ACSC - Cloud Computing Security for Cloud Service Providers - Revisione delle linee guida 2023

1 - Generale

Valuta il servizio cloud e l'infrastruttura sottostante (affrontando esplicitamente le mitigazioni contenute in questa pubblicazione) rispetto all'ISM [1], al livello di classificazione appropriato richiesto per gestire i dati del tenant.

Atlassian dispone di solidi meccanismi per garantire la conformità ai Principi del framework sulla privacy dei dati, il ricorso per le persone interessate dalla mancata conformità a questi Principi e le conseguenze in caso di mancato rispetto dei Principi. Eseguiamo un'autovalutazione periodica e ad hoc, nonché audit esterni e revisioni della conformità di tanto in tanto, se necessario. In particolare, collaboriamo ogni anno con TrustArc, un fornitore di terze parti che certifica che le nostre pratiche relative alla privacy sono conformi ai Principi del framework sulla privacy dei dati. TrustArc supporta la nostra autocertificazione e fornisce anche servizi indipendenti di mediazione delle controversie per i reclami relativi alla privacy effettuati dai clienti. Monitoriamo anche la conformità con i ticket Jira che possono essere utilizzati come audit trail e ne teniamo traccia, insieme alle nostre autovalutazioni, agli audit/alle revisioni della conformità esterni e a qualsiasi programma correttivo che potremmo stabilire di tanto in tanto. Monitoriamo le pratiche di gestione dei dati e gestiamo un programma per individuare la violazione della privacy dei dati al fine di tenere traccia degli imprevisti/delle violazioni della privacy dei dati.

2 - Generale

Implementare la governance della sicurezza coinvolgendo i Senior Manager che dirigono e coordinano le attività relative alla sicurezza, inclusa una solida gestione delle modifiche, oltre a disporre di personale tecnicamente qualificato in ruoli di sicurezza definiti.

Il CISO di Atlassian è Bala Sathiamurthy, che lavora presso il nostro ufficio di San Francisco, e il nostro team di sicurezza è composto da oltre 230 membri suddivisi tra Product Security, Security Intelligence, Security Architecture, Trust, Risk and Compliance e un team di sviluppo e SRE nei nostri uffici di Sydney, Amsterdam, Austin, Bangalore, Mountain View, San Francisco e New York, oltre a diversi membri del team remoto.

3 - Generale

Implementare e testare annualmente un programma di risposta agli imprevisti di sicurezza informatica fornendo al tenant i dati di contatto di emergenza, la capacità di accedere alle prove forensi normalmente inaccessibili e la notifica degli imprevisti.

Abbiamo una policy e un programma documentati di risposta agli imprevisti di sicurezza, i cui principi chiave includono:

• Anticipare gli imprevisti di sicurezza e prepararsi per la risposta agli imprevisti.
• Contenere ed eliminare gli imprevisti, ed effettuare il ripristino dagli imprevisti.
• Investire nelle nostre persone, nei nostri processi e nelle nostre tecnologie per avere la certezza di disporre della capacità di rilevare e analizzare un imprevisto di sicurezza, qualora si verifichi.
• Adoperarsi affinché la protezione dei dati personali e dei dati dei clienti siano la massima priorità durante gli imprevisti di sicurezza.
• Condurre regolarmente il processo di risposta agli imprevisti di sicurezza
• Acquisire informazioni dalla funzione di gestione degli imprevisti di sicurezza e migliorarla.
• Comunicare gli imprevisti di sicurezza critici al gruppo dirigenziale Atlassian.

4 - Generale

Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati in transito tra il tenant e il CSP (Cloud Service Provider, provider di servizi cloud), ad es. VPN TLS o IPSec a livello applicativo con algoritmi approvati, lunghezza e gestione delle chiavi.

Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser.

Le unità su server che contengono dati e allegati del cliente in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie e Trello adottano la crittografia dei dati inattivi standard del settore eseguita sull'intero disco tramite AES-256.

Per la crittografia a riposo, in particolare, crittografiamo i dati dei clienti archiviati su un disco, come i dati dei ticket di Jira (dettagli, commenti, allegati) o i dati delle pagine di Confluence (contenuto della pagina, commenti, allegati). La crittografia dei dati a riposo previene accessi non autorizzati e assicura che i dati siano accessibili solo da ruoli e servizi autorizzati con accesso controllato a quelle chiavi di crittografia.

Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza.

5 - Generale

Utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati in transito tra i data center del CSP su canali di comunicazione non sicuri come l'infrastruttura Internet pubblica.

Atlassian rispetta le policy di crittografia e codifica e le relative linee guida di implementazione. Questa policy viene rivista e aggiornata ogni anno in linea con il nostro Policy Management Program (PMP). Per ulteriori informazioni, consulta il nostro Atlassian Trust Management System (ATMS)

6 - Generale

Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati inattivi sui supporti di archiviazione in transito tramite posta/corriere tra il tenant e il CSP durante il trasferimento dei dati nell'ambito dell'onboarding o dell'offboarding.

Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser.

Le unità su server che contengono dati e allegati del cliente in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie e Trello adottano la crittografia dei dati inattivi standard del settore eseguita sull'intero disco tramite AES-256.

Per la crittografia a riposo, in particolare, crittografiamo i dati dei clienti archiviati su un disco, come i dati dei ticket di Jira (dettagli, commenti, allegati) o i dati delle pagine di Confluence (contenuto della pagina, commenti, allegati). La crittografia dei dati a riposo previene accessi non autorizzati e assicura che i dati siano accessibili solo da ruoli e servizi autorizzati con accesso controllato a quelle chiavi di crittografia.

Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza.

7 - Generale

Fornire la gestione delle identità e degli accessi, ad esempio l'autenticazione a più fattori e i ruoli dell'account con privilegi variabili [6] affinché il tenant possa utilizzare e amministrare il servizio cloud tramite il pannello di controllo del sito web e l'API del CSP.

Sì. Per quanto riguarda Confluence, Jira, l'autenticazione a più fattori è disponibile per i singoli account. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Applicare la verifica in due passaggi

BBC supporta la verifica in due passaggi a partire da febbraio 2022 e, in generale, è integrata con Atlassian Access e supporta funzionalità aggiuntive offerte tramite Access. L'autenticazione a più fattori applicata può essere impostata a livello di organizzazione con Atlassian Access. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi

Per quanto riguarda prodotti specifici, Bitbucket supporta l'utilizzo di opzioni SSO (Single Sign-On) basate su autenticazione a più fattori. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi | Bitbucket Cloud

Halp utilizza l'SSO tramite Slack OAuth e MS Teams. Slack e MS Teams offrono diverse opzioni di autenticazione a più fattori. Per ulteriori informazioni, consulta: Single Sign-On SAML e Azure AD Connect: Single Sign-On senza interruzioni
Opsgenie supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori. Per ulteriori informazioni, consulta: Configurare l'SSO per Opsgenie.
Statuspage supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori.
Trello supporta l'autenticazione a più fattori. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Abilitazione dell'autenticazione a due fattori per il tuo account TrelloJira Align supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori.

8 - Generale

Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere le credenziali e le attività amministrative in transito quando il tenant utilizza e amministra il servizio cloud tramite il pannello di controllo del sito web e l'API del CSP.

Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser.

Le unità su server che contengono dati e allegati del cliente in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie e Trello adottano la crittografia dei dati inattivi standard del settore eseguita sull'intero disco tramite AES-256.

Per la crittografia a riposo, in particolare, crittografiamo i dati dei clienti archiviati su un disco, come i dati dei ticket di Jira (dettagli, commenti, allegati) o i dati delle pagine di Confluence (contenuto della pagina, commenti, allegati). La crittografia dei dati a riposo previene accessi non autorizzati e assicura che i dati siano accessibili solo da ruoli e servizi autorizzati con accesso controllato a quelle chiavi di crittografia.

Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza.

9 - Generale

Consentire al tenant di scaricare log dettagliati sincronizzati nel tempo e di ottenere avvisi in tempo reale generati per gli account del servizio cloud del tenant utilizzati per accedere, e soprattutto per amministrare, il servizio cloud.

I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo.

Log chiave dettagliati: tieni traccia delle attività dell'organizzazione dall'audit log

10 - Generale

Consentire al tenant di scaricare log dettagliati sincronizzati nel tempo e di ottenere avvisi in tempo reale generati dal servizio cloud utilizzato dal tenant, ad es. log del sistema operativo, del server web e delle applicazioni.

Utilizziamo Casper (https://www.jamf.com) e OSQuery (https://osquery.io/) per gestire gli elementi registrati e per quanto tempo vengono conservati. I log sono archiviati in un sistema separato logicamente e l'accesso in scrittura ai log è limitato ai membri del team di sicurezza. Gli avvisi vengono inviati al team di sicurezza o al Service Desk quando nei log si identificano azioni o eventi specifici. Il nostro servizio di creazione di log centralizzato (Splunk) è integrato con la nostra infrastruttura di analisi della sicurezza per l'analisi automatizzata e vengono creati avvisi per identificare potenziali problemi.

I nostri scanner delle vulnerabilità interni ed esterni includono avvisi relativi all'apertura imprevista di porte o altre modifiche alla configurazione (ad esempio, profili TLS dei server in ascolto). Gli avvisi vengono inviati al team di sicurezza o al Service Desk quando nei log si identificano azioni o eventi specifici.

11 - Generale

Divulgare i Paesi e le giurisdizioni legali in cui i dati dei tenant sono (o saranno nei prossimi mesi) archiviati, sottoposti a backup, elaborati e accessibili dal personale del CSP per la risoluzione dei problemi, l'amministrazione remota e l'assistenza clienti.

Atlassian utilizza Amazon Web Services (AWS) nelle seguenti località: Stati Uniti occidentali e orientali, Irlanda, Francoforte, Singapore e Sydney (Confluence e Jira). Per ulteriori informazioni, consulta: Infrastruttura di hosting nel cloud

Per prodotti specifici Trello è disponibile in AWS per gli Stati Uniti orientali (Ohio). Jira Align: l'ubicazione fisica dei dati dei clienti può essere ottenuta tramite una richiesta di ticket di supporto. Vedi: Supporto di Jira Align

Statuspage è disponibile nelle regioni AWS degli Stati Uniti occidentali (Oregon, California) e degli Stati Uniti orientali (Ohio). OpsGenie presenta account AWS sia negli Stati Uniti sia in Europa. I clienti devono optare per AWS USA (Oregon, California) o UE (Francoforte) al momento dell'iscrizione.

Halp è in hosting su AWS nelle località 2 degli Stati Uniti orientali e occidentali. I repository Bitbucket e le funzionalità principali delle applicazioni sono in hosting su AWS negli Stati Uniti orientali e negli Stati Uniti occidentali.

12 - Generale

Eseguire controlli dei precedenti del personale del CSP in base al loro livello di accesso a sistemi e dati. Mantenere le autorizzazioni di sicurezza per il personale con accesso a dati altamente sensibili [7].

Sì, i nuovi Atlassiani a livello globale sono tenuti a completare un controllo dei precedenti personali. I neo dipendenti assunti a seguito di un'acquisizione devono essere sottoposti a un controllo dei precedenti personali dopo la data di acquisizione. Viene eseguito un controllo dei precedenti penali su tutti i neoassunti e i terzisti indipendenti, a cui si aggiungono la verifica dei titoli di studio, la verifica dei precedenti rapporti di impiego o i controlli creditizi qualora il ruolo o il livello della posizione lo richiedano. Eseguiamo controlli dei precedenti personali completi per i ruoli dirigenziali e contabili di alto livello.

13 - Generale

Utilizzare data center e uffici fisicamente sicuri che archiviano i dati dei tenant o che possono accedere ai dati dei tenant [8]. Verificare e registrare l'identità di tutto il personale e dei visitatori. Accompagnare i visitatori per limitare l'accesso ai dati senza autorizzazione.

I nostri uffici Atlassian sono guidati dalla nostra policy interna di Sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e di uscita. I data center dei nostri partner dispongono di diverse certificazioni di conformità che riguardano la sicurezza fisica, la disponibilità dei sistemi, l'accesso alla rete e al backbone IP, il provisioning degli utenti e la gestione dei problemi. L'accesso ai data center è limitato al personale autorizzato e controllato mediante misure di verifica biometrica dell'identità. Le misure di sicurezza fisica includono: guardie di sicurezza sul posto, monitoraggio tramite video a circuito chiuso, porte a tornello e misure aggiuntive di protezione dalle intrusioni. AWS dispone di diverse certificazioni per la protezione dei propri data center. Le informazioni sulla garanzia della protezione fisica di AWS sono disponibili all'indirizzo: http://aws.amazon.com/compliance/

14 - Generale

Limitare l'accesso privilegiato del personale del CSP ai sistemi e ai dati in base alle mansioni lavorative [9]. Richiedere una nuova approvazione ogni tre mesi per il personale del CSP che richiede un accesso privilegiato. Revocare l'accesso in caso di cessazione del rapporto di lavoro con il personale del CSP.

Atlassian applica restrizioni sul personale che ha necessità di effettuare l'accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sing-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione ogni 8 ore tra il sistema delle risorse umane e l'archivio delle identità.

15 - Generale

Analizzare tempestivamente i registri delle azioni del personale del CSP che sono registrati su un server di log sicuro e isolato. Implementare la separazione dei compiti richiedendo che l'analisi dei log sia eseguita dal personale del CSP che non ha altri privilegi o ruoli lavorativi.

La segregazione delle funzioni è in vigore per i prodotti Atlassian principali. L'elenco parziale include:

• Verifiche controllo degli accessi
• Gruppi di sicurezza gestiti da applicazioni per le risorse umane
• Approvazione delle modifiche/peer review/implementazione (PRGB)
• Controlli del flusso di lavoro

16 - Generale

Eseguire una due diligence dei fornitori prima di ottenere software, hardware o servizi, per valutare il potenziale aumento del profilo di rischio per la sicurezza del CSP.

I nuovi fornitori di Atlassian sono tenuti ad accettare le policy e l'addendum in materia di privacy e sicurezza presenti nei nostri contratti. I reparti legali e di approvvigionamento di Atlassian esaminano i contratti, gli SLA e le policy interne dei fornitori per determinare se questi ultimi soddisfano i requisiti di sicurezza, disponibilità e riservatezza. Atlassian mantiene questa pagina pubblica: Lista dei sub-responsabili del trattamento dei dati

17 - Generale

Usare i controlli crittografici approvati dall'ASD per proteggere i dati altamente sensibili a riposo. Disinfetta i supporti di archiviazione prima della riparazione, dello smaltimento e dell'offboarding dei tenant con un accordo di non divulgazione dei dati nei backup residui.

Il team Workplace Technology gestisce questo processo, le apparecchiature vengono disinfettate e smagnetizzate in modo appropriato. Atlassian non gestisce alcun supporto fisico compatibile con i nostri prodotti e servizi cloud.

Le unità su server che contengono dati e allegati del cliente in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie e Trello adottano la crittografia dei dati inattivi standard del settore eseguita sull'intero disco tramite AES-256.

18 - Generale

Implementare meccanismi di multi-tenancy per impedire l'accesso ai dati del tenant da parte di altri tenant. Isolare il traffico di rete, l'archiviazione, la memoria e l'elaborazione del computer. Disinfettare i supporti di archiviazione prima del loro riutilizzo.

Atlassian è un'applicazione SaaS multi-tenant. La multi-tenancy è una funzionalità chiave di Atlassian Cloud che consente a più clienti di condividere un'istanza del livello applicativo Jira o Confluence, isolando al contempo i dati dell'applicazione di ogni tenant del cliente. Atlassian Cloud realizza questo obiettivo tramite il Tenant Context Service (TCS). Ogni ID utente è associato esattamente a un tenant, che viene poi utilizzato per accedere alle applicazioni Atlassian Cloud. Per ulteriori informazioni, consulta: Pratiche di sicurezza
Manteniamo la separazione logica e fisica degli ambienti di produzione e non di produzione (sviluppo) e vengono applicati metodi per isolare tali ambienti.
Il nostro ambiente di staging è separato a livello logico (ma non a livello fisico) ed è gestito conformemente ai processi di accesso e controllo delle modifiche a livello di produzione.

19 - Generale

Consenti al tenant di eseguire backup aggiornati in un formato che eviti il blocco del CSP. Se un account o un servizio cloud viene chiuso, avvisa immediatamente il tenant e consentigli almeno un mese di tempo per scaricare i dati.

Atlassian applica uno standard di conservazione e distruzione dei dati che indica per quanto tempo è tenuta a conservare dati di diversi tipi. I dati sono classificati in linea con la policy sulla sicurezza dei dati e la gestione del ciclo di vita delle informazioni di Atlassian e i controlli sono implementati in base a quanto previsto da tale policy. Per quanto riguarda i dati dei clienti al momento della cessazione di un contratto Atlassian, i dati appartenenti a un team addetto ai clienti saranno rimossi dal database di produzione in tempo reale e tutti gli allegati caricati direttamente su Atlassian saranno rimossi entro 14 giorni. I dati del team rimarranno nei backup crittografati fino alla scadenza della finestra di conservazione dei backup di 60 giorni e saranno distrutti in conformità alla policy di conservazione dei dati di Atlassian. Qualora sia necessario eseguire il ripristino del database entro 60 giorni dalla richiesta di eliminazione dei dati, il team delle operazioni provvederà a eliminare di nuovo i dati non appena ragionevolmente possibile dopo il ripristino completo del sistema di produzione live. Per ulteriori informazioni, consulta: Monitoraggio dell'archiviazione e spostamento dei dati tra prodotti

20 - Generale

I clienti Atlassian hanno la responsabilità di garantire che il loro utilizzo del nostro servizio sia conforme alle leggi e ai regolamenti applicabili. Maggiori dettagli sui nostri specifici contratti legali e sulle nostre policy sono disponibili nella pagina delle risorse legali: https://www.atlassian.com/legal

21 - Generale

Supporta una larghezza di banda sufficientemente elevata, una bassa latenza e una connettività di rete affidabile tra il tenant e il servizio cloud per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant.

Monitoriamo le prestazioni e la disponibilità di tutte le istanze Cloud, ma al momento non offriamo uno SLA formale sulla disponibilità delle applicazioni. Il nostro team di assistenza fornisce uno SLA iniziale sui tempi di risposta e, sebbene non abbiamo uno SLA ufficiale per la risoluzione delle richieste di assistenza, il nostro obiettivo interno è risolvere tutti i casi assegnati entro 48 ore. All'indirizzo https://status.atlassian.com sono disponibili le statistiche di Atlassian relative allo stato più recente del nostro sistema Cloud

Se scegli di utilizzare le nostre offerte Premium o Enterprise, offriamo garanzie sugli SLA.

22 - Generale

Progetta un'architettura capace di soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. singoli punti di errore minimi, clustering e bilanciamento del carico, replica dei dati, failover automatizzato e monitoraggio della disponibilità in tempo reale.

Per i nostri servizi Atlassian Cloud, i programmi di continuità aziendale e ripristino di emergenza vengono testati almeno trimestralmente. La disponibilità in più regioni viene monitorata in tempo reale. I test automatici di failover regionale vengono eseguiti ogni settimana nell'ambiente di pre-produzione. I test automatici di ripristino dei dati di configurazione vengono eseguiti quotidianamente in produzione.

Tutti i servizi Atlassian eseguono test di resilienza della zona di disponibilità nell'ambiente di pre-produzione ogni trimestre. Per ulteriori informazioni sul nostro programma di continuità aziendale, consulta: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

I nostri programmi di ripristino di emergenza sono testati e convalidati dai nostri revisori esterni nell'ambito del nostro programma di conformità. Per maggiori informazioni, consulta: https://www.atlassian.com/trust/compliance/resources.

23 - Generale

Sviluppa e testa con cadenza annuale un programma di ripristino di emergenza e continuità aziendale per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. un programma implementato per gli imprevisti che causano perdite permanenti del personale o dell'infrastruttura del CSP.

Sono in vigore policy e programmi di continuità aziendale e ripristino di emergenza che vengono rivisti su base annuale dal comitato direttivo per la continuità aziendale e il ripristino di emergenza. I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza. I piani BCDR vengono testati trimestralmente e tutti i problemi identificati vengono risolti. Per ulteriori informazioni, consulta Pratiche di sicurezza e Approccio di Atlassian alla resilienza.

24 - Generale

Implementa misure di mitigazione degli eventi Denial of Service per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. connettività di rete esterna e interna ridondante ad elevata larghezza di banda con limitazione e filtro del traffico.

Atlassian Security Engineering utilizza tecnologie IPS implementate nei nostri uffici. La protezione dalle minacce di rete viene eseguita da AWS, inclusa la protezione DDoS e alcune funzioni del firewall delle applicazioni Web.

Per quanto riguarda i prodotti specifici, Jira Align utilizza Cloudflare per WAF, DDOS, DNS-SEC. Utilizziamo Alert Logic IDS, analisi dei log e CloudTrail. Usiamo Nexpose per la scansione dei componenti di rete condivisi con lo stack Atlassian Cloud. Utilizziamo l'analisi personalizzata dei log di Splunk.

25 - Generale

Fornisci capacità di infrastruttura e scalabilità automatizzata e reattiva per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant.

Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello della durata di 36 mesi.

SLA/SLO: i sistemi Atlassian seguono obiettivi concordati relativamente alle loro caratteristiche operative
(1) tutti i sistemi dispongono di una serie di SLO collegati alle funzionalità principali di tali sistemi
(2) tali SLO vengono regolarmente rivisti su base trimestrale (o con maggiore frequenza)
(3) ad alcuni clienti Atlassian vengono garantiti degli SLA per i servizi forniti da Atlassian. Questi SLA devono essere supportati da SLO interni.
(4) un team che non raggiunge uno o più SLO deve dare priorità assoluta alle attività volte a ripristinare la metrica.

26 - Generale

Consenti al tenant di gestire il costo di un reale picco della domanda o di un evento Denial of Service tramite limiti di spesa definiti nel contratto, avvisi in tempo reale e limiti configurabili di utilizzo massimo della capacità dell'infrastruttura del CSP.

Per quanto riguarda le nostre offerte SaaS, le fatture inviate ai clienti non si basano sull'utilizzo. Al momento non condividiamo i report sulla capacità o sugli utenti con i tenant.

27 - Generale

Usa computer, jump server, account dedicati, passphrase complesse e autenticazione a più fattori approvati e protetti dall'azienda per fornire assistenza ai clienti e gestire i servizi e l'infrastruttura cloud.

I dipendenti sono tenuti ad applicare l'autenticazione a due fattori quando disponibile e a utilizzare un gestore di password con password casuali e sicure. I dipendenti autorizzati accedono all'ambiente di produzione autenticandosi nella VPN con password complesse e univoche e utilizzando l'autenticazione a due fattori basata su TOTP; quindi, effettuano l'accesso solo tramite connessioni terminali SSH utilizzando certificati RSA personali protetti da passphrase. Le tecnologie SSO, SSH, 2FA, VPN sono tutte richieste.

28 - Generale

Usa i controlli crittografici approvati dall'ASD per proteggere le credenziali e le attività amministrative in transito su canali di comunicazione non sicuri tra il data center e l'amministrazione/il personale di assistenza clienti del CSP.

Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'uso di chiavi di crittografia e lunghezze di chiavi complesse se supportate dal browser.

Le unità su server che contengono dati e allegati dei clienti in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, OpsGenie e Trello adottano la crittografia dei dati a riposo standard del settore eseguita sull'intero disco tramite AES-256.

Per la crittografia a riposo, in particolare crittografiamo i dati dei clienti archiviati su un disco, come i dati dei ticket di Jira (dettagli, commenti, allegati) o i dati delle pagine di Confluence (contenuto della pagina, commenti, allegati). La crittografia dei dati a riposo previene accessi non autorizzati e assicura che i dati siano accessibili solo da ruoli e servizi autorizzati con accesso controllato alle chiavi di crittografia.

Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza.

29 - Generale

Implementa la segmentazione e la segregazione della rete [20] tra Internet, l'infrastruttura del CSP utilizzata dai tenant, la rete utilizzata dal CSP per gestire i servizi e l'infrastruttura cloud e la LAN aziendale del CSP.

I dati dei clienti non devono mai essere replicati al di fuori dell'ambiente di produzione, che è archiviato nei server sicuri di AWS. Sono in vigore rigide regole firewall che limitano l'accesso all'ambiente di produzione alla nostra rete VPN e ai sistemi autorizzati. La VPN richiede l'autenticazione a più fattori. La segregazione delle funzioni è in vigore per i prodotti Atlassian principali. L'elenco parziale include:

• Verifiche controllo degli accessi
• Gruppi di sicurezza gestiti da applicazioni per le risorse umane
• Approvazione delle modifiche/peer review/implementazione (PRGB)
• Controlli del flusso di lavoro

30 - Generale

Utilizza pratiche di programmazione sicure per il software sviluppato dal CSP [21] [22] [23].

Atlassian si avvale di pratiche sicure in tutte le fasi del ciclo di vita dello sviluppo. Per ulteriori informazioni, consulta: Sicurezza nello sviluppo software in Atlassian.

Nella fase di progettazione, le pratiche includono la modellazione delle minacce, la revisione della progettazione e la nostra raccolta di standard di sicurezza, regolarmente aggiornata, che garantisce l'applicazione dei requisiti di sicurezza.

Durante lo sviluppo, ci avvaliamo di un processo di peer review come prima linea della revisione della sicurezza. Tale processo è supportato da controlli automatizzati di analisi statica (SAST) e test di sicurezza manuali (condotti sia da team interni che da esperti di terze parti, come imposto dal nostro processo di valutazione del rischio). Lo sviluppo è anche supportato da programmi di formazione sulla sicurezza delle applicazioni e da una knowledge base di sicurezza gestita dal team di sicurezza.

I processi formali di preparazione operativa e controllo delle modifiche assicurano che solo le modifiche approvate vengano distribuite in produzione. Dopo la distribuzione, ci avvaliamo di una scansione automatizzata delle vulnerabilità e di un programma Bug Bounty leader del settore (https://bugcrowd.com/atlassian) per eseguire una verifica continua delle nostre applicazioni.

31 - Generale

Esegui una configurazione sicura, una gestione continua delle vulnerabilità, l'applicazione tempestiva delle patch, revisioni annuali della sicurezza da parte di terze parti e test di penetrazione dei servizi cloud e dell'infrastruttura sottostante.

Ci avvaliamo di società di consulenza terze per eseguire test di penetrazione annuali su applicazioni rivolte all'esterno. Integriamo questi test anche con interventi minori e continui sulla sicurezza eseguiti dal nostro team interno apposito. Le lettere di valutazione per questi test di penetrazione sono disponibili qui, insieme a ulteriori informazioni sul nostro processo di test: L'approccio ai test di sicurezza esterni

Inoltre, collaboriamo con BugCrowd per mantenere un programma Bug Bounty e condurre valutazioni continue delle vulnerabilità dei nostri prodotti e servizi disponibili al pubblico; il programma è disponibile all'indirizzo: https://bugcrowd.com/atlassian. Condividiamo i risultati continui dei test di penetrazione del nostro programma Bug Bounty qui: L'approccio ai test di sicurezza esterni

Tutte le vulnerabilità rilevate sono soggette alla nostra policy di correzione dei bug di sicurezza, che definisce gli obiettivi del livello di servizio (SLO) calcolati in base ai livelli di gravità di ogni problema di sicurezza. Le informazioni sui tempi di risoluzione e maggiori dettagli sulla policy sono disponibili qui: Policy di correzione dei bug di sicurezza I dettagli sul nostro programma di gestione delle vulnerabilità sono disponibili qui: Gestione delle vulnerabilità Atlassian

Per ulteriori informazioni su come incorporiamo la sicurezza nelle nostre pratiche di sviluppo, consulta: Sicurezza nello sviluppo software in Atlassian

32 - Generale

Forma il personale del CSP, in particolare gli amministratori, sia all'inizio del rapporto di lavoro che con cadenza annuale, sulla protezione dei dati del tenant, sul mantenimento della disponibilità del servizio cloud e sull'identificazione proattiva degli imprevisti di sicurezza, ad es. tramite una tempestiva analisi dei log.

Atlassian fornisce corsi di formazione in materia di sicurezza delle informazioni come elemento della formazione di onboarding ("Rocketfuel") per i neoassunti e su base continuativa per tutto il personale. I candidati e i collaboratori esterni sono tenuti a firmare un accordo di riservatezza prima di iniziare la collaborazione con l'azienda. In caso di cambiamento tecnologico o di un altro cambiamento importante, i corsi vengono resi disponibili e annunciati ai dipendenti esistenti tramite la nostra intranet.

Oltre a questa formazione di carattere generale sulla sicurezza delle informazioni, viene fornita una formazione più mirata, destinata ai nostri sviluppatori, sulla codifica sicura, che è supportata dal nostro programma per i tecnici della sicurezza integrata. Atlassian fornisce anche una formazione tematica continua su malware, phishing e altri problemi di sicurezza. Il personale e i collaboratori esterni di Atlassian sono soggetti a procedure di identificazione e verifica dell'idoneità.

1 - IaaS

Rendi disponibili controlli di accesso alla rete che consentano al tenant di implementare la segmentazione e la segregazione della rete [25], inclusa la capacità di filtro di rete per impedire l'amministrazione remota delle proprie macchine virtuali, se non dal proprio indirizzo IP.

Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS.

2 - IaaS

Fornisci al tenant immagini dei modelli della macchina virtuale configurate in modo sicuro e complete di patch. Evita di assegnare una passphrase amministrativa debole alle macchine virtuali appena installate.

Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS.

1 - PaaS

Rafforza e configura in modo sicuro il sistema operativo, il server Web e il software della piattaforma. Limita la connettività di rete in entrata e in uscita solo alle porte/protocolli richiesti. Esegui tempestivamente l'applicazione di patch e l'analisi dei log.

Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS.

1 - SaaS

Implementa controlli specifici per il servizio cloud, ad esempio, per le e-mail inviate come servizio, fornisci funzionalità come il filtro dei contenuti con l'analisi dinamica automatizzata delle e-mail e degli allegati e-mail.

Lo forniamo nei nostri prodotti. Atlassian utilizza Proofpoint (https://www.proofpoint.com/au/products/email-protection) per scansionare gli allegati e riscrivere gli URL in modo da bloccare i tentativi di phishing. Atlassian utilizza inoltre protezioni delle e-mail integrate in Google G-Suite (servizi protezione dei dati e sicurezza del cloud)

2 - SaaS

Implementa i controlli generali [26] ad es. connettività di rete in entrata e in uscita limitata solo alle porte/ai protocolli richiesti, software antivirus aggiornato quotidianamente, sistemi di prevenzione delle intrusioni e analisi immediata dei log.

Non applicabile. Atlassian non dispone di anti-malware sui suoi server di produzione, perché non sono scrivibili da nulla tranne che dalla sua pipeline CI/CD. I servizi applicativi Atlassian che ospitano Jira Cloud o Confluence Cloud ospitano solo il codice dell'applicazione e nient'altro. I server Jira e Confluence Cloud non sono scrivibili con nulla tranne che dalla pipeline di distribuzione di distribuzione/pipeline CI/CD di Atlassian.

Eventuali contenuti generati dai clienti risiedono nei server del database/in RDS ed eventuali allegati o altri elementi vengono salvati in un comune servizio multimediale, che è fondamentalmente solo un front-end per un bucket S3. Il team anti abusi di Atlassian può rimuovere gli allegati presenti nei servizi multimediali che vengono identificati come malware o altro materiale pericoloso ma non effettua una ricerca attiva di malware. Facciamo affidamento sulle nostre capacità di rilevamento degli endpoint e sul rilevamento del malware da parte dei clienti.

Atlassian utilizza Crowdstrike Falcon su tutti i server Windows. Atlassian aggiorna quotidianamente le firme di Crowdstrike, che include qualsiasi malware di cui il fornitore Crowdstrike sia a conoscenza.