Ridurre i rischi e le vulnerabilità e condurre periodicamente valutazioni, tecniche e non, in risposta ai cambiamenti ambientali o operativi

Ogni anno eseguiamo una valutazione delle carenze, aggiorniamo la nostra analisi dei rischi per la sicurezza e otteniamo un attestato HIPAA da un'autorità di certificazione indipendente.

Eseguiamo valutazioni del rischio che includono l'identificazione, la valutazione, l'assegnazione, l'accettazione, il risanamento e altre attività di gestione pertinenti per assicurarci di operare nel rispetto della propensione al rischio concordata e dei requisiti legali e normativi pertinenti. Valutiamo continuamente la progettazione di controlli e strategie di mitigazione, suggerendo modifiche anche nell'ambiente di controllo. Manteniamo una matrice di rischi e controlli all'interno del nostro strumento Governance, Risk and Compliance (GRC).

Screening dei precedenti e procedure di cessazione adeguate

I nuovi Atlassiani, a livello globale, sono tenuti a completare un controllo dei precedenti dopo aver accettato un'offerta di lavoro. Una serie completa di controlli dei precedenti viene attivata ed eseguita automaticamente su tutti i nuovi assunti, nonché sugli appaltatori indipendenti.

I nostri dipendenti e appaltatori che hanno accesso a informazioni riservate sono vincolati dai loro contratti di lavoro e dai loro atti di riservatezza a garantire che le responsabilità e gli obblighi in materia di sicurezza delle informazioni rimangano validi dopo la cessazione o il cambio di impiego, nonché dopo la fine dei rapporti contrattuali.

Sanzioni contro i dipendenti

Durante l'onboarding, ogni nuovo dipendente deve prendere atto del Codice di condotta aziendale e della politica etica della nostra azienda e deve completare la formazione di sensibilizzazione alla sicurezza. Vengono applicate sanzioni formali per le persone che non rispettano le policy e le procedure stabilite per la sicurezza delle informazioni.

Autorizzazione all'accesso per i dipendenti che lavorano con ePHI

L'appartenenza al ruolo Active Directory viene assegnata automaticamente in base al reparto e al team di un utente ed è limitata a coloro che necessitano di tale accesso. Se un utente si trasferisce in un altro team, viene generato un avviso che attiva il follow-up e, ove opportuno, la rimozione dell'accesso esistente. I responsabili di sistemi o servizi sono stati designati come approvatori per concedere o modificare l'accesso degli utenti all'interno dei livelli di accesso di Active Directory per diversi sistemi.

L'accesso privilegiato agli ambienti di produzione è limitato esclusivamente agli utenti autorizzati e appropriati.

L'accesso alla nostra rete e ai nostri strumenti interni è limitato agli utenti autorizzati tramite misure di accesso logico. Ogni account utente deve:

• avere un account Active Directory attivo
• far parte del gruppo Active Directory appropriato

Concessione appropriata dell'accesso (base meno privilegiata)

Termine di una sessione dopo un periodo di inattività predeterminato

Le applicazioni desktop e mobili hanno un timeout massimo della sessione utente in base alle nostre procedure operative standard (da 8 a 24 ore per le sessioni desktop, da 30 a 90 giorni per le sessioni mobili).

Sia per gli endpoint macOS che per quelli Windows, viene applicato un salvaschermo con l'obbligo di inserire una password per poterlo sbloccare.

Audit log e rilevamento degli audit (incluso il monitoraggio dei tentativi di accesso)

Conserviamo e proteggiamo i log degli eventi contro perdite o manomissioni. Esaminiamo periodicamente l'accesso ai log. Abbiamo abilitato i log all'interno del nostro ambiente AWS e li abbiamo indirizzati a Splunk. Abbiamo distribuito avvisi automatici per gli eventi AWS e per gli eventi cloud qualificati HIPAA basati su eventi e imprevisti di sicurezza noti e precedenti.

Manteniamo un processo di revisione per ottimizzare i nostri avvisi e rimuovere i falsi positivi. Siamo supportati da un ingegnere dell'automazione dedicato per semplificare il processo di sviluppo e smistamento degli avvisi.

Identificazione e risposta agli imprevisti di sicurezza sospetti o noti. Mitigazione e documentazione degli imprevisti e dei relativi esiti

Insieme al team di sicurezza responsabile del programma, abbiamo implementato un processo di gestione degli imprevisti a livello organizzativo che comprende:

• la registrazione di ogni azione, durante la gestione di un imprevisto, nel sistema di gestione degli imprevisti sotto un ticket. Le registrazioni devono includere:
  • ora di inizio dell'imprevisto
  • descrizione dell'imprevisto
  • gravità
  • servizi interessati
  • impatto
  • numero di clienti interessati
  • causa primaria
  • azioni intraprese
  • SLO interessati (capacità interessate)
• l'associazione dei problemi alla causa sottostante, ove possibile, e/o il raggruppamento in imprevisti principali
• il completamento di una revisione post-imprevisto dopo imprevisti gravi e critici

Identificazione di una persona responsabile dello sviluppo e dell'implementazione del programma di conformità alla sicurezza HIPAA

Abbiamo un responsabile della sicurezza HIPAA dedicato, che comprende le proprie responsabilità, la regola di sicurezza HIPAA e il modo in cui tali requisiti si applicano ai nostri prodotti.

Identificazione di una persona responsabile dello sviluppo e dell'implementazione del programma di conformità alla privacy HIPAA

Abbiamo un responsabile della privacy HIPAA dedicato, che conosce le proprie responsabilità, la regola sulla privacy HIPAA e il modo in cui tali requisiti si applicano ai nostri prodotti.

Formazione di sensibilizzazione degli utenti

Nell'ambito del programma di sensibilizzazione alla sicurezza di Atlassian, tutti i dipendenti sono tenuti a completare la formazione ogni anno. Inoltre, distribuiamo esercizi di sensibilizzazione sulla sicurezza e comunicazioni ad hoc durante tutto l'anno.

Procedure per consentire la continuazione di processi aziendali critici

Abbiamo definito, esaminato e testato procedure per eseguire il ripristino di emergenza. La policy descrive, ad alto livello, lo scopo, gli obiettivi, l'ambito, il tempo massimo di ripristino, l'obiettivo del punto di ripristino e i ruoli/le responsabilità. Testiamo piani formali di continuità aziendale e ripristino di emergenza su base trimestrale. A supporto delle componenti del piano di emergenza, valutiamo annualmente servizi e sistemi per la loro criticità.

Eseguiamo e testiamo backup e ripristini di applicazioni, sistemi e configurazioni associati alle risorse Atlassian in conformità alle nostre procedure operative standard.

I Contratti di società in affari contengono garanzie soddisfacenti che i dati dell'utente saranno adeguatamente protetti da Atlassian e da fornitori di terze parti

Garantiamo che salvaguarderemo adeguatamente le tue informazioni e utilizzeremo o divulgheremo tali informazioni solo come consentito o richiesto ovunque creiamo, riceviamo, manteniamo o trasmettiamo informazioni sanitarie protette per conto tuo. Queste garanzie sono contenute nei Contratti di società in affari con te. Abbiamo creato anche una Guida all'implementazione che fornisce istruzioni ai clienti su come utilizzare e configurare i nostri servizi per garantire anche che salvaguardino adeguatamente le informazioni.

Inoltre, ci assicuriamo che i fornitori di terze parti pertinenti proteggano le tue informazioni sanitarie richiedendo loro di firmare Contratti di società in affari con noi.

Protezione delle strutture fisiche e delle attrezzature da manomissioni o furti

A tutto il nostro personale e agli appaltatori viene rilasciato un badge di sicurezza durante l'onboarding per ottenere l'accesso fisico a una struttura. In caso di cessazione e chiusura di un profilo nel nostro sistema informativo delle risorse umane, il nostro sistema revoca automaticamente l'accesso fisico.

Rilasciamo badge temporanei ai visitatori dei siti locali. I visitatori devono restituire i pass ospite all'uscita dall'edificio. Se i pass non vengono restituiti, li disattiveremo automaticamente.

Implementazione di protezioni fisiche per tutti i posti di lavoro con l'accesso a ePHI

Abbiamo implementato una rete Zero Trust per consentire l'accesso solo da dispositivi noti registrati in una piattaforma di gestione. Abbiamo inserito le nostre applicazioni in livelli di sicurezza in base ai dati che conserviamo e ai sistemi a cui sono collegati. Questa rete su più livelli è suddivisa come segue: Livello alto, Livello basso e Livello aperto. Il tipo di dispositivo e il suo livello di sicurezza vengono valutati per determinare a quali applicazioni può accedere.

Gestiamo la crittografia del disco, il blocco della password e il'applicazione di patch di sicurezza su tutti i laptop macOS e Windows.

Abbiamo configurato i dispositivi di archiviazione di massa USB come di sola lettura su tutte le macchine macOS e Windows rilasciate da Atlassian.

Procedure per la cancellazione definitiva delle ePHI e dell'hardware su cui sono conservate

Ripuliamo i laptop che vengono restituiti prima di ridistribuirli o smaltirli. Abbiamo inoltre un'apposita procedura per i laptop smarriti o rubati per impedire il furto dei dati.

Conservazione della documentazione per 6 anni dalla data di creazione o dall'ultima volta in cui era in vigore

Tutte le nostre policy vengono controllate almeno una volta all'anno dal responsabile designato e vengono conservate a tempo indeterminato. Per una panoramica delle nostre policy, visita Le policy sulla sicurezza e la tecnologia di Atlassian.

La nostra Informativa sulla privacy è disponibile qui.

Misure di sicurezza per garantire che le ePHI non vengano modificate in modo improprio

Crittografiamo tutti i dati dei prodotti cloud qualificati HIPAA a riposo. Inoltre, crittografiamo i dati trasmessi su reti pubbliche e ci assicuriamo che giungano alla destinazione prevista.

Gli utenti esterni si connettono a prodotti cloud qualificati HIPAA utilizzando traffico crittografato tramite il protocollo SSL.

Meccanismi per crittografare le ePHI ogni volta che lo si ritiene opportuno