Доверие в отношении приложений Marketplace

В Atlassian приняты программы и требования с основными требованиями к безопасности и конфиденциальности для сторонних приложений Marketplace, а также необязательные программы, стимулирующие прикладывать дополнительные усилия. Наряду с этим мы регулярно публикуем обучающие материалы, чтобы наши партнеры Marketplace могли создавать облачные приложения, заслуживающие доверия.

Компания Atlassian регулярно сканирует все сторонние облачные приложения, публикуемые на Marketplace, чтобы удостовериться в их соответствии основным требованиям безопасности и конфиденциальности. Соблюдение конкретных требований к облачной безопасности обеспечивается с помощью набора сканеров на платформе Atlassian EcoScanner.

Помимо этого, все партнеры Marketpalce должны принять и соблюдать Условия Atlassian для разработчиков, Соглашение о партнерстве Marketplace и Правила исправления ошибок, связанных с безопасностью. В этих документах изложены юридические требования, требования к конфиденциальности и соглашения об уровнях обслуживания для ошибок, связанных с безопасностью.

Кроме этого, некоторые приложения Marketplace отмечены значком безопасности. Такие приложения отвечают не только базовым, но и повышенным требованиям к безопасности, надежности и поддержке. Значки бывают двух видов.

• Значок Cloud Security Participant
• Приложения Cloud Fortified

Чтобы понять, стоит ли доверять тому или иному предложению (узнать о его защите данных, безопасности, конфиденциальности, нормативном соответствии), посмотрите ответы разработчика на вкладке Безопасность и конфиденциальность страницы этого приложения на сайте Atlassian Marketplace.

Большинству приложений для правильной работы требуется доступ к данным в вашем экземпляре.

Перед установкой приложения откроется страница с запросом согласия, на которой можно выбрать способ доступа к данным, их обработки и хранения. Администраторам потребуется дать согласие на доступ приложения к данным в процессе установки.

Для каждого приложения Marketplace требуется свой набор прав. Сведения о них, а также о способах обработки данных (место хранения, обработка, кратковременное и долгосрочное хранение) находятся на вкладке «Безопасность и конфиденциальность» страницы приложения в Marketplace.

Клиенты могут ограничить доступ приложений к определенному контенту в выбранных папках или разделах с помощью правила доступа приложений в рамках политик защиты данных. Это правило запрещает приложению обращаться к определенным данным (или модифицировать их) в разделе Confluence или проекте Jira. В частности, это могут быть страницы, записи в блогах, вложения и другие материалы, которые пользователи добавляют в раздел Confluence или в проект Jira. С помощью этой функции администраторы организации могут ограничить доступ к разделам или проектам для всех приложений, а у клиентов Atlassian Access есть возможность блокировать конкретные установленные приложения. Подробнее о запрете доступа для приложений.

Atlassian постоянно встраивает в свои предложения Cloud дополнительные возможности предотвращения потери данных, например функцию классификации. Один из простых способов защитить данные и укрепить безопасность в целом — Atlassian Guard. За разработкой этих функций можно следить по нашей дорожной карте Cloud.

Также на сайте Atlassian Marketplace можно найти разнообразные решения для предотвращения потери данных.

Нет, Atlassian не тестирует приложения Marketplace на проникновение.

Но в Atlassian действует программа вознаграждения за найденные ошибки безопасности в приложениях Marketplace. Эта программа предназначена для приложений, претендующих на получение значка Cloud Fortified или Cloud Security Participant.

Все приложения Marketplace должны соответствовать требованиям к облачной безопасности. Это проверяется и обеспечивается с помощью сканеров безопасности и SLA в отношении устранения багов. Подробнее о сканировании безопасности.

Да. Партнеры Marketplace — это независимые компании. Устанавливая приложение, вы выстраиваете с ними собственные отношения.

Компания Atlassian принимает ряд мер, чтобы приложения, опубликованные на Marketplace, соответствовали определенным стандартам. Более подробную информацию о стандартах безопасности, соответствия которым мы требуем от всех партнеров Marketplace, можно найти в статье о требованиях к облачной безопасности. Но в конечном итоге Atlassian не несет ответственности за продукты и услуги, предлагаемые партнерами Marketplace.

Вы самостоятельно отвечаете за проверку приложений и соглашений от сторонних разработчиков.

Чтобы облегчить этот процесс для вас, каждое облачное приложение Marketplace снабжается разделом «Конфиденциальность и безопасность», в котором партнеры подробно описывают свое приложение с точки зрения безопасности, защиты данных, конфиденциальности и нормативного соответствия.

Также вы можете ознакомиться с программами по управлению доверием в Marketplace, в которых мы рассказываем, как выделяем приложения, соответствующие повышенным требованиям к безопасности в программах Atlassian’ Cloud Security Participant и Cloud Fortified. Если у вас еще остались вопросы, обращайтесь к поставщику конкретного приложения напрямую.

Подытожим: перед установкой любого приложения вы сами должны проверить его и решить, удовлетворяет ли оно вашим требованиям.