Perguntas frequentes sobre conformidade


Geral

Como posso concluir meu questionário de diligência prévia do fornecedor/questionário de fornecedor/questionário de segurança? Copy link to heading Copied! Mostrar +
  

Caso precise de ajuda para preencher o questionário para documentar partes dos programas Atlassian Trust, a gente tem uma abordagem criada para prover os recursos necessários para responder às suas perguntas de segurança e conformidade sobre os produtos de nuvem da Atlassian. A Atlassian tem recursos de segurança e conformidade pré-compilados na página geral de Resposta aos riscos dos fornecedores e nos envios à Cloud Security Alliance. Se esses recursos não forem suficientes, envie uma solicitação ao Suporte da Atlassian.

Você preencheu o Consensus Assessment Initiative Questionnaire (CAIQ) da Cloud Security Alliance (CSA)? Copy link to heading Copied! Mostrar +
  

Claro, a gente espera que sim. Ele está na página de entrada do Security, Trust and Assurance Registry (STAR). Além disso, ele deve ser atualizado a cada trimestre ou quando houver grandes mudanças no ambiente. Dê uma lida na entrada da Atlassian no STAR.

Você também pode avaliar outras respostas pré-compiladas na página de Respostas aos riscos e segurança dos fornecedores.

Quais produtos Atlassian estão incluídos no escopo de conformidade do Atlassian Cloud? Copy link to heading Copied! Mostrar +
  

Com base na implementação ou, em alguns casos, na aquisição, os Produtos variam de acordo com o programa de conformidade. Para ver as informações mais atualizadas dos produtos e dos programas de conformidade associados, consulte a página de Conformidade da Atlassian.

A Atlassian mantém subprocessadores? Copy link to heading Copied! Mostrar +
  

A Atlassian pode usar subprocessadores, conforme documentado na página de subprocessadores, para realizar atividades específicas em nome dos clientes e dos produtos da Atlassian ou atividades específicas de hospedagem e gerenciamento de data center. Esta página também oferece aos clientes a opção de assinar o feed RSS para quando a lista de subprocessadores é alterada ou atualizada.

Vocês podem informar os locais de seus data centers? Copy link to heading Copied! Mostrar +
  

A Atlassian não gerencia nenhum dos próprios data centers, todas as operações de data center são terceirizadas. Em primeiro lugar, a gente conta com a AWS como parceira de hospedagem e gerenciamento de data center. As implementações regionais diferem de acordo com o produto. Para obter mais informações sobre os controles de Data Center da AWS, consulte o site Controles de Data Center na AWS.

Para o Jira e o Confluence Cloud: as regiões da AWS incluem Leste dos EUA, Oeste dos EUA, Irlanda, Frankfurt, Singapura e Sydney.

Para o Halp: as regiões da AWS incluem Leste dos EUA e Oeste dos EUA.

Para o Opsgenie: os clientes devem optar pela região da AWS dos EUA (Oeste dos EUA em Oregon e na Califórnia e no Leste dos EUA em Ohio) ou da UE (Frankfurt e Irlanda).

Para o Statuspage: as regiões da AWS incluem o Leste dos EUA e o Oeste dos EUA.

Para o Trello: a região da AWS inclui o Leste dos EUA.

Para o Jira Align: as regiões da AWS incluem o Leste dos EUA (Ohio), Europa (Frankfurt) e Austrália (Sydney).

Bitbucket: as regiões da AWS incluem o Leste dos EUA e o Oeste dos EUA.

Relatórios de conformidade

Os produtos do Atlassian Cloud têm certificação ISO27001? Copy link to heading Copied! Mostrar +
  

Com base na implementação ou, em alguns casos, na aquisição, os Produtos no escopo da ISO27001 e da ISO27018 da Atlassian variam. Para ver as informações mais atualizadas dos produtos e dos programas de conformidade associados, consulte a página de Conformidade da Atlassian.

Por quanto tempo o certificado PCI da Atlassian é válido? Copy link to heading Copied! Mostrar +
  

Para o PCI, a gente costuma receber a certificação atualizada em setembro de cada ano, e o certificado é válido por 1 ano. O certificado atual da Atlassian é datado de 30 de setembro de 2021 e está ativo por um ano. A certificação de PCI da Atlassian está relacionada apenas ao processamento de cartões de crédito da Atlassian para pagamentos. A Atlassian não oferece garantia para cartões de crédito que os clientes decidam armazenar nos produtos que a gente oferece. Se esse for o seu caso de uso, leia o relatório SOC 2 para determinar se os controles são satisfatórios para você.

Por quanto tempo o relatório SOC 2 da Atlassian é válido? Copy link to heading Copied! Mostrar +
  

As auditorias SOC 2 Tipo 2 são uma análise do desempenho dos controles no decorrer de um período de tempo. Quando o período de auditoria acaba, o relatório é preparado e disponibilizado aos clientes. A Atlassian emite relatórios SOC 2 que abrangem um período de 12 meses (1º de outubro a 30 de setembro). Os relatórios são válidos para os 12 meses seguintes, momento em que as próximas auditorias são realizadas.

Existem muitos fatores que afetam o lançamento de novos relatórios, mas as auditorias externas da Atlassian costumam ocorrer em novembro, e os relatórios atualizados quase sempre ficam disponíveis até o final de dezembro de cada ano. A Atlassian também emite uma carta de conexão de 3 meses em janeiro/fevereiro de cada ano que estende o período de cobertura até o final de janeiro.

Todos os relatórios SOC 2 (e a carta de conexão) podem ser baixados no Centro de recursos de conformidade.

Onde posso solicitar uma carta de conexão? Copy link to heading Copied! Mostrar +
  

Com base na cobertura de um ano da Atlassian nos ciclos de relatórios de SOC 2 da empresa, a Atlassian pode prover uma carta de conexão ou uma carta de lacuna. Este documento pode ser baixado pelo mesmo acordo de confidencialidade de clique que o relatório SOC 2 no Centro de recursos de conformidade — SOC 2 da Atlassian.

Programas de conformidade AWS

Os produtos do Atlassian Cloud têm certificação da HIPAA? Copy link to heading Copied! Mostrar +
  

O Jira Software Cloud Enterprise e o Confluence Cloud Enterprise estão em conformidade com a HIPAA. Para saber mais, acesse esta página.

A gente também está trabalhando na conformidade do Jira Service Management. Para acompanhar o status deste projeto, visite o Roteiro da nuvem.

Como faço para solicitar à Atlassian um Adendo de Processamento de Dados em conformidade com GDPR? Copy link to heading Copied! Mostrar +
  

A Atlassian publicou um Adendo de Processamento de Dados (DPA) pré-assinado. O DPA ajuda a atender aos requisitos de transferência subsequentes em conformidade com o GDPR. Consulte o DPA da Atlassian ou leia mais em Perguntas frequentes sobre privacidade e GDPR.

Estrutura de controles

A Atlassian vai compartilhar informações sobre os próprios controles internos? Copy link to heading Copied! Mostrar +
  

A gente trabalhou muito em algo chamado Atlassian Control Framework (ACF), que combina os controles de requisitos normativos externos com normas do setor. Essa estrutura é usada para implementar controles internos e usar empresas externas para avaliar e aprovar a implementação e a operação dos controles da Atlassian. Veja o status de todas as certificações ou relatórios da Atlassian na página de Conformidade na Atlassian.