Close
APRA-logo

APRA Prudentiële norm CPS 234 RICHTLIJNEN VOOR UITBESTEDING

De Australian Prudential Regulation Authority ("APRA") heeft APRA Prudentiële norm CPS 234 Informatiebeveiliging ("CPS 234") uitgegeven om ervoor te zorgen dat door de APRA gereguleerde entiteiten – waaronder pensioenfondsen, banken en verzekeringsmaatschappijen – voldoen aan bepaalde minimumnormen om hun capaciteiten op het gebied van informatiebeveiliging te ontwikkelen en te behouden. CPS 234 vereist dat door APRA gereguleerde entiteiten:

  • duidelijk de rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging definiëren;
  • een informatiebeveiligingscapaciteit handhaven die in verhouding staat tot de grootte en het bereik van de bedreigingen voor hun informatiebronnen;
  • controles uitvoeren om informatiebronnen te beschermen en regelmatig tests uit te voeren om de doeltreffendheid van de controles te waarborgen; en
  • APRA onmiddellijk op de hoogte brengen van incidenten op het gebied van materiële informatiebeveiliging.

CPS 234 beschrijft ook bepaalde due diligence-verplichtingen voor een door de APRA gereguleerde entiteit waarbij de entiteit het beheer van haar informatiebronnen uitbesteedt aan een derde partij. Deze pagina beschrijft alle relevante wettelijke verplichtingen van CPS 234 en bevat commentaar om door APRA gereguleerde entiteiten te helpen bij het beoordelen en evalueren van elke CPS 234-vereiste in de context van Atlassian's cloudproducten en om ervoor te zorgen dat ze voldoen aan hun verplichtingen volgens CPS 234.

 

Referentiekader

Atlassian-opmerkingen

1.

Referentiekader

Informatiebeveiligingscapaciteiten

2.

Referentiekader

15. Een door de APRA gereguleerde entiteit moet beschikken over een informatiebeveiligingscapaciteit evenredig aan de grootte en het bereik van de bedreigingen voor haar informatiebronnen, zodat de entiteit gezond kan blijven functioneren

Atlassian-opmerkingen

Dit is een overweging van de klant. Zie rij 3 voor informatie over de beveiligingscapaciteiten van Atlassian.

3.

Referentiekader

16. Wanneer informatiebronnen worden beheerd door een verbonden of externe partij, moet de door APRA gereguleerde entiteit de informatiebeveiligingscapaciteit van die partij beoordelen in verhouding tot de mogelijke gevolgen van een informatiebeveiligingsincident met betrekking tot die assets.

Atlassian-opmerkingen

Als leverancier van cloudproducten aan door de APRA gereguleerde entiteiten hanteert Atlassian een robuust informatiebeveiligingsprogramma dat past bij de grootte en het bereik van de bedreigingen waarmee we worden geconfronteerd. We hebben verschillende bronnen beschikbaar gesteld met informatie over het ontwerp, de implementatie en de werking van de informatiebeveiligingsafdeling van Atlassian. Uiteindelijk is het aan de APRA gereguleerde entiteiten om deze informatie te gebruiken om te beoordelen of de producten van Atlassian aan hun vereisten voldoen:

  • Compliance Resource Center: een informatiebron met gedetailleerde informatie over onze beveiliging, audits door derden en certificeringen, allemaal beschikbaar om te voldoen aan de compliancebehoeften van onze klanten
  • Atlassian Trust Center: informatie over hoe Atlassian je toegang geeft tot de meest actuele informatie met betrekking tot beveiliging, betrouwbaarheid, privacy en compliance van onze producten en services.
  • Pagina Beveiligingspraktijken: een effectieve aanpak van beveiliging begint met het op orde krijgen van onze eigen plek. Deze bron biedt informatie over hoe we dit doen door:
    • beveiliging in te bouwen in onze netwerkarchitectuur;
    • toegang tot onze netwerken te beveiligen via ZeroTrust, wat eenvoudig gezegd betekent: "nooit vertrouwen, altijd verifiëren";
    • het beveiligen van de toegang tot onze systemen en services;
    • onze eindpuntapparaten te beveiligen;
    • veilige ontwerp- en testprocessen te bouwen.
De producten en gegevens van Atlassian worden gehost bij de toonaangevende cloudhostingprovider Amazon Web Services (AWS) en draaien op een Platform-as-a-Service (PaaS)-omgeving. Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES256-versleuteling at-rest voor de volledige schijf. Gegevens in Atlassian-cloudproducten worden versleuteld in transit bij publieke netwerken met behulp van TLS 1.2+ met Perfect Forward Secrecy (PFS) om onbevoegde openbaarmaking of wijziging te voorkomen.

Een uitgebreide beschrijving van hoe we dit hebben gebouwd is te vinden op onze pagina Atlassian Cloud-architectuur en operationele praktijken. Zoals vermeld in onze whitepaper over gedeelde verantwoordelijkheden van Atlassian Cloud Security, kunnen klanten bovendien onze STAR-vragenlijst van de Cloud Security Alliance (CSA) bekijken, die antwoorden bevat op meer dan 300 vragen die zijn opgenomen in de Consensus Assessments Initiative Questionnaire (CAIQ). Een uitgebreide beschrijving van hoe we beveiligingsproblemen detecteren en erop reageren kun je vinden in Onze aanpak van kwetsbaarheidsbeheer. Atlassian volgt de kwetsbaarheidsbeheerprocessen zoals beschreven in ISO 27001 en de Cloud Security Alliance (SCA). Bij het beoordelen van kwetsbaarheden maken we gebruik van het Common Vulnerability Scoring System, waardoor we de ernst van kwetsbaarheden kunnen communiceren richting onze klanten. Naast andere processen doet Atlassian ook het volgende:
  • Externe onderzoekers aanmoedigen om kwetsbaarheden in onze producten te identificeren door middel van geldbeloningen uit ons Bug Bounty-programma. Als onderdeel van ons initiatief om open en transparant te zijn, nodigen we iedereen uit om onze Bug bounty-programmapagina te bekijken, zich aan te melden voor het programma en ons te testen.
  • Klanten aanmoedigen om kwetsbaarheden te melden, met als doel beveiligingsproblemen binnen de relevante Service Level Objects (SLO's) oplossen zoals beschreven in ons beveiligingsbugfixbeleid.
  • Regelmatig gespecialiseerde beveiligingsadviesbureaus inhuren om penetratietests uit te voeren op onze producten en infrastructuur met een hoog risico, en beoordelingsbrieven sturen van onze partners voor penetratietests op Hoe wij externe beveiligingstests aanpakken
  • Klanten in staat stellen om beveiligingsbeoordelingen (penetratietests, kwetsbaarheidsbeoordelingen) uit te voeren, met inachtneming van bepaalde regels die zijn opgesteld om onze producten beveiligd te houden voor alle klanten.
Binnen hun eigen accounts zijn klanten verantwoordelijk voor het beheer van kwetsbaarheden. Om klanten te helpen bij het controleren van de beveiliging van hun gegevens, biedt Atlassian optioneel verbeterde gegevensbeveiliging en -beheer voor Atlassian Cloudproducten via Atlassian Access, waarmee organisaties functies voor identiteits- en toegangsbeheer (IAM) op bedrijfsniveau kunnen toevoegen aan hun centrale beheerconsole. Hierdoor kan ongeoorloofde toegang voorkomen worden door klanten in staat te stellen meerdere authenticatiebeleidsregels aan te passen, gecentraliseerd toezicht te krijgen en het gebruik te controleren om verdacht gedrag te detecteren.

Entiteiten die door de APRA worden gereguleerd, kunnen deze informatie gebruiken om onze capaciteiten op het gebied van informatiebeveiliging te evalueren in overeenstemming met hun informatiebronnen die zijn opgeslagen in de producten en platforms van Atlassian.

4.

Referentiekader

17. Een door de APRA gereguleerde entiteit moet de informatiebeveiligingscapaciteiten actief in stand houden met betrekking tot veranderingen in kwetsbaarheden en bedreigingen, waaronder die het gevolg zijn van veranderingen in informatiebronnen of de bedrijfsomgeving.

Atlassian-opmerkingen

Entiteiten die door de APRA worden gereguleerd, kunnen de bronnen en informatie in rij 3 gebruiken om onze capaciteiten op het gebied van informatiebeveiliging te evalueren in overeenstemming met hun informatiebronnen die zijn opgeslagen in de producten en platforms van Atlassian.

5.

Referentiekader

Beleidskader

6.

Referentiekader

18. Een door de APRA gereguleerde entiteit moet een beleidskader voor informatiebeveiliging handhaven dat in verhouding staat tot haar blootstelling aan kwetsbaarheden en bedreigingen.

Atlassian-opmerkingen

Dit is een overweging van de klant. Atlassian heeft van zijn kant een beleidskader voor informatiebeveiliging gedocumenteerd dat zó is gestructureerd dat het de domeinen omvat die zijn opgenomen in zowel de ISO27001-norm als de Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM).

Ons Policy Management Program (PMP) omvat verplichtingen met betrekking tot eigendom, beschikbaarheid en beoordelingscyclus, en schetst onze algemene doelstellingen. Onze beleidsregels worden minstens jaarlijks herzien en goedgekeurd door het senior management. Meer informatie over ons PMP is te vinden in ons Atlassian Trust Management System (ATMS).

Ook hebben we uittreksels en samenvattingen van elk van onze belangrijkste beveiligings- en technologiebeleidsmaatregelen gepubliceerd in ons Atlassian-beleid inzake beveiliging en technologie

7.

Referentiekader

19. Het beleidskader voor informatiebeveiliging van een door APRA gereguleerde entiteit moet aanwijzingen geven over de verantwoordelijkheden van alle partijen die verplicht zijn om de informatiebeveiliging te handhaven.

Atlassian-opmerkingen

Ons Personeelsbeveiligingsbeleid bevat de algemene principes en richtlijnen voor het beheren van persoonlijke veiligheid bij Atlassian. Het beleid benadrukt dat veiligheidsverantwoordelijkheden worden beschreven in taakomschrijvingen. Bovendien omvat elk beleid in onze suite met beveiligingsbeleid gedetailleerdere aspecten van verantwoordelijkheden die van toepassing zijn op bepaalde functies of teams.

De whitepaper Gedeelde verantwoordelijkheden van Atlassian Cloud-beveiliging schetst de verantwoordelijkheden die klanten hebben en de beslissingen die ze moeten nemen om te bepalen hoe ze hun gegevens beveiligen.

8.

Referentiekader

Identificatie en classificatie van informatiebronnen

9.

Referentiekader

20. Een door de APRA gereguleerde entiteit moet haar informatiebronnen, waaronder die beheerd door verbonden en derde partijen, classificeren op basis van belang en gevoeligheid. Deze classificatie moet een weerspiegeling zijn van de mate waarin een informatiebeveiligingsincident dat gevolgen heeft voor een informatiebron, financieel of niet-financieel gevolgen kan hebben voor de entiteit of de belangen van depositeurs, polishouders, begunstigden of andere klanten.

Atlassian-opmerkingen

Aangezien klanten verantwoordelijk zijn om te bepalen welke Atlassian-producten ze moeten gebruiken en voor welke doeleinden, is het de verantwoordelijkheid van de klant om te bepalen welke informatiebronnen door Atlassian worden beheerd en om dergelijke informatiebronnen te classificeren. Atlassian behandelt informatieclassificatie van zijn kant als volgt en zoals wordt beschreven in onze Gegevensclassificatienorm:

  • Gegevens moeten worden geclassificeerd in termen van wettelijke vereisten, waarde en belang voor Atlassian
  • Gegevens moeten geïdentificeerd en gelabeld worden en actueel worden gehouden in een gegevensstroomkaart om een passende verwerking te garanderen
  • Media die worden verwijderd, moeten veilig worden verwijderd
  • Media die bedrijfsinformatie bevatten moeten worden beschermd tegen ongeoorloofde toegang, misbruik of corruptie tijdens overdracht

10.

Referentiekader

Implementatie van controles

11.

Referentiekader

21. Een door de APRA gereguleerde entiteit moet beschikken over informatiebeveiligingsmaatregelen om haar informatiebronnen te beschermen, waaronder die beheerd door verbonden en derde partijen, die tijdig worden geïmplementeerd en die in verhouding staan tot: (a) kwetsbaarheden en bedreigingen voor de informatiebronnen; (b) de ernst en gevoeligheid van de informatiebronnen; (c) de fase waarin de informatiebronnen zich binnen hun levenscyclus bevinden; en (d) de mogelijke gevolgen van een informatiebeveiligingsincident

Atlassian-opmerkingen

Onze beveiligingspraktijken beschrijven Atlassians benadering van beveiliging. We verstrekken informatie over onze aanpak door:

  • beveiliging in te bouwen in onze netwerkarchitectuur; 
  • toegang tot onze netwerken te beveiligen via ZeroTrust, wat eenvoudig gezegd betekent: "nooit vertrouwen, altijd verifiëren"; 
  • het beveiligen van de toegang tot onze systemen en services;
  • onze eindpuntapparaten te beveiligen; 
  • onze producten te beveiligen; 
  • gegevens te beveiligen.

12.

Referentiekader

22. Wanneer de informatiebronnen van een door APRA gereguleerde entiteit worden beheerd door een verbonden of externe partij, moet de door APRA gereguleerde entiteit het ontwerp evalueren van de informatiebeveiligingsmaatregelen van die partij die de informatiebronnen van de door APRA gereguleerde entiteit beschermen.

Atlassian-opmerkingen

Ons programma voor kwetsbaarheidsbeheer beschrijft de aanpak van Atlassian voor het opsporen en behandelen van beveiligingsproblemen in onze producten, waaronder de belangrijkste controles die we hebben ingevoerd om de informatie van onze klanten te beschermen.

We hebben ook onze aanpak voor het beheer van beveiligingsincidenten in ons hele systeem gedetailleerd beschreven.

Samen bieden deze bronnen aan door de APRA gereguleerde entiteiten gedetailleerde informatie over het ontwerp van onze beveiligingscontroles op belangrijke gebieden, zodat ze kunnen bepalen of er aan hun CPS 234-verplichtingen is voldaan.

13.

Referentiekader

Incidentmanagement

14.

Referentiekader

23. Een door de APRA gereguleerde entiteit moet beschikken over robuuste mechanismen om incidenten op het gebied van informatiebeveiliging tijdig op te sporen en erop te reageren.

Atlassian-opmerkingen

Hoewel de verplichtingen in CPS 234 met betrekking tot het beheer van beveiligingsincidenten worden opgelegd aan door de APRA gereguleerde entiteiten, erkent Atlassian dat, wanneer een dergelijke entiteit Atlassian-producten gebruikt met betrekking tot sommige of al haar informatiebronnen, de aanpak van Atlassian ten aanzien van het beheer van beveiligingsincidenten ook een belangrijke overweging is.

We hebben een gedocumenteerd Beveiligingsincidentresponsbeleid dat de volgende belangrijke principes omvat:

  • Anticipeer op beveiligingsincidenten en bereid je voor op incidentrespons
  • Werk aan het inperken, uitroeien en herstellen van incidenten
  • Investeer in onze mensen, processen en technologieën om ervoor te zorgen dat we de mogelijkheid hebben om een beveiligingsincident te detecteren en te analyseren wanneer het zich voordoet
  • Geef de bescherming van persoonsgegevens en klantgegevens de hoogste prioriteit tijdens beveiligingsincidenten
  • Oefen regelmatig het responsproces voor beveiligingsincidenten
  • Leer van en verbeter de functie voor het beheersen van beveiligingsincidenten
  • Communiceer kritieke beveiligingsincidenten naar het Atlassian-management.
Volgens dit beleid hanteert Atlassian een Beveiligingsincidentresponsplan. Om ervoor te zorgen dat ons incidentresponsproces consistent, herhaalbaar en efficiënt is, hebben we een duidelijk gedefinieerd intern framework met daarin de stappen die we moeten nemen in elke fase van het incidentresponsproces. We hebben draaiboeken gemaakt die voortdurend worden bijgewerkt en waarin wordt beschreven welke stappen we moeten zetten om te reageren op verschillende soorten incidenten. Bekijk voor meer informatie over ons responsproces voor beveiligingsincidenten Onze aanpak voor het beheren van beveiligingsincidenten en Onze verantwoordelijkheden op het gebied van veiligheidsincidenten van Atlassian.

Atlassian heeft een goede staat van dienst op het gebied van tijdige en proactieve meldingen van beveiligingsincidenten en samenwerking met onze klanten aan de nodige maatregelen. In onze gegevensbeschermingsverklaring (DPA) verbinden we ons ertoe om een klant zonder onnodige vertraging op de hoogte te stellen van elk beveiligingsincident en om tijdig informatie te verstrekken over het beveiligingsincident zodra dit bekend wordt of waar de klanten redelijkerwijs om vragen, zodat ze kunnen voldoen aan hun meldingsplicht voor datalekken op grond van de toepasselijke wetgeving inzake gegevensbescherming (zoals gedefinieerd in de DPA). Voor zover klanten deze melding nodig hebben voor compliancedoeleinden, raden we ze aan om de DPA die zich hier bevindt, te ondertekenen en in te dienen.

15.

Referentiekader

24. Een door de APRA gereguleerde entiteit moet plannen hebben om te reageren op informatiebeveiligingsincidenten die volgens de entiteit aannemelijk kunnen zijn (responsplannen voor informatiebeveiliging).

16.

Referentiekader

25. De responsplannen voor informatiebeveiliging van een door APRA gereguleerde entiteit moeten de bestaande mechanismen omvatten voor (a) het beheren van alle relevante fasen van een incident, van detectie tot beoordeling na een incident; en (b) escalatie en rapportage van informatiebeveiligingsincidenten aan de raad van bestuur, andere bestuursorganen en personen die verantwoordelijk zijn voor het beheer en toezicht op informatiebeveiligingsincidenten, indien van toepassing.

17.

Referentiekader

26. Een door de APRA gereguleerde entiteit moet jaarlijks haar responsplannen voor informatiebeveiliging herzien en testen om ervoor te zorgen dat ze effectief en geschikt blijven voor het beoogde doel.

18.

Referentiekader

Effectiviteit van controle en interne audit testen

19.

Referentiekader

27. Een door de APRA gereguleerde entiteit moet de effectiviteit van haar informatiebeveiligingscontroles testen door middel van een systematisch testprogramma. De aard en frequentie van de systematische tests moeten in verhouding staan tot: (a) de snelheid waarmee de kwetsbaarheden en bedreigingen veranderen; (b) het belang en de gevoeligheid van het informatiehulpmiddel; (c) de gevolgen van een informatiebeveiligingsincident; (d) de risico's die verbonden zijn aan blootstelling aan omgevingen waar de door APRA gereguleerde entiteit niet in staat is toe te zien op de naleving van haar informatiebeveiligingsbeleid; en (e) de materialiteit en frequentie van wijzigingen in informatiebronnen

Atlassian-opmerkingen

De effectiviteit van onze beveiligingscontroles wordt getest door middel van meerdere externe audits en verificaties die we uitvoeren. Hoewel elke klant verantwoordelijk is voor het testen van de effectiviteit van de eigen informatiebeveiligingscontroles en voor het escaleren van eventuele tekortkomingen in de beveiligingscontrole die tijdens de interne beoordeling ontdekt worden, biedt Atlassian verschillende bronnen met betrekking tot Atlassian's eigen testprogramma om klanten te helpen bepalen of er aan hun CPS 234-verplichtingen is voldaan.

Onze cloudproducten ondergaan regelmatig onafhankelijke verificatie van hun beveiligings-, privacy- en nalevingscontroles. En verdienen hiervoor certificeringen, conformiteitsverklaringen en auditrapporten volgens wereldwijde standaarden. We bieden klanten toegang tot deze attesten, conformiteitscertificaten en auditrapporten (zoals SOC2 en ISO2700x) in het Compliance Resource Center, zodat klanten deze kunnen bekijken als onderdeel van hun risicobeoordelingen. Elk relevant certificerings- of auditrapport bevat aanvullende informatie over de certificerende of auditerende partij.

Ons Compliance Resource Center bevat ook controletoewijzingen volgens kaders en wetten waar formele certificeringen of verklaringen niet nodig zijn of worden toegepast.

Atlassian verbetert voortdurend de geschiktheid, adequaatheid en effectiviteit van zijn ISMS. Het Atlassian Trust Management System (ATMS) wordt jaarlijks herzien, zowel intern als door derden, zodat klanten van Atlassian kunnen vertrouwen op externe validatie van de effectiviteit van de ATMS. Het streven naar voortdurende verbetering wordt intern beschreven op onze ATMS-definitiepagina en dient om de ATMS in de loop van de tijd te laten ontwikkelen en eventuele hiaten aan te pakken.

Meer informatie en validatie van onze aanpak zijn te vinden in verschillende bronnen in ons Trust Center -

Atlassian voert minstens jaarlijks zowel interne/externe paraatheidscontroles als externe audits uit. De resultaten van de interne audit worden niet gedeeld met klanten.

20.

Referentiekader

28. Wanneer de informatiebronnen van een door APRA gereguleerde entiteit worden beheerd door een verbonden of externe partij en de door APRA gereguleerde entiteit afhankelijk is van de informatiebeveiligingscontroletests van die partij, moet de door APRA gereguleerde entiteit beoordelen of de aard en frequentie van het testen van controles met betrekking tot deze informatiebronnen in overeenstemming zijn met de paragrafen 27(a) tot en met 27(e) van deze prudentiële norm.

21.

Referentiekader

29. Een door de APRA gereguleerde entiteit moet alle testresultaten die tekortkomingen in de informatiebeveiliging aan het licht brengen die niet tijdig kunnen worden verholpen, escaleren naar en rapporteren aan de raad of het hoger management.

22.

Referentiekader

30. Een door de APRA gereguleerde entiteit moet ervoor zorgen dat de tests worden uitgevoerd door goed opgeleide en functioneel onafhankelijke specialisten.

23.

Referentiekader

31. Een door de APRA gereguleerde entiteit moet de toereikendheid van het testprogramma ten minste jaarlijks beoordelen of wanneer er sprake is van een wezenlijke verandering in informatiebronnen of de bedrijfsomgeving.

24.

Referentiekader

32. De interne auditactiviteiten van een door APRA gereguleerde entiteit moeten een beoordeling omvatten van het ontwerp en de operationele effectiviteit van informatiebeveiligingscontroles, waaronder controles die worden beheerd door verbonden partijen en derden (garantie van informatiebeveiligingscontrole).

25.

Referentiekader

33. Een door de APRA gereguleerde entiteit moet ervoor zorgen dat de informatiebeveiliging wordt gewaarborgd door personeel dat voldoende bekwaam is om dergelijke zekerheid te bieden

26.

Referentiekader

34. De interne auditfunctie van een door APRA gereguleerde entiteit moet de informatiebeveiligingscontrole beoordelen die wordt geboden door een verbonden of externe partij wanneer: (a) een informatiebeveiligingsincident dat van invloed is op de informatiebronnen financiële of niet-financiële gevolgen kan hebben voor de entiteit of de belangen van depositeuren, polishouders, begunstigden of andere klanten; en (b) de interne audit is bedoeld om te vertrouwen op de informatiebeveiligingscontrole van de verbonden of externe partij.

27.

Referentiekader

APRA-melding

28.

Referentiekader

35. Een door de APRA gereguleerde entiteit moet APRA zo snel mogelijk op de hoogte stellen en in ieder geval niet later dan 72 uur nadat zij kennis heeft genomen van een informatiebeveiligingsincident dat: (a) de entiteit of de belangen van depositeurs, polishouders, begunstigden of andere klanten materieel heeft getroffen of zou kunnen treffen, of (b) aan andere klanten, in Australië of andere rechtsgebieden, is bekendgemaakt.

Atlassian-opmerkingen

Atlassian begrijpt hoe belangrijk het is dat je onmiddellijk op de hoogte wordt gebracht van een datalek. Daarom heeft Atlassian een uitgebreid multifunctioneel team en proces samengesteld om beveiligingsincidenten af te handelen, zoals beschreven op onze pagina Beveiligingsincidentmanagement.

Atlassian heeft een goede staat van dienst op het gebied van tijdige en proactieve meldingen van incidenten en samenwerking met onze klanten aan de nodige maatregelen. Atlassian verbindt zich er in zijn addendum voor gegevensverwerking en andere juridische voorwaarden toe om klanten zonder onnodige vertraging op de hoogte te stellen van beveiligingsincidenten. Voor zover klanten deze melding nodig hebben voor compliancedoeleinden, raden we ze aan om de DPA die zich hier bevindt te ondertekenen en in te dienen. Zodra een klant door Atlassian op de hoogte is gebracht van een incident, is de klant verantwoordelijk om te bepalen of een melding aan APRA vereist is op grond van paragraaf 35 van CPS 234 en, zo ja, om APRA hiervan op de hoogte te stellen binnen 72 uur, beginnend op het moment dat de klant de kennisgeving van Atlassian heeft ontvangen.

Atlassian voert via onze partner Bugcrowd een openbaar bug bounty-programma uit voor onze producten om klanten te helpen op de hoogte te blijven van eventuele kwetsbaarheden die van invloed kunnen zijn op onze producten. Materiële updates worden aan klanten verstrekt via Statuspage. Als een klant ervoor kiest om een "Premium"- of "Enterprise"-abonnement van Jira Software Cloud, Jira Service Management Cloud of Confluence Cloud aan te schaffen, ontvangt diegene bovendien het voordeel van onze verbeterde prestatiegarantie, waarin we garanderen dat we de functionaliteit of algemene beveiliging van het cloudproduct tijdens de toepasselijke abonnementsperiode niet wezenlijk zullen verminderen. Als we van een klant een uitgebreide prestatiegarantie ontvangen met betrekking tot de beveiliging van een cloudproduct en we de non-conformiteit niet kunnen corrigeren, stellen we de klant hiervan op de hoogte. Zodra een klant deze melding heeft ontvangen, is de klant verantwoordelijk om te bepalen of een melding aan APRA vereist is op grond van paragraaf 36 van CPS 234 en, zo ja, om APRA hiervan op de hoogte te stellen binnen de termijn van 10 werkdagen, die begint op het moment dat de klant de kennisgeving van Atlassian heeft ontvangen.

29.

Referentiekader

36. Een door de APRA gereguleerde entiteit moet APRA zo snel mogelijk en in ieder geval niet later dan 10 werkdagen nadat zij kennis heeft genomen van een belangrijk zwak punt in de informatiebeveiligingscontrole die de entiteit naar verwachting niet tijdig kan verhelpen, op de hoogte stellen.