestra oficina de San Francisco, y nuestro equipo de Seguridad cuenta con más de 230 miembros en las áreas de Seguridad de Productos, Inteligencia de Seguridad, Arquitectura de Seguridad, Confianza, Riesgo y Cumplimiento, y un equipo de desarrollo e ingeniería de fiabilidad del sitio en nuestras oficinas de Sídney, Ámsterdam, Austin, Bengarulu, Mountain View, San Francisco y Nueva York, así como varios miembros de equipos remotos.

3. General

Implementar y probar anualmente un plan de respuesta ante incidentes de ciberseguridad que proporcione al inquilino los datos de contacto de emergencia, la posibilidad de acceder a las pruebas forenses normalmente inaccesibles y la notificación de los incidentes.

Disponemos de una política y un plan de respuesta ante incidentes de seguridad documentados, cuyos principios clave incluyen los siguientes:

• Prever los incidentes de seguridad y prepararse para afrontarlos.
• Contener los incidentes, erradicarlos y recuperarse de ellos.
• Invertir en nuestro personal, nuestros procesos y nuestras tecnologías para asegurarnos de que tenemos la capacidad de detectar y analizar un incidente en cuanto se produzca.
• Establecer como máxima prioridad la protección de los datos personales y de los clientes durante los incidentes de seguridad.
• Probar periódicamente el proceso de respuesta ante incidentes de seguridad.
• Aprender de la función de gestión de incidentes de seguridad y mejorarla.
• Comunicar los incidentes de seguridad críticos al equipo de liderazgo de Atlassian.

4. General

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre el inquilino y el CSP, p. ej. TLS o IPsec VPN de capa de aplicación con algoritmos, longitud de claves y gestión de claves aprobados.

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

5. General

Usar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre los centros de datos del CSP a través de canales de comunicación inseguros, como la infraestructura pública de Internet.

Atlassian cuenta con políticas de cifrado y criptografía, y directrices de implementación. Estas políticas se revisan y actualizan anualmente de acuerdo con nuestro Programa de gestión de políticas (PMP). Para obtener más información, consulta: Nuestro sistema Atlassian Trust Management System (ATMS).

6. General

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en reposo en los medios de almacenamiento en tránsito por correo o mensajería entre el inquilino y el CSP al transferir datos como parte de la entrada o la salida.

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

7. General

Proporcionar gestión de accesos e identidades, p. ej., autenticación multifactor y funciones de cuenta con diferentes privilegios [6] para que el inquilino utilice y administre el servicio en la nube a través del sitio web, el panel de control y la API del CSP.

Sí. La autenticación multifactor está disponible para cuentas individuales en Cofluence y Jira. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Aplicar la verificación en dos pasos.

BBC sigue siendo compatible con la autenticación en dos fases desde febrero de 2022 y, en general, está integrada con Atlassian Access y es compatible con las funciones adicionales que se ofrecen a través de Access. La autenticación multifactor forzada se puede configurar a nivel organizativo con Atlassian Access. Para obtener más información, consulta: Aplicar la verificación en dos pasos

En relación con productos específicos, Bitbucket admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Aplicar verificación en dos pasos | Bitbucket Cloud

Hap utiliza el inicio de sesión único a través de Slack, OAuth y MS Teams. Slack y MS Teams ofrecen varias opciones de autenticación multifactor. Para obtener más información, consulta: Inicio de sesión único de SAML y Azure AD Connect: inicio de sesión único perfecto
Opsgenie admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Configurar el inicio de sesión único para Opsgenie
Statuspage admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.
Trello admite la autenticación multifactor. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Activar la autenticación de dos fases para tu cuenta de TrelloJira Align admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.

8. General

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito cuando el inquilino utiliza y administra el servicio en la nube a través del sitio web, el panel de control y la API del sitio web del CSP.

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

9. General

Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas para las cuentas de servicio en la nube del inquilino utilizadas para acceder, y especialmente para administrar, el servicio en la nube.

Los registros clave del sistema se reenvían desde cada sistema a una plataforma de registro centralizada, donde los registros son solo de lectura. El equipo de seguridad en Atlassian crea alertas en nuestra plataforma de análisis de seguridad (Splunk) y supervisa los indicadores de compromiso. Nuestros equipos de SRE utilizan la plataforma para supervisar problemas de disponibilidad o rendimiento. Los registros se conservan durante 30 días en copia de seguridad en caliente y 365 días en copia de seguridad en frío.

Registros de claves detallados: haz un seguimiento de las actividades de la organización a partir del registro de auditoría.

10. General

Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas por el servicio en la nube utilizado por el inquilino, p. ej. sistema operativo, servidor web y registros de aplicaciones.

Utilizamos Casper (https://www.jamf.com) y OSQuery (https://osquery.io/) para gestionar todo lo que se registra y el tiempo que se conservan los registros. Los registros se almacenan en un sistema separado de manera lógica y el acceso de escritura a los registros está restringido a los miembros del equipo de seguridad. Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros. Nuestro servicio de registro centralizado está integrado en nuestra infraestructura de análisis de seguridad para el análisis automatizado y se crean alertas para identificar posibles problemas.

Nuestros escáneres de vulnerabilidades internos y externos alertan sobre la apertura inesperada de cualquier puerto u otros cambios de configuración (por ejemplo, los perfiles TLS de los servidores de escucha). Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros.

11. General

Informar de los países y jurisdicciones legales en los que se almacenan, se realizan copias de seguridad y se procesan los datos de los inquilinos (ahora o en los próximos meses) y desde los que el personal del CSP accede a ellos para la resolución de problemas, la administración remota y la atención al cliente.

Atlassian utiliza Amazon Web Services (AWS) en las regiones de Este de EE. UU., Oeste de EE. UU., Irlanda, Fráncfort, Singapur y Sídney (Confluence y Jira). Para obtener más información, consulta: Infraestructura de alojamiento en la nube

En relación con productos específicos, Trello está disponible en la región Este de EE. UU. (Ohio) de AWS. Jira Align: la ubicación física de los datos del cliente se puede solicitar mediante una solicitud de ticket de soporte. Consulta: Soporte de Jira Align

Statuspage está disponible en las regiones Oeste (Oregón, California) y Este (Ohio) de EE. UU. de AWS. OpsGenie tiene cuentas de AWS en EE. UU. y Europa. El cliente deberá optar por AWS EE. UU. (Oregón, California) o la UE (Fráncfort) al registrarse.Halp está alojado en AWS en las regiones Este (2) y Oeste (2) de EE. UU. Los repositorios de Bitbucket y las principales funciones de las aplicaciones se alojan en AWS en las regiones Este y Oeste de EE. UU.

12. General

Comprobar los antecedentes del personal del CSP según su nivel de acceso a los sistemas y los datos. Mantener las autorizaciones de seguridad para el personal con acceso a datos muy confidenciales [7].

Sí. A los nuevos Atlassians de todo el mundo se les exige completar una verificación de antecedentes. A los empleados recién contratados como resultado de una adquisición se les realiza una verificación de antecedentes tras la fecha de adquisición. Se realiza una comprobación de antecedentes penales a todos los nuevos empleados y los contratistas independientes; a la que se suma una verificación de educación, una verificación de empleo o una verificación de solvencia si el puesto o el nivel del puesto lo exigen. Realizamos verificaciones completas de antecedentes para puestos de ejecutivos sénior y contabilidad.

13. General

Usar centros de datos y oficinas físicamente seguros que almacenen los datos de los inquilinos o que puedan acceder a los datos de los inquilinos [8]. Verificar y registrar la identidad de todo el personal y las visitas. Acompañar a los visitantes para evitar que accedan a los datos sin autorización.

Nuestras oficinas de Atlassian se guían por nuestra política interna de seguridad física y ambiental, que incluye el control de los puntos de entrada y salida físicos. Nuestros centros de datos asociados cuentan con varios certificados de cumplimiento. Estas certificaciones abordan la seguridad física, la disponibilidad de los sistemas, el acceso a la red y a redes troncales de IP, el aprovisionamiento de clientes y la gestión de problemas. El acceso a los centros de datos está limitado únicamente al personal autorizado y se controla mediante medidas de verificación biométrica de la identidad. Las medidas de seguridad física incluyen: guardias de seguridad locales, vigilancia por vídeo en circuito cerrado, trampas para personas y medidas adicionales de protección contra intrusiones. AWS cuenta con varias certificaciones para la protección de sus centros de datos. Puedes encontrar la información sobre la garantía de protección física de AWS en: http://aws.amazon.com/compliance/

14. General

Restringir el acceso privilegiado del personal del CSP a los sistemas y datos en función de sus tareas laborales [9]. Exigir una nueva aprobación cada tres meses para el personal del CSP que requiera acceso privilegiado. Revocar el acceso tras el despido del personal del CSP.

Atlassian mantiene las restricciones al personal que necesite este acceso para realizar sus funciones y responsabilidades laborales. Todos los sistemas del nivel 1 se gestionan mediante una solución centralizada de inicio de sesión único (SSO) y directorio de Atlassian. Los usuarios reciben los derechos de acceso adecuados en función de estos perfiles, según el flujo de trabajo de nuestro sistema de gestión de recursos humanos. Atlassian utiliza la MFA para acceder a todos los sistemas del nivel 1. Hemos habilitado la autenticación de dos factores en la consola de gestión del hipervisor y en la API de AWS , así como un informe de auditoría diario sobre todos los accesos a las funciones de gestión del hipervisor. Las listas de acceso a la consola de gestión del hipervisor y a la API de AWS se revisan trimestralmente. También mantenemos una sincronización de 8 horas entre nuestro sistema de recursos humanos y nuestro almacén de identidades.

15. General

Analizar rápidamente los registros de las acciones del personal del CSP que se registran en un servidor de registro seguro y aislado. Implementar la separación de funciones exigiendo que el personal del CSP, que no tiene otros privilegios o funciones laborales, realice el análisis del registro.

Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:

• Revisión de los controles de acceso
• Grupos de seguridad gestionados por aplicaciones de RR. HH.
• Aprobación de cambios/revisión por pares/implementación (PRGB)
• Controles del flujo de trabajo

16. General

Realizar una revisión de diligencia debida de los proveedores antes de obtener el software, el hardware o los servicios para evaluar el posible aumento del perfil de riesgo de seguridad del CSP.

Los nuevos proveedores de Atlassian deben aceptar las políticas de privacidad y seguridad de nuestros contratos. Los departamentos jurídicos y de adquisiciones de Atlassian revisan los contratos, los SLA y las políticas internas de los proveedores para determinar si el proveedor cumple los requisitos de seguridad, disponibilidad y confidencialidad. Atlassian mantiene esta página pública: Lista de subprocesadores de datos

17. General

Usar los controles criptográficos aprobados por la ASD para proteger los datos altamente confidenciales en reposo. Depurar los medios de almacenamiento antes de repararlos, eliminarlos y retirar a los inquilinos con un acuerdo de confidencialidad para los datos de las copias de seguridad residuales.

El departamento de Tecnología del lugar de trabajo se encarga de este proceso: el equipo se desinfecta y desmagnetiza adecuadamente. Atlassian no gestiona ningún soporte físico que sea compatible con nuestros productos y servicios en la nube.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

18. General

Implementar mecanismos de inquilino múltiple para evitar que otros inquilinos accedan a los datos del inquilino. Aislar el tráfico de red, el almacenamiento, la memoria y el procesamiento del ordenador. Depurar los medios de almacenamiento antes de reutilizarlos.

Atlassian es una aplicación de SaaS para varios inquilinos. La solución con varios inquilinos es una función clave de Atlassian Cloud que permite a varios clientes compartir una instancia de la capa de aplicaciones de Jira o Confluence y, al mismo tiempo, aislar los datos de las aplicaciones de cada inquilino del cliente. Atlassian Cloud lo logra a través del Servicio de contexto de inquilino (TCS). Cada ID de usuario está asociado exactamente a un inquilino, que se utiliza para acceder a las aplicaciones de Atlassian Cloud. Para obtener más información, consulta: Prácticas de seguridad
Mantenemos una separación lógica y física de los entornos de producción y de no producción (desarrollo) y utilizamos métodos para aislar estos entornos.
Nuestro entorno de ensayo está separado de forma lógica, pero no física, pero se gestiona mediante procesos de acceso y control de cambios diseñados para la producción.

19. General

Permitir al inquilino realizar copias de seguridad actualizadas en un formato que evite el bloqueo del CSP. Si se cancela una cuenta o un servicio en la nube, notifica inmediatamente al inquilino y dale al menos un mes para descargar sus datos.

Atlassian mantiene un estándar de retención y destrucción de datos que determina cuánto tiempo necesitamos conservar los distintos tipos de datos. Los datos se clasifican de acuerdo con nuestra política de seguridad de datos y ciclo de vida de la información de Atlassian y los controles se implementan en función de ella. En cuanto a los datos de los clientes, al rescindir un contrato de Atlassian, los datos que pertenezcan al equipo del cliente se eliminarán de la base de datos de producción en vivo y todos los archivos adjuntos subidos directamente a Atlassian se eliminarán en un plazo de 14 días. Los datos del equipo permanecerán en copias de seguridad cifradas hasta que esas copias de seguridad superen el período de retención de 60 días y se destruyan de acuerdo con la política de retención de datos de Atlassian. En caso de que sea necesario restaurar una base de datos en un plazo de 60 días a partir de la solicitud de eliminación de los datos, el equipo de operaciones volverá a borrar los datos en cuanto sea razonablemente posible una vez que el sistema de producción en vivo esté completamente restaurado. Para obtener más información, consulta: Supervisar el almacenamiento y transferir datos entre productos

20. General

Los clientes de Atlassian tienen la responsabilidad de garantizar que el uso de nuestro servicio cumpla con las leyes y los reglamentos aplicables. Encontrarás más información sobre nuestras políticas y acuerdos legales específicos en nuestra página de recursos jurídicos: https://www.atlassian.com/legal

21. General

Admitir un ancho de banda alto, una latencia baja y una conectividad de red fiable entre el inquilino y el servicio en la nube para cumplir con el nivel de disponibilidad solicitado por el inquilino.

Supervisamos el rendimiento y la disponibilidad de todas las instancias de Cloud, pero actualmente no ofrecemos un SLA formal de disponibilidad de las aplicaciones. Nuestro equipo de soporte proporciona un SLA con tiempo de respuesta inicial y, aunque no tenemos un SLA oficial de resolución de soporte, nuestro objetivo interno es resolver todos los casos asignados en un plazo de 48 horas. Atlassian muestra las estadísticas del estado más reciente del sistema de Cloud aquí: https://status.atlassian.com.

Si decides utilizar nuestras ofertas Premium o Enterprise, sí, ofrecemos garantías de SLA.

22. General

Arquitecto para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. puntos únicos de fallo mínimos, agrupamiento y equilibrio de carga, replicación de datos, conmutación por error automática y supervisión de la disponibilidad en tiempo real.

Para nuestros servicios de Atlassian Cloud, los planes de continuidad empresarial y recuperación ante desastres se prueban al menos trimestralmente. La disponibilidad en varias regiones se controla en tiempo real. Cada semana se realizan pruebas de conmutación por error regionales automatizadas en el entorno de preproducción. Las pruebas automatizadas de restauración de datos de configuración se realizan a diario en producción.

Cada trimestre, todos los servicios de Atlassian realizan pruebas de resiliencia de la zona de disponibilidad en el entorno de preproducción. Para obtener más información sobre nuestro programa de continuidad empresarial, consulta: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Nuestros auditores externos prueban y validan nuestros planes de recuperación ante desastres como parte de nuestro programa de cumplimiento. Para obtener más información, consulta: https://www.atlassian.com/trust/compliance/resources.

23. General

Desarrollar y probar anualmente un plan de recuperación ante desastres y un plan de continuidad empresarial para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. promulgado para los incidentes que provoquen pérdidas duraderas de personal o infraestructura del CSP.

Existe tanto una política como un plan de continuidad empresarial y recuperación ante desastres que revisa anualmente el comité directivo dedicado a ambos temas. Todos los propietarios de sistemas, procesos o servicios críticos garantizan una continuidad empresarial o una recuperación ante desastres adecuadas que se ajusta a la tolerancia a las interrupciones en caso de desastre. Los planes BCDR se prueban trimestralmente y se abordan todas las incidencias identificadas. Para obtener más información, consulta las prácticas de seguridad y el enfoque de Atlassian en materia de resiliencia.

24. General

Implementar mitigaciones de denegación de servicio para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. conectividad de red externa e interna redundante de gran ancho de banda con limitación y filtrado del tráfico.

La ingeniería de seguridad en Atlassian utiliza tecnologías IPS que se implementan en nuestros entornos de oficina. La protección contra las amenazas de la red la lleva a cabo AWS, incluida la protección contra DDoS y algunas funciones del cortafuegos de las aplicaciones web.

En cuanto a productos específicos, Jira Align usa Cloudflare para WAF, DDOS y DNS-SEC. Usamos Alert Logic IDS, análisis de registros y CloudTrail. Usamos Nexpose para escanear componentes de red compartidos con Atlassian Cloud Stack. Usamos análisis de registros de Splunk personalizados.

25. General

Proporcionar capacidad de infraestructura y una escalabilidad automática con capacidad de respuesta para cumplir con el nivel de disponibilidad solicitado por el inquilino.

Atlassian planifica la capacidad con una antelación de 6 a 12 meses, y la planificación estratégica general se hace con 36 meses de anticipación.

SLA/SLO: los sistemas de Atlassian han acordado objetivos para sus características operativas
(1) todos los sistemas tienen un conjunto de SLO que están vinculados a las capacidades principales de esos sistemas
(2) esos SLO se revisan periódicamente cada trimestre (o con más frecuencia)
(3) a algunos clientes de Atlassian se les proporcionan acuerdos de nivel de servicio por los servicios prestados por Atlassian. Estos SLA deben estar respaldados por SLO internos.
(4) Un equipo que no logre uno o más SLO debe priorizar el esfuerzo de restaurar la métrica antes que cualquier otro trabajo.

26. General

Permitir al inquilino gestionar el coste de un aumento real de la demanda o la denegación de servicio mediante límites de gastos contractuales, alertas en tiempo real y límites máximos configurables para el uso de la capacidad de infraestructura del CSP.

Para nuestras ofertas de SaaS, no facturamos a los clientes en función del uso. Actualmente no compartimos la capacidad ni los informes de los usuarios con los inquilinos.

27. General

Usa ordenadores seguros y aprobados por la empresa, servidores de salto, cuentas dedicadas, contraseñas seguras y autenticación de varios factores para proporcionar atención al cliente y administrar los servicios e infraestructuras en la nube.

Los empleados deben requerir la autenticación en dos fases cuando esté disponible y utilizar un gestor de contraseñas con contraseñas seguras y aleatorias. Los empleados autorizados acceden al entorno de producción autenticándose en la VPN con contraseñas seguras únicas y autenticación en dos fases basada en TOTP y, a continuación, solo a través de conexiones de terminales SSH mediante certificados RSA personales protegidos con frases de contraseña. Se requieren SSO, SSH, autenticación de dos fases y VPN.

28. General

Usa los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito a través de canales de comunicación inseguros entre el centro de datos del CSP y el administrador o el personal de atención al cliente del CSP.

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que asegura el nivel adecuado de controles de seguridad.

29. General

Implementar la segmentación y la segregación de la red [20] entre Internet, la infraestructura de CSP utilizada por los inquilinos, la red que el CSP utiliza para administrar los servicios e infraestructuras en la nube y la LAN corporativa del CSP.

Los datos de los clientes nunca se replicarán fuera del entorno de producción, que se almacena en los servidores seguros de AWS. El cortafuegos tiene normas estrictas con las que se limita al entorno de producción el acceso a nuestra red VPN y sistemas autorizados. La VPN requiere una autenticación de varios factores. Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:

• Revisión de los controles de acceso
• Grupos de seguridad gestionados por aplicaciones de RR. HH.
• Aprobación de cambios/revisión por pares/implementación (PRGB)
• Controles del flujo de trabajo

30. General

Utilizar prácticas de programación seguras para el software desarrollado por el CSP [21] [22] [23].

Atlassian utiliza prácticas de desarrollo seguras en todas las fases del ciclo de vida del desarrollo. Consulta: Seguridad en el desarrollo de software en Atlassian para obtener más información.

En la fase de diseño, se incluyen prácticas como el modelado de amenazas, la revisión del diseño y nuestra biblioteca de normativas de seguridad, que se actualiza periódicamente. De este modo, nos aseguramos de que se tengan en cuenta los requisitos de seguridad.

Durante el desarrollo, nos basamos en un proceso obligatorio de revisión por compañeros como primera línea de revisión de seguridad. Este proceso cuenta con comprobaciones de análisis estático automatizadas (SAST) y pruebas de seguridad manuales, tanto por parte de equipos internos como por expertos externos, como determina nuestro proceso de evaluación de riesgos. El desarrollo también está respaldado por programas de formación en seguridad de aplicaciones y una base de conocimientos sobre seguridad mantenida por el equipo de seguridad.

Los procesos formales de preparación operativa y control de cambios garantizan que solo se implementen en la producción los cambios aprobados. Después de la implementación, hacemos regularmente análisis de vulnerabilidades automatizados y contamos con un programa de recompensas por errores líder del sector (https://bugcrowd.com/atlassian) para tener un control permanente de nuestras aplicaciones.

31. General

Realizar una configuración segura, una gestión continua de las vulnerabilidades, la aplicación rápida de parches, las revisiones anuales de seguridad de terceros y las pruebas de penetración de los servicios en la nube y la infraestructura subyacente.

Contratamos consultorías externas para que realicen pruebas de penetración anuales en las aplicaciones externas. También complementamos estas pruebas con pruebas de seguridad más pequeñas y continuas realizadas por nuestro equipo interno de pruebas de seguridad. Puedes encontrar las cartas de evaluación de estas pruebas de penetración aquí, junto con más información sobre nuestro proceso de pruebas: Enfoque de las pruebas de seguridad externas

Además, colaboramos con BugCrowd para mantener un programa de recompensas por errores y llevar a cabo evaluaciones continuas de la vulnerabilidad de nuestros productos y servicios disponibles al público; el programa se puede consultar en: https://bugcrowd.com/atlassian. Compartimos los resultados de las pruebas preliminares en curso de nuestro programa de recompensas por errores en: Enfoque de las pruebas de seguridad externas

Todas las vulnerabilidades encontradas están sujetas a nuestra política de corrección de errores de seguridad, que define los objetivos de nivel de servicio (SLO), calculados en función de los niveles de gravedad de cada incidencia de seguridad. Puedes consultar los plazos de resolución y más información sobre la política en: Política de corrección de errores de seguridad Los detalles de nuestro programa de gestión de vulnerabilidades se encuentran en: Gestión de vulnerabilidades de Atlassian.

Para obtener más información sobre cómo incorporamos la seguridad en nuestras prácticas de desarrollo, consulta: Seguridad en el desarrollo de software en Atlassian

32. General

Formar a todo el personal del CSP, especialmente a los administradores, al empezar a trabajar y anualmente, para proteger los datos de los inquilinos, mantener la disponibilidad de los servicios en la nube e identificar de forma proactiva los incidentes de seguridad, p. ej. mediante un análisis de registros inmediatos.

Atlassian ofrece formación sobre la seguridad de la información como parte de la formación de incorporación ("Rocketfuel") para los que empiezan y de forma continua a todo el personal. A los candidatos y los contratistas se les pide que firmen un acuerdo de confidencialidad antes de empezar a trabajar en la empresa. En caso de un cambio tecnológico u otro cambio importante, los cursos están disponibles y se anuncian a los empleados actuales a través de nuestra intranet.

Además de esta formación general sobre la seguridad de la información, ofrecemos a nuestros desarrolladores una formación más específica sobre la codificación segura, que cuenta con el apoyo de nuestro programa de ingenieros de seguridad integrados. Atlassian también ofrece formación continua sobre temas relacionados con el malware, la suplantación de identidad y otros problemas de seguridad. El personal y los contratistas de Atlassian están sujetos a una verificación de identificación y aptitud de los trabajadores.

1. IaaS

Proporcionar controles de acceso a la red que permitan al inquilino implementar la segmentación y la segregación de la red [25], incluida una función de filtrado de red para impedir la administración remota de sus máquinas virtuales excepto desde su dirección IP.

Esto no procede. Atlassian es un proveedor de SaaS.

2. IaaS

Proporcionar al inquilino imágenes de plantillas de máquina virtual configuradas y parcheadas de forma segura. Evita asignar una contraseña administrativa débil a las máquinas virtuales recién aprovisionadas.

Esto no procede. Atlassian es un proveedor de SaaS.

1. PaaS

Reforzar y configurar de forma segura el software del sistema operativo, el servidor web y la plataforma. Limitar la conectividad de red entrante y saliente solo a los puertos y protocolos necesarios. Realizar análisis de parches y registros rápidamente.

Esto no procede. Atlassian es un proveedor de SaaS.

1. SaaS

Implementar controles específicos del servicio en la nube, por ejemplo, para el correo electrónico entregado como servicio, proporcionar funciones como el filtrado de contenido con un análisis dinámico automático de los correos electrónicos y los archivos adjuntos de los correos electrónicos.

Lo incluimos en nuestros productos. Atlassian utiliza Proofpoint (https://www.proofpoint.com/au/products/email-protection) para escanear los archivos adjuntos y reescribir las URL para bloquear los intentos de suplantación de identidad. Atlassian también utiliza las protecciones de correo electrónico integradas en Google G-Suite (servicios de seguridad en la nube y protección de datos)

2 - SaaS

Implementa los controles generales [26] p. ej. conectividad de red entrante y saliente limitada únicamente a los puertos o protocolos necesarios, software antivirus actualizado a diario, sistemas de prevención de intrusiones y análisis de registros inmediatos.

No procede. Atlassian no tiene antimalware en los servidores de producción, ya que solo se puede escribir en ellos a través de la canalización de CI/CD. Los servicios de aplicaciones de Atlassian que alojan Jira Cloud o Confluence Cloud solo almacenan el código de la aplicación. No se puede escribir en los servidores de Jira y Confluence Cloud, excepto a través de la canalización de implementación de Atlassian o la canalización de CI/CD.

Todo el contenido generado por los clientes se almacena en los servidores de bases de datos o RDS, y los archivos adjuntos u otros elementos se guardan en un servicio común de Media Services, que es básicamente un front-end para un cubo S3. El equipo de Atlassian especializado en la prevención de abusos puede eliminar los archivos adjuntos de Media Services que se identifiquen como malware u otro material nocivo, pero no realiza un análisis activo en busca de ellos. Confiamos en nuestras capacidades de detección de puntos de conexión y en la detección de malware de clientes.

Atlassian usa Crowdstrike Falcon en todos los servidores Windows. Atlassian actualiza a diario las firmas de Crowdstrike, que incluyen todo el malware del que el proveedor Crowdstrike tiene conocimiento.