Close
Logotipo de ACSC

ACSC - Cloud Computing Security for Cloud Service Providers - Revisión de las directrices de 2023

Exención de responsabilidad

La guía proporcionada tiene como único objetivo abordar la forma en que los clientes de Cloud del sector público y las organizaciones empresariales consideradas como entidades reguladas por el Centro Australiano de Ciberseguridad (ACSC) consideran esta guía solo en relación con los productos de Atlassian Cloud y los servicios que ofrece.

Este informe se destina únicamente a la información y la orientación que Atlassian proporciona a sus clientes de Cloud sobre cómo respetamos las directrices de Cloud Computing Security for Cloud Service Providers. Paralelamente, tenemos un artículo técnico específico sobre las responsabilidades compartidas en el que se describen las distintas responsabilidades que se recomiendan tanto al CSP como a los clientes. El modelo de responsabilidad compartida no elimina la responsabilidad ni los riesgos de los clientes al utilizar los productos de Atlassian Cloud, pero sí ayuda a reducir la carga en el sentido en que gestionamos y controlamos los componentes del sistema y mantenemos el control físico de las instalaciones; también transfiere una parte del coste de la seguridad y el cumplimiento a Atlassian y los aleja de nuestros clientes.

Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

Riesgo

Referencia

Mitigaciones

Respuesta de Atlassian

Las mitigaciones de riesgo más eficaces son generalmente relevantes para todos los tipos de servicios en la nube

Falta general de mantenimiento de la confidencialidad, la integridad y la disponibilidad de los datos del inquilino

Referencia

1 - General

Mitigaciones

Evalúa el servicio en la nube y la infraestructura subyacente (abordando explícitamente las mitigaciones en esta publicación) comparándolos con el ISM [1] en el nivel de clasificación adecuado requerido para gestionar los datos del inquilino.

Respuesta de Atlassian

Atlassian cuenta con eficaces mecanismos para garantizar el cumplimiento de los Principios del Marco de Privacidad de los Datos, los recursos para las personas afectadas por el incumplimiento de estos principios y las consecuencias en caso de incumplimiento de los principios. Llevamos esto a cabo mediante autoevaluaciones periódicas y ad hoc, así como con auditorías externas y revisiones de cumplimiento ocasionales, según se requiera. En concreto, trabajamos todos los años con TrustArc, un proveedor externo que certifica que nuestras prácticas de privacidad cumplen con los Principios del Marco de Privacidad de los Datos. Avala nuestra autocertificación y también ofrece servicios independientes de mediación en conflictos para reclamaciones de clientes relacionadas con la privacidad. Asimismo, realizamos un seguimiento de los tickets de Jira, y supervisamos el cumplimiento en relación con ellos, que pueden utilizarse como registro de auditoría, junto con nuestras autoevaluaciones, auditorías externas o revisiones de cumplimiento y cualquier plan de corrección que podamos tener de vez en cuando. Supervisamos las prácticas de tratamiento de datos y mantenemos un programa de violación de la privacidad de los datos para hacer un seguimiento de los incidentes o violaciones de la privacidad de los datos.

 

Referencia

2. General

Mitigaciones

Implementar una gobernanza de la seguridad basada en la dirección y coordinación de las actividades relacionadas con la seguridad por parte de la alta dirección, incluida una rigurosa gestión del cambio, así como contar con personal técnicamente cualificado en funciones de seguridad definidas.

Respuesta de Atlassian

El director de Seguridad de la Información de Atlassian, Bala Sathiamurthy, trabaja en nuestra oficina de San Francisco, y nuestro equipo de Seguridad cuenta con más de 230 miembros en las áreas de Seguridad de Productos, Inteligencia de Seguridad, Arquitectura de Seguridad, Confianza, Riesgo y Cumplimiento, y un equipo de desarrollo e ingeniería de fiabilidad del sitio en nuestras oficinas de Sídney, Ámsterdam, Austin, Bengarulu, Mountain View, San Francisco y Nueva York, así como varios miembros de equipos remotos.

 

Referencia

3. General

Mitigaciones

Implementar y probar anualmente un plan de respuesta ante incidentes de ciberseguridad que proporcione al inquilino los datos de contacto de emergencia, la posibilidad de acceder a las pruebas forenses normalmente inaccesibles y la notificación de los incidentes.

Respuesta de Atlassian

Disponemos de una política y un plan de respuesta ante incidentes de seguridad documentados, cuyos principios clave incluyen los siguientes:

  • Prever los incidentes de seguridad y prepararse para afrontarlos.
  • Contener los incidentes, erradicarlos y recuperarse de ellos.
  • Invertir en nuestro personal, nuestros procesos y nuestras tecnologías para asegurarnos de que tenemos la capacidad de detectar y analizar un incidente en cuanto se produzca.
  • Establecer como máxima prioridad la protección de los datos personales y de los clientes durante los incidentes de seguridad.
  • Probar periódicamente el proceso de respuesta ante incidentes de seguridad.
  • Aprender de la función de gestión de incidentes de seguridad y mejorarla.
  • Comunicar los incidentes de seguridad críticos al equipo de liderazgo de Atlassian.
Según esta política, Atlassian mantiene un plan de respuesta ante incidentes de seguridad.  Para obtener más información sobre nuestro proceso de respuesta a los incidentes de seguridad, consulta: Proceso de gestión de incidentes de seguridad.

Datos en tránsito del inquilino comprometidos por un tercero malintencionado

Referencia

4. General

Mitigaciones

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre el inquilino y el CSP, p. ej. TLS o IPsec VPN de capa de aplicación con algoritmos, longitud de claves y gestión de claves aprobados.

Respuesta de Atlassian

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

Referencia

5. General

Mitigaciones

Usar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre los centros de datos del CSP a través de canales de comunicación inseguros, como la infraestructura pública de Internet.

Respuesta de Atlassian

Atlassian cuenta con políticas de cifrado y criptografía, y directrices de implementación. Estas políticas se revisan y actualizan anualmente de acuerdo con nuestro Programa de gestión de políticas (PMP). Para obtener más información, consulta: Nuestro sistema Atlassian Trust Management System (ATMS).

Referencia

6. General

Mitigaciones

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en reposo en los medios de almacenamiento en tránsito por correo o mensajería entre el inquilino y el CSP al transferir datos como parte de la entrada o la salida.

Respuesta de Atlassian

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

Credenciales de la cuenta de servicio en la nube del inquilino comprometidas por un tercero malintencionado [2] [3] [4] [5]

Referencia

7. General

Mitigaciones

Proporcionar gestión de accesos e identidades, p. ej., autenticación multifactor y funciones de cuenta con diferentes privilegios [6] para que el inquilino utilice y administre el servicio en la nube a través del sitio web, el panel de control y la API del CSP.

Respuesta de Atlassian

Sí. La autenticación multifactor está disponible para cuentas individuales en Cofluence y Jira. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Aplicar la verificación en dos pasos.

BBC sigue siendo compatible con la autenticación en dos fases desde febrero de 2022 y, en general, está integrada con Atlassian Access y es compatible con las funciones adicionales que se ofrecen a través de Access. La autenticación multifactor forzada se puede configurar a nivel organizativo con Atlassian Access. Para obtener más información, consulta: Aplicar la verificación en dos pasos

En relación con productos específicos, Bitbucket admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Aplicar verificación en dos pasos | Bitbucket Cloud

Hap utiliza el inicio de sesión único a través de Slack, OAuth y MS Teams. Slack y MS Teams ofrecen varias opciones de autenticación multifactor. Para obtener más información, consulta: Inicio de sesión único de SAML y Azure AD Connect: inicio de sesión único perfecto
Opsgenie admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor. Para obtener más información, consulta: Configurar el inicio de sesión único para Opsgenie
Statuspage admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.
Trello admite la autenticación multifactor. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Activar la autenticación de dos fases para tu cuenta de TrelloJira Align admite el uso de opciones de inicio de sesión único basadas en autenticación multifactor.

Referencia

8. General

Mitigaciones

Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito cuando el inquilino utiliza y administra el servicio en la nube a través del sitio web, el panel de control y la API del sitio web del CSP.

Respuesta de Atlassian

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

Referencia

9. General

Mitigaciones

Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas para las cuentas de servicio en la nube del inquilino utilizadas para acceder, y especialmente para administrar, el servicio en la nube.

Respuesta de Atlassian

Los registros clave del sistema se reenvían desde cada sistema a una plataforma de registro centralizada, donde los registros son solo de lectura. El equipo de seguridad en Atlassian crea alertas en nuestra plataforma de análisis de seguridad (Splunk) y supervisa los indicadores de compromiso. Nuestros equipos de SRE utilizan la plataforma para supervisar problemas de disponibilidad o rendimiento. Los registros se conservan durante 30 días en copia de seguridad en caliente y 365 días en copia de seguridad en frío.

Registros de claves detallados: haz un seguimiento de las actividades de la organización a partir del registro de auditoría.

Datos del inquilino comprometidos por personal malintencionado del CSP o por un tercero malintencionado

Referencia

10. General

Mitigaciones

Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas por el servicio en la nube utilizado por el inquilino, p. ej. sistema operativo, servidor web y registros de aplicaciones.

Respuesta de Atlassian

Utilizamos Casper (https://www.jamf.com) y OSQuery (https://osquery.io/) para gestionar todo lo que se registra y el tiempo que se conservan los registros. Los registros se almacenan en un sistema separado de manera lógica y el acceso de escritura a los registros está restringido a los miembros del equipo de seguridad. Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros. Nuestro servicio de registro centralizado está integrado en nuestra infraestructura de análisis de seguridad para el análisis automatizado y se crean alertas para identificar posibles problemas.

Nuestros escáneres de vulnerabilidades internos y externos alertan sobre la apertura inesperada de cualquier puerto u otros cambios de configuración (por ejemplo, los perfiles TLS de los servidores de escucha). Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros.

Referencia

11. General

Mitigaciones

Informar de los países y jurisdicciones legales en los que se almacenan, se realizan copias de seguridad y se procesan los datos de los inquilinos (ahora o en los próximos meses) y desde los que el personal del CSP accede a ellos para la resolución de problemas, la administración remota y la atención al cliente.

Respuesta de Atlassian

Atlassian utiliza Amazon Web Services (AWS) en las regiones de Este de EE. UU., Oeste de EE. UU., Irlanda, Fráncfort, Singapur y Sídney (Confluence y Jira). Para obtener más información, consulta: Infraestructura de alojamiento en la nube

En relación con productos específicos, Trello está disponible en la región Este de EE. UU. (Ohio) de AWS. Jira Align: la ubicación física de los datos del cliente se puede solicitar mediante una solicitud de ticket de soporte. Consulta: Soporte de Jira Align

Statuspage está disponible en las regiones Oeste (Oregón, California) y Este (Ohio) de EE. UU. de AWS. OpsGenie tiene cuentas de AWS en EE. UU. y Europa. El cliente deberá optar por AWS EE. UU. (Oregón, California) o la UE (Fráncfort) al registrarse.Halp está alojado en AWS en las regiones Este (2) y Oeste (2) de EE. UU. Los repositorios de Bitbucket y las principales funciones de las aplicaciones se alojan en AWS en las regiones Este y Oeste de EE. UU.

Referencia

12. General

Mitigaciones

Comprobar los antecedentes del personal del CSP según su nivel de acceso a los sistemas y los datos. Mantener las autorizaciones de seguridad para el personal con acceso a datos muy confidenciales [7].

Respuesta de Atlassian

Sí. A los nuevos Atlassians de todo el mundo se les exige completar una verificación de antecedentes. A los empleados recién contratados como resultado de una adquisición se les realiza una verificación de antecedentes tras la fecha de adquisición. Se realiza una comprobación de antecedentes penales a todos los nuevos empleados y los contratistas independientes; a la que se suma una verificación de educación, una verificación de empleo o una verificación de solvencia si el puesto o el nivel del puesto lo exigen. Realizamos verificaciones completas de antecedentes para puestos de ejecutivos sénior y contabilidad.

Referencia

13. General

Mitigaciones

Usar centros de datos y oficinas físicamente seguros que almacenen los datos de los inquilinos o que puedan acceder a los datos de los inquilinos [8]. Verificar y registrar la identidad de todo el personal y las visitas. Acompañar a los visitantes para evitar que accedan a los datos sin autorización.

Respuesta de Atlassian

Nuestras oficinas de Atlassian se guían por nuestra política interna de seguridad física y ambiental, que incluye el control de los puntos de entrada y salida físicos. Nuestros centros de datos asociados cuentan con varios certificados de cumplimiento. Estas certificaciones abordan la seguridad física, la disponibilidad de los sistemas, el acceso a la red y a redes troncales de IP, el aprovisionamiento de clientes y la gestión de problemas. El acceso a los centros de datos está limitado únicamente al personal autorizado y se controla mediante medidas de verificación biométrica de la identidad. Las medidas de seguridad física incluyen: guardias de seguridad locales, vigilancia por vídeo en circuito cerrado, trampas para personas y medidas adicionales de protección contra intrusiones. AWS cuenta con varias certificaciones para la protección de sus centros de datos. Puedes encontrar la información sobre la garantía de protección física de AWS en: http://aws.amazon.com/compliance/

Referencia

14. General

Mitigaciones

Restringir el acceso privilegiado del personal del CSP a los sistemas y datos en función de sus tareas laborales [9]. Exigir una nueva aprobación cada tres meses para el personal del CSP que requiera acceso privilegiado. Revocar el acceso tras el despido del personal del CSP.

Respuesta de Atlassian

Atlassian mantiene las restricciones al personal que necesite este acceso para realizar sus funciones y responsabilidades laborales. Todos los sistemas del nivel 1 se gestionan mediante una solución centralizada de inicio de sesión único (SSO) y directorio de Atlassian. Los usuarios reciben los derechos de acceso adecuados en función de estos perfiles, según el flujo de trabajo de nuestro sistema de gestión de recursos humanos. Atlassian utiliza la MFA para acceder a todos los sistemas del nivel 1. Hemos habilitado la autenticación de dos factores en la consola de gestión del hipervisor y en la API de AWS , así como un informe de auditoría diario sobre todos los accesos a las funciones de gestión del hipervisor. Las listas de acceso a la consola de gestión del hipervisor y a la API de AWS se revisan trimestralmente. También mantenemos una sincronización de 8 horas entre nuestro sistema de recursos humanos y nuestro almacén de identidades.

Referencia

15. General

Mitigaciones

Analizar rápidamente los registros de las acciones del personal del CSP que se registran en un servidor de registro seguro y aislado. Implementar la separación de funciones exigiendo que el personal del CSP, que no tiene otros privilegios o funciones laborales, realice el análisis del registro.

Respuesta de Atlassian

Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:

  • Revisión de los controles de acceso
  • Grupos de seguridad gestionados por aplicaciones de RR. HH.
  • Aprobación de cambios/revisión por pares/implementación (PRGB)
  • Controles del flujo de trabajo
Las certificaciones SOC2 e ISO 27001 están disponibles para su descarga en: Protección integralde datos.

Referencia

16. General

Mitigaciones

Realizar una revisión de diligencia debida de los proveedores antes de obtener el software, el hardware o los servicios para evaluar el posible aumento del perfil de riesgo de seguridad del CSP.

Respuesta de Atlassian

Los nuevos proveedores de Atlassian deben aceptar las políticas de privacidad y seguridad de nuestros contratos. Los departamentos jurídicos y de adquisiciones de Atlassian revisan los contratos, los SLA y las políticas internas de los proveedores para determinar si el proveedor cumple los requisitos de seguridad, disponibilidad y confidencialidad. Atlassian mantiene esta página pública: Lista de subprocesadores de datos

Referencia

17. General

Mitigaciones

Usar los controles criptográficos aprobados por la ASD para proteger los datos altamente confidenciales en reposo. Depurar los medios de almacenamiento antes de repararlos, eliminarlos y retirar a los inquilinos con un acuerdo de confidencialidad para los datos de las copias de seguridad residuales.

Respuesta de Atlassian

El departamento de Tecnología del lugar de trabajo se encarga de este proceso: el equipo se desinfecta y desmagnetiza adecuadamente. Atlassian no gestiona ningún soporte físico que sea compatible con nuestros productos y servicios en la nube.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Datos del inquilino comprometidos por otro inquilino malintencionado o comprometido [10] [11] [12] [13] [14] [15] [16] [17] [18]

Referencia

18. General

Mitigaciones

Implementar mecanismos de inquilino múltiple para evitar que otros inquilinos accedan a los datos del inquilino. Aislar el tráfico de red, el almacenamiento, la memoria y el procesamiento del ordenador. Depurar los medios de almacenamiento antes de reutilizarlos.

Respuesta de Atlassian

Atlassian es una aplicación de SaaS para varios inquilinos. La solución con varios inquilinos es una función clave de Atlassian Cloud que permite a varios clientes compartir una instancia de la capa de aplicaciones de Jira o Confluence y, al mismo tiempo, aislar los datos de las aplicaciones de cada inquilino del cliente. Atlassian Cloud lo logra a través del Servicio de contexto de inquilino (TCS). Cada ID de usuario está asociado exactamente a un inquilino, que se utiliza para acceder a las aplicaciones de Atlassian Cloud. Para obtener más información, consulta: Prácticas de seguridad
Mantenemos una separación lógica y física de los entornos de producción y de no producción (desarrollo) y utilizamos métodos para aislar estos entornos.
Nuestro entorno de ensayo está separado de forma lógica, pero no física, pero se gestiona mediante procesos de acceso y control de cambios diseñados para la producción.

Los datos del inquilino no están disponibles debido a un daño, a una eliminación [19] o a que un CSP canceló la cuenta o el servicio

Referencia

19. General

Mitigaciones

Permitir al inquilino realizar copias de seguridad actualizadas en un formato que evite el bloqueo del CSP. Si se cancela una cuenta o un servicio en la nube, notifica inmediatamente al inquilino y dale al menos un mes para descargar sus datos.

Respuesta de Atlassian

Atlassian mantiene un estándar de retención y destrucción de datos que determina cuánto tiempo necesitamos conservar los distintos tipos de datos. Los datos se clasifican de acuerdo con nuestra política de seguridad de datos y ciclo de vida de la información de Atlassian y los controles se implementan en función de ella. En cuanto a los datos de los clientes, al rescindir un contrato de Atlassian, los datos que pertenezcan al equipo del cliente se eliminarán de la base de datos de producción en vivo y todos los archivos adjuntos subidos directamente a Atlassian se eliminarán en un plazo de 14 días. Los datos del equipo permanecerán en copias de seguridad cifradas hasta que esas copias de seguridad superen el período de retención de 60 días y se destruyan de acuerdo con la política de retención de datos de Atlassian. En caso de que sea necesario restaurar una base de datos en un plazo de 60 días a partir de la solicitud de eliminación de los datos, el equipo de operaciones volverá a borrar los datos en cuanto sea razonablemente posible una vez que el sistema de producción en vivo esté completamente restaurado. Para obtener más información, consulta: Supervisar el almacenamiento y transferir datos entre productos

Los datos del inquilino no están disponibles o están comprometidos debido a la quiebra de un CSP u otras acciones legales

Referencia

20. General

Mitigaciones

Asegurarse contractualmente de que el inquilino conserve la propiedad legal de sus datos.

Respuesta de Atlassian

Los clientes de Atlassian tienen la responsabilidad de garantizar que el uso de nuestro servicio cumpla con las leyes y los reglamentos aplicables. Encontrarás más información sobre nuestras políticas y acuerdos legales específicos en nuestra página de recursos jurídicos: https://www.atlassian.com/legal

El servicio en la nube no está disponible debido a la inadecuada conectividad de red del CSP

Referencia

21. General

Mitigaciones

Admitir un ancho de banda alto, una latencia baja y una conectividad de red fiable entre el inquilino y el servicio en la nube para cumplir con el nivel de disponibilidad solicitado por el inquilino.

Respuesta de Atlassian

Supervisamos el rendimiento y la disponibilidad de todas las instancias de Cloud, pero actualmente no ofrecemos un SLA formal de disponibilidad de las aplicaciones. Nuestro equipo de soporte proporciona un SLA con tiempo de respuesta inicial y, aunque no tenemos un SLA oficial de resolución de soporte, nuestro objetivo interno es resolver todos los casos asignados en un plazo de 48 horas. Atlassian muestra las estadísticas del estado más reciente del sistema de Cloud aquí: https://status.atlassian.com.

Si decides utilizar nuestras ofertas Premium o Enterprise, sí, ofrecemos garantías de SLA.

El servicio en la nube no está disponible debido a un error del CSP, una interrupción planificada, un fallo de hardware o una causa de fuerza mayor

Referencia

22. General

Mitigaciones

Arquitecto para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. puntos únicos de fallo mínimos, agrupamiento y equilibrio de carga, replicación de datos, conmutación por error automática y supervisión de la disponibilidad en tiempo real.

Respuesta de Atlassian

Para nuestros servicios de Atlassian Cloud, los planes de continuidad empresarial y recuperación ante desastres se prueban al menos trimestralmente. La disponibilidad en varias regiones se controla en tiempo real. Cada semana se realizan pruebas de conmutación por error regionales automatizadas en el entorno de preproducción. Las pruebas automatizadas de restauración de datos de configuración se realizan a diario en producción.

Cada trimestre, todos los servicios de Atlassian realizan pruebas de resiliencia de la zona de disponibilidad en el entorno de preproducción. Para obtener más información sobre nuestro programa de continuidad empresarial, consulta: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Nuestros auditores externos prueban y validan nuestros planes de recuperación ante desastres como parte de nuestro programa de cumplimiento. Para obtener más información, consulta: https://www.atlassian.com/trust/compliance/resources.

Referencia

23. General

Mitigaciones

Desarrollar y probar anualmente un plan de recuperación ante desastres y un plan de continuidad empresarial para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. promulgado para los incidentes que provoquen pérdidas duraderas de personal o infraestructura del CSP.

Respuesta de Atlassian

Existe tanto una política como un plan de continuidad empresarial y recuperación ante desastres que revisa anualmente el comité directivo dedicado a ambos temas. Todos los propietarios de sistemas, procesos o servicios críticos garantizan una continuidad empresarial o una recuperación ante desastres adecuadas que se ajusta a la tolerancia a las interrupciones en caso de desastre. Los planes BCDR se prueban trimestralmente y se abordan todas las incidencias identificadas. Para obtener más información, consulta las prácticas de seguridad y el enfoque de Atlassian en materia de resiliencia.

El servicio en la nube no está disponible debido a un aumento real de la demanda o a una denegación de servicio del ancho de banda o la CPU

Referencia

24. General

Mitigaciones

Implementar mitigaciones de denegación de servicio para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. conectividad de red externa e interna redundante de gran ancho de banda con limitación y filtrado del tráfico.

Respuesta de Atlassian

La ingeniería de seguridad en Atlassian utiliza tecnologías IPS que se implementan en nuestros entornos de oficina. La protección contra las amenazas de la red la lleva a cabo AWS, incluida la protección contra DDoS y algunas funciones del cortafuegos de las aplicaciones web.

En cuanto a productos específicos, Jira Align usa Cloudflare para WAF, DDOS y DNS-SEC. Usamos Alert Logic IDS, análisis de registros y CloudTrail. Usamos Nexpose para escanear componentes de red compartidos con Atlassian Cloud Stack. Usamos análisis de registros de Splunk personalizados.

Referencia

25. General

Mitigaciones

Proporcionar capacidad de infraestructura y una escalabilidad automática con capacidad de respuesta para cumplir con el nivel de disponibilidad solicitado por el inquilino.

Respuesta de Atlassian

Atlassian planifica la capacidad con una antelación de 6 a 12 meses, y la planificación estratégica general se hace con 36 meses de anticipación.

SLA/SLO: los sistemas de Atlassian han acordado objetivos para sus características operativas
(1) todos los sistemas tienen un conjunto de SLO que están vinculados a las capacidades principales de esos sistemas
(2) esos SLO se revisan periódicamente cada trimestre (o con más frecuencia)
(3) a algunos clientes de Atlassian se les proporcionan acuerdos de nivel de servicio por los servicios prestados por Atlassian. Estos SLA deben estar respaldados por SLO internos.
(4) Un equipo que no logre uno o más SLO debe priorizar el esfuerzo de restaurar la métrica antes que cualquier otro trabajo.

Consecuencias financieras de un aumento real de la demanda o de una denegación de servicio del ancho de banda o la CPU

Referencia

26. General

Mitigaciones

Permitir al inquilino gestionar el coste de un aumento real de la demanda o la denegación de servicio mediante límites de gastos contractuales, alertas en tiempo real y límites máximos configurables para el uso de la capacidad de infraestructura del CSP.

Respuesta de Atlassian

Para nuestras ofertas de SaaS, no facturamos a los clientes en función del uso. Actualmente no compartimos la capacidad ni los informes de los usuarios con los inquilinos.

La infraestructura del CSP comprometida por un inquilino malintencionado o un tercero malintencionado

Referencia

27. General

Mitigaciones

Usa ordenadores seguros y aprobados por la empresa, servidores de salto, cuentas dedicadas, contraseñas seguras y autenticación de varios factores para proporcionar atención al cliente y administrar los servicios e infraestructuras en la nube.

Respuesta de Atlassian

Los empleados deben requerir la autenticación en dos fases cuando esté disponible y utilizar un gestor de contraseñas con contraseñas seguras y aleatorias. Los empleados autorizados acceden al entorno de producción autenticándose en la VPN con contraseñas seguras únicas y autenticación en dos fases basada en TOTP y, a continuación, solo a través de conexiones de terminales SSH mediante certificados RSA personales protegidos con frases de contraseña. Se requieren SSO, SSH, autenticación de dos fases y VPN.

Referencia

28. General

Mitigaciones

Usa los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito a través de canales de comunicación inseguros entre el centro de datos del CSP y el administrador o el personal de atención al cliente del CSP.

Respuesta de Atlassian

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Las unidades de datos de los servidores que alojan los archivos adjuntos y los datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que asegura el nivel adecuado de controles de seguridad.

Referencia

29. General

Mitigaciones

Implementar la segmentación y la segregación de la red [20] entre Internet, la infraestructura de CSP utilizada por los inquilinos, la red que el CSP utiliza para administrar los servicios e infraestructuras en la nube y la LAN corporativa del CSP.

Respuesta de Atlassian

Los datos de los clientes nunca se replicarán fuera del entorno de producción, que se almacena en los servidores seguros de AWS. El cortafuegos tiene normas estrictas con las que se limita al entorno de producción el acceso a nuestra red VPN y sistemas autorizados. La VPN requiere una autenticación de varios factores. Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:

  • Revisión de los controles de acceso
  • Grupos de seguridad gestionados por aplicaciones de RR. HH.
  • Aprobación de cambios/revisión por pares/implementación (PRGB)
  • Controles del flujo de trabajo
Las certificaciones SOC2 e ISO 27001 están disponibles para su descarga en: Protección integralde datos.

Referencia

30. General

Mitigaciones

Utilizar prácticas de programación seguras para el software desarrollado por el CSP [21] [22] [23].

Respuesta de Atlassian

Atlassian utiliza prácticas de desarrollo seguras en todas las fases del ciclo de vida del desarrollo. Consulta: Seguridad en el desarrollo de software en Atlassian para obtener más información.

En la fase de diseño, se incluyen prácticas como el modelado de amenazas, la revisión del diseño y nuestra biblioteca de normativas de seguridad, que se actualiza periódicamente. De este modo, nos aseguramos de que se tengan en cuenta los requisitos de seguridad.

Durante el desarrollo, nos basamos en un proceso obligatorio de revisión por compañeros como primera línea de revisión de seguridad. Este proceso cuenta con comprobaciones de análisis estático automatizadas (SAST) y pruebas de seguridad manuales, tanto por parte de equipos internos como por expertos externos, como determina nuestro proceso de evaluación de riesgos. El desarrollo también está respaldado por programas de formación en seguridad de aplicaciones y una base de conocimientos sobre seguridad mantenida por el equipo de seguridad.

Los procesos formales de preparación operativa y control de cambios garantizan que solo se implementen en la producción los cambios aprobados. Después de la implementación, hacemos regularmente análisis de vulnerabilidades automatizados y contamos con un programa de recompensas por errores líder del sector (https://bugcrowd.com/atlassian) para tener un control permanente de nuestras aplicaciones.

Referencia

31. General

Mitigaciones

Realizar una configuración segura, una gestión continua de las vulnerabilidades, la aplicación rápida de parches, las revisiones anuales de seguridad de terceros y las pruebas de penetración de los servicios en la nube y la infraestructura subyacente.

Respuesta de Atlassian

Contratamos consultorías externas para que realicen pruebas de penetración anuales en las aplicaciones externas. También complementamos estas pruebas con pruebas de seguridad más pequeñas y continuas realizadas por nuestro equipo interno de pruebas de seguridad. Puedes encontrar las cartas de evaluación de estas pruebas de penetración aquí, junto con más información sobre nuestro proceso de pruebas: Enfoque de las pruebas de seguridad externas

Además, colaboramos con BugCrowd para mantener un programa de recompensas por errores y llevar a cabo evaluaciones continuas de la vulnerabilidad de nuestros productos y servicios disponibles al público; el programa se puede consultar en: https://bugcrowd.com/atlassian. Compartimos los resultados de las pruebas preliminares en curso de nuestro programa de recompensas por errores en: Enfoque de las pruebas de seguridad externas

Todas las vulnerabilidades encontradas están sujetas a nuestra política de corrección de errores de seguridad, que define los objetivos de nivel de servicio (SLO), calculados en función de los niveles de gravedad de cada incidencia de seguridad. Puedes consultar los plazos de resolución y más información sobre la política en: Política de corrección de errores de seguridad Los detalles de nuestro programa de gestión de vulnerabilidades se encuentran en: Gestión de vulnerabilidades de Atlassian.

Para obtener más información sobre cómo incorporamos la seguridad en nuestras prácticas de desarrollo, consulta: Seguridad en el desarrollo de software en Atlassian

Referencia

32. General

Mitigaciones

Formar a todo el personal del CSP, especialmente a los administradores, al empezar a trabajar y anualmente, para proteger los datos de los inquilinos, mantener la disponibilidad de los servicios en la nube e identificar de forma proactiva los incidentes de seguridad, p. ej. mediante un análisis de registros inmediatos.

Respuesta de Atlassian

Atlassian ofrece formación sobre la seguridad de la información como parte de la formación de incorporación ("Rocketfuel") para los que empiezan y de forma continua a todo el personal. A los candidatos y los contratistas se les pide que firmen un acuerdo de confidencialidad antes de empezar a trabajar en la empresa. En caso de un cambio tecnológico u otro cambio importante, los cursos están disponibles y se anuncian a los empleados actuales a través de nuestra intranet.

Además de esta formación general sobre la seguridad de la información, ofrecemos a nuestros desarrolladores una formación más específica sobre la codificación segura, que cuenta con el apoyo de nuestro programa de ingenieros de seguridad integrados. Atlassian también ofrece formación continua sobre temas relacionados con el malware, la suplantación de identidad y otros problemas de seguridad. El personal y los contratistas de Atlassian están sujetos a una verificación de identificación y aptitud de los trabajadores.

Las mitigaciones de riesgos más eficaces y particularmente relevantes para la IaaS

La máquina virtual (VM) del inquilino comprometida por un tercero malintencionado [24]

Referencia

1. IaaS

Mitigaciones

Proporcionar controles de acceso a la red que permitan al inquilino implementar la segmentación y la segregación de la red [25], incluida una función de filtrado de red para impedir la administración remota de sus máquinas virtuales excepto desde su dirección IP.

Respuesta de Atlassian

Esto no procede. Atlassian es un proveedor de SaaS.

Referencia

2. IaaS

Mitigaciones

Proporcionar al inquilino imágenes de plantillas de máquina virtual configuradas y parcheadas de forma segura. Evita asignar una contraseña administrativa débil a las máquinas virtuales recién aprovisionadas.

Respuesta de Atlassian

Esto no procede. Atlassian es un proveedor de SaaS.

Las mitigaciones de riesgos más eficaces y particularmente relevantes para la PaaS

Los datos del inquilino comprometidos por un tercero malintencionado

Referencia

1. PaaS

Mitigaciones

Reforzar y configurar de forma segura el software del sistema operativo, el servidor web y la plataforma. Limitar la conectividad de red entrante y saliente solo a los puertos y protocolos necesarios. Realizar análisis de parches y registros rápidamente.

Respuesta de Atlassian

Esto no procede. Atlassian es un proveedor de SaaS.

Las mitigaciones de riesgos más eficaces y particularmente relevantes para el SaaS

Los datos del inquilino comprometidos por un tercero malintencionado

Referencia

1. SaaS

Mitigaciones

Implementar controles específicos del servicio en la nube, por ejemplo, para el correo electrónico entregado como servicio, proporcionar funciones como el filtrado de contenido con un análisis dinámico automático de los correos electrónicos y los archivos adjuntos de los correos electrónicos.

Respuesta de Atlassian

Lo incluimos en nuestros productos. Atlassian utiliza Proofpoint (https://www.proofpoint.com/au/products/email-protection) para escanear los archivos adjuntos y reescribir las URL para bloquear los intentos de suplantación de identidad. Atlassian también utiliza las protecciones de correo electrónico integradas en Google G-Suite (servicios de seguridad en la nube y protección de datos)

Referencia

2 - SaaS

Mitigaciones

Implementa los controles generales [26] p. ej. conectividad de red entrante y saliente limitada únicamente a los puertos o protocolos necesarios, software antivirus actualizado a diario, sistemas de prevención de intrusiones y análisis de registros inmediatos.

Respuesta de Atlassian

No procede. Atlassian no tiene antimalware en los servidores de producción, ya que solo se puede escribir en ellos a través de la canalización de CI/CD. Los servicios de aplicaciones de Atlassian que alojan Jira Cloud o Confluence Cloud solo almacenan el código de la aplicación. No se puede escribir en los servidores de Jira y Confluence Cloud, excepto a través de la canalización de implementación de Atlassian o la canalización de CI/CD.

Todo el contenido generado por los clientes se almacena en los servidores de bases de datos o RDS, y los archivos adjuntos u otros elementos se guardan en un servicio común de Media Services, que es básicamente un front-end para un cubo S3. El equipo de Atlassian especializado en la prevención de abusos puede eliminar los archivos adjuntos de Media Services que se identifiquen como malware u otro material nocivo, pero no realiza un análisis activo en busca de ellos. Confiamos en nuestras capacidades de detección de puntos de conexión y en la detección de malware de clientes.

Atlassian usa Crowdstrike Falcon en todos los servidores Windows. Atlassian actualiza a diario las firmas de Crowdstrike, que incluyen todo el malware del que el proveedor Crowdstrike tiene conocimiento.