Praktyki dotyczące bezpieczeństwa

Nasz zespół

Wiemy, że to samo powiedzieliby przedstawiciele większości firm, ale jesteśmy niezwykle dumni z naszego zespołu ds. bezpieczeństwa. Wierzymy, że udało nam się pozyskać najlepszych i najzdolniejszych specjalistów w branży oraz zapewnić im warunki do dalszego rozwoju. Na czele naszego zespołu ds. bezpieczeństwa stoi urzędujący w San Francisco dyrektor ds. bezpieczeństwa informacji, któremu podlega ponad 100 osób w naszych biurach w Sydney, Amsterdamie, Bengaluru, Austin, Mountain View, San Francisco i Nowym Jorku, a także pracujących zdalnie. W związku z priorytetowym traktowaniem kwestii bezpieczeństwa przez firmę Atlassian zespół wciąż się rozrasta. W jego skład wchodzi wiele zespołów podrzędnych, takich jak:

• Zespół ds. bezpieczeństwa produktów — odpowiedzialny za bezpieczeństwo naszych produktów i platform.
• Zespół ds. bezpieczeństwa ekosystemu — odpowiedzialny za bezpieczeństwo naszego sklepu Marketplace oraz dodatków.
• Detection and Response – responsible for detecting and responding to security incidents
• Red team - responsible for adversary emulation and exercising Detection and Response
• Zespół ds. architektury zabezpieczeń — odpowiedzialny za definiowanie wymagań dotyczących bezpieczeństwa naszych produktów i platform.
• Zespół ds. bezpieczeństwa korporacyjnego — odpowiedzialny za nasze bezpieczeństwo wewnętrzne związane z siecią i aplikacjami korporacyjnymi.
• Zespół ds. zaufania — odpowiedzialny za monitorowanie oczekiwań klientów i reagowanie na nie, a także za zapewnianie przejrzystości naszych procesów i praktyk.
• Zespół programistów i inżynierów ds. niezawodności lokalizacji — odpowiedzialny za tworzenie i obsługę narzędzi wykorzystywanych przez zespół ds. bezpieczeństwa.
• Zespół ds. podnoszenia świadomości i szkoleń — odpowiedzialny za zapewnienie naszym pracownikom i partnerom wiedzy potrzebnej do bezpiecznej pracy.

Chociaż nasz zespół ds. bezpieczeństwa wciąż się rozrasta, to w naszej misji, polegającej na osiągnięciu wyższego poziomu bezpieczeństwa, uczestniczą wszyscy pracownicy Atlassian, o czym stale im przypominamy. Chcemy być liderami w dziedzinie bezpieczeństwa w chmurze, spełniać wszystkie oczekiwania naszych klientów w tej kwestii, przekraczać wymagania wszystkich norm i certyfikatów branżowych, a także z dumą publikować szczegóły na temat tego, jak chronimy dane klientów. Dbamy o to, aby nasze cele i wizja były jasne dla każdej osoby zatrudnionej w Atlassian.

Dodatkowe programy używane do wspierania bezpieczeństwa

Skupiamy się na podstawowych kwestiach związanych z bezpieczeństwem, ale wdrożyliśmy także całą gamę programów, dzięki którym nasze podejście do bezpieczeństwa zachowuje szeroki zasięg i proaktywny charakter. Należą do nich:

Ciągłe doskonalenie naszego programu zapewniania bezpieczeństwa

Zależy nam na tym, aby nasz program zapewniania bezpieczeństwa wciąż należał do ścisłej czołówki i stanowił punkt odniesienia dla innych firm z branży. Wiemy, że wymaga to ciągłej weryfikacji naszego podejścia do bezpieczeństwa (również w porównaniu z konkurencją) oraz identyfikowania możliwości poprawy.

W tym celu poddaliśmy się (i będziemy nadal się poddawać) licznym ocenom dojrzałości naszego programu zapewniania bezpieczeństwa przez niezależne firmy zajmujące się doradztwem w tym zakresie. W 2020 r. przeprowadziliśmy również wzajemną ocenę naszego ogólnego programu zaufania i zapewniania bezpieczeństwa. Otrzymane wyniki, w tym kluczowe zalecenia, wykorzystujemy w celu wyeliminowania wszelkich braków i wprowadzenia ulepszeń.

We have also defined a series of programs across our various security – such as Product Security and Detection and Response – to guide our internal improvement. We have defined metrics to support each of these programs which we review through our Security Management Team. We use these metrics to identify and target areas for improvement across each of our core capabilities.

Więcej informacji

Niniejszy dokument zawiera ogólne informacje na temat naszego podejścia do bezpieczeństwa. Więcej szczegółów dotyczących naszego programu zapewniania bezpieczeństwa można znaleźć w witrynie Atlassian Trust Center. Dostępne są również dedykowane strony internetowe i oficjalne dokumenty poświęcone różnym obszarom naszego programu zapewniania bezpieczeństwa, w tym:

• Zarządzanie danymi klienta w Atlassian
• Nasze podejście do zewnętrznych testów zabezpieczeń
• Nasze podejście do zarządzania incydentami związanymi z bezpieczeństwem
• Nasze podejście do zarządzania lukami w zabezpieczeniach
• Wspólne obowiązki związane z zapewnieniem bezpieczeństwa chmury
• Atlassian Trust Management System
• Zasady Atlassian dotyczące technologii i bezpieczeństwa

Zabezpieczanie dostępu do naszych sieci w myśl zasady Zero Trust

Atlassian zabezpiecza dostęp do swojej sieci korporacyjnej, swoich aplikacji oraz środowisk chmurowych zgodnie z koncepcją o nazwie Zero Trust. Najprościej mówiąc, główne założenie koncepcji Zero Trust to: „nigdy nie ufaj, zawsze weryfikuj”.

Koncepcja Zero Trust stanowi odejście od tradycyjnych podejść do zabezpieczania sieci opartych wyłącznie na uwierzytelnianiu użytkownika w celu ustalenia, czy może on uzyskać dostęp do zasobów w naszej sieci. Takie podejście stwarza ryzyko, że niezaufane i niezabezpieczone urządzenie zagrozi bezpieczeństwu. W rezultacie wiele organizacji zaczęło przechodzić na model, w którym tylko zaufane urządzenia mogą uzyskać dostęp do ich sieci. Wykorzystują w tym celu np. technologie zarządzania urządzeniami mobilnymi lub ograniczanie w ustawieniach sieci dostępu do listy znanych urządzeń.

Takie metody są przydatne, jednak brak im kompleksowego charakteru. Podejście Atlassian oparte na zasadzie Zero Trust pozwala skutecznie zapewnić, że decyzja o umożliwieniu użytkownikom dostępu do zasobów i usług w naszych sieciach jest oparta nie tylko na ich poświadczeniach uwierzytelniania. Jest ona również decyzją dynamiczną, opartą na zasadach i uwzględniającą szereg czynników, na podstawie których przyznaje się dostęp lub go odmawia na poziomie konkretnego zasobu, biorąc pod uwagę stan zabezpieczeń urządzenia użytkownika (niezależnie od jego lokalizacji).

Mówiąc w skrócie, utworzyliśmy trzy warstwy zasobów (w oparciu o ich względny poziom krytyczności i wrażliwości) w naszej sieci, na których oparliśmy koncepcję Zero Trust:

• Warstwa otwarta — dostęp do tych usług może uzyskać każdy użytkownik korporacyjny, który pomyślnie uwierzytelni się w naszej sieci.
• Warstwa niska —zasoby należące do tej warstwy są dostępne dla uwierzytelnionego użytkownika korporacyjnego tylko wówczas, jeśli loguje się on do sieci za pomocą zaufanego urządzenia korporacyjnego (urządzenia należącego do firmy Atlassian i przez nią zarządzanego) lub zarządzanego urządzenia BYOD (jest to urządzenie prywatne, które zostało zarejestrowane w programie zarządzania urządzeniami mobilnymi Atlassian).
• Warstwa wysoka — te zasoby są dostępne jedynie wówczas, gdy uwierzytelniony użytkownik korporacyjny loguje się za pomocą urządzenia korporacyjnego wydanego przez firmę Atlassian. Dostęp do naszych usług produkcyjnych z poziomu naszej sieci korporacyjnej jest możliwy tylko za pośrednictwem urządzenia z dostępem do warstwy wysokiej i uwierzytelnienia SAML.

Zarządzanie bezpiecznym dostępem do naszych systemów i usług

Firma Atlassian stosuje dobrze zdefiniowany proces aprowizacji (przypisywania i unieważniania) dostępu użytkowników w przypadku wszystkich systemów i usług. Ustanowiliśmy przepływ pracy (8-godzinną synchronizację) łączący nasz system zarządzania HR z systemem aprowizacji dostępu. Stosujemy mechanizm kontroli dostępu oparty na rolach, wykorzystujący wstępnie zdefiniowane profile użytkowników, który pozwala ograniczyć dostęp użytkowników wyłącznie do zakresu zgodnego z zajmowanym przez nich stanowiskiem. Wszystkie konta użytkowników muszą zostać zatwierdzone przez kierownictwo, zanim otrzymają dostęp do danych, aplikacji, infrastruktury lub składników sieci.

Wykorzystując naszą architekturę Zero Trust, kontrolujemy dostęp do naszych aplikacji korporacyjnych dzięki platformie logowania jednokrotnego. Aby uzyskać dostęp do dowolnej z naszych aplikacji, pracownik musi uwierzytelnić się za pośrednictwem tej platformy, łącznie z użyciem drugiego składnika uwierzytelniania. Użytkownicy muszą dokonać uwierzytelnienia przy użyciu kluczy U2F lub za pośrednictwem aplikacji mobilnej do uwierzytelniania udostępnionej pracownikom Atlassian. Zaprzestaliśmy stosowania mniej bezpiecznych metod uwierzytelniania, takich jak SMS-y lub hasła jednorazowe wysyłane na telefon. Firma Atlassian przyjęła takie podejście, aby mieć pewność, że zastosowany proces uwierzytelniania jest wysoce odporny na ataki phishingowe oraz ataki typu man-in-the-middle. Jeśli osoba przeprowadzająca atak posiada odpowiednie umiejętności, może dojść do naruszenia zabezpieczeń każdego systemu obejmującego wysyłanie kodów w wiadomości tekstowej.

Zabezpieczanie naszych urządzeń końcowych

Atlassian wykorzystuje kombinację zarządzania punktami końcowymi do wdrażania aktualizacji i poprawek w systemach operacyjnych i kluczowych aplikacjach całej naszej floty urządzeń końcowych. Wdrożyliśmy również wiele rozwiązań mających na celu ochronę punktów końcowych przed takimi zagrożeniami, jak złośliwe oprogramowanie.

Zgodnie z naszym podejściem opartym na zasadzie Zero Trust pracownicy Atlassian, którzy chcą korzystać z dostępu do większości naszych usług za pomocą prywatnych urządzeń mobilnych, muszą zarejestrować je w naszym programie zarządzania urządzeniami mobilnymi (Mobile Device Management, MDM). Dzięki temu zyskujemy pewność, że wszystkie urządzenia mobilne nawiązujące połączenie z naszą siecią spełniają nasze minimalne wymagania dotyczące zabezpieczeń, które obejmują takie elementy, jak szyfrowanie, blokowanie urządzenia, oprogramowanie chroniące przed złośliwym kodem i wersje systemu operacyjnego.

Wszyscy uprawnieni pracownicy, którzy się zarejestrują i zachowają zgodność z warunkami naszego programu MDM, otrzymają od Atlassian miesięczny dodatek za uczestnictwo.

Jeśli w przypadku któregokolwiek z urządzeń zostanie wykryta niezgodność, pracownik otrzyma powiadomienie e-mail z informacją o takiej niezgodności. Zostanie on objęty 24-godzinnym okresem prolongaty, w trakcie którego musi usunąć niezgodność. Jeśli tego nie zrobi, urządzenie utraci dostęp.

Zarządzanie konfiguracjami w naszych systemach

Liczba inżynierów i architektów, którzy mogą instalować oprogramowanie w naszym środowisku produkcyjnym, jest ograniczona. W większości przypadków instalacja oprogramowania jest niemożliwa. W naszych środowiskach produkcyjnych do zarządzania konfiguracjami i zmianami na serwerach wykorzystujemy narzędzia do zarządzania konfiguracjami. Zmiany wprowadzane bezpośrednio w tych systemach są ustawione tak, aby mogły być zastępowane przez zatwierdzoną konfigurację wypchniętą za pośrednictwem tych narzędzi do zarządzania konfiguracjami, co pozwala zapewnić spójność. Bazujemy na standardowych obrazach maszyn Amazon (Amazon Machine Image, AMI). Wszystkie zmiany w naszych obrazach AMI lub systemach operacyjnych muszą być dokonywane z wykorzystaniem naszego standardowego procesu zarządzania zmianami. Śledzimy i zgłaszamy konfiguracje wyjątków oraz wdrożyliśmy mechanizm izolacji zasobów, aby problemy z usługami nie wpływały na inne usługi. Wykorzystujemy również nasz proces PRGB, w ramach którego wielu recenzentów zatwierdza zmiany w konfiguracji wypychane za pośrednictwem narzędzi do zarządzania konfiguracjami. Wszystkie kompilacje są podpisane kryptograficznie i jedynie podpisane kompilacje mogą być uruchomione w naszym środowisku produkcyjnym.

Korzystanie z dzienników

Korzystamy z platformy do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu agregowania dzienników z różnych źródeł, stosowania reguł monitorowania do tych zagregowanych dzienników oraz oznaczania wszelkich podejrzanych aktywności. Nasze procesy wewnętrzne określają sposób klasyfikowania, dalszego badania i odpowiedniego eskalowania tych alertów. Dzienniki kluczowych systemów są przekazywane dalej z każdego systemu, w którym dzienniki są tylko do odczytu. Zespół ds. bezpieczeństwa Atlassian tworzy alerty na naszej platformie analizy zabezpieczeń i monitoruje wskaźniki pod kątem naruszeń. Nasze zespoły inżynierów ds. niezawodności lokalizacji (SRE) wykorzystują tę platformę do monitorowania problemów z dostępnością lub wydajnością. Dzienniki są przechowywane przez 30 dni w dynamicznej kopii zapasowej i przez 365 dni w kopii zapasowej offline.

Dzienniki kluczowych systemów są integrowane zarówno w wewnętrznym systemie analizy dzienników, jak i w systemie wykrywania nieautoryzowanego dostępu.

Dzienniki stanowią najważniejszy komponent ogólnej strategii wykrywania incydentów i reagowania na nie, którą omówiono szczegółowo w części „Zagrożenia bezpieczeństwa — rozpoznawanie, ochrona i reagowanie”.

Zarządzanie utrzymaniem ciągłości działalności biznesowej i odzyskiwaniem awaryjnym

Bardzo dbamy o odporność naszych produktów, także dlatego, że sami — wewnętrznie, w Atlassian — korzystamy z tych samych produktów. Zdajemy sobie sprawę, że zakłócenia mogą się zdarzać. Dlatego z determinacją staramy się uwzględniać procesy planowania na wypadek zakłóceń i postępowania z nimi tak, aby ich wystąpienie miało jak najmniejszy wpływ na naszych klientów. Nasze programy zapewniania ciągłości działalności biznesowej (BC) i odzyskiwania awaryjnego (DR) obejmują różne działania ukierunkowane na osiągnięcie tych celów.

Zaangażowanie kierownictwa w aktywność związaną z planowaniem zapewniania ciągłości działalności biznesowej i odzyskiwania awaryjnego zapewnia nadzór konieczny do przeniesienia odpowiedzialności za odporność na wszystkie zespoły. Celem naszej aktywności związanej z planowaniem zapewniania ciągłości działalności biznesowej i odzyskiwania awaryjnego jest właściwe zrównoważenie kosztów, korzyści i ryzyka poprzez analizę „docelowego czasu odzyskiwania” (RTO) i „docelowych punktów odzyskiwania” (RPO) usług. W wyniku tej analizy utworzyliśmy prosty 4-warstwowy system, który ułatwia pogrupowanie usług w oparciu o ich wymagania dotyczące odzyskiwania. Szczegółowe informacje na temat tego podejścia można znaleźć na stronie Zarządzanie danymi klienta w Atlassian.

Nasze programy zapewniania ciągłości działalności biznesowej i odzyskiwania awaryjnego obejmują następujące aktywności:

1. Uwzględnianie środków zapewniających nadmiarowość w celu spełnienia wymagań związanych z odpornością.

2. Testowanie i weryfikowanie tych środków zapewniających nadmiarowość.

3. Wyciąganie wniosków z testów w celu ciągłego doskonalenia środków zapewniania ciągłości działalności biznesowej i odzyskiwania awaryjnego.

Tworzymy nasze produkty w taki sposób, aby jak najlepiej korzystać z możliwości nadmiarowości, takich jak strefy i regiony dostępności oferowane przez naszych dostawców usług w chmurze.

Nieustannie monitorujemy wiele różnych wskaźników, aby wykrywać potencjalne problemy już na wczesnym etapie. Na podstawie tych wskaźników konfigurowane są alerty używane do powiadamiania inżynierów ds. niezawodności lokalizacji (SRE) lub odpowiednich zespołów inżynierów produktów o naruszeniu wartości progowych, aby mogli podjąć natychmiastowe działania zgodnie z naszym procesem reagowania na incydenty. Inżynierowie SRE odgrywają również kluczową rolę w wykrywaniu luk w programie odzyskiwania awaryjnego i współpracują z naszym zespołem ds. ryzyka i zgodności nad ich wyeliminowaniem. W każdym z naszych zespołów znajduje się również specjalista ds. odzyskiwania awaryjnego, który nadzoruje i pomaga zarządzać aspektami odzyskiwania awaryjnego właściwymi dla danego zespołu.

Nasze testy odzyskiwania awaryjnego obejmują aspekty proceduralne i technologiczne, w tym odpowiednie udokumentowanie procesu. Częstotliwość przeprowadzania testów odzyskiwania awaryjnego zależy od poziomu krytyczności każdej z usług. Przykładowo testowanie procesów tworzenia kopii zapasowych i odzyskiwania w przypadku kluczowych systemów, z których bezpośrednio korzystają klienci, odbywa się co kwartał. Przeprowadzamy testy ręczne i ad-hoc pracy naszych systemów w trybie awaryjnym. Rodzaje testów są różne — od mniej skomplikowanych teoretycznych ćwiczeń symulacyjnych po bardziej złożone testy pracy w trybie awaryjnym na poziomie stref dostępności lub regionalnym. Niezależnie od stopnia złożoności testu, uważnie rejestrujemy i dokumentujemy jego wyniki, analizujemy i wskazujemy możliwe luki lub obszary wymagające poprawy, a następnie doprowadzamy do ich zamknięcia, wykorzystując zgłoszenia Jira. W ten sposób zapewniamy ciągłe doskonalenie całego procesu.

Każdego roku przeprowadzamy oceny wpływu na działalność (Business Impact Assessment, BIA) w celu oszacowania ryzyka związanego z usługami o krytycznym znaczeniu. Wyniki tych ocen BIA pomagają w opracowaniu strategii odzyskiwania awaryjnego i zapewniania ciągłości działalności biznesowej. W rezultacie możemy opracować skuteczne plany odzyskiwania awaryjnego i zapewniania ciągłości działalności biznesowej dla usług o znaczeniu krytycznym.

Dostępność usług

Oprócz wspomnianych powyżej środków, korzystając z własnego produktu Statuspage, udostępniamy naszym klientom w czasie rzeczywistym informacje o stanie dostępności naszych usług. W razie jakichkolwiek problemów z dowolnym z naszych produktów klienci dowiedzą się o tym, gdy tylko do nas samych dotrze taka informacja.

Kopie zapasowe

W Atlassian realizujemy kompleksowy program tworzenia kopii zapasowych. Obejmuje on nasze systemy wewnętrzne, w których mechanizmy tworzenia kopii zapasowych zaprojektowano zgodnie z wymaganiami odzyskiwania systemu. W przypadku produktów Atlassian Cloud, a w szczególności danych klientów i aplikacji, również dysponujemy rozbudowanym mechanizmem tworzenia kopii zapasowych. Atlassian korzysta z funkcji migawki usługi relacyjnej bazy danych Amazon RDS (Relational Database Service) w celu codziennego tworzenia zautomatyzowanych kopii zapasowych każdej instancji RDS.

Migawki Amazon RDS są przechowywane przez 30 dni z obsługą odzyskiwania do określonego momentu i są szyfrowane przy użyciu algorytmu AES-256. Dane kopii zapasowych nie są przechowywane na zewnątrz, tylko replikowane do wielu centrów danych w obrębie konkretnego regionu AWS. Co kwartał przeprowadzamy również testowanie naszych kopii zapasowych.

W przypadku Bitbucket dane są replikowane do innego regionu AWS, a w każdym regionie codziennie wykonywane są niezależne kopie zapasowe.

Nie używamy tych kopii zapasowych do przywracania destrukcyjnych zmian zainicjowanych przez klienta, takich jak pola nadpisane za pomocą skryptów albo usunięte zgłoszenia, projekty lub witryny. W celu uniknięcia utraty danych zalecamy regularne wykonywanie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych można znaleźć w dokumentacji pomocy technicznej danego produktu.

Bezpieczeństwo fizyczne

Zabezpieczenia fizyczne stosowane w naszych biurach wynikają z naszych zasad zapewniania bezpieczeństwa fizycznego i środowiskowego, które gwarantują wdrożenie w naszych środowiskach lokalnych i chmurowych solidnych zabezpieczeń fizycznych. Te zasady obejmują takie dziedziny, jak bezpieczne obszary pracy, zabezpieczenia naszego sprzętu informatycznego, niezależnie od jego lokalizacji, ograniczenie dostępu do naszych budynków i biur do odpowiednich osób, a także monitorowanie fizycznych punktów wejścia i wyjścia. Wśród naszych praktyk zapewniania bezpieczeństwa fizycznego można wskazać obecność pracowników recepcji w godzinach pracy, wymóg rejestrowania gości oraz dostęp do obszarów niepublicznych za pomocą identyfikatorów. Współpracujemy również z kierownictwem naszego budynku biurowego w celu kontroli dostępu po godzinach i monitoringu wizyjnego wejść i wyjść, zarówno głównych, jak i zaopatrzeniowych.

Współpracujące z nami centra danych muszą wykazać zgodność co najmniej z normą SOC 2. Te certyfikaty uwzględniają szereg środków kontroli, w tym ochrony i zabezpieczeń fizycznych oraz środowiskowych. Dostęp do centrów danych jest ograniczony do upoważnionego personelu i sprawdzany przy użyciu biometrycznych mechanizmów weryfikacji tożsamości. Zabezpieczenia fizyczne obejmują ochronę na terenie firmy, monitoring wizyjny w obwodzie zamkniętym, śluzy oraz dodatkowe środki ochrony przed włamaniem.

Szyfrowanie danych

Wszystkie dane klientów przechowywane w produktach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu TLS 1.2+ z doskonałym utajnianiem przekazywania (PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę.

Dyski serwerowe, na których przechowywane są dane i załączniki klientów korzystających z produktów Jira Software Cloud, Jira Service Management Cloud, Jira, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu metody AES-256, będącej standardem w branży. Aktualności na temat naszej platformy można znaleźć na stronie planu rozwoju Atlassian Trust.

Zarządzanie kluczami

Do zarządzania kluczami Atlassian wykorzystuje usługę zarządzania kluczami AWS Key Management Service (KMS). Kontrolę i weryfikację szyfrowania, deszyfrowania oraz zarządzania kluczami przeprowadza wewnętrznie AWS w regularnych odstępach czasu, w ramach własnych wewnętrznych procesów sprawdzania poprawności. Do każdego klucza jest przydzielony właściciel odpowiedzialny za zapewnienie stosowania odpowiedniego poziomu kontroli zabezpieczeń w przypadku kluczy.

Oddzielenie dzierżawców

Choć klienci używający produktów Atlassian korzystają ze wspólnej chmurowej infrastruktury informatycznej, stosujemy środki zapewniające logiczną separację klientów, tak aby działania jednego klienta nie wpływały na dane ani usługi innych klientów.

Podejście Atlassian do osiągnięcia takiego stanu zależy od rodzaju naszej aplikacji. W przypadku Jira i Confluence Cloud do logicznego odizolowania naszych klientów wykorzystujemy koncepcję nazywaną „kontekstem dzierżawcy”. Implementujemy ją na poziomie kodu aplikacji i zarządzamy przy użyciu opracowanej przez nas usługi o nazwie „Tenant Context Service” (TCS). Założenia tej koncepcji są następujące:

• Podczas magazynowania dane każdego klienta są logicznie oddzielone od innych dzierżawców.
• Wszelkie wnioski przetwarzane przez Jira lub Confluence mają widok „właściwy dla dzierżawcy”, co sprawia, że nie ma on wpływu na innych dzierżawców.

Ogólnie rzecz biorąc działanie usługi TCS opiera się na przechowywaniu „kontekstu” poszczególnych dzierżawców klienta. Kontekst każdego dzierżawcy jest powiązany z unikatowym identyfikatorem przechowywanym centralnie przez usługę TCS i obejmuje szereg metadanych skojarzonych z dzierżawcą (takich jak bazy danych, w których znajduje się dzierżawca; licencje posiadane przez dzierżawcę; funkcje, do których ma on dostęp oraz szereg innych informacji na temat konfiguracji). Gdy klient uzyskuje dostęp do Jira lub Confluence Cloud, usługa TCS używa identyfikatora dzierżawcy, aby zebrać te metadane, które następnie są łączone z dowolnymi operacjami podejmowanymi przez dzierżawcę w aplikacji w trakcie całej sesji.

Kontekst dostarczany przez usługę TCS pełni funkcję „soczewki”, przez którą przepuszczane są wszelkie interakcje z danymi klienta. Ta soczewka jest zawsze przypisana do jednego konkretnego dzierżawcy. Dzięki temu jeden dzierżawca klienta nie ma dostępu do danych innego dzierżawcy ani nie jest w stanie wpłynąć na usługę innego dzierżawcy podejmowanymi przez siebie działaniami.

Więcej informacji na temat naszej architektury chmury można znaleźć w zasobach wsparcia dotyczących chmury.

Wspólna odpowiedzialność za zarządzanie danymi klientów

Atlassian odpowiada za zapewnianie bezpieczeństwa, dostępności oraz wydajności udostępnianych aplikacji, systemów, w których one działają, a także środowisk, w których te systemy są hostowane. Jednak zapewnianie bezpieczeństwa jest wspólnym obowiązkiem Atlassian oraz naszych klientów, w szczególności w odniesieniu do czterech następujących obszarów:

Kontrola dostępu do danych klientów

Wszystkie dane naszych klientów traktujemy jako równie wrażliwe, dlatego wdrożyliśmy rygorystyczne środki kontroli w zakresie administrowania tymi danymi. W trakcie procesu wdrażania do pracy nasi pracownicy wewnętrzni i podwykonawcy uczestniczą w szkoleniu, którego celem jest zwiększenie świadomości o najlepszych praktykach przetwarzania danych klientów oraz ważności tych praktyk.

W Atlassian dostęp do danych klienta przechowywanych w naszych aplikacjach mają wyłącznie upoważnieni pracownicy Atlassian. Uwierzytelnianie odbywa się za pośrednictwem indywidualnych kluczy publicznych chronionych hasłem, a serwery akceptują wyłącznie połączenia przychodzące SSH z lokalizacji Atlassian i wewnętrznych centrów danych. Dostęp jest ograniczony do grup posiadających odpowiednie uprawnienia, o ile wniosek o dostęp nie zostanie wysłany i pomyślnie zweryfikowany, z wymaganiem dodatkowego uwierzytelniania dwuskładnikowego.

Rygorystyczne kontrole uwierzytelniania i autoryzacji ułatwiają naszemu globalnemu zespołowi wsparcia realizację procesów obsługi i pomocy technicznej. Dostęp do hostowanych aplikacji oraz danych jest uzyskiwany wyłącznie w celu monitorowania stanu aplikacji oraz przeprowadzenia konserwacji systemu lub aplikacji, bądź na wniosek klienta przesłany za pośrednictwem naszego systemu wsparcia. Udzielając wyraźnej zgody, nasi klienci mają również możliwość wskazania, którzy inżynierowie wsparcia mogą uzyskać dostęp do ich danych za pośrednictwem naszego narzędzia Consent Control Checker.

Nieuprawniony lub niewłaściwy dostęp do danych klienta jest traktowany jako incydent dotyczący bezpieczeństwa i objęty procesem zarządzania incydentami. Ten proces uwzględnia instrukcje powiadamiania klientów, których dotyczy incydent, o zaobserwowaniu przypadku naruszenia zasad.

Przechowywanie i usuwanie danych

Wdrożyliśmy odpowiednie przepisy, aby reagować na wnioski użytkowników o usunięcie danych osobowych. Ponadto pomagamy użytkownikom końcowym z kontami Atlassian usuwać swoje dane osobowe. Dysponujemy również narzędziami do importowania i eksportowania, aby nasi klienci mogli korzystać z dostępu do swoich danych oraz importować i eksportować te dane przy użyciu narzędzi Atlassian.

Witryny klientów są dezaktywowane 15 dni po zakończeniu bieżącego okresu subskrypcji klienta. Atlassian przechowuje dane dezaktywowanych witryn przez 15 dni (w przypadku witryn ewaluacyjnych) lub przez 60 dni (w przypadku witryn utworzonych w ramach płatnej subskrypcji) po zakończeniu bieżącego okresu subskrypcji klienta. Należy pamiętać, że w przypadku systemu Jira dane zostaną usunięte tylko wtedy, jeśli użytkownik zrezygnuje z subskrypcji wszystkich subskrybowanych dotychczas produktów Jira.

Dodatkowe informacje można znaleźć na stronie Praktyki dotyczące bezpieczeństwa lub Przechowywanie danych — często zadawane pytania.