ENISA: Agenzia europea per la sicurezza delle reti e dell'informazione
Linee guida per l'esternalizzazione Atlassian
Esclusione di responsabilità
Le linee guida fornite di seguito hanno il solo scopo di assistere i clienti Cloud residenti in Europa, nonché le organizzazioni aziendali che stanno valutando l'esternalizzazione delle funzioni aziendali al Cloud nella loro valutazione dei prodotti Cloud di Atlassian e dei servizi associati.
Questo report è riservato esclusivamente alle informazioni e alle indicazioni fornite da Atlassian ai suoi clienti Cloud su come ci allineiamo all'IAF dell'ENISA. Parallelamente, disponiamo di un white paper dedicato alle responsabilità condivise che sia un provider di servizi cloud (Cloud Service Provider, CSP), come Atlassian, sia i suoi clienti devono tenere a mente per garantire la conformità all'IAF dell'ENISA. Questo modello di responsabilità condivisa non elimina la responsabilità e il rischio per i clienti che utilizzano i prodotti Atlassian Cloud, ma è utile per alleggerire gli oneri dei nostri clienti, ad esempio gestendo e controllando i componenti del sistema e del controllo fisico delle strutture e trasferendo una parte del costo della sicurezza e della conformità dai clienti ad Atlassian.
Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza.
| | ID | Linee guida dell'ENISA | Risposta di Atlassian |
Introduzione | |||
|
|
| L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) è un centro di competenza in materia di reti e informazione. Lavora a stretto contatto con gli Stati membri dell'UE e il settore privato per fornire consigli e suggerimenti su pratiche di sicurezza informatica efficaci. L'ENISA supporta anche lo sviluppo e l'attuazione delle policy e delle leggi dell'UE relative alla sicurezza nazionale delle informazioni. | Atlassian si allinea all'IAF grazie all'aderenza alla Cloud Controls Matrix (CCM) del Cloud Security Alliance (CSA), che mappa i domini e i controlli della CCM ai criteri di garanzia IAF, nonché alla certificazione rispetto a ISO 27001.
Le seguenti linee guida forniscono criteri di garanzia per assistere le organizzazioni nella scelta di un provider di servizi cloud. Per qualsiasi domanda su dettagli specifici, contatta il nostro team di vendita aziendale qui: https://www.atlassian.com/enterprise/contact?formType=product-features. |
Information Assurance Framework (IAF) | |||
Sicurezza personale | |||
| | 6.01 | La maggior parte delle domande relative al personale sarà simile a quelle che faresti al tuo personale IT o ad altro personale che si occupa di IT. Come per la maggior parte delle valutazioni, c'è un equilibrio tra rischio e costo. |
|
| 6.01. (a) | Quali policy e procedure applichi quando assumi i tuoi amministratori IT o altri dipendenti con accesso al sistema? Dovrebbero essere inclusi:
| In conformità alle leggi del loro paese di residenza, i nuovi Atlassiani sono tenuti a completare un controllo dei precedenti personali. In conformità alle leggi del loro paese di residenza, i neo dipendenti assunti a seguito di un'acquisizione devono essere sottoposti a un controllo dei precedenti personali dopo la data di acquisizione. Viene eseguito un controllo dei precedenti penali su tutti i neoassunti e i terzisti indipendenti, a cui si aggiungono la verifica dei titoli di studio, la verifica dei precedenti rapporti di impiego o i controlli creditizi qualora il ruolo o il livello della posizione lo richiedano. Eseguiamo controlli dei precedenti personali completi per i ruoli dirigenziali e contabili di alto livello. | |
| 6.01. (b) | Esistono policy diverse a seconda di dove vengono archiviati i dati o eseguite le applicazioni?
| Atlassian applica restrizioni sul personale che ha bisogno dell'accesso ai nostri sistemi, alle applicazioni e all'infrastruttura per il proprio ruolo e le proprie responsabilità lavorative sulla base del privilegio minimo e ciò avviene attraverso i nostri processi di autenticazione. Tutti gli accessi avvengono tramite sessioni autenticate e sulla base di autorizzazioni stabilite. | |
| 6.01. (c) | Quale programma di formazione in materia di sicurezza svolgi per tutto il personale? | Atlassian fornisce corsi di formazione in materia di sicurezza delle informazioni come elemento della formazione di onboarding ("giorno 1") per i neo assunti e su base continuativa per tutto il personale. | |
| 6.01. (d) | Esiste un processo di valutazione continua?
| Atlassian ha ottenuto le certificazioni SOC2, ISO27001 e ISO27018 per i nostri servizi cloud. Eseguiamo sia audit di idoneità interni/esterni sia audit esterni almeno una volta l'anno. Atlassian è certificato ISO per una serie di prodotti, il che richiede valutazioni periodiche dei rischi e revisioni delle pratiche relative ai dati. | |
Garanzia della catena di fornitura | |||
| | 6.02. | Le seguenti domande vengono poste quando il fornitore di servizi cloud subappalta a terzi alcune operazioni fondamentali per la sicurezza operativa (ad esempio, un provider SaaS che esternalizza la piattaforma subordinata a un fornitore terzo, un fornitore di servizi cloud che esternalizza i servizi di sicurezza a un fornitore di servizi di sicurezza gestiti, un fornitore esterno a cui ci si affida per la gestione delle identità dei sistemi operativi, ecc.). Queste domande vengono poste, inoltre, in caso di terze parti con accesso fisico o remoto all'infrastruttura del fornitore cloud. L'intero questionario si può applicare con una certa frequenza a fornitori di servizi cloud terzi (o ennesimi). |
|
| 6.02. (a) | Definisci i servizi esternalizzati o subappaltati nella catena di fornitura dei servizi che sono fondamentali per la sicurezza (e la disponibilità) delle tue operazioni. | Atlassian lavora con subappaltatori di terzi per fornire servizi come siti web, sviluppo di applicazioni, hosting, manutenzione, backup, archiviazione, infrastruttura virtuale, elaborazione dei pagamenti e analisi. Una lista dei sub-responsabili attualmente ingaggiati da Atlassian e autorizzati dal Cliente è riportata all'indirizzo https://www.atlassian.com/legal/sub-processors. | |
| 6.02. (b) | Descrivi in dettaglio le procedure utilizzate per concedere a terzi l'accesso alla tua infrastruttura (fisica e/o logica).
| I nostri team legali e di approvvigionamento esaminano i contratti, gli SLA e le policy interne dei fornitori per gestire i rischi associati alla sicurezza, alla disponibilità e alla riservatezza. Se necessario, eseguiamo anche valutazioni dei rischi funzionali in base al profilo di rischio. Le valutazioni dei rischi vengono riviste nell'ambito del rinnovo delle policy e tutte le volte che il rapporto con il fornitore cambia in modo significativo. La nostra politica di gestione dei dati di & terze parti dei fornitori copre questo processo, di cui un estratto è disponibile qui: https://www.atlassian.com/trust/security/ismp-policies | |
| 6.02. (c) | Le disposizioni SLA garantite dalle esternalizzazioni sono inferiori agli SLA che offri ai tuoi clienti? In caso contrario, hai una ridondanza di fornitori? | A seconda dell'accordo di licenza, le Condizioni d'uso per i clienti cloud devono essere esaminate al rinnovo dell'abbonamento mensile o annuale. I nostri team legali e di approvvigionamento esaminano i contratti, gli SLA e le policy interne dei fornitori per gestire i rischi associati alla sicurezza, alla disponibilità e alla riservatezza. Il programma Enterprise Risk Management (ERM) di Atlassian esegue una valutazione annuale dei rischi che include la probabilità e l'impatto per tutte le categorie di rischio ed è allineato al modello dei rischi COSO. Se necessario, eseguiamo anche valutazioni dei rischi funzionali in base al profilo di rischio. Le valutazioni dei rischi vengono riviste nell'ambito del rinnovo delle policy e tutte le volte che il rapporto con il fornitore cambia in modo significativo. | |
| 6.02. (d) | Quali misure vengono prese per garantire che i livelli di servizio di terze parti siano soddisfatti e mantenuti? | I nostri team legali e di approvvigionamento esaminano i contratti, gli SLA e le policy interne dei fornitori per gestire i rischi associati alla sicurezza, alla disponibilità e alla riservatezza. Se necessario, eseguiamo anche valutazioni dei rischi funzionali in base al profilo di rischio. Le valutazioni dei rischi vengono riviste nell'ambito del rinnovo delle policy e tutte le volte che il rapporto con il fornitore cambia in modo significativo. La nostra politica di gestione dei dati di & terze parti dei fornitori copre questo processo, di cui un estratto è disponibile qui: https://www.atlassian.com/trust/security/ismp-policies | |
| 6.02. (e) | Il fornitore di servizi cloud può confermare che la politica e i controlli di sicurezza sono applicati (contrattualmente) ai suoi fornitori terzi? | Tutti i sistemi e i progetti sono sottoposti a una valutazione dell'impatto in relazione alle informazioni personali. I Contratti con terze parti di Atlassian includono, secondo i casi, disposizioni sulla sicurezza e sulla privacy. I nuovi fornitori di Atlassian sono tenuti ad accettare le policy in materia di privacy e sicurezza presenti nei nostri contratti. | |
Sicurezza operativa | |||
| | 6.03. | Qualsiasi accordo commerciale con fornitori esterni dovrebbe includere i livelli di servizio per tutti i servizi di rete. Tuttavia, oltre all'accordo definito, il cliente finale dovrebbe comunque assicurarsi che il fornitore utilizzi controlli appropriati per mitigare la divulgazione non autorizzata. |
|
| | 6.03. (a) | Descrivi la tua procedura e la tua politica di controllo delle modifiche. Nella descrizione dovresti includere anche il processo utilizzato per valutare nuovamente i rischi a seguito di modifiche e chiarire se i risultati sono disponibili per i clienti finali. | Atlassian dispone di un programma Enterprise Risk Management (ERM) allineato al modello di rischio COSO e a ISO 31000. Il programma ERM implementa un framework e una metodologia di gestione del rischio in Atlassian, ed esegue valutazioni annuali del rischio, valutazioni periodiche specifiche del rischio di un ambiente di prodotto e valutazioni funzionali del rischio secondo necessità in base al profilo di rischio. In particolare, il framework di gestione del rischio di Atlassian fornisce standard, processi, ruoli e responsabilità, tolleranze di rischio accettabili e direttive per il completamento delle attività di valutazione del rischio. I nostri processi e pratiche di gestione del rischio sono alla base delle nostre valutazioni del rischio, che sono ripetibili e producono risultati validi, coerenti e comparabili. Le valutazioni del rischio eseguite da Atlassian comprendono la probabilità dell'evento di rischio e l'impatto per tutte le categorie di rischio, nonché il trattamento di tutti i rischi rispetto alla nostra propensione al rischio definita internamente. In tutte le fasi del programma ERM, il team Risk & Compliance comunica con gli stakeholder di pertinenza e si consulta con gli esperti in materia (SME) appropriati. |
| | 6.03. (b) | Definisci la politica di accesso remoto. | I requisiti di accesso remoto sono definiti nella Politica di gestione degli accessi e negli standard associati. I dati dei clienti possono essere replicati sulle postazioni di lavoro dei dipendenti per scopi di supporto o migrazione e con richieste di assistenza dei clienti attive. Sono in vigore rigide regole firewall che limitano l'accesso all'ambiente di produzione alla nostra rete VPN e ai sistemi autorizzati. Il nostro accesso alla VPN richiede l'autenticazione a più fattori. |
| | 6.03. (c) | Il provider mantiene documentate le procedure operative dei sistemi informativi? | Tra i principi di base della sicurezza delle operazioni di Atlassian vi è lo sviluppo di documenti contenenti le procedure operative standard. Abbiamo pubblicato anche alcuni estratti di ciascuna delle nostre policy di alto livello con tl:dr, che puoi trovare qui: https://www.atlassian.com/trust/security/ismp-policies |
| | 6.03. (d) | Esiste un ambiente di staging per ridurre il rischio, ad esempio ambienti di sviluppo, di testing e operativi? Sono separati tra loro? | Atlassian ha politiche di sicurezza delle informazioni che vietano l'uso dei dati di produzione in ambienti non destinati alla produzione e, inoltre, qualsiasi tentativo di migrazione dei dati tra gli ambienti verrebbe identificato attraverso il processo di gestione delle modifiche. Il codice passa prima da un sistema di build centralizzato con il test delle unità e poi alla convalida del branch di funzione con ulteriore automazione dei test e revisioni dei gate da parte dei PM, del team di sviluppo e del team addetto al controllo di qualità. Successivamente, passa ai test UAT, di sicurezza e delle prestazioni. Gli sviluppatori non possono promuovere direttamente il codice alla produzione. Ulteriori dettagli sono disponibili all'indirizzo https://www.atlassian.com/trust/security/security-practices#managing-changes-in-our-environment |
| | 6.03. (e) | Definisci i controlli dell'host e della rete utilizzati per proteggere i sistemi che ospitano le applicazioni e le informazioni del cliente finale. Dovresti includere dettagli sulla certificazione rispetto a standard esterni (ad esempio, ISO 27001/2). | Atlassian Network Engineering utilizza tecnologie IPS integrate nei nostri firewall nel cloud e in sede. Inoltre, abbiamo implementato le tecnologie IDS nei nostri ambienti di ufficio. La protezione dalle minacce di rete viene eseguita da AWS, inclusa la protezione DDoS e alcune funzioni del firewall delle applicazioni Web. Tutti i dati per i nostri servizi sono crittografati in transito tramite TLS per proteggerli da divulgazioni o modifiche non autorizzate, indipendentemente dal fatto che il protocollo utilizzato sia HTTPS o SMTPS. |
| | 6.03. (f) | Specifica i controlli che utilizzi per proteggerti dal codice dannoso. | Atlassian ha implementato Crowdstrike Falcon (https://www.crowdstrike.com/falcon-platform/) per la nostra flotta Windows e Mac. Non utilizziamo anti-malware sulle nostre macchine Linux. Gli anti-malware sono inclusi nella nostra politica di gestione delle vulnerabilità. |
|
| 6.03. (g) | Le configurazioni sicure vengono implementate solo per consentire l'esecuzione del codice mobile e delle funzionalità autorizzati (ad esempio, eseguire solo comandi specifici)? | Tutti i server sono configurati con il nostro sistema di configurazione Puppet centralizzato sul nostro ambiente operativo standard, inclusa la rimozione di pacchetti selezionati dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tale porta per la loro funzione. |
|
| 6.03. (h) | Le policy e le procedure dettagliate per il backup dovrebbero includere procedure per la gestione dei contenuti multimediali rimovibili e metodi per la distruzione sicura di quelli non più necessari. (A seconda delle sue esigenze aziendali, il cliente potrebbe voler mettere in atto una strategia di backup indipendente. Ciò è particolarmente rilevante laddove è richiesto un accesso urgente al backup.) | In Atlassian gestiamo un programma di backup completo, che include i nostri sistemi interni, in cui le misure di backup sono progettate in linea con i requisiti di ripristino del sistema. Per quanto riguarda i nostri prodotti Cloud, e in particolare i dati dei clienti e delle applicazioni, abbiamo implementato anche estese misure di backup. Utilizziamo la funzione snapshot di Amazon RDS (Relational Database Service) per creare backup giornalieri automatizzati di ogni istanza RDS. Le snapshot di Amazon RDS vengono conservate per 30 giorni con il supporto del ripristino point-in-time e vengono crittografate utilizzando la crittografia AES-256. I dati di backup non vengono archiviati fuori sede, ma vengono replicati in più data center all'interno di una determinata regione AWS. Eseguiamo anche test trimestrali dei nostri backup. Per Bitbucket, i dati vengono replicati in una regione AWS diversa e ogni giorno si eseguono backup indipendenti all'interno di ciascuna regione. |
|
|
| Gli audit log vengono utilizzati in caso di imprevisto che richieda indagini e la risoluzione dei problemi. A tal fine, il cliente dovrà avere la certezza che tali informazioni siano disponibili. |
|
|
| 6.03. (i) | Il fornitore può comunicare nel dettaglio le informazioni registrate negli audit log?
| I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo.Atlassian limita la capacità di visualizzare e leggere gli audit log al personale autorizzato sulla nostra piattaforma di registrazione centralizzata. |
|
| 6.03. (j) | Come vengono esaminati gli audit log? Quali eventi registrati portano a un'azione intrapresa? | I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo. Atlassian limita la capacità di visualizzare e leggere gli audit log al personale autorizzato sulla nostra piattaforma di registrazione centralizzata. |
|
| 6.03. (k) | Quale fonte oraria viene utilizzata per sincronizzare i sistemi e fornire un indicatore data/ora accurato degli audit log? | Atlassian Cloud utilizza AWS Time Sync per tutte le istanze distribuite. |
Garanzia del software | |||
|
| 6.03.01. (a) | Definisci i controlli utilizzati per proteggere l'integrità del sistema operativo e delle applicazioni software in uso. Includi tutti gli standard seguiti, ad esempio OWASP, SANS Checklist, SafeCode. | Il team di tecnici della sicurezza esegue una revisione continua di tutto il codice sorgente dei nostri prodotti come parte del nostro ciclo di sviluppo. Vengono impiegate tecniche automatizzate e manuali. Utilizziamo anche un processo obbligatorio di dual peer review, in cui più sviluppatori senior o capi sviluppatore esaminano tutti i commit da padroneggiare. I flussi di lavoro agili ci consentono di identificare e correggere rapidamente eventuali vulnerabilità, soprattutto per i nostri servizi cloud. |
|
| 6.03.01. (b) | Come si verifica che i nuovi rilasci siano adatti allo scopo o che non presentino rischi (backdoor, trojan, ecc.)? Vengono esaminati prima dell'uso? | Il nostro processo Atlassian Change Management è leggermente diverso dai processi di gestione delle modifiche tradizionali. Facciamo affidamento su un controllo Peer Review and Green Build (PRGB) per tutte le modifiche, che si tratti di modifiche al codice, alle applicazioni o all'infrastruttura. La Peer Review è configurata nel nostro strumento CD, dove è necessario designare i branch critici per avere più revisori per ogni richiesta pull. Di solito si tratta di due sviluppatori e del team leader. La parte Green Build del controllo indica che l'integrazione durante la fase CI deve superare tutti i test di integrazione, funzionalità, sicurezza e altro ancora che sono stati sviluppati. Se i test hanno esito negativo (una Red Build), il codice non verrà incorporato e sarà necessario revisionarlo nuovamente e risolvere i problemi. Una volta ottenuta una Green Build, il file binario viene firmato in modo crittografico e il nostro ambiente di produzione esegue solo i binari firmati con la nostra chiave. Il nostro processo di test include sia componenti di valutazione automatizzati sia manuali. Ci piace parlare di ciò che sappiamo fare bene. Il nostro approccio basato su "assistenza alla qualità" (anziché sulla tradizionale "garanzia di qualità") è qualcosa che ci entusiasma: https://www.atlassian.com/inside-atlassian/quality-assurance-vs-quality-assistance. |
|
| 6.03.01. (c) | Quali procedure vengono seguite per proteggere le applicazioni? | Le nostre applicazioni richiedono una Peer Review and Green Build (PRGB), seguita dalla firma in modo crittografico degli artefatti delle applicazioni e dalla distribuzione automatica dalla nostra pipeline CI/CD. Inoltre, solo le applicazioni firmate da Atlassian possono essere eseguite nel nostro ambiente di produzione. |
|
| 6.03.01. (d) | È stato effettuato un test di penetrazione di una versione software per garantire che non contenga vulnerabilità? Se vengono scoperte delle vulnerabilità, qual è la procedura per porvi rimedio? | Ci avvaliamo di pratiche sicure in tutte le fasi del ciclo di vita dello sviluppo. Consulta la pagina: https://www.atlassian.com/trust/security/security-in-development per maggiori informazioni. Durante lo sviluppo, ci avvaliamo di un processo di peer review come prima linea della revisione della sicurezza. Tale processo è supportato da controlli automatizzati di analisi statica (SAST) e test di sicurezza manuali (condotti sia da team interni che da esperti di terze parti, come imposto dal nostro processo di valutazione del rischio). Lo sviluppo è anche supportato da programmi di formazione sulla sicurezza delle applicazioni e da una knowledge base di sicurezza gestita dal team di sicurezza. I processi formali di preparazione operativa e controllo delle modifiche assicurano quindi che solo le modifiche approvate vengano distribuite in produzione. Dopo la distribuzione, ci avvaliamo di una scansione automatizzata delle vulnerabilità e di un programma Bug Bounty leader del settore (https://bugcrowd.com/atlassian) per eseguire una verifica continua delle nostre applicazioni. |
Gestione delle patch |
|
|
|
|
| 6.03.02. (a) | Vengono forniti dettagli sulla procedura di gestione delle patch seguita? | Abbiamo una politica di gestione delle minacce e delle vulnerabilità. Abbiamo definito il nostro Policy Management Program (PMP), che include informazioni in materia di responsabilità, disponibilità e ciclo di revisione, oltre a delineare i nostri obiettivi generali. Le nostre policy vengono riviste almeno una volta l'anno e sono approvate dai dirigenti. Ulteriori informazioni sul nostro PMP sono disponibili all'indirizzo: https://www.atlassian.com/trust/security/security-management-program |
|
| 6.03.02. (b) | È garantito che il processo di gestione delle patch copra tutti i livelli delle tecnologie di distribuzione del cloud, come la rete (componenti dell'infrastruttura, router e switch, ecc.), i sistemi operativi dei server, il software di virtualizzazione, le applicazioni e i sottosistemi di sicurezza (firewall, gateway antivirus, sistemi di rilevamento delle intrusioni, ecc.)? | Le modifiche alla configurazione del sistema sono gestite da un processo automatizzato, che include la revisione di tutte le modifiche prima della distribuzione alla produzione. Atlassian Service Operations può distribuire le patch non appena viene identificato un rischio significativo. Disponiamo di criteri interni per determinare la velocità di implementazione di qualsiasi patch e possiamo applicarli entro 12 ore per tutte le macchine. Esiste anche un sistema IDS che include il monitoraggio dei file di configurazione del sistema. |
Controlli dell'architettura di rete | |||
|
| 6.03.03. (a) | Definisci i controlli utilizzati per mitigare gli attacchi DDoS (distributed denial-of-service).
| I requisiti di sicurezza della rete sono definiti nella Policy di sicurezza delle comunicazioni, che viene rivista ogni anno in linea con il nostro Policy Management Program (PMP). Per maggiori informazioni sul PMP, consulta la pagina: https://www.atlassian.com/trust/security/security-management-program |
|
| 6.03.03. (b) | Quali livelli di isolamento vengono utilizzati?
| Atlassian è un'applicazione SaaS multi-tenant. La multi-tenancy è una funzionalità chiave di Atlassian Cloud che consente a più clienti di condividere un'istanza del livello applicativo Jira o Confluence, isolando al contempo i dati dell'applicazione di ogni tenant del cliente. Atlassian Cloud realizza questo obiettivo tramite il Tenant Context Service (TCS). Ogni ID utente è associato esattamente a un tenant, che viene poi utilizzato per accedere alle applicazioni Atlassian Cloud. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices#tenant-isolation |
|
| 6.03.03. (c) | L'architettura supporta il funzionamento continuo dal cloud quando l'azienda è separata dal fornitore di servizi e viceversa (ad esempio esiste una dipendenza critica dal sistema LDAP del cliente)? | Sono in vigore policy e piani di continuità aziendale e ripristino di emergenza che vengono rivisti su base annuale dal comitato direttivo per la continuità aziendale e il ripristino di emergenza. Per maggiori informazioni, consulta le pagine: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e e https://www.atlassian.com/trust/security/data-management. |
|
| 6.03.03. (d) | L'infrastruttura di rete virtuale utilizzata dai fornitori di servizi cloud (nelle PVLAN e nell'architettura VLAN con tagging 802.1q) è protetta secondo gli standard e/o le best practice specifici del fornitore (ad esempio lo spoofing del MAC, gli attacchi di avvelenamento ARP e così via sono evitati tramite una configurazione di sicurezza specifica)? | I requisiti di sicurezza della rete sono definiti nella Policy di sicurezza delle comunicazioni, che viene rivista ogni anno in linea con il nostro Policy Management Program (PMP). Per maggiori informazioni sul PMP, consulta la pagina: https://www.atlassian.com/trust/security/security-management-program |
Architettura host | |||
|
| 6.03.04. (a) | Il fornitore di servizi garantisce che venga applicata la protezione avanzata alle immagini virtuali per impostazione predefinita? | Tutti i server sono configurati con il nostro sistema di configurazione Puppet centralizzato sul nostro ambiente operativo standard, inclusa la rimozione di pacchetti selezionati dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tale porta per la loro funzione. |
|
| 6.03.04. (b) | L'immagine virtuale con protezione avanzata è protetta dagli accessi non autorizzati? | Tutti i server sono configurati con il nostro sistema di configurazione Puppet centralizzato sul nostro ambiente operativo standard, inclusa la rimozione di pacchetti selezionati dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tale porta per la loro funzione. |
|
| 6.03.04. (c) | Il fornitore di servizi può confermare che l'immagine virtualizzata non contenga le credenziali di autenticazione? | Tutti i server sono configurati con il nostro sistema di configurazione Puppet centralizzato sul nostro ambiente operativo standard, inclusa la rimozione di pacchetti selezionati dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tale porta per la loro funzione. |
|
| 6.03.04. (d) | Il firewall host viene eseguito solo con le porte minime necessarie per supportare i servizi all'interno dell'istanza virtuale? | Tutti i server sono configurati con il nostro sistema di configurazione Puppet centralizzato sul nostro ambiente operativo standard, inclusa la rimozione di pacchetti selezionati dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tale porta per la loro funzione. |
|
| 6.03.04. (e) | È possibile eseguire un servizio di prevenzione delle intrusioni (IPS) basato su host nell'istanza virtuale? | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
PaaS - Sicurezza delle applicazioni | |||
|
| 6.03.05. | In generale, i fornitori di servizi PaaS sono responsabili della sicurezza dello stack software della piattaforma e i suggerimenti contenuti in questo documento sono una buona base per assicurarsi che i fornitori PaaS abbiano tenuto in considerazione i principi di sicurezza durante la progettazione e la gestione della piattaforma PaaS. Spesso è difficile ottenere informazioni precise e dettagliate dai fornitori PaaS sulla modalità di protezione delle loro piattaforme, tuttavia le seguenti domande, insieme alle altre sezioni di questo documento, dovrebbero essere di aiuto nella valutazione della loro offerta. |
|
|
| 6.03.05. (a) | Richiedi informazioni su come le applicazioni multi-tenant vengono isolate l'una dall'altra: è necessaria una descrizione approfondita delle misure di contenimento e isolamento. | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
|
| 6.03.05. (b) | Quale garanzia può dare il fornitore PaaS per assicurarti che l'accesso ai tuoi dati sia limitato ai soli utenti aziendali e alle applicazioni che possiedi? | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
|
| 6.03.05. (c) | L'architettura della piattaforma dovrebbe essere la classica "sandbox": il fornitore di servizi può garantire che la sandbox della piattaforma PaaS sia monitorata per rilevare nuovi bug e vulnerabilità? | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
|
| 6.03.05. (d) | I provider PaaS dovrebbero essere in grado di offrire una serie di funzionalità di sicurezza (riutilizzabili dai loro clienti): sono inclusi l'autenticazione degli utenti, il single sign-on, l'autorizzazione (gestione dei privilegi) e i protocolli SSL/TLS (resi disponibile da un'API)? | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
SaaS - Sicurezza delle applicazioni | |||
|
| 6.03.06. | Il modello SaaS impone che il provider gestisca l'intera suite di applicazioni fornite agli utenti finali. Pertanto, i provider SaaS sono responsabili soprattutto della protezione di queste applicazioni. I clienti, invece, di solito sono responsabili dei processi operativi di sicurezza (gestione degli utenti e degli accessi). Tuttavia, per valutare le offerte dei provider, può essere utile fare riferimento alle seguenti domande e ad altre sezioni di questo documento: |
|
|
| 6.03.06. (a) | Quali controlli amministrativi sono forniti e possono essere utilizzati per assegnare privilegi di lettura e scrittura ad altri utenti? | I clienti delle nostre offerte Cloud Enterprise e Premium hanno accesso a un pannello di controllo amministrativo centralizzato. Gli amministratori della tua organizzazione possono gestire l'accesso e le autorizzazioni degli utenti in tutte le istanze del prodotto. Leggi il nostro post del blog qui: https://www.atlassian.com/blog/platform/cloud-enterprise-centralized-admin-controls. |
|
| 6.03.06. (b) | Il controllo degli accessi SaaS è dettagliato? Può essere personalizzato in base alla policy della tua organizzazione? | I clienti delle nostre offerte Cloud Enterprise e Premium hanno accesso a un pannello di controllo amministrativo centralizzato. Gli amministratori della tua organizzazione possono gestire l'accesso e le autorizzazioni degli utenti in tutte le istanze del prodotto. Leggi il nostro post del blog qui: https://www.atlassian.com/blog/platform/cloud-enterprise-centralized-admin-controls. |
Provisioning delle risorse | |||
|
| 6.03.07. (a) | In caso di sovraccarico da risorse (elaborazione, memoria, archiviazione, rete):
| Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello che durerà 36 mesi. |
|
| 6.03.07. (b) | Qual è il livello di scalabilità? Il fornitore offre garanzie sul livello massimo di disponibilità delle risorse entro un periodo minimo? | Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello che durerà 36 mesi. |
|
| 6.03.07. (c) | Con quanta rapidità puoi implementare la scalabilità? Il fornitore offre garanzie sulla disponibilità di risorse supplementari entro un periodo minimo? | Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello che durerà 36 mesi. |
|
| 6.03.07. (d) | Quali sono i processi per gestire le tendenze su larga scala relativamente all'utilizzo delle risorse (ad esempio, effetti stagionali)? | Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello che durerà 36 mesi. |
Gestione degli accessi e delle identità | |||
Autorizzazione | |||
|
| 6.04.01. | I seguenti controlli si applicano ai sistemi di gestione delle identità e degli accessi sotto il controllo del provider di cloud. |
|
|
| 6.04.01. (a) | Gli account hanno privilegi a livello di sistema per l'intero sistema cloud? Se sì, per quali operazioni (lettura/scrittura/eliminazione)? | Il nostro team di supporto globale mantiene un account su tutti i sistemi e le applicazioni in hosting ai fini della manutenzione e del supporto. Questo team accede alle applicazioni e ai dati in hosting esclusivamente allo scopo di monitorare lo stato delle applicazioni ed eseguire la manutenzione di sistemi o applicazioni e su richiesta del cliente tramite il nostro sistema di supporto. |
|
| 6.04.01. (b) | Come vengono autenticati e gestiti gli account con il più alto livello di privilegi? | Atlassian applica restrizioni sul personale che necessita di questo accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sign-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità. |
|
| 6.04.01. (c) | Come vengono autorizzate le decisioni più importanti (ad esempio, il de-provisioning simultaneo di grandi quantità di risorse) (SSO o autenticazione a due fattori, e da quali ruoli all'interno dell'organizzazione)? | Atlassian applica restrizioni sul personale che necessita di questo accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sign-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità.
|
|
| 6.04.01. (d) | Ci sono ruoli con privilegi elevati assegnati alla stessa persona? Questa assegnazione viola la separazione dei compiti o le regole dei privilegi minimi? | Atlassian applica restrizioni sul personale che necessita di questo accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sign-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità.
|
|
| 6.04.01. (e) | Utilizzi il controllo degli accessi basato sui ruoli (RBAC)? Viene seguito il principio del privilegio minimo? | Atlassian ha un flusso di lavoro consolidato che collega il nostro sistema di gestione delle risorse umane e il nostro sistema di provisioning degli accessi. Utilizziamo il controllo degli accessi basato sui ruoli, determinato dai profili utente predefiniti. Tutti gli account utente devono essere approvati dalla direzione prima di poter accedere a dati, applicazioni, infrastruttura o componenti di rete. |
|
| 6.04.01. (f) | Nel caso in cui un'emergenza renda necessario un accesso straordinario, vengono apportate modifiche ai privilegi e ai ruoli amministrativi? Se sì, quali? | Il nostro team di supporto globale mantiene un account su tutti i sistemi e le applicazioni in hosting ai fini della manutenzione e del supporto. Questo team accede alle applicazioni e ai dati in hosting esclusivamente allo scopo di monitorare lo stato delle applicazioni ed eseguire la manutenzione di sistemi o applicazioni e su richiesta del cliente tramite il nostro sistema di supporto. |
|
| 6.04.01. (g) | Esiste un ruolo "amministrativo" per il cliente? Ad esempio, il cliente amministratore ha un ruolo nell'aggiunta di nuovi utenti (che non gli consente però di modificare lo spazio di archiviazione sottostante)? | Atlassian offre ai clienti il ruolo di "Amministratore dell'organizzazione" che amministra utenti e gruppi per i prodotti del cliente. Per maggiori informazioni, vedi: https://support.atlassian.com/user-management/docs/give-users-admin-permissions/ |
Provisioning delle identità | |||
|
| 6.04.02. (a) | Quali controlli vengono effettuati sull'identità degli account utente al momento della registrazione? Vengono seguiti degli standard, ad esempio, l'e-Government Interoperability Framework?
| I nuovi utenti Atlassian a livello globale sono tenuti a completare un controllo dei precedenti personali. I neo dipendenti assunti a seguito di un'acquisizione devono essere sottoposti a un controllo dei precedenti personali dopo la data di acquisizione. Viene eseguito un controllo dei precedenti penali su tutti i neoassunti e i contraenti indipendenti, a cui si aggiungono la verifica dei titoli di studio, la verifica dei precedenti rapporti di impiego o i controlli sull'affidabilità creditizia qualora il ruolo o il livello della posizione lo richiedano. Eseguiamo controlli dei precedenti personali completi per i ruoli dirigenziali e contabili di alto livello. |
|
| 6.04.02. (b) | Quali procedure sono previste per il de-provisioning delle credenziali? | La nostra procedura di de-provisioning attualmente include la cessazione del rapporto di lavoro, del contratto o dell'accordo. In generale, gli utenti che vengono trasferiti internamente conservano i loro diritti di accesso per favorire la continuità del coinvolgimento e del supporto. Vogliamo consentire ai team di essere molto reattivi, flessibili e orientati verso i clienti, in linea con i valori della nostra azienda. Per questo il nostro obiettivo è rilevare l'uso non autorizzato degli accessi piuttosto che imporre un limite agli accessi che potrebbe rallentare la capacità di risposta. |
|
| 6.04.02. (c) | Il provisioning e il de-provisioning delle credenziali avviene contemporaneamente in tutto il sistema cloud o ci sono rischi collegati al de-provisioning nelle sedi situate in aree geografiche diverse? | Atlassian ha un flusso di lavoro consolidato che collega il nostro sistema di gestione delle risorse umane e il nostro sistema di provisioning degli accessi. Utilizziamo il controllo degli accessi basato sui ruoli, determinato dai profili utente predefiniti. Tutti gli account utente devono essere approvati dalla direzione prima di poter accedere a dati, applicazioni, infrastruttura o componenti di rete. |
Gestione dei dati personali | |||
|
| 6.04.03. (a) | Quali controlli di archiviazione e protezione dei dati si applicano alla directory degli utenti (ad esempio AD, LDAP) e all'accesso ad essa? | I dati sono classificati e gestiti nel rispetto della nostra policy sulla sicurezza dei dati e sulla gestione del ciclo di vita delle informazioni, e questo influisce sull'implementazione dei controlli. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices |
|
| 6.04.03. (b) | I dati delle directory utenti sono esportabili in un formato interoperabile? | Gli amministratori possono esportare la directory degli utenti dal pannello di amministrazione. Le guide sono disponibili sul sito del Supporto Atlassian qui: https://support.atlassian.com/organization-administration/docs/export-users-from-a-site/ |
|
| 6.04.03. (c) | La condivisione dei soli dati essenziali è il principio guida per l'accesso ai dati dei clienti all'interno del provider cloud? | Atlassian applica restrizioni sul personale che necessita di questo accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sign-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità.
|
Gestione delle chiavi | |||
|
| 6.04.04. | Per le chiavi controllate dal provider cloud: |
|
|
| 6.04.04. (a) | Sono impostati dei controlli di sicurezza per leggere e scrivere queste chiavi? Ad esempio, policy sull'utilizzo di password forti, chiavi archiviate in un sistema separato, moduli di sicurezza hardware (HSM) per le chiavi dei certificati radice, autenticazione basata su smart card, accesso diretto protetto all'archiviazione, durata breve delle chiavi, ecc. | Atlassian rispetta le policy di crittografia e le linee guida di implementazione della stessa. Questa policy viene rivista e aggiornata ogni anno in linea con il nostro Policy Management Program (PMP). Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-management-program. |
|
| 6.04.04. (b) | Sono impostati dei controlli di sicurezza per l'utilizzo di queste chiavi per firmare e crittografare i dati? | Atlassian mantiene procedure documentate di gestione delle chiavi per la nostra infrastruttura Cloud. Le chiavi di crittografia per gli allegati Amazon, archiviate in S3, sono gestite da Amazon KMS. Il processo di crittografia, gestione delle chiavi e decrittazione viene ispezionato e verificato internamente da Amazon su base regolare come parte del processo di audit attualmente in vigore. Le chiavi master in KMS, al momento della creazione, abilitano una rotazione automatica per la generazione del materiale delle chiavi master ogni 365 giorni (cadenza annuale). |
|
| 6.04.04. (c) | Sono previste procedure specifiche in caso di compromissione di una chiave? Ad esempio, elenchi di revoca delle chiavi. | Atlassian mantiene procedure documentate di gestione delle chiavi per la nostra infrastruttura Cloud. Le chiavi di crittografia per gli allegati Amazon, archiviate in S3, sono gestite da Amazon KMS. Il processo di crittografia, gestione delle chiavi e decrittazione viene ispezionato e verificato internamente da Amazon su base regolare come parte del processo di audit attualmente in vigore. Le chiavi gestite da Atlassian vengono utilizzate a rotazione in base alle modifiche pertinenti dei ruoli o allo stato del rapporto di lavoro. AWS KMS Service è conforme a SOC 1, SOC 2, SOC 3. Per maggiori informazioni, vedi: https://aws.amazon.com/it/kms/ |
|
| 6.04.04. (c) | Sono previste procedure specifiche in caso di compromissione di una chiave? Ad esempio, elenchi di revoca delle chiavi. | Atlassian mantiene procedure documentate di gestione delle chiavi per la nostra infrastruttura Cloud. Le chiavi di crittografia per gli allegati Amazon, archiviate in S3, sono gestite da Amazon KMS. Il processo di crittografia, gestione delle chiavi e decrittazione viene ispezionato e verificato internamente da Amazon su base regolare come parte del processo di audit attualmente in vigore. Le chiavi gestite da Atlassian vengono utilizzate a rotazione in base alle modifiche pertinenti dei ruoli o allo stato del rapporto di lavoro. AWS KMS Service è conforme a SOC 1, SOC 2, SOC 3. Per maggiori informazioni, vedi: https://aws.amazon.com/it/kms/ |
|
| 6.04.04. (d) | La revoca delle chiavi è in grado di risolvere i problemi di simultaneità per più siti? | Atlassian mantiene procedure documentate di gestione delle chiavi per la nostra infrastruttura Cloud. Le chiavi di crittografia per gli allegati Amazon, archiviate in S3, sono gestite da Amazon KMS. Il processo di crittografia, gestione delle chiavi e decrittazione viene ispezionato e verificato internamente da Amazon su base regolare come parte del processo di audit attualmente in vigore. Le chiavi gestite da Atlassian vengono utilizzate a rotazione in base alle modifiche pertinenti dei ruoli o allo stato del rapporto di lavoro. AWS KMS Service è conforme a SOC 1, SOC 2, SOC 3. Per maggiori informazioni, vedi: https://aws.amazon.com/it/kms/ |
|
| 6.04.04. (e) | Le immagini del sistema del cliente sono protette o crittografate? | Atlassian utilizza la versione 1.2 dello standard di settore Transport Layer Security ("TLS") per creare una connessione sicura tramite la crittografia Advanced Encryption Standard ("AES") a 256 bit. I server che contengono dati degli utenti utilizzano la crittografia completa del disco AES standard del settore. I dati del tenant sono crittografati all'interno dei backup AWS RDS o RDS e sono anche crittografati nell'archivio a lungo termine (S3) e in tutti gli allegati. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices#encryption-and-key-management |
Crittografia | |||
| | 6.04.05. (a) | La crittografia può essere utilizzata in più punti: dove viene utilizzata?
| Atlassian rispetta le policy di crittografia e codifica e le relative linee guida di implementazione. Questa policy viene rivista e aggiornata ogni anno in linea con il nostro Policy Management Program (PMP). Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-management-program . |
|
| 6.04.05. (b) | Esiste una policy ben definita per ciò che deve essere crittografato e ciò che non deve essere crittografato? | Atlassian rispetta le policy di crittografia e codifica e le relative linee guida di implementazione. Questa policy viene rivista e aggiornata ogni anno in linea con il nostro Policy Management Program (PMP). Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-management-program |
|
| 6.04.05. (d) | Chi ha le chiavi di accesso? | Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza. |
|
| 6.04.05. (e) | Come vengono protette le chiavi? | Atlassian utilizza AWS Key Management Service (KMS) per la gestione delle chiavi. Il processo di crittografia, decrittografia e gestione delle chiavi viene ispezionato e verificato internamente da AWS su base regolare nell'ambito dei processi di convalida interni esistenti. A ogni chiave viene assegnato un responsabile, con il compito di verificare che alle chiavi venga applicato il livello appropriato di controlli di sicurezza. |
Autenticazione | |||
|
| 6.04.06. (a) | Quali forme di autenticazione vengono utilizzate per le operazioni che richiedono un'elevata sicurezza? Ciò può includere l'accesso alle interfacce di gestione, la creazione di chiavi, l'accesso a più account utente, la configurazione del firewall, l'accesso remoto, ecc.
| Seguiamo le linee guida delineate nella pubblicazione speciale 800-63B del NIST. Vedi: https://pages.nist.gov/800-63-3/sp800-63b.html |
Compromissione o furto delle credenziali | |||
| | 6.04.07. (a) | È disponibile un servizio di rilevamento delle anomalie (ovvero la capacità di individuare traffico IP e comportamenti degli utenti o del team di supporto insoliti e potenzialmente dannosi)? Ad esempio, analisi degli accessi falliti e riusciti, dell'ora del giorno insolita e degli accessi multipli, ecc. | La piattaforma Atlassian Cloud dispone di un'area molto ridotta esposta ai firewall. Le regole dei firewall vengono riviste su base periodica. Abbiamo distribuito IDS nei nostri uffici e nel nostro ambiente di cloud hosting. Per la piattaforma Atlassian Cloud, l'inoltro dei log si integra con una piattaforma di analisi della sicurezza. A livello di container della piattaforma Cloud, l'integrità dei file viene mantenuta in quanto le istanze non sono modificabili. Atlassian Network Engineering utilizza tecnologie IPS integrate nei nostri firewall e abbiamo implementato tecnologie IDS nei nostri uffici e negli ambienti cloud. Le capacità DDoS sono fornite dal nostro fornitore/gestore di servizi Internet. |
|
| 6.04.07. (b) | Quali disposizioni esistono in caso di furto delle credenziali di un cliente (rilevamento, revoca, prove delle azioni)? | Nel contesto dei servizi Atlassian Cloud, i nostri clienti possono essere responsabili di alcuni o di tutti gli aspetti della gestione degli accessi per gli utenti dei servizi sotto il loro controllo.
In base a questa policy, Atlassian mantiene un piano di risposta agli imprevisti di sicurezza. Per ulteriori informazioni sulla nostra procedura di risposta agli imprevisti di sicurezza, vedi: https://www.atlassian.com/trust/security/security-incident-management |
Sistemi di gestione delle identità e degli accessi offerti al cliente Cloud | |||
|
| 6.04.08. | Le seguenti domande si applicano ai sistemi di gestione delle identità e degli accessi offerti dal provider cloud per l'uso e il controllo da parte del cliente cloud. |
|
Sistemi di gestione delle identità e degli accessi offerti al cliente Cloud | |||
|
| 6.04.08.01. (a) | Il sistema consente un'infrastruttura IDM federata che sia interoperabile sia per i sistemi ad alta affidabilità (sistemi OTP, dove richiesto) che a bassa affidabilità (ad es. Nome utente e password)? | Atlassian Access supporta gli standard di federazione delle identità tra i nostri prodotti Atlassian (Confluence, Jira, Jira Align, Bitbucket, ecc.). Sincronizza automaticamente Active Directory e Atlassian con Okta, Azure o Onelogin. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/enterprise/cloud/access. Configurazione SSO specifica del prodotto (SAML v2.0 generico, Google, Okta, OneLogin, PingIdentity, ADFS):
|
|
| 6.04.08.01. (b) | Il provider cloud è interoperabile con provider di identità di terze parti? | I clienti Atlassian possono utilizzare il provider terzo di identità che preferiscono, purché sia supportato da Atlassian. Una pagina dell'Assistenza Atlassian descrive in dettaglio queste funzionalità e come connettere il provider di identità scelto. Vedi: https://support.atlassian.com/provisioning-users/docs/supported-identity-providers/ |
|
| 6.04.08.01. (c) | C'è la possibilità di incorporare il Single Sign-On? | Atlassian supporta l'utilizzo delle identità Google, Microsoft e Apple per l'autenticazione della maggior parte dei prodotti. Supportiamo anche SAML per i nostri servizi Atlassian Cloud tramite Atlassian Access. Vedi: https://www.atlassian.com/enterprise/cloud/access. |
Controllo dell'accesso | |||
|
| 6.04.08.02. (a) | Il sistema di credenziali del cliente consente la separazione di ruoli e responsabilità e per più domini (o un'unica chiave per più domini, ruoli e responsabilità)? | Atlassian è un'applicazione SaaS multi-tenant. La multi-tenancy è una funzionalità chiave di Atlassian Cloud che consente a più clienti di condividere un'istanza del livello applicativo Jira o Confluence, isolando al contempo i dati dell'applicazione di ogni tenant del cliente. Atlassian Cloud realizza questo obiettivo tramite il Tenant Context Service (TCS). Ogni ID utente è associato esattamente a un tenant, che viene poi utilizzato per accedere alle applicazioni Atlassian Cloud. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices#tenant-isolation |
|
| 6.04.08.02. (b) | Come gestisci l'accesso alle immagini del sistema del cliente e ti assicuri che le chiavi di autenticazione e crittografia non siano contenute in tali immagini? | Il nostro team di supporto globale mantiene un account su tutti i sistemi e le applicazioni in hosting ai fini della manutenzione e del supporto. Questo team accede alle applicazioni e ai dati in hosting esclusivamente allo scopo di monitorare lo stato delle applicazioni ed eseguire la manutenzione di sistemi o applicazioni e su richiesta del cliente tramite il nostro sistema di supporto. |
Autenticazione | | | |
|
| 6.04.08.03. (a) | In che modo il provider di servizi cloud si identifica con il cliente, ad esempio esiste un'autenticazione reciproca?
| Atlassian utilizza l'autenticazione reciproca per identificarsi con il cliente. La documentazione dell'API Atlassian è disponibile all'indirizzo: https://developer.atlassian.com/cloud/. Atlassian Service Authentication Protocol (ASAP) è un protocollo di autenticazione service-to-service che utilizza un token di accesso implementato utilizzando JSON Web Token (JWT) e firmato utilizzando una chiave RSA da un'autorità affidabile di Atlassian. Per saperne di più, vedi Atlassian Service Authentication Protocol. Non utilizziamo le nozioni tradizionali di «account di servizio», ma ci affidiamo all'autenticazione e all'autorizzazione service-to-service. |
|
| 6.04.08.03. (b) | Supporti un meccanismo federato per l'autenticazione? | Atlassian Access supporta gli standard di federazione delle identità tra i nostri prodotti Atlassian (Confluence, Jira, Jira Align, Bitbucket, ecc.). Sincronizza automaticamente Active Directory e Atlassian con Okta, Azure o Onelogin. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/enterprise/cloud/access. Configurazione SSO specifica del prodotto (SAML v2.0 generico, Google, Okta, OneLogin, PingIdentity, ADFS):
|
Gestione delle risorse | |||
|
| 6.05. | È importante assicurarsi che il provider mantenga un elenco aggiornato delle risorse hardware e software (applicazioni) sotto il controllo dei provider di servizi cloud. Ciò consente di verificare che tutti i sistemi dispongano dei controlli appropriati e che i sistemi non possano essere utilizzati come backdoor nell'infrastruttura. |
|
|
| 6.05. (a) | Il fornitore dispone di un mezzo automatizzato per l'inventario di tutte le risorse, facilitando così una gestione appropriata? | I nostri sistemi di produzione si trovano in un'infrastruttura ottenuta tramite fornitori di servizi cloud. Questi sistemi non sono tracciati a livello hardware a causa della natura del servizio. I microservizi sottostanti su cui vengono eseguiti i nostri prodotti sono tracciati in un database «Service» personalizzato. Questo database viene aggiornato automaticamente quando si distribuisce un servizio. |
|
| 6.05. (b) | Esiste un elenco di risorse che il cliente ha utilizzato in un determinato periodo di tempo? | Atlassian è un'applicazione SaaS multi-tenant. La multi-tenancy è una funzionalità chiave di Atlassian Cloud che consente a più clienti di condividere un'istanza del livello applicativo Jira o Confluence, isolando al contempo i dati dell'applicazione di ogni tenant del cliente. Atlassian Cloud realizza questo obiettivo tramite il Tenant Context Service (TCS). Ogni ID utente è associato esattamente a un tenant, che viene poi utilizzato per accedere alle applicazioni Atlassian Cloud. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices#tenant-isolation |
|
|
| Le seguenti domande devono essere utilizzate laddove il cliente finale stia distribuendo dati che richiederebbero una protezione aggiuntiva (ad es. Ritenuto sensibile). |
|
|
| 6.05. (c) | Le risorse sono classificate in termini di sensibilità e criticità?
| Atlassian mantiene una valutazione a 4 livelli sulle nostre risorse e sui nostri servizi, con requisiti di uptime, livello di servizio e continuità stabiliti per livello. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/data-management. |
Portabilità di dati e servizi | |||
|
| 6.06. | Questa serie di domande dovrebbe essere presa in considerazione per comprendere i rischi legati al vincolo del fornitore. |
|
|
| 6.06. (a) | Esistono procedure e API documentate per l'esportazione dei dati dal cloud? | I dati dei clienti sono disponibili tramite app Web e API. I dettagli per prodotti specifici sono riportati di seguito.
|
|
| 6.06. (b) | Il fornitore fornisce formati di esportazione interoperabili per tutti i dati archiviati nel cloud? | Atlassian facilita le richieste da parte dei clienti di esportazione dei dati ospitati su prodotti Atlassian. Sono disponibili solidi strumenti di portabilità e di gestione dei dati per l'esportazione dei dati di prodotti e utenti. Per ulteriori informazioni sull'esportazione dei dati di Atlassian Cloud, consulta la nostra documentazione di importazione ed esportazione qui: https://support.atlassian.com/security-and-access-policies/docs/track-storage-and-move-data-across-products/. |
|
| 6.06. (c) | Nel caso del SaaS, le interfacce API utilizzate sono standardizzate? | I dettagli sulle nostre API Atlassian Cloud sono disponibili all'indirizzo: https://developer.atlassian.com/explore-the-apis/
|
|
| 6.06. (d) | Esistono disposizioni per l'esportazione di applicazioni create dagli utenti in un formato standard? | Non applicabile poiché Atlassian utilizza un modello Software as a Service (SaaS). |
|
| 6.06. (e) | Esistono processi per verificare che i dati possano essere esportati su un altro provider cloud, ad esempio se il cliente desidera cambiare fornitore? | Atlassian facilita le richieste da parte dei clienti di esportazione dei dati ospitati su prodotti Atlassian. Sono disponibili solidi strumenti di portabilità e di gestione dei dati per l'esportazione dei dati di prodotti e utenti. Per ulteriori informazioni sull'esportazione dei dati di Atlassian Cloud, consulta la nostra documentazione di importazione ed esportazione qui: https://support.atlassian.com/security-and-access-policies/docs/track-storage-and-move-data-across-products/. |
|
| 6.06. (f) | Il cliente può eseguire l'estrazione dei dati per verificare che il formato sia universale e possa essere migrato su un altro provider di cloud? | Atlassian facilita le richieste da parte dei clienti di esportazione dei dati ospitati su prodotti Atlassian. Sono disponibili solidi strumenti di portabilità e di gestione dei dati per l'esportazione dei dati di prodotti e utenti. Per ulteriori informazioni sull'esportazione dei dati di Atlassian Cloud, consulta la nostra documentazione di importazione ed esportazione qui: https://support.atlassian.com/security-and-access-policies/docs/track-storage-and-move-data-across-products/. |
Gestione della continuità aziendale | |||
|
| 6.07. | Fornire continuità è importante per un'organizzazione. Sebbene sia possibile stabilire accordi sul livello di servizio che specifichino il periodo minimo di tempo in cui i sistemi sono disponibili, rimangono una serie di considerazioni aggiuntive. |
|
|
| 6.07. (a) | Il provider mantiene un metodo documentato con i dettagli dell'impatto di un'interruzione?
| Sono in vigore una politica di continuità aziendale e ripristino di emergenza e un piano di continuità aziendale e ripristino di emergenza che vengono rivisti su base annuale dal comitato direttivo per la continuità aziendale e il ripristino di emergenza. Per ulteriori informazioni (anche relative a RPO, RTO e resilienza tramite l'uso delle zone di disponibilità), vedi: https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management e https://www.atlassian.com/trust/security/data-management. |
|
| 6.07. (b) | Il fornitore ha classificato la priorità per il ripristino e quale sarebbe la nostra priorità relativa (il cliente finale) da ripristinare? Nota: questa può essere una categoria (HIGH/MED/LOW). | I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza. I piani BCDR vengono testati trimestralmente e tutti i problemi identificati vengono risolti. Per maggiori informazioni, vedi: https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management e https://www.atlassian.com/trust/security/data-management. |
|
| 6.07. (c) | Quali dipendenze esistono che sono rilevanti per il processo di ripristino? Includi fornitori e partner di outsourcing. | Atlassian ha una procedura e un registro delle azioni di ripristino dei dati. Ad alto livello, queste informazioni sono contenute nel nostro standard di backup interno e nella politica di continuità aziendale e ripristino di emergenza. Tuttavia, per ogni servizio Atlassian, abbiamo vari documenti interni che includono runbook, programmazioni e procedure per i ripristini avviati dai clienti e i ripristini avviati da Atlassian. |
|
| 6.07. (d) | Nel caso in cui il sito primario non sia disponibile, qual è la distanza minima per l'ubicazione del sito secondario? | I nostri partner dispongono di diverse certificazioni di conformità per i propri data center, che riguardano la sicurezza fisica e ambientale, la disponibilità dei sistemi, l'accesso alla rete e al backbone IP, il provisioning degli utenti e la gestione dei problemi. L'accesso ai data center è limitato al personale autorizzato e controllato mediante misure di verifica biometrica dell'identità. Le misure di sicurezza fisiche includotrapno: presenza di personale di sorveglianza on-premise, monitoraggio video a circuito chiuso, mantrap e ulteriori misure di protezione contro le intrusioni. Le informazioni sulla garanzia della protezione fisica di AWS sono disponibili all'indirizzo: http://aws.amazon.com/compliance/ |
Risposta e gestione degli imprevisti | |||
|
| 6.07.01. | La gestione e la risposta agli imprevisti fanno parte della gestione della continuità aziendale. L'obiettivo di questo processo è contenere l'impatto di eventi imprevisti e che possono causare interruzioni a un livello accettabile per un'organizzazione. Per valutare la capacità di un'organizzazione di ridurre al minimo la probabilità che si verifichi un imprevisto di sicurezza delle informazioni o di ridurne l'impatto negativo, è necessario porre le seguenti domande a un fornitore di servizi cloud: |
|
|
| 6.07.01. (a) | Il fornitore dispone di una procedura formale per rilevare, identificare, analizzare e rispondere agli imprevisti? | Abbiamo una politica e un piano documentati di risposta agli imprevisti di sicurezza, i cui principi chiave includono:
In base a questa policy, Atlassian mantiene un piano di risposta agli imprevisti di sicurezza. Per ulteriori informazioni sulla nostra procedura di risposta agli imprevisti di sicurezza, vedi: https://www.atlassian.com/trust/security/security-incident-management I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo. Ulteriori informazioni sul nostro programma di rilevamento sono disponibili alla pagina: https://www.atlassian.com/trust/security/detections-program |
|
| 6.07.01. (b) | Questo processo è stato provato per verificare che i processi di gestione degli imprevisti siano efficaci? Il provider garantisce inoltre, durante le prove, che tutti i membri dell'organizzazione di supporto del provider di cloud siano a conoscenza del processo e del proprio ruolo durante la gestione degli imprevisti (sia durante l'incidente che dopo l'analisi)? | Per i nostri servizi Atlassian Cloud, i piani di continuità aziendale e ripristino di emergenza vengono testati almeno trimestralmente. La disponibilità in più regioni viene monitorata in tempo reale. I test automatici di failover regionale vengono eseguiti ogni settimana nell'ambiente di preproduzione. I test automatici di ripristino dei dati di configurazione vengono eseguiti quotidianamente in produzione. Tutti i servizi Atlassian eseguono test di resilienza della zona di disponibilità nell'ambiente di preproduzione ogni trimestre. Per ulteriori informazioni sul nostro programma di continuità aziendale, vedi: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e |
|
| 6.07.01. (c) | Come sono strutturate le funzionalità di rilevamento?
| La piattaforma Atlassian Cloud dispone di una superficie molto ridotta esposta ai firewall. Le regole dei firewall vengono riviste su base periodica. Abbiamo distribuito l'IDS nei nostri uffici e nel nostro ambiente di cloud hosting. Per la piattaforma Atlassian Cloud, l'inoltro dei log si integra con una piattaforma di analisi della sicurezza. A livello di container della piattaforma Cloud, l'integrità dei file viene mantenuta in quanto le istanze non sono modificabili. Atlassian Network Engineering utilizza tecnologie IPS integrate nei nostri firewall e abbiamo implementato tecnologie IDS nei nostri uffici e negli ambienti cloud. Le funzionalità DDoS sono fornite dal nostro fornitore/gestore di servizi Internet. Ulteriori informazioni sul nostro programma di rilevamento sono disponibili alla pagina: https://www.atlassian.com/trust/security/detections-program I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo. Atlassian limita la capacità di visualizzare e leggere i log di controllo al personale autorizzato sulla nostra piattaforma di registrazione centralizzata. Atlassian gestisce anche canali di segnalazione esterni attraverso i quali può venire a conoscenza di vulnerabilità o imprevisti, tra cui il programma Bug Bounty, il portale di assistenza clienti nonché caselle e-mail e numeri di telefono sicuri. Inoltre, incoraggia i clienti a segnalare qualsiasi accesso non autorizzato o comportamento dannoso. Per saperne di più: https://www.atlassian.com/trust/security/security-incident-management and https://www.atlassian.com/trust/security/security-incident-responsibilities. |
|
| 6.07.01. (d) | Come vengono definiti i livelli di gravità? | Atlassian utilizza il Common Vulnerability Scoring System (CVSS) come metodo per valutare il rischio per la sicurezza e stabilire le priorità per ciascuna vulnerabilità scoperta. I livelli di sicurezza utilizzati si basano sul punteggio CVSS calcolato automaticamente da Atlassian, cioè:
Per maggiori dettagli, incluso quali intervalli di punteggi determinano la gravità, consulta: https://www.atlassian.com/trust/security/security-severity-levels. |
|
| 6.07.01. (e) | Come vengono definite le procedure di escalation? Quando e se viene coinvolto il cliente Cloud? | Abbiamo una politica e un piano documentati di risposta agli imprevisti di sicurezza, i cui principi chiave includono:
In base a questa policy, Atlassian gestisce un programma di risposta agli imprevisti di sicurezza. Per ulteriori informazioni sulla nostra procedura di risposta agli imprevisti di sicurezza, vedi: https://www.atlassian.com/trust/security/security-incident-management Atlassian capisce quanto sia importante per te essere informato tempestivamente di qualsiasi violazione dei dati. Ecco perché Atlassian ha creato un team e un processo interfunzionali completi per gestire gli imprevisti di sicurezza, come descritto qui: https://www.atlassian.com/trust/security/security-incident-management Atlassian ha una solida esperienza nella notifica tempestiva e proattiva degli imprevisti e nella collaborazione con i suoi clienti su tutte le mitigazioni necessarie. Poiché è fondamentale che i team di risposta agli imprevisti di sicurezza di Atlassian si concentrino immediatamente sulla valutazione e sulla mitigazione di un imprevisto man mano che evolve, non possiamo garantire una timeline di 72 ore. Offriamo invece una notifica ai clienti "senza ritardo indebito", che segue il requisito legale previsto dal GDPR per i responsabili del trattamento dei dati, che soddisfa le esigenze legali della maggior parte dei nostri clienti. Gli imprevisti possono variare da semplici a incredibilmente complessi, quindi, sebbene possiamo offrire ciò che è necessario per legge, non possiamo concordare una timeline "valida per tutti". |
|
| 6.07.01. (f) | Come vengono documentati gli imprevisti e raccolte le prove? | I ticket Jira vengono creati per finalità di monitoraggio e correzione, e le date di scadenza sono assegnate in conformità al nostro SLO in base sia alla gravità che all'origine della vulnerabilità. Disponiamo di un processo continuo che ci consente di inviare ticket per le vulnerabilità identificate ai responsabili dei sistemi e il nostro team di gestione della sicurezza esamina tutte le vulnerabilità segnalate e garantisce che vengano intraprese le opportune contromisure. |
|
| 6.07.01. (g) | Oltre all'autenticazione, alla contabilità e all'audit, quali altri controlli vengono attuati per prevenire (o ridurre al minimo l'impatto di) attività dannose da parte degli addetti ai lavori? | Atlassian ha distribuito l'IDS nei nostri uffici e nel nostro ambiente di cloud hosting. Per la piattaforma Atlassian Cloud, l'inoltro dei log si integra con una piattaforma di analisi della sicurezza. I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. Ulteriori informazioni sul nostro programma di rilevamento sono disponibili alla pagina: https://www.atlassian.com/trust/security/detections-program |
|
| 6.07.01. (h) | Il provider raccoglie metriche e indicatori degli imprevisti (ad esempio, numero di imprevisti rilevati o segnalati al mese, numero di imprevisti causati dai subappaltatori del provider del cloud e numero totale di tali imprevisti, tempo medio di risposta e risoluzione ecc.)?
| Al momento, non rendiamo pubbliche le nostre metriche interne, ma condividiamo le azioni successive all'imprevisto per quelli operativi Sev 0 o Sev 1 sulla nostra Statuspage, vedi: https://status.atlassian.com/. |
|
| 6.07.01. (j) | Con che frequenza il provider testa i programmi di ripristino di emergenza e continuità aziendale? | Per i nostri servizi Atlassian Cloud, i programmi di continuità aziendale e ripristino di emergenza vengono testati almeno trimestralmente. La disponibilità in più regioni viene monitorata in tempo reale. I test automatici di failover regionale vengono eseguiti ogni settimana nell'ambiente di pre-produzione. I test automatici di ripristino dei dati di configurazione vengono eseguiti quotidianamente in produzione. Tutti i servizi Atlassian eseguono test di resilienza della zona di disponibilità nell'ambiente di pre-produzione ogni trimestre. Per ulteriori informazioni sul nostro programma di continuità aziendale, vedi: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e |
|
| 6.07.01. (k) | Il provider raccoglie dati sui livelli di soddisfazione rispetto agli SLA? | Monitoriamo tutte le istanze Cloud per prestazioni e disponibilità, ma al momento non offriamo uno SLA formale sulla disponibilità delle applicazioni. Il nostro team di assistenza fornisce uno SLA iniziale sui tempi di risposta e, sebbene non abbiamo uno SLA ufficiale per la risoluzione dell'assistenza, il nostro obiettivo interno è risolvere tutti i casi assegnati entro 48 ore. Atlassian mostra le statistiche dell'ultimo stato del nostro sistema Cloud qui: https://status.atlassian.com. |
|
| 6.07.01. (l) | Il provider effettua test di help desk? Ad esempio:
| Atlassian fornisce corsi di formazione in materia di sicurezza delle informazioni come elemento della formazione di onboarding ("giorno 1") per starter e su base continuativa per tutto il personale. |
|
| 6.07.01. (m) | Il provider effettua test di penetrazione? Con quale frequenza? Cosa viene effettivamente testato durante il test di penetrazione? Ad esempio, viene testato l'isolamento di sicurezza di ogni immagine per garantire che non sia possibile "scappare" da un'immagine in un'altra e anche accedere all'infrastruttura host? I test dovrebbero anche verificare se è possibile accedere, tramite l'immagine virtuale, ai sistemi di gestione e assistenza dei provider cloud (ad esempio, i sistemi di provisioning e controllo degli accessi amministrativi). | Abbiamo un Red Team interno che conduce continue operazioni per i test di penetrazione su tutta la nostra infrastruttura, i servizi cloud e gli individui. |
|
| 6.07.01. (n) | Il provider effettua test di vulnerabilità? Con quale frequenza? | Il nostro team della sicurezza di Atlassian esegue regolarmente scansioni di vulnerabilità di rete dell'infrastruttura interna ed esterna utilizzando uno scanner di vulnerabilità riconosciuto dal settore. Per ulteriori informazioni sul nostro programma di gestione delle vulnerabilità, vedi: https://www.atlassian.com/trust/security/vulnerability-management. |
|
| 6.07.01. (o) | Qual è il processo per correggere le vulnerabilità (correzioni rapide, riconfigurazione, aggiornamento a versioni successive del software ecc.)? | I ticket Jira vengono creati per finalità di monitoraggio e correzione, e le date di scadenza sono assegnate in conformità al nostro SLO in base sia alla gravità che all'origine della vulnerabilità. Disponiamo di un processo continuo che ci consente di inviare ticket per le vulnerabilità identificate ai responsabili dei sistemi e il nostro team di gestione della sicurezza esamina tutte le vulnerabilità segnalate e garantisce che vengano intraprese le opportune contromisure. |
Sicurezza fisica | |||
|
| 6.08. | Per quanto riguarda la sicurezza del personale, molti dei potenziali problemi sorgono perché l'infrastruttura IT è sotto il controllo di terse parti: come per l'esternalizzazione tradizionale, l'effetto di una violazione della sicurezza fisica può avere un impatto su più clienti (organizzazioni). |
|
|
| 6.08. (a) | Quale garanzia fornisci al cliente in merito alla sicurezza fisica della posizione? Fornire esempi ed eventuali standard rispettati, ad esempio, sezione 9 della ISO 27001/2. | I controlli di sicurezza fisica nei nostri uffici sono guidati dalla nostra policy di sicurezza fisica e ambientale che garantisce l'implementazione di una solida sicurezza fisica nei nostri ambienti on-premise e nel cloud. |
|
| 6.08. (a) (i) | Chi, oltre al personale IT autorizzato, ha accesso (fisico) senza accompagnamento all'infrastruttura IT?
| I nostri uffici Atlassian si basano sulla nostra policy interna di sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e uscita. Abbiamo pubblicato estratti di tutte le nostre operazioni tecnologiche interne e delle policy di sicurezza all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies |
|
| 6.08. (a) (ii) | Con che frequenza vengono esaminati i diritti di accesso?
| Atlassian valuta le prestazioni e l'efficacia del suo ISMS utilizzando metriche adeguate. Monitoriamo le prestazioni dell'Atlassian Trust Management System (ATMS) e i controlli pertinenti tramite revisioni di audit interne ed esterne. Il team di conformità di Atlassian gestisce sia la programmazione di audit di idoneità interni sia quella di audit esterni, che sono documentati internamente nella nostra pagina dedicata all'audit delle roadmap. Gli audit interni sono incentrati sulle aree ad alto rischio di Atlassian e vengono svolti a cadenza regolare secondo programmazioni predeterminate e in base all'Enterprise Audit Schedule concordato tra il team addetto alla valutazione dei rischi e alla conformità e il team di audit interno. Al momento, non rendiamo pubbliche le nostre metriche interne. L'ATMS viene valutato con cadenza annuale da terze parti indipendenti e anche in seguito a modifiche significative. Atlassian ha ottenuto le certificazioni SOC2, ISO27001 e ISO27018 per i nostri servizi cloud principali. Inoltre, Atlassian monitora ciascuno dei pilastri dell'ATMS mediante riunioni periodiche di revisione operativa che includono metriche specifiche per ciascuno. Ciò include revisioni settimanali dello stato di conformità dell'ATMS e altre riunioni documentate internamente nelle pagine ATMS: analisi dello stato di conformità e Note della riunione. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/compliance. |
|
| 6.08. (a) (iii) | Valuti regolarmente i rischi per la sicurezza e i perimetri?
| Atlassian valuta le prestazioni e l'efficacia del suo ISMS utilizzando metriche adeguate. Monitoriamo le prestazioni dell'Atlassian Trust Management System (ATMS) e i controlli pertinenti tramite revisioni di audit interne ed esterne. Il team di conformità di Atlassian gestisce sia la programmazione di audit di idoneità interni sia quella di audit esterni, che sono documentati internamente nella nostra pagina dedicata all'audit delle roadmap. Gli audit interni sono incentrati sulle aree ad alto rischio di Atlassian e vengono svolti a cadenza regolare secondo programmazioni predeterminate e in base all'Enterprise Audit Schedule concordato tra il team addetto alla valutazione dei rischi e alla conformità e il team di audit interno. Al momento, non rendiamo pubbliche le nostre metriche interne. L'ATMS viene valutato con cadenza annuale da terze parti indipendenti e anche in seguito a modifiche significative. Atlassian ha ottenuto le certificazioni SOC2, ISO27001 e ISO27018 per i nostri servizi cloud principali. Inoltre, Atlassian monitora ciascuno dei pilastri dell'ATMS mediante riunioni periodiche di revisione operativa che includono metriche specifiche per ciascuno. Ciò include revisioni settimanali dello stato di conformità dell'ATMS e altre riunioni documentate internamente nelle pagine ATMS: analisi dello stato di conformità e Note della riunione. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/compliance. |
|
| 6.08. (a) (iv) | Esegui valutazioni regolari dei rischi che includono, per esempio, gli edifici vicini? | Atlassian valuta le prestazioni e l'efficacia del suo ISMS utilizzando metriche adeguate. Monitoriamo le prestazioni dell'Atlassian Trust Management System (ATMS) e i controlli pertinenti tramite revisioni di audit interne ed esterne. Il team di conformità di Atlassian gestisce sia la programmazione di audit di idoneità interni sia quella di audit esterni, che sono documentati internamente nella nostra pagina dedicata all'audit delle roadmap. Gli audit interni sono incentrati sulle aree ad alto rischio di Atlassian e vengono svolti a cadenza regolare secondo programmazioni predeterminate e in base all'Enterprise Audit Schedule concordato tra il team addetto alla valutazione dei rischi e alla conformità e il team di audit interno. Al momento, non rendiamo pubbliche le nostre metriche interne. L'ATMS viene valutato con cadenza annuale da terze parti indipendenti e anche in seguito a modifiche significative. Atlassian ha ottenuto le certificazioni SOC2, ISO27001 e ISO27018 per i nostri servizi cloud principali. Inoltre, Atlassian monitora ciascuno dei pilastri dell'ATMS mediante riunioni periodiche di revisione operativa che includono metriche specifiche per ciascuno. Ciò include revisioni settimanali dello stato di conformità dell'ATMS e altre riunioni documentate internamente nelle pagine ATMS: analisi dello stato di conformità e Note della riunione. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/compliance. |
|
| 6.08. (a) (v) | Controlli o monitori il personale (comprese le terze parti) che accede alle aree sicure? | I nostri uffici Atlassian si basano sulla nostra policy interna di sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e uscita. Abbiamo pubblicato estratti di tutte le nostre operazioni tecnologiche interne e delle policy di sicurezza all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies |
|
| 6.08. (a) (vi) | Quali sono le policy o le procedure per il carico, lo scarico e l'installazione delle apparecchiature? | Negli uffici di Atlassian, le banchine di carico sono isolate dalle aree di lavoro e sono costantemente monitorate dalle telecamere a circuito chiuso e dal personale dell'edificio. I nostri partner di hosting dei data center gestiscono la sicurezza fisica e ci affidiamo alle loro certificazioni di conformità per convalidare l'efficacia dei controlli. |
|
| 6.08. (a) (vii) | Le consegne vengono ispezionate per individuare eventuali rischi prima dell'installazione? | Negli uffici di Atlassian, le banchine di carico sono isolate dalle aree di lavoro e sono costantemente monitorate dalle telecamere a circuito chiuso e dal personale dell'edificio. I nostri partner di hosting dei data center gestiscono la sicurezza fisica e ci affidiamo alle loro certificazioni di conformità per convalidare l'efficacia dei controlli. |
|
| 6.08. (a) (viii) | Esiste un inventario fisico aggiornato degli articoli presenti nel data center? | Un estratto della nostra politica di gestione delle risorse è disponibile all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies. Atlassian mantiene un inventario di tutte le risorse di produzione e dei loro proprietari. Tutti i nostri sistemi si trovano in data center basati su AWS non tracciati a livello hardware a causa della natura del servizio. |
|
| 6.08. (a) (ix) | I cavi di rete attraversano le aree di accesso pubblico?
| I nostri uffici Atlassian si basano sulla nostra policy interna di sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e uscita. Abbiamo pubblicato estratti di tutte le nostre operazioni tecnologiche interne e delle policy di sicurezza all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies |
|
| 6.08. (a) (x) | Esegui regolarmente ispezioni nei locali per verificare che non vi siano apparecchiature non autorizzate? | Un estratto della nostra politica di gestione delle risorse è disponibile all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies. Atlassian mantiene un inventario di tutte le risorse di produzione e dei loro proprietari. Tutti i nostri sistemi si trovano in data center basati su AWS non tracciati a livello hardware a causa della natura del servizio. |
|
| 6.08. (a) (xi) | Utilizzi apparecchiature off-site?
| Un estratto della nostra politica di gestione delle risorse è disponibile all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies. Atlassian mantiene un inventario di tutte le risorse di produzione e dei loro proprietari. Tutti i nostri sistemi si trovano in data center basati su AWS non tracciati a livello hardware a causa della natura del servizio. |
|
| 6.08. (a) (xii) | Il personale utilizza apparecchiature portatili (ad es. laptop, smartphone) che possono dare accesso al data center?
| I nostri partner dispongono di diverse certificazioni di conformità per i propri data center, che riguardano la sicurezza fisica, la disponibilità dei sistemi, l'accesso alla rete e al backbone IP, il provisioning degli utenti e la gestione dei problemi. L'accesso ai data center è limitato al personale autorizzato e controllato mediante misure di verifica biometrica dell'identità. Le misure di sicurezza fisiche includono: presenza di personale di sorveglianza on-premise, monitoraggio video a circuito chiuso, mantrap e ulteriori misure di protezione contro le intrusioni. Le informazioni sulla garanzia della protezione fisica di AWS sono disponibili all'indirizzo: http://aws.amazon.com/compliance/ |
|
| 6.08. (a) (xiii) | Quali misure vengono adottate per controllare le schede di accesso? | I nostri uffici Atlassian si basano sulla nostra policy interna di sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e uscita. Abbiamo pubblicato estratti di tutte le nostre operazioni tecnologiche interne e delle policy di sicurezza all'indirizzo: https://www.atlassian.com/trust/security/ismp-policies |
|
| 6.08. (a) (xiv) | Quali sono i processi o le procedure in vigore per distruggere i vecchi supporti o sistemi quando necessario?
| Il team Workplace Technology gestisce questo processo, le apparecchiature vengono disinfettate e smagnetizzate in modo appropriato. Atlassian non gestisce alcun supporto fisico che supporti i nostri prodotti e servizi cloud. |
|
| 6.08. (a) (xv) | Quali sono i processi di autorizzazione in vigore per lo spostamento delle apparecchiature da un sito all'altro?
| I partner di hosting dei data center (AWS) di Atlassian gestiscono la sicurezza fisica e ci affidiamo alla loro certificazione SOC2 per convalidare l'efficacia dei controlli. |
|
| 6.08. (a) (xvi) | Con che frequenza vengono effettuati gli audit delle apparecchiature per verificare che non vengano rimosse senza autorizzazione? | I partner di hosting dei data center (AWS) di Atlassian gestiscono la sicurezza fisica e ci affidiamo alla loro certificazione SOC2 per convalidare l'efficacia dei controlli. |
|
| 6.08. (a) (xvii) | Con che frequenza vengono effettuati i controlli per garantire che l'ambiente sia conforme ai requisiti legali e normativi appropriati? | Il team legale e i team di conformità di Atlassian monitorano i nostri obblighi normativi. Per consultare il nostro Programma legale, visita la pagina: https://www.atlassian.com/legal/. Maggiori informazioni sul nostro programma di conformità sono disponibili all'indirizzo: https://www.atlassian.com/trust/compliance. |
Controlli ambientali | |||
|
| 6.09. (a) | Quali sono le procedure o le policy in vigore per garantire che i problemi ambientali non causino un'interruzione del servizio? | I nostri uffici Atlassian si basano sulla nostra policy interna di sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e uscita. I nostri partner dispongono di diverse certificazioni di conformità per i propri data center, che riguardano la sicurezza fisica, la disponibilità dei sistemi, l'accesso alla rete e al backbone IP, il provisioning degli utenti e la gestione dei problemi. L'accesso ai data center è limitato al personale autorizzato e controllato mediante misure di verifica biometrica dell'identità. Le misure di sicurezza fisiche includono: presenza di personale di sorveglianza on-premise, monitoraggio video a circuito chiuso, mantrap e ulteriori misure di protezione contro le intrusioni. Le informazioni sulla garanzia della protezione fisica di AWS sono disponibili all'indirizzo: http://aws.amazon.com/compliance/ |
|
| 6.09. (b) | Quali metodi usi per prevenire i danni causati da incendi, inondazioni, terremoti, ecc.?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (c) | Monitori la temperatura e l'umidità all'interno del data center?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (d) | Proteggi gli edifici dai fulmini?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (e) | Hai generatori autonomi in caso di interruzione di corrente?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (f) | Le utenze (elettricità, acqua, ecc.) sono in grado di supportare il tuo ambiente?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (g) | Il tuo impianto di climatizzazione è in grado di supportare il tuo ambiente?
| Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (h) | Segui i programmi di manutenzione consigliati dai produttori? | Atlassian si affida a partner di hosting dei dati per convalidare la sicurezza dei data center e i controlli ambientali. Per AWS, vedi https://aws.amazon.com/compliance/programs. |
|
| 6.09. (i) | Permetti solo al personale di manutenzione autorizzato di accedere al sito?
| L'accesso fisico agli uffici è protetto dalla necessità dell'utilizzo del badge elettronico, dalla reception in orario di ufficio con accesso obbligatorio per i visitatori e dalle telecamere a circuito chiuso in tutti i punti di ingresso e uscita dell'edificio. Le banchine di carico sono costantemente monitorate dalle telecamere a circuito chiuso e dal personale dell'edificio. I nostri partner di hosting dei data center gestiscono la sicurezza fisica e ci affidiamo alle loro certificazioni di conformità per convalidare l'efficacia dei controlli. |
|
| 6.09. (j) | I dati vengono rimossi dai dispositivi che vengono mandati in riparazione?
| Il team Workplace Technology gestisce questo processo, le apparecchiature vengono disinfettate e smagnetizzate in modo appropriato. Atlassian non gestisce alcun supporto fisico che supporti i nostri prodotti e servizi cloud. |
Requisiti legali | |||
|
| 6.10. | I clienti reali e potenziali dei fornitori di servizi cloud dovrebbero tenere conto dei rispettivi obblighi nazionali e sovranazionali di conformità ai quadri normativi e garantire che tali obblighi siano adeguatamente rispettati. |
|
|
| 6.10. (a) | In che Paese si trova il fornitore di servizi cloud? | Atlassian ha 12 uffici in 8 Paesi, situati a Sydney, Amsterdam, Ankara, Boston, Bengaluru, San Francisco, Mountain View, Austin (Texas), New York, Manila, Danzica e Yokohama. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/company/contact. |
|
| 6.10. (b) | L'infrastruttura del provider cloud si trova in un unico Paese o in Paesi diversi? | Per Atlassian Cloud, attualmente siamo ospitati in zone di disponibilità AWS ridondanti. Per ulteriori informazioni sulle regioni specifiche, vedi: https://www.atlassian.com/trust/reliability/infrastructure. |
|
| 6.10. (c) | Il provider cloud utilizzerà altre società la cui infrastruttura si trova al di fuori di quella del provider cloud? | I prodotti e i dati Atlassian Cloud sono ospitati su Amazon Web Services (AWS), il provider di servizi cloud leader del settore. I nostri prodotti vengono eseguiti in un ambiente PaaS (Platform as a Service) suddiviso in due insiemi principali di infrastrutture che chiamiamo Micros e non Micros. Jira, Confluence, Statuspage, Access e Bitbucket vengono eseguiti sulla piattaforma Micros, mentre Opsgenie e Trello su quella non Micros. |
|
| 6.10. (d) | Dove saranno collocati fisicamente i dati? | Atlassian utilizza Amazon Web Services (AWS) nelle seguenti località: Stati Uniti occidentali e orientali, Irlanda, Francoforte, Singapore e Sydney (Confluence Jira).
Per ulteriori informazioni sulla residenza dei dati, vedi: https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency/. |
|
| 6.10. (e) | La giurisdizione sulle condizioni contrattuali e sui dati sarà divisa? | La legge predefinita che disciplina il contratto con il cliente Atlassian è la legge della California. Contatta il nostro il team delle vendite Enterprise per maggiori dettagli. |
|
| 6.10. (f) | Qualcuno dei servizi del provider cloud verrà subappaltato all'esterno? | Atlassian lavora con subappaltatori di terzi per fornire servizi come siti web, sviluppo di applicazioni, hosting, manutenzione, backup, archiviazione, infrastruttura virtuale, elaborazione dei pagamenti e analisi. Questi fornitori di servizi possono avere accesso alle informazioni personali identificabili (PII) o elaborarle per svolgere la propria attività. |
|
| 6.10. (g) | Qualcuno dei servizi del provider cloud verrà esternalizzato? | Quando Atlassian coinvolge fornitori terzi, ci assicuriamo che le loro attività non compromettano in alcun modo i nostri clienti o i loro dati. I reparti legali e di approvvigionamento di Atlassian esaminano i contratti, gli SLA e le politiche interne dei fornitori per determinare se questi ultimi soddisfano i requisiti di sicurezza, disponibilità e riservatezza. Per maggiori informazioni, consulta la pagina: https://www.atlassian.com/trust/security/security-practices#supplier-risk-management. |
|
| 6.10. (h) | Come verranno raccolti, elaborati e trasferiti i dati forniti dal cliente e dai clienti del cliente? | Atlassian elabora le informazioni in modo compatibile con gli scopi per i quali sono state raccolte o successivamente autorizzate dall'individuo e, in particolare, in conformità con l'Informativa esterna sulla privacy di Atlassian. |
|
| 6.10. (i) | Cosa succede ai dati inviati al provider di cloud dopo la cessazione del contratto? | Atlassian applica uno standard di conservazione e distruzione dei dati che indica per quanto tempo è tenuta a conservare dati di diversi tipi. I dati sono classificati in linea con la policy sulla sicurezza dei dati e la gestione del ciclo di vita delle informazioni di Atlassian, e i controlli sono implementati in base a quanto previsto da tale policy. Per quanto riguarda i dati dei clienti, al momento della cessazione di un contratto Atlassian, i dati appartenenti a un team addetto ai clienti saranno rimossi dal database di produzione in tempo reale e tutti gli allegati caricati direttamente su Atlassian saranno rimossi entro 14 giorni. I dati del team rimarranno nei backup crittografati fino alla scadenza della finestra di conservazione dei backup di 90 giorni e saranno distrutti in conformità alla policy di conservazione dei dati di Atlassian. Qualora sia necessario eseguire il ripristino del database entro 90 giorni dalla richiesta di eliminazione dei dati, il team delle operazioni provvederà a eliminare di nuovo i dati non appena ragionevolmente possibile dopo il ripristino completo del sistema di produzione live. Per maggiori informazioni, consulta la pagina: https://support.atlassian.com/security-and-access-policies/docs/track-storage-and-move-data-across-products/ |