Evaluaciones de seguridad
Reglas de pruebas de seguridad para Productos Cloud de Atlassian
Los clientes de Atlassian pueden realizar evaluaciones de seguridad de los Productos de Atlassian Cloud (tal y como se definen más adelante) sin aprobación previa. El término “evaluación de seguridad” se refiere a cualquier actividad destinada a determinar, valorar o probar las funciones y controles de seguridad de los productos y servicios de Atlassian (por ejemplo, pruebas de penetración y análisis de vulnerabilidad). Esta página establece las normas (“Reglas de pruebas de seguridad”) aplicables a los clientes que deseen llevar a cabo evaluaciones de seguridad de sus Productos de Atlassian Cloud. La plataforma de Atlassian para proporcionar Productos de Atlassian Cloud (la “Plataforma de Atlassian Cloud”) utiliza una infraestructura compartida para hospedar tus Productos de Cloud y los pertenecientes a otros clientes. Se debe tener cuidado para limitar todas las evaluaciones de seguridad a los Productos de Cloud y las instancias propias con el fin de evitar un impacto no deseado sobre otros clientes.
Todas las evaluaciones de seguridad deben seguir las Reglas de pruebas de seguridad de Atlassian detalladas en esta página. Tu uso de los Productos de Atlassian seguirá estando sujeto al acuerdo de cliente de Atlassian o a cualesquiera otros términos y condiciones aplicables del acuerdo o acuerdos (colectivamente, las “Condiciones del servicio”) bajo los que adquiriste los Productos de Cloud relevantes. Cualquier incumplimiento de las Reglas de pruebas de seguridad o de las Condiciones del servicio relevantes puede provocar la suspensión o la cancelación de tu cuenta y/o en acciones legales contra ti. Eres responsable de cualquier daño causado en la Plataforma de Atlassian Cloud, así como de cualquier impacto negativo en los datos de otros clientes o en su uso de la Plataforma de Atlassian Cloud, que sea resultado de tu incumplimiento de las presentes Reglas de pruebas de seguridad o las Condiciones del servicio.
Productos de Cloud aptos para evaluaciones de seguridad
Los productos que se indica a continuación son “Productos de Cloud” para los propósitos de estas Reglas de pruebas de seguridad:
- Jira
- Jira Service Management
- Jira Align
- Jira Work Management
- Confluence
- Bitbucket
- Atlassian Guard
- Statuspage
- Trello
- Opsgenie
- Halp
Reglas de pruebas de seguridad
Actividades permitidas
- Las evaluaciones de seguridad solo las pueden realizar clientes de Atlassian suscritos a los Productos de cloud aptos que se indican arriba.
- Solo puedes realizar evaluaciones de seguridad de tus propias instancias de los Productos de cloud de acuerdo con las políticas de Atlassian concernientes a las evaluaciones de seguridad, incluidas estas Reglas de pruebas de seguridad
- Puedes usar analizadores o herramientas automáticos para realizar evaluaciones de seguridad, pero debes tener en cuenta que Atlassian también usa esas herramientas. El equipo de seguridad del cliente deberá revisar y clasificar cualquier resultado que ofrezca un analizador automático antes de enviárselo a Atlassian, mediante una prueba de concepto funcional y reproducible. No aceptaremos resultados no clasificados de analizadores de seguridad
Actividades prohibidas
- El análisis, las pruebas o el acceso a Productos de seguridad, instancias o activos que no le pertenecen, incluidos aquellos que pertenecen a cualquier otro cliente de Atlassian
- El acceso deliberado a los datos de cualquier otro cliente (incluido el acceso o el uso de las credenciales del cliente)
- Ataques no técnicos (incluidos, entre otros, la ingeniería social, el robo de identidad o el acceso no autorizado a la infraestructura)
- Ataques de seguridad física (incluidos, entre otros, a equipos, empleados y oficinas de Atlassian, etc.)
- Las pruebas de productos están fuera del alcance del proyecto
- Atacar la infraestructura corporativa de Atlassian
- Denegación de servicio (DoS), Denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada
- Inundación de puertos
- Inundación de protocolos
- Inundación de solicitudes (inundación de solicitudes de inicio de sesión, inundación de solicitudes de API)
- El envío de informes no clasificados desde una aplicación de evaluación de seguridad o un analizador de vulnerabilidades
Notificación de incidencias
Si crees que has descubierto un posible fallo de seguridad relacionado con los Productos de Atlassian Cloud u otro servicio de Atlassian, te comprometes a notificarlo en un plazo de 24 horas siguiendo el procedimiento de Informar de una vulnerabilidad. También puedes enviar tus hallazgos a nuestro Programa de recompensas por errores, pero ten en cuenta que no se aceptarán los resultados de un analizador automático. Una vez enviados tus hallazgos, debes pedirnos permiso antes de hacer pública cualquier incidencia. Los resultados de las evaluaciones de seguridad de Atlassian se consideran información confidencial de Atlassian. Atlassian procesará las solicitudes de divulgación pública informe a informe. Se rechazarán las solicitudes de divulgación pública de las incidencias que aún no tengan una solución para el cliente.
Condiciones adicionales
Aunque está estrictamente prohibido el acceso intencionado a los datos de otros clientes de Atlassian, si crees que has encontrado información confidencial de clientes (p. ej., credenciales de inicio de sesión, claves de API, etc.) o un modo de obtener acceso a los datos de los clientes (por medio de una vulnerabilidad), debes informar de inmediato al Soporte de Atlassian, sin intentar validar la vulnerabilidad ni acceder en modo alguno a la cuenta o los datos de otros clientes.
Además del derecho de Atlassian a suspender o eliminar tu cuenta si incumples las presentes Reglas de pruebas de seguridad, Atlassian se reserva el derecho a responder ante cualquier actividad en sus redes que parezca maliciosa o que suponga de algún modo una amenaza. Atlassian podría incluir tus IP o intervalo de IP en una lista de prohibición de acceso si recibe un informe de abusos por actividades relacionadas con tus evaluaciones de seguridad. Si te pones en contacto con el soporte de Atlassian para eliminar dichas restricciones, debes especificar el origen del problema de la actividad descrita y detallar qué medidas has tomado para evitar que la incidencia notificada en el informe vuelva a ocurrir.
Si deseas notificar a la Seguridad de Atlassian de tu intención de realizar una evaluación de seguridad, también puedes enviar un ticket al Soporte de Atlassiannbspon el siguiente asunto: Intent for Security Assessment (Evaluación de seguridad programada). Incluye la fecha y el intervalo horario de la prueba, las IP o intervalo de IP de origen, los dominios de destino y tu información de contacto. Aunque la notificación previa no es necesaria, nos ayuda a identificar la prueba y evita que emitamos un bloqueo de red que podría anular la evaluación.
Los partners y distribuidores de los Productos de Atlassian Cloud son responsables de la actividad de evaluación de seguridad de sus clientes.