Close

Le policy sulla sicurezza e la tecnologia di Atlassian

Atlassian ha istituito un programma di gestione della sicurezza delle informazioni (ISMP) che descrive i principi e le regole per la gestione dei programmi Fiducia e sicurezza. Realizziamo questo obiettivo valutando continuamente i rischi per le nostre operazioni e migliorando la sicurezza, la riservatezza, l'integrità e la disponibilità del nostro ambiente Atlassian. Rivediamo e aggiorniamo regolarmente le policy di sicurezza, monitoriamo la conformità a tali policy e conduciamo test di sicurezza delle applicazioni e della rete del nostro ambiente.

Di seguito è riportato un elenco e una breve descrizione delle principali policy in materia di sicurezza e tecnologia che Atlassian ha adottato per i propri ambienti interni e cloud.

Policy, rischio e governance relativi alla sicurezza

Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Atlassian gestirà l'accesso alle informazioni di aziende e clienti in base alle esigenze del business e in linea con i propri valori.
  • Atlassian implementerà una serie di controlli per gestire l'implementazione della sicurezza in linea con questa policy.
  • Atlassian esaminerà periodicamente i rischi e l'efficacia dei controlli destinati a gestirli.
  • Atlassian continuerà a fornire assistenza e a dare prova di impegno per il raggiungimento della conformità alla legislazione applicabile in materia di protezione delle informazioni personali e ai termini contrattuali dei clienti del cloud.

Gestione dell'accesso

Questa policy stabilisce i principi e le linee guida generali per la gestione degli accessi.

I principi di base (riepilogo) includono quanto segue:

  • Atlassian manterrà una policy di controllo degli accessi che indica come gestire l'accesso ai sistemi.
  • Gli account utente verranno utilizzati per gestire l'accesso.
  • Tutti gli utenti hanno la responsabilità di gestire l'accesso ai propri sistemi.
  • I sistemi verranno registrati e monitorati per controllare potenziali accessi inappropriati.
  • L'accesso remoto sarà abilitato tramite l'autenticazione a più fattori.
  • I doveri dovrebbero essere separati, laddove appropriato.

Gestione delle risorse

Questa policy stabilisce i principi e le linee guida generali per la gestione degli asset IT di Atlassian e il modo in cui devono essere gestiti.

I principi di base (riepilogo) della gestione degli asset in Atlassian includono quanto segue:

  • Atlassian manterrà un inventario degli asset.
  • Gli asset gestiti in un database di gestione degli asset avranno responsabili identificati.
  • L'uso accettabile degli asset sarà identificato, documentato e implementato.
  • Gli asset verranno restituiti ad Atlassian in caso di cessazione del rapporto di lavoro.

Continuità aziendale e ripristino di emergenza

Questa policy illustra i principi generali che stabiliscono il nostro approccio verso la resilienza, la disponibilità e la continuità di processi, sistemi e servizi in Atlassian. Definisce i requisiti relativi ai processi di continuità aziendale, ripristino di emergenza e gestione delle crisi.

I principi di base (riepilogo) includono quanto segue:

  • I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza.
  • I piani di continuità devono includere un ambiente di "ultima resistenza" appropriato, che offra funzionalità di base (come requisito minimo) e un piano che conduca a quell'ambiente in caso di emergenza. Devono essere incluse anche considerazioni per il ripristino della normale operatività.
  • Nessun sistema, processo o funzione mission-critical può essere distribuito in produzione in assenza di un adeguato piano di continuità.
  • I piani devono essere testati trimestralmente e i problemi devono essere identificati e risolti.
  • Il tempo di ripristino (RTO) massimo inizia dal rilevamento degli eventi fino a quando la funzionalità principale è operativa. I servizi sono raggruppati in livelli che definiscono gli RTO e RPO massimi.

Sicurezza delle comunicazioni

Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza delle nostre comunicazioni e delle nostre reti.

I principi di base (riepilogo) includono quanto segue:

  • L'accesso alle reti deve essere controllato.
  • Viene fornito l'accesso alla rete e tutti gli utenti devono avere familiarità con la policy sulle comunicazioni e i sistemi elettronici.
  • Le reti devono essere separate in base alla criticità.

Crittografia

Questa policy stabilisce i principi generali per garantire che Atlassian implementi la crittografia appropriata per tutelare la riservatezza e l'integrità dei dati critici. Atlassian utilizza meccanismi crittografici per mitigare i rischi connessi all'archiviazione di informazioni sensibili e alla loro trasmissione su reti, comprese quelle accessibili al pubblico (come Internet). Facilitare l'uso di tecnologie di crittografia affidabili, sicure e di comprovata efficacia è un obiettivo chiave di questo standard al fine di mitigare il rischio di accesso non autorizzato e/o modifica di informazioni aziendali sensibili.

I principi di base (riepilogo) includono quanto segue:

  • I dati sensibili sono crittografati in modo appropriato.
  • Il livello di crittografia selezionato corrisponde alla classificazione delle informazioni.
  • Le chiavi crittografiche saranno gestite in modo sicuro.
  • Saranno utilizzati solo algoritmi crittografici e moduli software approvati.

Classificazione dei dati

Questa policy stabilisce e definisce le classificazioni dei dati e include descrizioni, esempi, requisiti e linee guida riguardanti il trattamento dei dati inclusi in ciascuna classificazione. Le classificazioni si basano sui requisiti legali, sulla sensibilità, sul valore e sulla criticità dei dati per Atlassian, i clienti di Atlassian, nonché i partner e i fornitori di Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • I dati devono essere classificati in termini di requisiti legali, valore e criticità per Atlassian.
  • I dati devono essere identificati, etichettati e tenuti aggiornati in una mappa del flusso di dati per garantirne una gestione appropriata.
  • Lo smaltimento dei supporti deve avvenire in modo sicuro.
  • I supporti contenenti informazioni aziendali devono essere protetti da accessi non autorizzati, uso improprio o danneggiamento durante il trasporto.

Dispositivi mobili e Bring Your Own Device (BYOD)

Questa policy stabilisce i principi e le linee guida generali per l'uso di dispositivi personali con reti e sistemi Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • La filosofia alla base della presente policy Bring Your Own Device (qui indicata come Policy BYOD o Policy) è quella di essere il più possibile discreta e flessibile per quanto riguarda l'utilizzo di BYOD per mantenere l'autonomia degli Atlassiani e di garantire al contempo la possibilità di proteggere i nostri dati aziendali e i dati dei nostri clienti.
  • Pertanto, l'attenzione sarà incentrata sul controllo della configurazione/dell'approccio e sul monitoraggio della conformità dei dispositivi applicando i principi meno restrittivi che consentano ragionevolmente di raggiungere gli obiettivi di sicurezza richiesti. L'eventuale necessità di applicare restrizioni verrà valutata caso per caso a seconda dei dati a cui è possibile effettuare l'acceso.
  • Questa policy copre sia le nostre esigenze attuali che quelle future previste. Alcune delle funzionalità descritte potrebbero non essere implementate immediatamente.

Operazioni

Questa policy stabilisce i principi e le linee guida generali per le pratiche operative in materia di tecnologia adottate da Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Le procedure devono essere documentate per le attività operative.
  • I backup devono essere eseguiti regolarmente e testati.
  • Le modifiche devono essere gestite e valutate da più persone.
  • La capacità deve essere valutata e pianificata.
  • L'installazione del software deve essere limitata e il software non necessario deve essere sottoposto a restrizioni.
  • I log devono essere configurati e inoltrati alla piattaforma di registrazione centralizzata.
  • Eventuali imprevisti operativi devono essere gestiti secondo il nostro processo HOT standard.

Sicurezza personale

Questa policy stabilisce i principi e le linee guida generali per la sicurezza del personale in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Le responsabilità della sicurezza devono essere indicate nelle definizioni delle mansioni.
  • Tutti i dipendenti e gli utenti devono seguire regolarmente la formazione sulla consapevolezza in materia di sicurezza.
  • Tutti i dipendenti e i collaboratori esterni hanno il dovere di segnalare imprevisti o vulnerabilità della sicurezza
  • In caso di licenziamento dei dipendenti, l'accesso e la restituzione degli asset dovranno avvenire in un lasso di tempo ragionevole.

Sicurezza fisica e ambientale

Questa policy stabilisce i principi e le linee guida generali per la protezione dei nostri edifici, dei nostri uffici e delle nostre apparecchiature.

I principi di base (riepilogo) includono quanto segue:

  • Presenza di aree di lavoro sicure.
  • Protezione delle nostre apparecchiature IT ovunque si trovino.
  • Limitare l'accesso ai nostri edifici e uffici.

Privacy

Questa policy stabilisce i principi volti a garantire che Atlassian implementi misure di sicurezza appropriate per contribuire a proteggere la privacy dei dati.

Atlassian riconosce che, per quanto la crittografia e altre tecnologie per il miglioramento della privacy (PET) siano strumenti potenti, è necessaria una valutazione attenta durante la selezione e l'implementazione della tecnologia. Atlassian adotta un approccio alla privacy basato sul rischio che considera la natura, l'ambito, il contesto e le finalità del trattamento dei dati, nonché la probabilità e la gravità dei rischi per i diritti e le libertà delle persone fisiche.

I principi di base (riepilogo) includono quanto segue:

  • Le PET devono essere scelte secondo un approccio basato sul rischio.
  • Le PET non devono impedire ad Atlassian di soddisfare i requisiti normativi relativi ai diritti alla privacy.
  • Le PET non devono compromettere la sicurezza dei sistemi e servizi che effettuano l'elaborazione dei dati.
  • Le PET non devono compromettere la capacità di ripristinare l'accesso e la disponibilità dei dati privati in caso di violazione.
  • Le PET devono consentire di eseguire regolarmente test e valutazioni dell'efficacia.

Gestione degli imprevisti di sicurezza

Questa policy stabilisce i principi e le linee guida generali per garantire che Atlassian reagisca in modo appropriato a qualsiasi imprevisto di sicurezza effettivo o sospetto. Atlassian ha la responsabilità di monitorare gli imprevisti che si verificano all'interno dell'organizzazione e che potrebbero violare la riservatezza, l'integrità o la disponibilità delle informazioni o dei sistemi informativi. Tutti gli imprevisti sospetti devono essere segnalati e valutati. La policy è stata implementata in modo che il personale Atlassian addetto alla sicurezza possa limitarne la durata e l'impatto negativo su Atlassian e sui suoi clienti, nonché acquisire informazioni dagli imprevisti.

I principi di base (riepilogo) includono quanto segue:

  • Anticipare gli imprevisti di sicurezza e prepararsi per la risposta agli imprevisti.
  • Contenere ed eliminare gli imprevisti, ed effettuare il ripristino dagli imprevisti.
  • Investire nelle nostre persone, nei nostri processi e nelle nostre tecnologie per avere la certezza di disporre della capacità di rilevare e analizzare un imprevisto di sicurezza, qualora si verifichi.
  • Adoperarsi affinché la protezione dei dati personali e dei dati dei clienti siano la massima priorità durante gli imprevisti di sicurezza.
  • Condurre regolarmente il processo di risposta agli imprevisti di sicurezza.
  • Acquisire informazioni dalla funzione di gestione degli imprevisti di sicurezza e migliorarla.
  • Comunicare gli imprevisti di sicurezza critici al gruppo dirigenziale Atlassian.

Gestione dei fornitori

Questa policy stabilisce i principi e le linee guida generali per selezionare, inserire, monitorare ed escludere fornitori.

I principi di base includono quanto segue:

  • Atlassian sarà determinata nella gestione del proprio processo di selezione dei fornitori.
  • L'onboarding e la gestione di tutti i fornitori devono avvenire in conformità ai processi di valutazione dei rischi e due diligence di Atlassian.
  • Il proprietario dell'azienda che richiede il coinvolgimento del fornitore è responsabile dell'utilizzo dei contratti Atlassian standard.
  • Atlassian si occuperà della supervisione della relazione per assicurarsi che soddisfi i propri standard.
  • Atlassian si riserva il diritto di risolvere il contratto con qualsiasi fornitore qualora il servizio non sia più necessario.

Acquisizione, sviluppo e manutenzione di sistemi

Questa policy stabilisce i principi e le linee guida generali per lo sviluppo di applicazioni, sia internamente che rivolte al cliente, oltre a creare limitazioni su come gestire gli ambienti di pre-produzione e includere software open source in uno qualsiasi dei nostri prodotti e servizi.

I principi di base (riepilogo) includono quanto segue:

  • I requisiti di sicurezza saranno inclusi e integrati in qualsiasi ambiente o in qualsiasi attività di sviluppo o acquisizione di applicazioni.
  • Lo sviluppo del prodotto seguirà il nostro processo interno di garanzia della qualità, che include l'integrazione dei controlli di sicurezza.
  • I dati di produzione soggetti a restrizioni in base alla policy di gestione del ciclo di vita delle informazioni sulla sicurezza dei dati saranno resi anonimi o mascherati quando vengono utilizzati in ambienti di pre-produzione.
  • L'integrazione di qualsiasi framework o libreria open source seguirà il nostro standard interno "Utilizzo di codice di terze parti in un prodotto Atlassian".

Gestione delle minacce e vulnerabilità

Questa policy stabilisce i principi e le linee guida generali per la gestione delle minacce e delle vulnerabilità della sicurezza sia nel nostro ambiente che nei nostri prodotti.

I principi di base (riepilogo) includono quanto segue:

  • Gestire le vulnerabilità di sicurezza nei nostri prodotti e servizi, inclusa la pubblicazione di aggiornamenti, patch o avvisi.
  • Gestire le minacce alla sicurezza e le vulnerabilità in tutto il nostro ambiente, sia interno che in hosting.
  • Gestire la minaccia di malware nell'ambiente.

Gestione degli audit e della conformità

Questa policy stabilisce i principi generali per la gestione e la verifica della conformità dei controlli in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Implementiamo controlli per gestire correttamente il rischio e garantire la conformità alle policy, alle normative e agli standard di settore esterni pertinenti.
  • Utilizziamo gli audit come mezzo per verificare l'adeguatezza e l'efficacia operativa dei nostri controlli.
  • Gli audit sono coordinati ed eseguiti come necessario per raggiungere un livello elevato di fiducia nel nostro ambiente di controllo, nonché per ottenere una certificazione interna o esterna.
  • Atlassian chiede la convalida esterna dei controlli.
  • Atlassian mantiene una visione consolidata di tutti i suoi obiettivi di controllo, attività di controllo e test pertinenti.