ACSC — Cloud Computing Security for Cloud Service Providers (bezpieczeństwo przetwarzania w chmurze dla dostawców usług chmurowych) — przegląd wytycznych 2023

1 — Ogólne

Ocena usługi chmurowej i podstawowej infrastruktury (wyraźnie odnosząca się do środków ograniczania ryzyka w niniejszej publikacji) w stosunku do ISM [1] na odpowiednim poziomie klasyfikacji wymaganym do przetwarzania danych dzierżawcy.

Atlassian dysponuje solidnymi mechanizmami zapewniającymi zgodność z Zasadami ramowymi dotyczącymi ochrony prywatności danych, możliwość odwołania się dla osób dotkniętych nieprzestrzeganiem niniejszych Zasad oraz konsekwencje ich nieprzestrzegania. Dokonujemy tego przez okresową i doraźną samoocenę, a w razie potrzeby także okresowe audyty zewnętrzne i przeglądy zgodności. W szczególności corocznie współpracujemy z firmą TrustArc, dostawcą zewnętrznym, który poświadcza, że nasze praktyki dotyczące prywatności są zgodne z Zasadami ramowymi ochrony prywatności danych. Stoi on za naszą certyfikacją własną, a także świadczy niezależne usługi mediacji w sporach w przypadku skarg klientów związanych z ochroną prywatności. Śledzimy i monitorujemy również zgodność ze zgłoszeniami Jira, które mogą być wykorzystane jako ścieżka audytu, wraz z naszymi ocenami własnymi, audytami zewnętrznymi / przeglądami zgodności oraz wszelkimi planami naprawczymi, które opracowujemy od czasu do czasu. Monitorujemy praktyki przetwarzania danych i prowadzimy program dotyczący naruszeń prywatności danych w celu śledzenia incydentów/naruszeń związanych z prywatnością danych.

2 — Postanowienia ogólne

Wdrażanie zarządzania bezpieczeństwem obejmujące wskazywanie kierunków i koordynowanie przez kierownictwo wyższego szczebla działań związanych z bezpieczeństwem, w tym skuteczne zarządzanie zmianami, a także posiadanie pracowników o kwalifikacjach technicznych na określonych stanowiskach związanych z bezpieczeństwem.

Dyrektorem ds. bezpieczeństwa informacji (CISO) w firmie Atlassian jest Bala Sathiamurthy, który pracuje w naszym biurze w San Francisco, a nasz zespół ds. bezpieczeństwa obejmuje ponad 230 członków rozsianych po zespołach ds. bezpieczeństwa produktów, analizy zabezpieczeń, architektury bezpieczeństwa, zaufania, ryzyka i zgodności oraz zespole programistycznym i SRE w naszych biurach w Sydney, Amsterdamie, Austin, Bengarulu, Mountain View, San Francisco i Nowym Jorku, a także wielu zdalnych członków zespołu.

3 — Postanowienia ogólne

Wdrażanie i corocznie testowanie planu reagowania na incydenty dotyczące cyberbezpieczeństwa, zapewniającego dzierżawie dane kontaktowe w nagłych wypadkach, możliwość dostępu do zwykle niedostępnych dla niej dowodów kryminalistycznych oraz powiadamianie o incydentach.

Mamy udokumentowane Politykę i Plan reagowania na incydenty dotyczące bezpieczeństwa, których najważniejsze zasady są następujące:

• Przewidywanie incydentów związanych z bezpieczeństwem i przygotowanie do zareagowania na incydent.
• Ograniczenie wpływu incydentów, eliminowanie ich i odzyskiwanie po ich wystąpieniu.
• Inwestowanie w naszych pracowników, procesy i technologie, aby móc pewnie wykrywać i analizować incydenty związane z bezpieczeństwem, jeśli się pojawią.
• Nadawanie ochronie danych osobowych oraz danych klientów najwyższego priorytetu w przypadku incydentów związanych z bezpieczeństwem.
• Regularne ćwiczenie procedury reagowania na incydenty dotyczące bezpieczeństwa.
• Wyciąganie wniosków z zarządzania incydentami związanymi z bezpieczeństwem i doskonalenie tego obszaru działalności.
• Informowanie kierownictwa Atlassian o krytycznych incydentach związanych z bezpieczeństwem.

4 — Postanowienia ogólne

Wspieranie i używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych w transporcie między dzierżawą a dostawcą usług w chmurze (CSP), np. sieci VPN z zabezpieczeniami TLS lub IPsec w warstwie aplikacji z zatwierdzonymi algorytmami, długością klucza i zarządzaniem kluczami.

Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę.

Dyski serwerowe, na których są przechowywane dane klientów i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu będącej standardem branżowym metody AES-256.

W przypadku szyfrowania w trakcie magazynowania szyfrujemy w szczególności dane klientów przechowywane na dysku, takie jak dane zgłoszenia Jira (szczegóły, komentarze, załączniki) lub dane strony Confluence (zawartość strony, komentarze, załączniki). Szyfrowanie danych w trakcie magazynowania pomaga chronić przed nieautoryzowanym dostępem i zapewnia, że dostęp do danych mają tylko upoważnieni użytkownicy i usługi z kontrolowanym dostępem do kluczy szyfrowania.

Do zarządzania kluczami Atlassian wykorzystuje usługę zarządzania kluczami AWS Key Management Service (KMS). Kontrolę i weryfikację szyfrowania, deszyfrowania oraz zarządzania kluczami przeprowadza wewnętrznie AWS w regularnych odstępach czasu, w ramach własnych wewnętrznych procesów sprawdzania poprawności. Do każdego klucza jest przydzielony właściciel odpowiedzialny za zapewnienie stosowania odpowiedniego poziomu kontroli zabezpieczeń w przypadku kluczy.

5 — Postanowienia ogólne

Korzystanie z zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych przesyłanych między centrami danych CSP za pośrednictwem niezabezpieczonych kanałów komunikacji, takich jak publiczna infrastruktura internetowa.

Atlassian stosuje zasady szyfrowania i kryptografii oraz wytyczne dotyczące ich wdrażania. Niniejsza polityka jest corocznie weryfikowana i aktualizowana zgodnie z naszym programem zarządzania zasadami (Policy Management Program, PMP). Aby uzyskać więcej informacji, zobacz: Atlassian Trust Management System (ATMS)

6 — Postanowienia ogólne

Wsparcie i korzystanie z zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych podczas magazynowania na nośniku pamięci podczas transportu za pośrednictwem poczty/kuriera między dzierżawą a CSP w przypadku przesyłania danych w ramach procesów, takich jak on-boarding lub off-boarding.

Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę.

Dyski serwerowe, na których są przechowywane dane klientów i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu będącej standardem branżowym metody AES-256.

W przypadku szyfrowania w trakcie magazynowania szyfrujemy w szczególności dane klientów przechowywane na dysku, takie jak dane zgłoszenia Jira (szczegóły, komentarze, załączniki) lub dane strony Confluence (zawartość strony, komentarze, załączniki). Szyfrowanie danych w trakcie magazynowania pomaga chronić przed nieautoryzowanym dostępem i zapewnia, że dostęp do danych mają tylko upoważnieni użytkownicy i usługi z kontrolowanym dostępem do kluczy szyfrowania.

Do zarządzania kluczami Atlassian wykorzystuje usługę zarządzania kluczami AWS Key Management Service (KMS). Kontrolę i weryfikację szyfrowania, deszyfrowania oraz zarządzania kluczami przeprowadza wewnętrznie AWS w regularnych odstępach czasu, w ramach własnych wewnętrznych procesów sprawdzania poprawności. Do każdego klucza jest przydzielony właściciel odpowiedzialny za zapewnienie stosowania odpowiedniego poziomu kontroli zabezpieczeń w przypadku kluczy.

7 — Postanowienia ogólne

Zapewnienie zarządzania tożsamością i dostępem, np. uwierzytelnianie wieloskładnikowe i role konta z różnymi uprawnieniami [6], aby dzierżawa mogła korzystać z usługi w chmurze i administrować nią za pośrednictwem panelu sterowania witryny CSP i interfejsu API.

Tak. W przypadku Confluence, Jira uwierzytelnianie wieloskładnikowe jest dostępne dla poszczególnych kont. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Wymuszanie weryfikacji dwuetapowej

BBC nadal obsługuje 2FA od lutego 2022 r. zasadniczo jest częścią narzędzia Atlassian Access i obsługuje dodatkowe funkcje oferowane przez Access.Wymuszone uwierzytelnianie wieloskładnikowe można ustawić na poziomie organizacji za pomocą narzędzia Atlassian Access. Aby uzyskać więcej informacji, zobacz: Wymuszanie weryfikacji dwuetapowej

w odniesieniu do określonych produktów. BitBucket obsługuje przy użyciu opcji SSO opartych na MFA.Aby uzyskać więcej informacji, zobacz: Wymuszanie weryfikacji dwuetapowej | Bitbucket Cloud

Halp używa SSO za pośrednictwem Slack OAuth i MS Teams.Slack i MS Teams zapewniają wiele opcji uwierzytelniania wieloskładnikowego.Aby uzyskać więcej informacji, zobacz: Logowanie jednokrotne SAML i bezproblemowe logowanie jednokrotne Azure AD Connect:
Opsgenie obsługuje przy użyciu opcji SSO opartych na MFA.Aby uzyskać więcej informacji, zobacz: Konfigurowanie SSO dla Opsgenie
Statuspage obsługuje przy użyciu opcji SSO opartych na MFA.
Trello obsługuje uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Włączanie uwierzytelniania dwuskładnikowego na koncie TrelloJira Align obsługuje przy użyciu opcji SSO opartych na MFA.

8 — Postanowienia ogólne

Wspieranie i używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych uwierzytelniających i działań administracyjnych podczas transportu, gdy dzierżawa korzysta z usługi w chmurze i administruje nią za pośrednictwem panelu sterowania witryny CSP i interfejsu API.

Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę.

Dyski serwerowe, na których są przechowywane dane klientów i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu będącej standardem branżowym metody AES-256.

W przypadku szyfrowania w trakcie magazynowania szyfrujemy w szczególności dane klientów przechowywane na dysku, takie jak dane zgłoszenia Jira (szczegóły, komentarze, załączniki) lub dane strony Confluence (zawartość strony, komentarze, załączniki). Szyfrowanie danych w trakcie magazynowania pomaga chronić przed nieautoryzowanym dostępem i zapewnia, że dostęp do danych mają tylko upoważnieni użytkownicy i usługi z kontrolowanym dostępem do kluczy szyfrowania.

Do zarządzania kluczami Atlassian wykorzystuje usługę zarządzania kluczami AWS Key Management Service (KMS). Kontrolę i weryfikację szyfrowania, deszyfrowania oraz zarządzania kluczami przeprowadza wewnętrznie AWS w regularnych odstępach czasu, w ramach własnych wewnętrznych procesów sprawdzania poprawności. Do każdego klucza jest przydzielony właściciel odpowiedzialny za zapewnienie stosowania odpowiedniego poziomu kontroli zabezpieczeń w przypadku kluczy.

9 — Postanowienia ogólne

Umożliwienie dzierżawie pobierania szczegółowych dzienników synchronizowanych w czasie i otrzymywania powiadomień w czasie rzeczywistym generowanych dla kont usługi w chmurze dzierżawy, służących do uzyskiwania dostępu do usługi w chmurze, a zwłaszcza do administrowania nią.

Dzienniki kluczowych systemów są przekazywane z każdego systemu do scentralizowanej platformy dzienników, gdzie są dostępne tylko do odczytu. Zespół ds. bezpieczeństwa Atlassian tworzy alerty na naszej platformie analizy zabezpieczeń (Splunk) i monitoruje wskaźniki pod kątem naruszeń. Nasze zespoły inżynierów ds. niezawodności lokalizacji (SRE) wykorzystują tę platformę do monitorowania problemów z dostępnością lub wydajnością. Dzienniki są przechowywane przez 30 dni w dynamicznej kopii zapasowej i przez 365 dni w kopii zapasowej offline.

Najważniejsze szczegółowe dzienniki: Śledzenie aktywności organizacji za pomocą dziennika audytu

10 — Postanowienia ogólne

Umożliwienie dzierżawie pobierania szczegółowych dzienników synchronizowanych w czasie i otrzymywania alertów w czasie rzeczywistym generowanych przez usługę w chmurze używaną przez dzierżawę, np. system operacyjny, serwer WWW i dzienniki aplikacji.

Korzystamy z narzędzi Casper (https://www.jamf.com) i OSQuery (https://osquery.io/) w celu zarządzania tym, co jest rejestrowane i jak długo przechowywane są dzienniki. Dzienniki są przechowywane w logicznie oddzielnym systemie, a dostęp do zapisu w dziennikach jest ograniczony do członków zespołu ds. bezpieczeństwa. W przypadku zidentyfikowania określonych czynności lub zdarzeń w dziennikach do zespołu ds. bezpieczeństwa lub centrum obsługi wysyłane są alerty. Nasza scentralizowana usługa rejestrowania (Splunk) jest zintegrowana z naszą infrastrukturą analizy zabezpieczeń w celu przeprowadzania automatycznych analiz i generowania alertów pozwalających zidentyfikować potencjalne problemy.

Nasze skanery wewnętrznych i zewnętrznych luk w zabezpieczeniach ostrzegają o wszelkich niespodziewanie otwartych portach lub innych zmianach w konfiguracji (np. profilach TLS nasłuchujących serwerów).

W przypadku zidentyfikowania określonych czynności lub zdarzeń w dziennikach do zespołu ds. zabezpieczeń lub centrum obsługi wysyłane są alerty.

11 — Postanowienia ogólne

Ujawnienie krajów i jurysdykcji prawnych, w których dane dzierżawy są (lub będą w nadchodzących miesiącach) przechowywane, poddawane tworzeniu kopii zapasowych, przetwarzane i używane przez pracowników CSP w celu rozwiązywania problemów, zdalnego administrowania i obsługi klientów.

Atlassian korzysta z usług Amazon Web Services (AWS) w regionach US-East, US-West, Irlandii, Frankfurtu, Singapuru i Sydney (Confluence i Jira). Aby uzyskać więcej informacji, zobacz: Infrastruktura hostingu w chmurze

w odniesieniu do określonych produktów. Produkt Trello jest dostępny w regionie AWS US-East (Ohio). Jira Align: o fizyczną lokalizację danych klientów można poprosić za pomocą zgłoszenia pomocy technicznej. Zobacz: wsparcie Jira Align

Produkt Statuspage jest dostępny w regionach AWS: US-West (Oregon, Kalifornia) i US-East (Ohio). Opsgenie ma konta AWS zarówno w USA, jak i Europie. Podczas rejestracji klienci muszą wyrazić zgodę na region AWS w USA (Oregon, Kalifornia) lub w UE (Frankfurt).Produkt Halp jest hostowany w AWS w regionach USA-East-2 i US-West 2. Repozytoria Bitbucket i podstawowe funkcje aplikacji są hostowane w AWS w regionach USA-East i US-West.

12 — Postanowienia ogólne

Sprawdzanie przeszłości pracowników CSP proporcjonalne do poziomu dostępu do systemów i danych. Utrzymanie poświadczeń bezpieczeństwa dla personelu z dostępem do wysoce wrażliwych danych [7].

Tak. Nowi pracownicy firmy Atlassian na całym świecie są zobowiązani do poddania się sprawdzeniu przeszłości. W przypadku pracowników podejmujących pracę w firmie Atlassian w wyniku przejęcia przeszłość sprawdza się po dacie przejęcia. Wszyscy nowi pracownicy i niezależni wykonawcy przechodzą sprawdzenie pod kątem karalności, sprawdza się również ich wykształcenie, historię zatrudnienia oraz sytuację kredytową, jeśli rola lub stanowisko tego wymagają. Kierownictwo wyższego szczebla oraz księgowi przechodzą pełne sprawdzenie przeszłości.

13 — Postanowienia ogólne

Korzystanie z fizycznie bezpiecznych centrów danych i biur, które przechowują dane dzierżawy lub mają dostęp do danych dzierżawy [8]. Weryfikacja i rejestrowanie tożsamości wszystkich pracowników i gości. Towarzyszenie gościom, aby ograniczyć ich dostęp do danych bez upoważnienia.

Biura Atlassian podlegają wewnętrznym zasadom dotyczącym bezpieczeństwa fizycznego i środowiskowego, w tym monitorowaniu fizycznych punktów wejścia i wyjścia. Nasze partnerskie centra danych mają wiele certyfikatów zgodności. Te certyfikaty dotyczą bezpieczeństwa fizycznego, dostępności systemu, dostępu do sieci oraz sieci szkieletowej IP, aprowizacji klientów i zarządzania problemami. Dostęp do centrów danych jest ograniczony wyłącznie do upoważnionego personelu i sprawdzany przy użyciu biometrycznych mechanizmów weryfikacji tożsamości. Zabezpieczenia fizyczne obejmują: ochronę na terenie firmy, monitoring wizyjny w obwodzie zamkniętym, śluzy oraz dodatkowe środki ochrony przed włamaniem. AWS posiada wiele certyfikatów potwierdzających ochronę ich centrów danych. Informacje na temat zapewniania bezpieczeństwa fizycznego AWS można znaleźć na stronie: http://aws.amazon.com/compliance/

14 — Postanowienia ogólne

Ograniczenie uprzywilejowanego dostępu pracowników CSP do systemów i danych w oparciu o ich zadania [9]. Wymaganie ponownego zatwierdzania co trzy miesiące pracowników CSP wymagających uprzywilejowanego dostępu. Cofnięcie dostępu po zakończeniu zatrudnienia pracowników CSP.

Firma Atlassian ogranicza dostęp do personelu, który potrzebuje tego dostępu ze względu na swoją rolę i obowiązki. Wszystkie systemy warstwy 1 są zarządzane za pośrednictwem scentralizowanej usługi logowania jednokrotnego (SSO) oraz katalogu Atlassian. Użytkownicy otrzymują odpowiednie prawa dostępu w oparciu o te profile, sterowane za pomocą przepływu pracy z naszego systemu zarządzania HR. W przypadku dostępu do wszystkich systemów warstwy 1 firma Atlassian stosuje uwierzytelnianie wieloskładnikowe. Włączyliśmy usługę uwierzytelniania dwuskładnikowego w konsoli zarządzania usługą hipernadzorcy oraz w interfejsie API AWS, a także codzienny raport z audytu na temat wszystkich prób uzyskania dostępu do funkcji zarządzania usługą hipernadzorcy. Listy dostępu do konsoli zarządzania usługą hipernadzorcy oraz interfejsu API AWS są przeglądane co kwartał. Co 8 godzin przeprowadzamy również synchronizację naszego systemu HR i magazynu tożsamości.

15 — Postanowienia ogólne

Szybka analiza dzienników działań pracowników CSP, które są rejestrowane na zabezpieczonym i izolowanym serwerze dzienników. Wprowadzenie podziału obowiązków przez wymaganie, aby analiza dziennika była wykonywana przez pracowników CSP, którzy nie mają innych uprawnień ani ról.

Stosowane są mechanizmy kontroli segregacji obowiązków w odniesieniu do podstawowych produktów Atlassian i obejmują one między innymi:

• Przeglądy kontroli dostępu
• Grupy zabezpieczeń zarządzane przez aplikację HR
• Zatwierdzenie zmiany / ocena przez współpracownika / wdrożenie (PRGB)
• Mechanizmy kontroli przepływów pracy

16 — Postanowienia ogólne

Przeprowadzenie badania due diligence dostawców przed uzyskaniem oprogramowania, sprzętu lub usług, aby ocenić potencjalny wzrost profilu ryzyka dla bezpieczeństwa CSP.

Nowi dostawcy Atlassian są zobowiązani do wyrażenia zgody na załącznik oraz zasady ochrony prywatności i bezpieczeństwa zawarte w naszych umowach. Zespoły prawne i zakupowe Atlassian sprawdzają umowy, umowy SLA i wewnętrzne zasady dostawców, aby określić, czy dostawca spełnia wymagania dotyczące bezpieczeństwa, dostępności i poufności. Atlassian prowadzi następującą stronę publiczną: Lista podwykonawców przetwarzania danych.

17. — Postanowienia ogólne

Użycie zatwierdzonych przez ASD kontroli kryptograficznych, aby chronić wysoce wrażliwe dane w trakcie magazynowania. Sanityzacja nośników pamięci przed naprawą, utylizacją i wycofaniem dzierżawy za pomocą umowy o nieujawnianiu danych w pozostałych kopiach zapasowych.

Proces ten obsługuje zespół ds. technologii w miejscu pracy. Sprzęt jest poddawany sanityzacji danych i odpowiednio rozmagnesowywany. Firma Atlassian nie zarządza żadnymi nośnikami fizycznymi, które obsługują jej produkty i usługi w chmurze.Dyski serwerowe, na których są przechowywane dane i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu metody AES-256, będącej standardem branżowym.

18 — Postanowienia ogólne

Wdrożenie mechanizmów wielodostępu, aby zapobiec dostępowi do danych dzierżawy przez inne dzierżawy. Odizolowanie ruchu sieciowego, pamięci masowej, pamięci RAM i przetwarzania komputerowego. Sanityzacja nośników pamięci przed ich ponownym użyciem.

Atlassian to aplikacja SaaS z wielodostępem. Jedną z kluczowych cech rozwiązania Atlassian Cloud jest wielodostęp, który umożliwia wielu klientom współdzielenie jednej instancji warstwy aplikacji Jira lub Confluence, jednocześnie zapewniając odizolowanie danych aplikacji każdej dzierżawy. Atlassian Cloud realizuje to za pośrednictwem usługi TCS (Tenant Context Service). Każdy identyfikator użytkownika jest powiązany z dokładnie jedną dzierżawą, która następnie służy do uzyskania dostępu do aplikacji Atlassian Cloud. Więcej informacji można znaleźć na stronie: Praktyki dotyczące bezpieczeństwa
Zachowujemy logiczną i fizyczną separację środowisk produkcyjnych i nieprodukcyjnych (używanych do tworzenia oprogramowania) w przypadku wszystkich środowisk i metod stosowanych do ich izolowania.
Nasze środowisko przejściowe jest logicznie (ale nie fizycznie) oddzielone i zarządzane z zastosowaniem procesów dostępu i kontrolowania zmian klasy produkcyjnej.

19 — Ogólne

Umożliwienie dzierżawcy wykonywania bieżących kopii zapasowych w formacie, który pozwala uniknąć blokady CSP. W przypadku zamknięcia konta lub zakończenia usługi w chmurze należy niezwłocznie powiadomić o tym dzierżawcę i zapewnić co najmniej miesiąc na pobranie danych.

Firma Atlassian przestrzega standardów dotyczących przechowywania i niszczenia danych, które określają, jak długo musimy zatrzymywać różnego rodzaju dane. Dane są klasyfikowane zgodnie z zasadami firmy Atlassian dotyczącymi bezpieczeństwa danych i cyklu życia informacji i na tej podstawie wdrażane są środki kontroli. W przypadku danych klienta w momencie rozwiązania umowy z firmą Atlassian dane należące do zespołu klienta zostaną usunięte z aktywnej produkcyjnej bazy danych, a wszystkie pliki załączników przekazane bezpośrednio do firmy Atlassian zostaną usunięte w ciągu 14 dni. Dane zespołu zostaną zachowane w zaszyfrowanych kopiach zapasowych przez 60 dni, a następnie zniszczone zgodnie z zasadami przechowywania danych firmy Atlassian. Jeśli w ciągu 60 dni od zażądania usunięcia danych konieczne okaże się przywrócenie bazy danych, zespół odpowiedzialny za eksploatację systemów ponownie usunie dane możliwie jak najszybciej po pełnym przywróceniu aktywnego systemu produkcyjnego. Aby uzyskać więcej informacji, zobacz temat: Monitorowanie pamięci masowej i przenoszenie danych między produktami

20 — Ogólne

Klienci Atlassian ponoszą odpowiedzialność za dopilnowanie, aby korzystanie z naszych usług odbywało się z poszanowaniem obowiązujących przepisów prawa i regulacji. Więcej informacji na temat naszych konkretnych umów prawnych i zasad można znaleźć na naszej stronie zasobów prawnych: https://www.atlassian.com/legal

21 — Ogólne

Wspieranie odpowiednio wysokiej przepustowości, małych opóźnień i niezawodnej łączności sieciowej między dzierżawcą a usługą w chmurze w celu zapewnienia deklarowanego poziomu dostępności wymaganego przez dzierżawcę.

Monitorujemy wszystkie instancje Cloud pod kątem wydajności i dostępności, ale obecnie nie oferujemy formalnej umowy SLA w zakresie dostępności aplikacji. Nasz zespół wsparcia oferuje umowę SLA dotyczącą początkowego czasu odpowiedzi i choć nie mamy oficjalnych umów SLA dotyczących rozwiązywania problemów w ramach wsparcia, dążymy do rozwiązania wszystkich przypisanych przypadków w ciągu 48 godzin. Atlassian udostępnia statystyki dotyczące najnowszych danych na temat statusu systemów Cloud na stronie: https://status.atlassian.com.

Jeśli zdecydujesz się skorzystać z naszej oferty Premium lub Enterprise, umowa SLA będzie zawierać konkretne gwarancje.

22 — Ogólne

Opracowanie architektury spełniającej żądany poziom dostępności wymagany przez dzierżawcę, np. minimalne pojedyncze punkty awarii, klastrowanie i równoważenie obciążenia, replikacja danych, automatyczne przełączanie w tryb awaryjny i monitorowanie dostępności w czasie rzeczywistym.

W przypadku naszych usług Atlassian Cloud plany ciągłości działalności biznesowej i odzyskiwania awaryjnego są testowane co najmniej raz na kwartał. Dostępność w wielu regionach jest monitorowana w czasie rzeczywistym. Automatyczne testy pracy w trybie awaryjnym na poziomie regionalnym są przeprowadzane co tydzień w środowisku przedprodukcyjnym. Automatyczne testy przywracania danych konfiguracyjnych są wykonywane codziennie w środowisku produkcyjnym.

W przypadku wszystkich usług Atlassian co kwartał przeprowadza się test odporności strefy dostępności w środowisku przedprodukcyjnym. Więcej informacji na temat naszego programu ciągłości działalności biznesowej można znaleźć na stronie: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Nasze plany odzyskiwania awaryjnego są testowane i zatwierdzane przez zewnętrznych audytorów w ramach naszego programu zapewnienia zgodności. Więcej informacji można znaleźć na stronie https://www.atlassian.com/trust/compliance/resources.

23 — Ogólne

Opracowanie i coroczne testowanie planu odzyskiwania awaryjnego i planu ciągłości działalności biznesowej w celu spełnienia żądanego poziomu dostępności wymaganego przez dzierżawcę, np. określonego na wypadek incydentów, które powodują trwałą utratę personelu lub infrastruktury CSP.

Obowiązują zasady „Zachowanie ciągłości działalności biznesowej i odzyskiwanie awaryjne” oraz „Plan odzyskiwania awaryjnego i ciągłości działalności biznesowej”. Są one co roku poddawane przeglądowi przez komitet sterujący ds. ciągłości działalności biznesowej / odzyskiwania awaryjnego. Wszyscy właściciele systemów, procesów lub usług o znaczeniu krytycznym zapewniają odpowiednią ciągłość działalności biznesowej i/lub odzyskiwanie awaryjne (BCDR) na poziomie odpowiadającym tolerancji na zakłócenia w razie awarii. Plany BCDR są testowane co kwartał, a wszelkie stwierdzone problemy są rozwiązywane. Więcej informacji można znaleźć na stronach praktyk w zakresie bezpieczeństwa i podejścia Atlassian do odporności.

24 — Ogólne

Wdrożenie zabezpieczeń przed atakami typu „odmowa usługi” w celu spełnienia deklarowanego poziomu dostępności wymaganego przez dzierżawcę, np. nadmiarowa łączność z siecią zewnętrzną i wewnętrzną o dużej przepustowości z ograniczaniem i filtrowaniem ruchu.

Dział bezpieczeństwa firmy Atlassian wykorzystuje technologie IPS, które są wdrożone w naszych środowiskach biurowych. Ochrona przed zagrożeniami sieciowymi jest realizowana przez AWS, co obejmuje ochronę przed atakami DDoS oraz stosowanie określonych funkcji zapór aplikacji internetowych.

W odniesieniu do konkretnych produktów: Jira Align wykorzystuje Cloudflare do WAF, DDOS, DNS-SEC. Używamy Alert Logic IDS, analizy dzienników i CloudTrail. Używamy Nexpose do skanowania współdzielonych komponentów sieciowych pakietu Atlassian Cloud. Używamy niestandardowej analizy dziennika Splunk.

25 — Ogólne

Zapewnienie potencjał infrastruktury i responsywnego automatycznego skalowania, aby spełnić deklarowany poziom dostępności wymagany przez dzierżawcę.

Atlassian planuje potencjał wykonawczy z wyprzedzeniem 6–12 miesięcy, a planowanie strategiczne na wysokim szczeblu obejmuje okres 36 miesięcy.

SLA/SLO: Systemy Atlassian uzgodniły cele dotyczące ich charakterystyki operacyjnej
(1) wszystkie systemy mają zestaw SLO powiązanych z podstawowymi funkcjonalnościami tych systemów
(2) te SLO są regularnie przeglądane co kwartał (lub częściej)
(3) niektórym klientom Atlassian dostarczane są SLA dotyczące usług świadczonych przez Atlassian. Te umowy SLA muszą być wspierane przez wewnętrzne SLO.
(4) zespół, który nie osiągnie jednego lub więcej SLO, musi priorytetowo potraktować zadania mające na celu przywrócenie danego wskaźnika i wykonać je w pierwszej kolejności.

26 — Ogólne

Umożliwienie dzierżawcy zarządzania kosztami rzeczywistego wzrostu zapotrzebowania lub ataku typu „odmowa usługi” poprzez umowne limity wydatków, alerty w czasie rzeczywistym i konfigurowalne maksymalne limity wykorzystania potencjału infrastruktury CSP.

W przypadku naszych ofert SaaS nie rozliczamy klientów zgodnie z użyciem. Obecnie nie udostępniamy dzierżawcom raportów na temat potencjału wykonawczego ani użytkowników.

27 — Ogólne

Używanie zatwierdzonych i zabezpieczonych przez firmę komputerów, serwerów przesiadkowych, dedykowanych kont, silnych haseł i uwierzytelniania wieloskładnikowego w celu zapewnienia klientom wsparcia oraz administrowania usługami i infrastrukturą w chmurze.

Pracownicy są zobowiązani do egzekwowania 2FA, gdy jest ono dostępne, i korzystania z menedżera haseł z losowymi, bezpiecznymi hasłami. Autoryzowani pracownicy uzyskują dostęp do środowiska produkcyjnego poprzez uwierzytelnianie się do sieci VPN przy użyciu unikatowych silnych haseł i 2FA opartego na TOTP, a następnie tylko za pośrednictwem połączeń terminalowych ssh przy użyciu osobistych certyfikatów RSA chronionych hasłem. SSO, SSH, 2FA, VPN są obowiązkowe.

28 — Ogólne

Używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych uwierzytelniających i aktywności administracyjnej w trakcie przesyłania przez niezabezpieczone kanały komunikacyjne między centrum danych CSP a administratorem CSP / personelem obsługi klienta.

Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę.

Dyski serwerowe, na których są przechowywane dane klientów i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu metody AES-256, która jest standardem w branży.

W przypadku szyfrowania w trakcie magazynowania szyfrujemy w szczególności dane klientów przechowywane na dysku, takie jak dane zgłoszenia Jira (szczegóły, komentarze, załączniki) lub dane strony Confluence (zawartość strony, komentarze, załączniki). Szyfrowanie danych w trakcie magazynowania pomaga chronić przed nieautoryzowanym dostępem i zapewnia, że dostęp do danych mają tylko upoważnieni użytkownicy i usługi z kontrolowanym dostępem do kluczy szyfrowania.

Do zarządzania kluczami Atlassian wykorzystuje usługę zarządzania kluczami AWS Key Management Service (KMS). Kontrolę i weryfikację szyfrowania, deszyfrowania oraz zarządzania kluczami przeprowadza wewnętrznie AWS w regularnych odstępach czasu, w ramach własnych wewnętrznych procesów sprawdzania poprawności. Do każdego klucza jest przydzielony właściciel dbający o stosowanie odpowiedniego poziomu kontroli zabezpieczeń w przypadku kluczy.

29 — Ogólne

Wdrożenie segmentacji i segregacji sieci [20] między Internetem, infrastrukturą CSP używaną przez dzierżawców, siecią używaną przez CSP do administrowania usługami i infrastrukturą w chmurze oraz firmową siecią LAN CSP.

Dane klientów w żadnym wypadku nie mogą być powielane poza środowiskiem produkcyjnym, które jest przechowywane na bezpiecznych serwerach AWS. Stosowane są rygorystyczne reguły zapory, co ogranicza dostęp do środowiska produkcyjnego wyłącznie do naszej sieci VPN i autoryzowanych systemów. Dostęp do sieci VPN wymaga uwierzytelniania wieloskładnikowego. Stosowane są mechanizmy kontroli segregacji obowiązków w odniesieniu do podstawowych produktów Atlassian i obejmują one między innymi:

• Przeglądy kontroli dostępu
• Grupy zabezpieczeń zarządzane przez aplikację HR
• Zatwierdzenie zmiany / ocena przez współpracownika / wdrożenie (PRGB)
• Mechanizmy kontroli przepływów pracy

30 — Ogólne

Korzystanie z bezpiecznych praktyk programowania dla oprogramowania opracowanego przez CSP [21] [22] [23].

Atlassian stosuje bezpieczne praktyki programistyczne na wszystkich etapach cyklu tworzenia produktów. Aby uzyskać więcej informacji, zobacz temat: Bezpieczeństwo w procesie tworzenia oprogramowania w Atlassian.

Na etapie projektowania praktyki obejmują modelowanie zagrożeń, przegląd projektu i naszą regularnie aktualizowaną bibliotekę standardów bezpieczeństwa, dzięki czemu mamy pewność, że wymagania dotyczące zabezpieczeń są uwzględniane.

W trakcie tworzenia oprogramowania stosujemy obowiązkowy proces wzajemnej oceny, który stanowi pierwszy stopień przeglądu bezpieczeństwa. W ramach wsparcia na tym etapie przeprowadza się zautomatyzowane kontrole oparte na analizie statycznej (SAST) oraz ręczne testy zabezpieczeń (z udziałem zarówno zespołów wewnętrznych, jak i ekspertów z zewnątrz, zgodnie z naszym procesem oceny ryzyka). W ramach wspierania procesu tworzenia produktów prowadzimy również programy szkoleń w zakresie bezpieczeństwa aplikacji oraz bazę wiedzy na temat bezpieczeństwa, za które odpowiada specjalny zespół ds. bezpieczeństwa.

Dzięki procesom formalnej gotowości operacyjnej oraz kontrolowania zmian zyskujemy pewność, że do produkcji wdrażane są tylko zatwierdzone zmiany. Po wdrożeniu stosujemy regularne automatyczne skanowanie pod kątem luk w zabezpieczeniach i czołowy w branży program wykrywania błędów Bug Bounty (https://bugcrowd.com/atlassian), aby bezpieczeństwo naszych aplikacji było stale poddawane kontroli.

31 — Ogólne

Przeprowadzanie bezpiecznej konfiguracji, bieżące zarządzanie lukami w zabezpieczeniach, szybkie wprowadzanie poprawek, coroczne przeglądy bezpieczeństwa przeprowadzane przez strony trzecie oraz testy penetracyjne usług w chmurze i infrastruktury bazowej.

Angażujemy zewnętrzne firmy konsultingowe w celu przeprowadzania corocznych testów penetracyjnych aplikacji skierowanych na zewnątrz. Testy te uzupełniamy również o mniejsze, ciągłe testy bezpieczeństwa przeprowadzane przez nasz zespół ds. testowania bezpieczeństwa wewnętrznego. Pisma potwierdzające przeprowadzanie tych testów penetracyjnych wraz z informacjami na temat procedury testowania można znaleźć tutaj: Podejście do zewnętrznych testów zabezpieczeń

Współpracujemy z BugCrowd przy prowadzeniu programu Bug Bounty mającego na celu przeprowadzanie bieżących ocen luk w zabezpieczeniach naszych publicznie dostępnych produktów i usług. Program jest dostępny na stronie: https://bugcrowd.com/atlassian. Udostępniamy bieżące wyniki testów penetracyjnych z naszego programu Bug Bounty na stronie: Podejście do zewnętrznych testów zabezpieczeń

Wszystkie wykryte luki podlegają naszym zasadom usuwania błędów zabezpieczeń, które definiują docelowe poziomy świadczenia usług (SLO) obliczane na podstawie poziomów ważności dla każdego problemu z zabezpieczeniami. Ramy czasowe działań naprawczych i więcej szczegółów na temat zasad można znaleźć na stronie: Zasady usuwania błędów zabezpieczeń Szczegółowe informacje na temat naszego programu zarządzania lukami w zabezpieczeniach można znaleźć na stronie: Zarządzanie lukami w zabezpieczeniach w Atlassian

Więcej informacji na temat tego, w jaki sposób uwzględniamy bezpieczeństwo w naszych praktykach tworzenia oprogramowania, można znaleźć na stronie: Bezpieczeństwo w procesie tworzenia oprogramowania w Atlassian

32 — Ogólne

Szkolenie wszystkich pracowników CSP, w szczególności administratorów, przy rozpoczęciu zatrudnienia i corocznie, w celu ochrony danych dzierżawcy, utrzymania dostępności usług w chmurze i proaktywnego identyfikowania incydentów związanych z zabezpieczeniami, np. poprzez szybką analizę dziennika.

Atlassian zapewnia szkolenia z zakresu bezpieczeństwa informacji jako element szkolenia onboardingowego („Rocketfuel”) dla nowych pracowników, a także ich ciągłość dla wszystkich pracowników. Przed rozpoczęciem pracy w firmie kandydaci i wykonawcy są zobowiązani do podpisania umowy o zachowaniu poufności. W przypadku zmiany technologii lub innej poważnej zmiany są udostępniane i ogłaszane obecnym pracownikom za pośrednictwem naszego intranetu.

Oprócz tego ogólnego szkolenia dotyczącego bezpieczeństwa informacji, nasi programiści przechodzą bardziej specjalistyczne szkolenie na temat bezpiecznego tworzenia kodu wspierane przez nasz zintegrowany program prowadzony przez inżynierów bezpieczeństwa. Atlassian prowadzi również ciągłe szkolenia tematyczne na temat złośliwego oprogramowania, phishingu oraz innych zagadnień związanych z bezpieczeństwem. Pracownicy i wykonawcy Atlassian podlegają weryfikacji tożsamości i uprawnień pracowniczych.

1 — IaaS

Zapewnienie środków kontroli dostępu do sieci umożliwiających dzierżawcy wdrożenie segmentacji i segregacji sieci [25], w tym funkcjonalność filtrowania sieci, aby uniemożliwić zdalne administrowanie maszynami wirtualnymi spoza adresu IP dzierżawcy.

Nie dotyczy. Atlassian jest dostawcą SaaS.

2 — IaaS

Zapewnienie dzierżawcy bezpiecznie skonfigurowanych i poprawionych obrazów szablonów maszyn wirtualnych. Zakaz przypisywania słabego hasła administracyjnego do nowo udostępnionych maszyn wirtualnych.

Nie dotyczy. Atlassian jest dostawcą SaaS.

1 — PaaS

Ochrona i bezpieczna konfiguracja systemu operacyjnego, serwera WWW i oprogramowania platformy. Ograniczenie przychodzącej i wychodzącej łączności sieciową tylko do wymaganych portów/protokołów. Natychmiastowe wykonywanie poprawek i analizy dziennika.

Nie dotyczy. Atlassian jest dostawcą SaaS.

1 — SaaS

Wdrożenie środków kontroli specyficznych dla usługi w chmurze, np. w przypadku wiadomości e-mail dostarczanych jako usługa zapewnienie funkcji obejmujących filtrowanie treści ze zautomatyzowaną dynamiczną analizą wiadomości e-mail i załączników do wiadomości e-mail.

Zapewniamy to w naszych produktach. Usługi Atlassian korzystają z technologii  Proofpoint (https://www.proofpoint.com/au/products/email-protection) do skanowania załączników i przepisywania adresów URL w celu blokowania prób phishingu. Używamy też zabezpieczeń e-mail wbudowanych w Google G Suite (Bezpieczeństwo i ochrona danych w usłudze Cloud).

2 — SaaS

Wdróż ogólne rozwiązania kontrolne [26], takie jak ograniczona łączność sieciowa przychodząca i wychodząca wyłącznie z wymaganymi portami/protokołami, codziennie aktualizowane oprogramowanie antywirusowe, systemy zapobiegania włamaniom czy błyskawiczna analiza dzienników.

Nie dotyczy. Atlassian nie stosuje ochrony przed złośliwym oprogramowaniem na swoich serwerach produkcyjnych, ponieważ zapisu na nich można dokonywać wyłącznie za pośrednictwem naszego pipeline'u CI/CD. Usługi aplikacji Atlassian obsługujące Jira Cloud i Confluence Cloud hostują wyłącznie kod aplikacji — i nic więcej. Na serwerach Jira i Confluence Cloud zapisu można dokonać wyłącznie za pośrednictwem pipeline'u wdrożeń Atlassian lub CI/CD.

Wszelkie treści generowane przez klientów znajdują się na serwerach baz danych / RDS, a wszelkie załączniki i inne elementy są zapisywane we wspólnej usłudze multimedialnej, która w zasadzie stanowi tylko fronton dla zasobnika S3. Zespół Atlassian ds. zwalczania nadużyć może usuwać z usług multimedialnych załączniki zidentyfikowane jako złośliwe lub szkodliwe, ale nie prowadzi aktywnego skanowania w poszukiwaniu złośliwego oprogramowania. Polegamy na naszych własnych mechanizmach wykrywania w punktach końcowych oraz na narzędziach wykrywania złośliwego oprogramowania stosowanych przez klientów.

Na wszystkich serwerach Windows wykorzystujemy oprogramowanie Crowdstrike Falcon. Atlassian codziennie aktualizuje sygnatury Crowdstrike, które obejmują wszelkie złośliwe oprogramowanie znane temu dostawcy.