Beveiligingsbeoordelingen
Atlassian-regels voor beveiligingstests van cloudproducten
Klanten kunnen beveiligingsbeoordelingen van hun Atlassian Cloud-producten (zoals hieronder gedefinieerd) uitvoeren zonder voorafgaande toestemming. De term 'beveiligingsbeoordeling' verwijst naar elke activiteit die bedoeld is om de beveiligingsfuncties en -controles van de producten en diensten van Atlassian te bepalen, beoordelen of testen (bijvoorbeeld penetratietests en kwetsbaarheidsscans). Deze pagina bevat de regels ('Regels voor beveiligingstests') die van toepassing zijn op klanten die beveiligingsbeoordelingen van hun Atlassian Cloud-producten uit willen voeren. Het platform waarmee Atlassian cloudproducten levert (het 'Atlassian Cloud-platform') maakt gebruik van gedeelde infrastructuur om jouw cloudproducten en de cloudproducten van andere klanten te hosten. Er moet op worden gelet dat alle beveiligingsbeoordelingen worden beperkt tot jouw cloudproducten of -installaties om onbedoelde gevolgen voor andere klanten te beperken.
Alle beveiligingsbeoordelingen moeten voldoen aan de regels van Atlassian voor beveiligingstests, zoals op deze pagina beschreven. Je gebruik van de Cloud-producten blijft onderhevig aan de klantenovereenkomst van Atlassian of andere algemene voorwaarden die van toepassing zijn op de overeenkomst(en) (collectief: 'Servicevoorwaarden') waaronder je de relevante Cloud-producten hebt gekocht. Alle overtredingen van deze regels voor beveiligingstests of de relevante Servicevoorwaarden kunnen leiden tot opschorting of beëindiging van je account en/of juridische stappen tegen je. Jij bent verantwoordelijk voor schade aan het Atlassian Cloud-platform en eventuele negatieve gevolgen voor de gegevens van andere klanten of het gebruik van het Atlassian Cloud-platform die worden veroorzaakt door jouw overtreding van deze regels voor beveiligingstests of servicevoorwaarden.
Cloudproducten die in aanmerking komen voor beveiligingsbeoordelingen
De hieronder genoemde producten vallen onder de term 'Cloud-producten' voor de toepassing van deze regels voor beveiligingstests:
- Jira
- Jira Service Management
- Jira Align
- Jira Work Management
- Confluence
- Bitbucket
- Atlassian Guard
- Statuspage
- Trello
- Opsgenie
- Halp
Regels voor beveiligingstests
Toegestane activiteiten
- Beveiligingsbeoordelingen mogen alleen uitgevoerd worden door klanten van Atlassian die geabonneerd zijn op de bovengenoemde relevante cloudproducten.
- Je mag alleen beveiligingsbeoordelingen uitvoeren bij je eigen installaties van de cloudproducten in overeenkomst met het beleid van Atlassian met betrekking tot beveiligingsbeoordelingen, waaronder deze regels voor beveiligingstests.
- Je mag geautomatiseerde tools/scanprogramma's gebruiken om beveiligingsbeoordelingen uit te voeren. Houd er echter rekening mee dat wij deze tools ook gebruiken. Alle resultaten van geautomatiseerde scans moeten beoordeeld en aan triage onderworpen worden door het beveiligingsteam van de klant voordat ze naar Atlassian gestuurd worden, met een werkend en reproduceerbaar proof of concept. We accepteren geen resultaten van beveiligingsscans die niet aan triage onderworpen zijn
Verboden activiteiten
- Het scannen, testen of toegang krijgen tot cloudproducten, -installaties of -assets die niet jouw eigendom zijn, met inbegrip van degene die eigendom zijn van andere klanten van Atlassian
- Opzettelijk toegang krijgen tot gegevens van andere klanten (met inbegrip van toegang krijgen tot of gebruik maken van de gebruikersgegevens van klanten)
- Niet-technische aanvallen (inclusief, maar niet beperkt tot, social engineering, phishing of onbevoegde toegang tot infrastructuur)
- Fysieke beveiligingsaanvallen (inclusief, maar niet beperkt tot, kantoren, apparatuur of werknemers van Atlassian)
- Producten testen die buiten scope vallen
- De zakelijke infrastructuur van Atlassian aanvallen
- Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS
- Port flooding
- Protocol flooding
- Request flooding (login request flooding, API request flooding)
- Niet-getriageerde rapporten indienen van een kwetsbaarheidsscanner of applicatie voor beveiligingsbeoordelingen
Problemen rapporteren
Wanneer je denkt dat je een potentiële beveiligingsfout hebt ontdekt met betrekking tot de cloudproducten van Atlassian of een andere Atlassian service, ga je ermee akkoord dit binnen 24 uur te rapporteren door de volgende instructies te volgen: Een kwetsbaarheid rapporteren. Je kunt deze bevindingen ook indienen bij ons Bug Bounty-programma, maar let op: resultaten van geautomatiseerde scanners worden niet aangenomen. Zodra je resultaten zijn ingediend, moet je eerst toestemming van ons aanvragen voordat je een probleem openbaar maakt. De resultaten van beveiligingsbeoordelingen worden gezien als vertrouwelijke informatie van Atlassian. Atlassian verwerkt verzoeken voor openbaarmaking eens per rapport. Verzoeken om een probleem dat nog niet is opgelost openbaar te maken worden afgewezen.
Aanvullende voorwaarden
Opzettelijk toegang krijgen tot gegevens van andere klanten van Atlassian is ten strengste verboden, maar als je denkt dat je gevoelige klantgegevens (zoals aanmeldgegevens, API keys, etc.) hebt gevonden, of een manier hebt om toegang te krijgen tot klantgegevens (bijvoorbeeld via een kwetsbaarheid), moet je dit onmiddellijk melden bij Atlassian-support. Probeer de kwetsbaarheid niet te bewijzen of op een andere manier toegang te krijgen tot het account of de gegevens van een klant.
Atlassian heeft niet alleen het recht om je account op te schorten of te beëindigen als je deze regels voor beveiligingstests overtreedt, maar behoudt zich ook het recht voor om te reageren op alle activiteiten op onze netwerken die kwaadaardig lijken of anderszins een bedreiging vormen. Atlassian kan je IP(s) of IP-bereik op een blocklist zetten als we een misbruikrapport ontvangen voor activiteiten die bij je beveiligingsbeoordeling horen. Als je contact opneemt met Atlassian-support om de beperkingen weg te laten nemen, geef dan ook de oorzaak op van de gerapporteerde activiteit en vermeld wat je hebt gedaan om te voorkomen dat het gerapporteerde probleem zich opnieuw voordoet.
Indien je Atlassian Security op de hoogte wil stellen van je voornemen om een beveiligingsbeoordeling, kun je een ticket indienen bij Atlassian-support met als onderwerp: Voornemen beveiligingsbeoordeling. Vermeld je testdatum en -tijd, bron-IP(s) of bron-IP-bereik, doeldomeinen en contactgegevens. Hoewel kennisgeving vooraf niet vereist is, kan het ons helpen tests te identificeren en geen netwerkblokkering uit te voeren, wat je tests kan verstoren.
Partners en wederverkopers van Atlassian-cloudproducten zijn verantwoordelijk voor de beveiligingstestactiviteiten van hun klanten.