Ograniczanie obszarów ryzyka i luk w zabezpieczeniach, przeprowadzanie okresowych ocen technicznych i nietechnicznych w odpowiedzi na zmiany środowiskowe lub operacyjne

Co roku przeprowadzamy ocenę luk w zabezpieczeniach, aktualizujemy naszą analizę ryzyka w zakresie bezpieczeństwa i uzyskujemy atest HIPAA nadawany przez niezależną instytucję certyfikującą.

Przeprowadzamy oceny ryzyka, które obejmują jego identyfikację, ocenę, przypisanie, akceptację, usuwanie, a także inne stosowne działania związane z zarządzaniem, aby zyskać pewność, że nie przekraczamy uzgodnionych poziomów ryzyka i spełniamy stosowne wymogi prawne i regulacyjne. Stale poddajemy ocenie opracowane środki kontroli i strategie ograniczania ryzyka, uwzględniając zalecane zmiany w środowisku kontroli. Prowadzimy tabelę obszarów ryzyka i środków kontroli w naszym narzędziu do administracji, zarządzania ryzykiem i zapewniania zgodności (Governance, Risk, and Compliance, GRC).

Weryfikacja kandydatów i właściwe procedury rozwiązywania umów

W chwili przyjęcia oferty zatrudnienia nowi członkowie zespołu Atlassian na całym świecie muszą przejść sprawdzenie przeszłości. Kompleksowy zestaw sprawdzeń jest uruchamiany automatycznie i obejmuje wszystkie nowo zatrudnione osoby, a także niezależnych kontrahentów.

Nasi pracownicy i kontrahenci, którzy mają dostęp do poufnych informacji, są zobowiązani do wypełniania zobowiązań związanych z bezpieczeństwem informacji zawartych w umowach o pracę i umowach o zachowaniu poufności, które pozostają ważne także po zakończeniu lub zmianie zatrudnienia oraz ustaniu stosunków umownych.

Sankcje wobec pracowników

W trakcie wdrażania każdy nowy pracownik musi zatwierdzić zasady naszego Kodeksu postępowania i etyki w biznesie, a także odbyć szkolenie uświadamiające z zakresu bezpieczeństwa. Przewiduje i stosuje się sankcje wobec osób, które nie przestrzegają ustanowionych zasad i procedur dotyczących bezpieczeństwa informacji.

Autoryzacja dostępu dla pracowników pracujących z chronionymi informacjami zdrowotnymi w formie elektronicznej

Członkostwo roli usługi Active Directory jest przypisywane automatycznie na podstawie działu oraz zespołu użytkownika i jest ograniczone do osób, dla których taki dostęp jest niezbędny. W przypadku przeniesienia użytkownika do innego zespołu następuje wygenerowanie alertu, który wyzwala kolejne czynności, w tym, w stosownych przypadkach, usunięcie nieaktualnych uprawnień dostępu. Właściciele systemów lub usług zostali wyznaczeni jako osoby zatwierdzające przyznanie lub zmianę uprawnień dostępu dla użytkowników do różnych systemów na poziomach dostępu usługi Active Directory.

Uprzywilejowany dostęp do środowisk produkcyjnych jest ograniczony tylko do odpowiednich, autoryzowanych użytkowników.

Dostęp do naszej sieci wewnętrznej i narzędzi jest ograniczony do autoryzowanych użytkowników za pomocą logicznych środków kontroli dostępu. Każde konto użytkownika musi:

• mieć aktywne konto usługi Active Directory, oraz
• należeć do odpowiedniej grupy usługi Active Directory.

Właściwy sposób udzielania dostępu (na zasadzie na zasadzie niezbędnych minimalnych uprawnień)

Kończenie sesji po wstępnie ustalonym czasie braku aktywności

Aplikacje komputerowe i mobilne mają ustawiony maksymalny limit czasu sesji użytkownika zgodny z naszymi standardowymi procedurami operacyjnymi (od 8 do 24 godzin w przypadku sesji na komputerach i od 30 do 90 dni w przypadku sesji na urządzeniach mobilnych).

Na wszystkich punktach końcowych z systemem MacOS i Windows wymuszane jest stosowanie wygaszacza ekranu, a jego odblokowanie wymaga podania hasła.

Rejestrowanie/wykrywanie danych audytowych (w tym monitorowanie prób logowania)

Prowadzimy dzienniki zdarzeń i zabezpieczamy je przed utratą lub manipulacją. Okresowo sprawdzamy dostęp do dzienników. Włączyliśmy funkcję rejestrowania w naszym środowisku AWS, a uzyskane dzienniki kierujemy do rozwiązania Splunk. Na podstawie znanych i zaistniałych w przeszłości zdarzeń oraz incydentów dotyczących bezpieczeństwa wdrożyliśmy zautomatyzowane alerty dla zdarzeń w środowisku AWS oraz wszystkich zdarzeń związanych ze środowiskiem Cloud spełniających kryteria HIPAA.

Stosujemy proces przeglądu w celu dostosowywania i optymalizacji naszych alertów oraz usuwania wyników fałszywie pozytywnych. Dedykowany inżynier ds. automatyzacji usprawnia proces tworzenia i klasyfikowania alertów.

Identyfikowanie domniemanych i znanych incydentów związanych z bezpieczeństwem oraz reagowanie na nie. Ograniczanie i dokumentowanie incydentów oraz ich skutków.

Wdrożyliśmy w całej organizacji proces zarządzania incydentami, z uwzględnieniem powołania zespołu ds. bezpieczeństwa odpowiedzialnego za program, który obejmuje:

• Rejestrowanie każdej czynności podejmowanej w ramach zarządzania incydentem w systemie zarządzania incydentami w formie zgłoszenia dotyczącego incydentu. Rejestry muszą zawierać następujące informacje:
  • czas rozpoczęcia incydentu,
  • Opis incydentu
  • ważność,
  • dotknięte usługi,
  • wpływ,
  • liczba dotkniętych klientów,
  • główna przyczyna,
  • podjęte działania,
  • dotknięte SLO (wpływ na możliwości).
• W miarę możliwości powiązanie problemów z ich główną przyczyną i/lub pogrupowanie ich w incydenty nadrzędne.
• Przeprowadzenie przeglądu po incydencie (PIR) po wystąpieniu poważnych i krytycznych incydentów.

Wyznaczenie osoby odpowiedzialnej za opracowanie i wdrożenie programu zapewniania zgodności z wymogami HIPAA w zakresie bezpieczeństwa

Wyznaczyliśmy dedykowanego specjalistę ds. zapewniania zgodności z wymogami HIPAA w zakresie bezpieczeństwa. Zna on swoje obowiązki, zasady dotyczące bezpieczeństwa przewidziane w ustawie HIPAA oraz sposób stosowania tych wymogów do naszych produktów.

Wyznaczenie osoby odpowiedzialnej za opracowanie i wdrożenie programu zapewniania zgodności z wymogami HIPAA w zakresie ochrony prywatności

Wyznaczyliśmy dedykowanego specjalistę ds. zapewniania zgodności z wymogami HIPAA w zakresie ochrony prywatności. Zna on swoje obowiązki, zasady dotyczące ochrony prywatności przewidziane w ustawie HIPAA oraz sposób stosowania tych wymogów do naszych produktów.

Szkolenia zwiększające świadomość użytkowników

W ramach programu zwiększania świadomości w zakresie bezpieczeństwa w Atlassian wszyscy pracownicy są zobowiązani do corocznego udziału w szkoleniu. Ponadto przez cały rok rozpowszechniamy doraźnie ćwiczenia i informacje mające na celu zwiększanie świadomości w zakresie bezpieczeństwa.

Procedury umożliwiające kontynuowanie procesów biznesowych o znaczeniu krytycznym

Opracowaliśmy procedury odzyskiwania awaryjnego, które następnie zostały poddane przeglądowi i przetestowane. W zasadach opisano ogólnie przeznaczenie, cele, zakres, docelowy czas odzyskiwania, docelowy punkt odzyskiwania, a także role/obowiązki. Co kwartał przeprowadzamy oficjalne testy planów zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego. W ramach uzupełniania elementów składowych planu awaryjnego co roku oceniamy krytyczność usług i systemów.

Przeprowadzamy i testujemy operacje wykonywania kopii zapasowych oraz przywracania aplikacji, systemów i konfiguracji powiązanych z zasobami Atlassian zgodnie z naszymi standardowymi procedurami operacyjnymi.

Umowy o współpracy biznesowej zawierają wystarczające gwarancje, że Twoje dane będą odpowiednio chronione zarówno przez firmę Atlassian, jak i dostawców zewnętrznych

Gwarantujemy, że będziemy odpowiednio chronić Twoje dane i wykorzystywać lub ujawniać te dane wyłącznie w sposób dozwolony lub wymagany w każdym przypadku, gdy tworzymy, otrzymujemy, przechowujemy lub przekazujemy chronione informacje zdrowotne w Twoim imieniu. Te gwarancje są ujęte w zawieranych z Tobą umowach o współpracy biznesowej. Opracowaliśmy również Przewodnik dotyczący wdrożenia, który zawiera instrukcje dla klientów, w jaki sposób powinni konfigurować nasze usługi i z nich korzystać, aby mieć pewność, że odpowiednio chronią informacje.

Dodatkowo zapewniamy bezpieczeństwo Twoich chronionych informacji zdrowotnych u dostawców zewnętrznych, wymagając od nich podpisania z nami umów o współpracy biznesowej.

Zabezpieczenie obiektów fizycznych i sprzętu przed manipulacją lub kradzieżą

Wszyscy nasi pracownicy i kontrahenci otrzymują identyfikator podczas onboardingu, która pozwala im uzyskać fizyczny dostęp do obiektu. W przypadku rozwiązania umowy i zamknięcia profilu w naszym kadrowym systemie informatycznym dostęp fizyczny zostanie automatycznie odwołany.

Gościom odwiedzającym lokalne obiekty wydajemy identyfikatory tymczasowe. Goście muszą je zwracać przy wyjściu z budynku. Jeśli identyfikator nie zostanie zwrócony, nastąpi jego automatyczne unieważnienie.

Wdrożenie zabezpieczeń fizycznych wszystkich stacji roboczych z dostępem do chronionych informacji zdrowotnych w formie elektronicznej

Wdrożyliśmy sieć opartą na architekturze Zero Trust, aby zezwalać na dostęp wyłącznie znanym urządzeniom zarejestrowanym na naszej platformie do zarządzania. Osadziliśmy nasze aplikacje w odpowiednich warstwach zabezpieczeń, w zależności od przechowywanych w nich danych oraz systemów, z którymi się łączą. Struktura tej sieci obejmuje następujące warstwy: wysoką, niską i otwartą. Na podstawie oceny rodzaju urządzenia i jego stanu zabezpieczeń ustala się aplikacje, do których może ono uzyskać dostęp.

Zarządzamy szyfrowaniem dysków, blokowaniem haseł i stosowaniem poprawek zabezpieczeń na wszystkich laptopach z systemem macOS i Windows.

Na wszystkich komputerach z systemem MacOS i Windows wydanych przez Atlassian skonfigurowaliśmy urządzenia pamięci masowej USB jako tylko do odczytu.

Procedury dotyczące ostatecznego usunięcia chronionych informacji zdrowotnych w formie elektronicznej oraz utylizacji urządzeń, na których są one przechowywane

Czyścimy dane każdego zwróconego laptopa przed jego ponownym użyciem lub utylizacją. Obowiązuje również procedura an wypadek zagubienia/kradzieży laptopa, która zapewnia, że dane nie zostaną skradzione.

Zachowywanie dokumentacji przez okres 6 lat od daty utworzenia lub ostatniej daty obowiązywania

Wszystkie nasze zasady co najmniej raz w roku przechodzą przegląd przeprowadzany przez wyznaczonego właściciela zasad i są zachowywane bezterminowo. Skrócony opis naszych zasad można znaleźć na stronie Zasady Atlassian dotyczące technologii i bezpieczeństwa.

Nasza Polityka prywatności jest dostępna tutaj.

Środki bezpieczeństwa zapobiegające nieuprawnionej modyfikacji chronionych informacji zdrowotnych w formie elektronicznej

Szyfrujemy dane wszystkich produktów chmurowych zgodnych z normą HIPAA podczas przechowywania. Dodatkowo szyfrujemy dane przesyłane za pośrednictwem sieci publicznych i upewniamy się, czy dane dotarły do właściwej lokalizacji docelowej.

Użytkownicy zewnętrzni łączą się z produktami chmurowymi zgodnymi z normą HIPAA, korzystając z ruchu szyfrowanego za pośrednictwem protokołu SSL.

Mechanizmy szyfrowania w stosownych przypadkach chronionych informacji zdrowotnych w formie elektronicznej