Oceny zabezpieczeń
Reguły Atlassian dotyczące testowania zabezpieczeń produktów chmurowych
Klienci Atlassian mogą przeprowadzać oceny zabezpieczeń swoich Produktów Atlassian Cloud (zdefiniowanych poniżej) bez uprzedniej zgody. Pojęcie „ocena zabezpieczeń” odnosi się do dowolnej aktywności mającej na celu określenie, ewaluację lub przetestowanie funkcji i środków kontroli bezpieczeństwa produktów i usług Atlassian (na przykład testów penetracyjnych i skanowania pod kątem luk w zabezpieczeniach). Na tej stronie omówiono zasady („Zasady testów zabezpieczeń”) obowiązujące klientów, którzy chcą przeprowadzić ocenę zabezpieczeń swoich Produktów Atlassian Cloud. Platforma Atlassian do obsługi Produktów Cloud („Platforma Atlassian Cloud”) wykorzystuje współdzieloną infrastrukturę do hostowania Produktów Cloud należących do użytkownika oraz do innych klientów. Podczas przeprowadzania oceny zabezpieczeń należy zachować ostrożność, aby ograniczyć działania do własnych instancji lub Produktów Cloud i uniknąć niezamierzonego wpływu na innych klientów.
Podczas przeprowadzania oceny zabezpieczeń należy zawsze przestrzegać Zasad testów zabezpieczeń Atlassian omówionych szczegółowo na tej stronie. Korzystanie z Produktów Cloud nadal będzie podlegać Umowie z klientem firmy Atlassian lub innym stosownym warunkom i postanowieniom umów (zwanym zbiorczo „Warunkami świadczenia usług”), na mocy których dokonano zakupu danych Produktów Cloud. Każde naruszenie tych Zasad testów zabezpieczeń lub właściwych Warunków świadczenia usług może doprowadzić do zawieszenia lub zamknięcia konta użytkownika i/lub podjęcia przeciw niemu działań prawnych. Użytkownik odpowiada za wszelkie szkody spowodowane na Platformie Atlassian Cloud lub jakiekolwiek negatywne skutki w odniesieniu do danych innych klientów bądź użytkowania Platformy Atlassian Cloud wynikające z naruszenia tych Zasad testów zabezpieczeń lub Warunków świadczenia usług.
Produkty Cloud objęte możliwością przeprowadzenia ocen zabezpieczeń
Na potrzeby niniejszych Zasad testów zabezpieczeń pojęcie „Produkty Cloud” będzie odnosiło się do następujących produktów:
- Jira
- Jira Service Management
- Jira Align
- Jira Work Management
- Confluence
- Bitbucket
- Atlassian Guard
- Statuspage
- Trello
- Opsgenie
- Halp
Zasady testów zabezpieczeń
Dopuszczalne działania
- Ocenę zabezpieczeń mogą przeprowadzać wyłącznie klienci Atlassian posiadający subskrypcję wymienionych powyżej Produktów Cloud zakwalifikowanych do takich działań.
- Ocenie zabezpieczeń można poddawać wyłącznie własne instancje Produktów Cloud, zgodnie z zasadami dotyczącymi ocen zabezpieczeń, w tym z niniejszymi Zasadami testów zabezpieczeń.
- Do przeprowadzania oceny zabezpieczeń można wykorzystać zautomatyzowane narzędzia/skanery, należy jednak pamiętać, że sami również korzystamy z tych narzędzi. Wszelkie wyniki wygenerowane przez zautomatyzowany skaner muszą zostać sprawdzone i sklasyfikowane przez zespół ds. bezpieczeństwa klienta, zanim zostaną przekazane Atlassian wraz z działającą, możliwą do odtworzenia weryfikacją koncepcji. Nie przyjmujemy niesklasyfikowanych wyników ze skanerów zabezpieczeń.
Działania zabronione
- Skanowanie i testowanie Produktów Cloud, instancji lub zasobów nienależących do użytkownika, w tym tych, które należą do innych klientów Atlassian, bądź uzyskiwanie do nich dostępu.
- Celowe uzyskiwanie dostępu do jakichkolwiek danych innych klientów (w tym uzyskiwanie dostępu do dowolnych poświadczeń klientów lub korzystanie z takich poświadczeń).
- Przeprowadzanie ataków nietechnicznych (a w szczególności ataków opartych na inżynierii społecznej, phishingu lub nieuprawnionym dostępie do infrastruktury).
- Przeprowadzanie ataków ukierunkowanych na zabezpieczenia fizyczne (a w szczególności biura, sprzęt, pracowników Atlassian itp.).
- Testowanie produktów spoza zakresu.
- Atakowanie infrastruktury korporacyjnej Atlassian.
- Blokowanie usług poprzez ataki typu Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS.
- Przeprowadzanie ataków typu Port Flooding.
- Przeprowadzanie ataków typu Protocol Flooding.
- Przeprowadzanie ataków typu Request Flooding (zalewania żądaniami logowania lub żądaniami API).
- Przesyłanie niesklasyfikowanych raportów ze skanera do wykrywania luk w zabezpieczeniach lub aplikacji do oceny zabezpieczeń.
Zgłaszanie błędów
Jeśli uważasz, że udało Ci się wykryć potencjalny błąd w zabezpieczeniach związany z Produktami Atlassian Cloud lub inną usługą Atlassian, zobowiązujesz się zgłosić ją w ciągu 24 godzin zgodnie z tymi instrukcjami: Zgłaszanie luki w zabezpieczeniach. Swoje wyniki możesz przesłać również do naszego programu wykrywania błędów. Należy jednak pamiętać, że wyniki ze zautomatyzowanych skanerów nie będą przyjmowane. Po przesłaniu zgłoszenia nie wolno Ci ujawnić błędu publicznie bez uprzedniego uzyskania naszego zezwolenia. Wyniki ocen zabezpieczeń są uznawane za informacje poufne Atlassian. Atlassian będzie rozpatrywać wnioski o publiczne ujawnienie indywidualnie dla każdego zgłoszenia. Wnioski o publiczne ujawnienie błędu, który nie został jeszcze usunięty dla klientów, będą odrzucane.
Warunki dodatkowe
Celowe podejmowanie prób uzyskania dostępu do danych innych klientów Atlassian jest surowo zabronione. Jeśli jednak uważasz, że udało Ci się znaleźć dane wrażliwe klienta (np. poświadczenia logowania, klucze API itp.) lub sposób umożliwiający uzyskanie dostępu do tych danych (np. w wyniku istnienia luki w zabezpieczeniach), musisz niezwłocznie zgłosić ten fakt do działu wsparcia Atlassian bez podejmowania jakichkolwiek prób potwierdzenia luki w zabezpieczeniach lub uzyskania innego rodzaju dostępu do konta lub danych klienta.
Niezależnie od przysługujących Atlassian praw do zawieszenia lub zamknięcia konta użytkownika, w przypadku naruszenia przez użytkownika niniejszych Zasad testów zabezpieczeń Atlassian zastrzega sobie prawo do reagowania na wszelkie działania podejmowane w sieciach Atlassian, które mogą wydawać się złośliwe lub stwarzać innego rodzaju zagrożenie. Jeśli Atlassian otrzyma zgłoszenie o nadużyciu w związku z przeprowadzaną przez Ciebie oceną zabezpieczeń, może dodać Twój adres IP lub zakres adresów IP do listy blokowanych. Kontaktując się z działem wsparcia Atlassian w celu usunięcia ograniczeń, musisz podać przyczynę źródłową podjęcia zgłoszonego działania oraz opisać szczegółowo środki podjęte w celu zapobieżenia ponownemu wystąpieniu zgłaszanego błędu.
Opcjonalnie możesz powiadomić zespół ds. bezpieczeństwa Atlassian o planowanym przeprowadzeniu oceny zabezpieczeń, przesyłając do działu wsparcia Atlassian zgłoszenie z tematem: Intent for Security Assessment (Zamiar przeprowadzenia oceny zabezpieczeń). W zgłoszeniu należy zawrzeć datę i zakres godzinowy testu, źródłowy adres IP lub zakres źródłowych adresów IP, domeny docelowe oraz dane kontaktowe. Uprzednie powiadomienie nie jest wymagane, jednak pomoże nam ono rozpoznać test, abyśmy nie aktywowali blokady sieciowej, która może spowodować unieważnienie testów.
Partnerzy i sprzedawcy Produktów Atlassian Cloud odpowiadają za działania podejmowane przez ich klientów w ramach oceny zabezpieczeń.