Close

Доверие в отношении приложений Marketplace

Доверие — ключевой компонент отношений между клиентами Atlassian и сторонними партнерами Marketplace.

Диаграмма Венна

Облачные приложения — это общая ответственность

Компания Atlassian предоставляет информацию, средства управления и возможности, тем самым сближая пользователей и партнеров Marketplace.

Партнеры Marketplace

Партнеры Marketplace разрабатывают надежные и безопасные приложения и операционные процессы, которые соответствуют их юридическим обязательствам, требованиям Atlassian и общим отраслевым рекомендациям. Кроме того, они оказывают поддержку и предоставляют информацию, чтобы помочь вам принять взвешенное решение.

ATLASSIAN

Компания Atlassian предоставляет информацию и средства, которые помогают партнерам Marketplace создавать надежные приложения, а клиентам — проверять приложения и управлять ими.

Вы

Изучайте информацию от Atlassian и партнеров Marketplace, чтобы убедиться, что приложения соответствуют вашим требованиям. Стоит отметить, что установка приложений требует новых отношений с партнерами Marketplace, независимых от ваших отношений с Atlassian.

Поддержка по вопросам защиты данных для партнеров Marketplace

Компания Atlassian предоставляет программы, инструменты и образовательные ресурсы, а также обозначает требования, чтобы помочь сторонним организациям защитить ваши данные, когда вы расширяете рабочие процессы с помощью приложений Marketplace.

Если партнеры не соответствуют нашим требованиям, мы можем принять следующие меры: удалить значки, скрыть приложения из Marketplace, приостановить их работу или добавить их на публичную страницу прозрачности.

Эталон конфиденциальности и безопасности

Наши программы помогают партнерам Marketplace достичь высочайших стандартов в области безопасности и конфиденциальности приложений.

Место для Cloud Security

Требования в качестве стандарта безопасности

Компания Atlassian установила набор минимальных требований к безопасности облачных приложений, которым должны соответствовать все приложения Marketplace. Эти требования обязательны к исполнению и призваны обеспечить соблюдение передовых подходов к безопасности во всех приложениях.

Рисунок: проверка кода

Непрерывное сканирование для поддержания безопасности

Платформа Ecoscanner компании Atlassian выполняет регулярную проверку безопасности всех облачных приложений Marketplace, чтобы обеспечить безопасность нашей экосистемы.

Если какое-то из приложений не будет отвечать требованиям безопасности, Atlassian примет меры для защиты клиентов.

Логотип с жуком

Своевременное решение проблем безопасности

Для обеспечения безопасности всех облачных приложений Marketplace все партнеры Marketplace обязаны соблюдать соглашения об уровне обслуживания (SLA) в отношении исправления багов, связанных с безопасностью. Если в приложении на Marketplace будет обнаружена уязвимость или несоответствие требованию безопасности, партнеры обязаны своевременно устранить проблему.

Логотип Bugcroud

Эффективное обнаружение уязвимостей по программе вознаграждения

Atlassian имеет лучшую в своем классе программу вознаграждения за найденные ошибки, которая призвана повысить уровень надежности и доверия. Партнеры Marketplace могут превентивно бороться с рисками нарушения безопасности, поощряя исследователей в этой области за работу по поиску уязвимостей. Это добровольная программа, но чтобы получить значок Cloud Fortified или Cloud Security Participant, приложения должны участвовать в ней.

Место для принципов безопасности

Прозрачность благодаря требованиям к конфиденциальности

Для приложений обязательно необходимо предоставлять политику конфиденциальности, в которой прописано, как осуществляются сбор и обработка данных, предоставляется доступ к ним, а также кому могут быть переданы данные конечных пользователей и где эти данные могут храниться.

Помимо политики конфиденциальности компания Atlassian требует от партнеров получения всех необходимых прав, разрешений и согласия конечных пользователей на любую обработку их данных.

Прозрачность и средства управления для администраторов клиентов

Выбирайте приложения по своим требованиям на основе централизованной информации в Atlassian Marketplace.

А с помощью средств управления можно предоставить доступ к нужным данным только тем приложениям, которым вы доверяете.

Для этого мы предусмотрели:
Значок галочки

Централизованное администрирование приложений на admin.atlassian.com

Значок галочки

Элементы управления для установки приложений конечными пользователями

Значок галочки

Средства управления для ограничения доступа приложений к выбранному контенту

Значок галочки

Вкладку Privacy & Security (Конфиденциальность и безопасность) на Atlassian Marketplace

Значок галочки

Обязательные политики конфиденциальности на каждой странице приложений Marketplace

Поможем вам безопасно улучшить рабочее пространство с помощью приложений

Помимо значков доверия мы вместе с партнерами постоянно ищем возможности предоставить вам дополнительную информацию о приложениях на сайте admin.atlassian.com и Marketplace. Чтобы узнать больше о приложении перед установкой, можно выполнить следующее.

Этап 1

Начните с изучения вкладки Privacy & Security (Конфиденциальность и безопасность) на страницах приложений в Marketplace.

Здесь должна быть приведена предоставленная партнером информация о том, как приложение обрабатывает данные, его разрешениях, сертификатах соответствия, сведения о безопасности, конфиденциальности и многом другом.

Этап 2

Ознакомьтесь с политикой конфиденциальности приложения.

Партнеры обязаны предоставить на странице приложения Marketplace политику конфиденциальности, в которой подробно описывается, каким образом осуществляется доступ к данным в их приложении и как эти данные используются. Если вы не можете найти нужную информацию на вкладке Privacy & Security (Конфиденциальность и безопасность), ознакомьтесь с политикой конфиденциальности или документацией.

Этап 3

Посетите сайт партнера.

У некоторых партнеров есть собственные комплексные центры доверия, где предоставляется подробная информация о компании и приложении.

Этап 4

Обратитесь к партнеру напрямую.

Контактные данные службы поддержки можно найти на странице приложения, но это контактное лицо не всегда может ответить на вопросы, связанные с безопасностью. Чтобы сэкономить время, проверьте контактное лицо по вопросам безопасности, указанное непосредственно на вкладке Privacy & Security (Конфиденциальность и безопасность).

Этап 5

Подпишитесь на новости о версиях.

Или зайдите на вкладку Connected Apps (Подключенные приложения) на сайте admin.atlassian.com, чтобы найти приложения с доступными обновлениями и оставаться в курсе вносимых изменений.

Найдите приложения, которые делают все возможное для защиты ваших данных и рабочих процессов

Возможно, вы заметили, что некоторые приложения на Atlassian Marketplace имеют значок Cloud Security Participant или Cloud Fortified. Эти значки доверия в магазине Marketplace помогают легко определить, какие приложения не ограничиваются общими стандартами Atlassian и обеспечивают безопасность и надежность при использовании облака.

Каждый значок соответствует выполнению следующих требований.

 

 

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Конфиденциальность

Политики конфиденциальности приложений

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Безопасность

Базовые требования к безопасности облачных приложений

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Контролируется платформой Ecoscanner от Atlassian, выполняющей сканирование приложений на предмет уязвимостей

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Соблюдаются дополнительные требования Atlassian к безопасности приложений и временным интервалам для исправления проблем

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Участвует в программе вознаграждения за найденные ошибки в приложениях Marketplace

All Cloud apps

 

Приложения Cloud Security Participant

Приложения Cloud Fortified

Имеет вкладку Privacy & Security (Конфиденциальность и безопасность) с полной информацией

Все приложения Cloud

(опционально)

Приложения Cloud Security Participant

(опционально)

Приложения Cloud Fortified

Надежность

Дополнительные проверки надежности и производительности сервисов при любом масштабе

All Cloud apps

 

Cloud Security Participant apps

 

Приложения Cloud Fortified

Процессы проверки и работы с инцидентами, интегрированные с процессами Atlassian для ускоренного восстановления и непрерывного улучшения

All Cloud apps

 

Cloud Security Participant apps

 

Приложения Cloud Fortified

Поддержка

Коммерчески обоснованные меры по оказанию поддержки

Все приложения Cloud

Приложения Cloud Security Participant

Приложения Cloud Fortified

Отклик в течение 24 часов 5 дней в неделю по соглашению SLA для заявок уровня T1

All Cloud apps

 

Cloud Security Participant apps

 

Приложения Cloud Fortified

Часто задаваемые вопросы

Как компания Atlassian обеспечивает безопасность приложений Marketplace?
  

В Atlassian приняты программы и требования с основными требованиями к безопасности и конфиденциальности для сторонних приложений Marketplace, а также необязательные программы, стимулирующие прикладывать дополнительные усилия. Наряду с этим мы регулярно публикуем обучающие материалы, чтобы наши партнеры Marketplace могли создавать облачные приложения, заслуживающие доверия.

Компания Atlassian регулярно сканирует все сторонние облачные приложения, публикуемые на Marketplace, чтобы удостовериться в их соответствии основным требованиям безопасности и конфиденциальности. Соблюдение конкретных требований к облачной безопасности обеспечивается с помощью набора сканеров на платформе Atlassian EcoScanner.

Помимо этого, все партнеры Marketpalce должны принять и соблюдать Условия Atlassian для разработчиков, Соглашение о партнерстве Marketplace и Правила исправления ошибок, связанных с безопасностью. В этих документах изложены юридические требования, требования к конфиденциальности и соглашения об уровнях обслуживания для ошибок, связанных с безопасностью.

Кроме этого, некоторые приложения Marketplace отмечены значком безопасности. Такие приложения отвечают не только базовым, но и повышенным требованиям к безопасности, надежности и поддержке. Значки бывают двух видов.

Чтобы понять, стоит ли доверять тому или иному предложению (узнать о его защите данных, безопасности, конфиденциальности, нормативном соответствии), посмотрите ответы разработчика на вкладке Безопасность и конфиденциальность страницы этого приложения на сайте Atlassian Marketplace.

Могут ли приложения Marketplace получать доступ к моим данным, обрабатывать или хранить их?
  

Большинству приложений для правильной работы требуется доступ к данным в вашем экземпляре.

Перед установкой приложения откроется страница с запросом согласия, на которой можно выбрать способ доступа к данным, их обработки и хранения. Администраторам потребуется дать согласие на доступ приложения к данным в процессе установки.

Для каждого приложения Marketplace требуется свой набор прав. Сведения о них, а также о способах обработки данных (место хранения, обработка, кратковременное и долгосрочное хранение) находятся на вкладке «Безопасность и конфиденциальность» страницы приложения в Marketplace.

Есть ли средства, позволяющие запретить партнерам Marketplace доступ к данным клиентов или их извлечение?
  

Клиенты могут ограничить доступ приложений к определенному контенту в выбранных папках или разделах с помощью правила доступа приложений в рамках политик защиты данных. Это правило запрещает приложению обращаться к определенным данным (или модифицировать их) в разделе Confluence или проекте Jira. В частности, это могут быть страницы, записи в блогах, вложения и другие материалы, которые пользователи добавляют в раздел Confluence или в проект Jira. С помощью этой функции администраторы организации могут ограничить доступ к разделам или проектам для всех приложений, а у клиентов Atlassian Access есть возможность блокировать конкретные установленные приложения. Подробнее о запрете доступа для приложений.

Atlassian постоянно встраивает в свои предложения Cloud дополнительные возможности предотвращения потери данных, например функцию классификации. Один из простых способов защитить данные и укрепить безопасность в целом — Atlassian Guard. За разработкой этих функций можно следить по нашей дорожной карте Cloud.

Также на сайте Atlassian Marketplace можно найти разнообразные решения для предотвращения потери данных.

Тестирует ли Atlassian приложения Marketplace на проникновение?
  

Нет, Atlassian не тестирует приложения Marketplace на проникновение.

Но в Atlassian действует программа вознаграждения за найденные ошибки безопасности в приложениях Marketplace. Эта программа предназначена для приложений, претендующих на получение значка Cloud Fortified или Cloud Security Participant.

Все приложения Marketplace должны соответствовать требованиям к облачной безопасности. Это проверяется и обеспечивается с помощью сканеров безопасности и SLA в отношении устранения багов. Подробнее о сканировании безопасности.

Требуется ли мне проходить оценку безопасности для каждого используемого мной приложения Marketplace?
  

Да. Партнеры Marketplace — это независимые компании. Устанавливая приложение, вы выстраиваете с ними собственные отношения.

Компания Atlassian принимает ряд мер, чтобы приложения, опубликованные на Marketplace, соответствовали определенным стандартам. Более подробную информацию о стандартах безопасности, соответствия которым мы требуем от всех партнеров Marketplace, можно найти в статье о требованиях к облачной безопасности. Но в конечном итоге Atlassian не несет ответственности за продукты и услуги, предлагаемые партнерами Marketplace.

Вы самостоятельно отвечаете за проверку приложений и соглашений от сторонних разработчиков.

Чтобы облегчить этот процесс для вас, каждое облачное приложение Marketplace снабжается разделом «Конфиденциальность и безопасность», в котором партнеры подробно описывают свое приложение с точки зрения безопасности, защиты данных, конфиденциальности и нормативного соответствия.

Также вы можете ознакомиться с программами по управлению доверием в Marketplace, в которых мы рассказываем, как выделяем приложения, соответствующие повышенным требованиям к безопасности в программах Atlassian’ Cloud Security Participant и Cloud Fortified. Если у вас еще остались вопросы, обращайтесь к поставщику конкретного приложения напрямую.

Подытожим: перед установкой любого приложения вы сами должны проверить его и решить, удовлетворяет ли оно вашим требованиям.

Сообщество по надежности и безопасности

Присоединяйтесь к группе по вопросам надежности и безопасности в сообществе Atlassian, чтобы получать информацию, советы и рекомендации по безопасному и надежному использованию продуктов Atlassian.