Close
Quer visualizar esta página no seu idioma?
Todos os idiomas
Escolha seu idioma
Logotipo da APRA

ORIENTAÇÃO DE TERCEIRIZAÇÃO da Regulação Prudencial CPS 234 da APRA

A Autoridade Australiana de Regulação Prudencial (“APRA”) emitiu a Regulação Prudencial de Segurança da Informação CPS 234 da APRA (“CPS 234”) para garantir que as entidades regulamentadas pela APRA — incluindo fundos de aposentadoria, bancos e seguradoras — atendam a certos padrões mínimos para desenvolver e manter sua capacidade de segurança da informação. A CPS 234 exige que as entidades reguladas pela APRA

  • definam com clareza as funções e responsabilidades relacionadas à segurança da informação
  • mantenham uma capacidade de segurança da informação compatível com o tamanho e a extensão das ameaças a seus ativos de informação
  • implementem controles para proteger os ativos de informação e realizar testes regulares e garantir a eficácia dos controles
  • notifiquem prontamente a APRA sobre incidentes relevantes de segurança da informação.

A CPS 234 também descreve certas obrigações de due diligence para entidades regulamentadas pela APRA que estejam terceirizando o gerenciamento de seus ativos de informação para terceiros. Esta página descreve cada uma das obrigações regulatórias relevantes da CPS 234 e mostra comentários para ajudar as entidades reguladas pela APRA a avaliar cada requisito da CPS 234 no contexto dos produtos Cloud da Atlassian e garantir que estejam cumprindo suas obrigações de acordo com a CPS 234.

 

Referência da estrutura

Comentário da Atlassian

1.

Referência da estrutura

Capacidade de segurança da informação

2.

Referência da estrutura

15. Uma entidade regulamentada pela APRA deve manter uma capacidade de segurança da informação compatível com o tamanho e a extensão das ameaças a seus ativos de informação, permitindo a operação contínua e sólida da entidade

Comentário da Atlassian

Esta é uma consideração do cliente. Consulte a linha 3 para obter informações sobre os recursos de segurança da Atlassian.

3.

Referência da estrutura

16. Quando os ativos de informação são gerenciados por uma parte relacionada ou por um terceiro, a entidade regulada pela APRA deve avaliar a capacidade de segurança da informação dessa parte ou terceiro, de acordo com as possíveis consequências de um incidente de segurança da informação que afete esses ativos.

Comentário da Atlassian

Como fornecedora de produtos Cloud para entidades regulamentadas pela APRA, a Atlassian mantém um programa robusto de segurança da informação compatível com o tamanho e a extensão das ameaças que enfrenta. Disponibilizamos diversos recursos que dão mais informações sobre o design, a implementação e a operação da capacidade de segurança da informação da Atlassian. Em última análise, cabe às entidades reguladas pela APRA usar essas informações para avaliar se os produtos da Atlassian atendem aos seus requisitos:

  • Centro de recursos de conformidade—um recurso que oferece informações detalhadas sobre segurança, auditorias de terceiros e certificações da Atlassian, todas disponíveis para atender às necessidades de conformidade dos clientes
  • Atlassian Trust Center—para informações sobre como a Atlassian conecta você às informações mais recentes sobre a segurança, a confiabilidade, a privacidade e a conformidade dos nossos produtos e serviços.
  • Página de práticas de segurança—uma abordagem eficaz da segurança começa com a organização da nossa própria casa. Este recurso mostra mais informações sobre como fazemos isso com
    • desenvolvimento da segurança na arquitetura de rede
    • a segurança do acesso às nossas redes por meio do ZeroTrust, o que, em termos simples, significa "nunca confie, sempre verifique"
    • a segurança do acesso aos nossos sistemas e serviços
    • a segurança de pontos de extremidade
    • a criação de processos seguros de projeto e teste
Os produtos e dados da Atlassian são hospedados com o provedor de hospedagem em nuvem líder do setor, Amazon Web Services (AWS), e executados em um ambiente de plataforma como serviço (PaaS). As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, no Jira Service Management Cloud, no Jira Work Management, no Bitbucket Cloud, no Confluence Cloud, no Statuspage, no Opsgenie e no Trello usam a criptografia em repouso de disco inteiro AES-256, padrão do setor. Dados em produtos de nuvem da Atlassian são criptografados em trânsito em redes públicas usando o Transport Layer Security (TLS) 1.2 ou versão posterior com o Perfect Forward Secrecy (PFS) como proteção contra divulgação ou modificação não autorizadas.

Uma descrição detalhada de como criamos esse processo pode ser encontrada na página sobre arquitetura e práticas operacionais do Atlassian Cloud. Além disso, conforme observado em nosso artigo técnico sobre responsabilidades compartilhadas de segurança no Atlassian Cloud, os clientes podem revisar nosso questionário STAR da Cloud Security Alliance (CSA), que inclui respostas a mais de 300 perguntas incluídas no Consensus Assessments Initiative Questionnaire (CAIQ). Uma descrição detalhada de como detectamos e respondemos às vulnerabilidades de segurança pode ser encontrada na Nossa abordagem ao gerenciamento de vulnerabilidades. A Atlassian segue os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA). Ao avaliar vulnerabilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes. Entre outros processos, a Atlassian:
  • Incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos por meio de prêmios em dinheiro do Programa de Recompensas por Bugs. Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do Programa de Recompensas por Bugs, fazer a inscrição e testar os produtos.
  • Incentiva os clientes a denunciarem vulnerabilidades e visa corrigir as vulnerabilidades de segurança dentro dos objetivos de nível de serviço (SLOs) relevantes descritos na Política de Correção de Bugs de Segurança.
  • Contrata regularmente empresas de consultoria de segurança especializadas para realizar testes de intrusão nos produtos e infraestrutura de alto risco e publica cartas de avaliação dos parceiros de testes de penetração na Abordagem em relação aos testes de segurança externos
  • Permite que Avaliações de Segurança (testes de intrusão, avaliações de vulnerabilidade) sejam realizadas pelos clientes, de acordo com certas regras criadas para manter os produtos seguros para todos os clientes.
Dentro de suas próprias contas, os clientes são responsáveis pelo gerenciamento de vulnerabilidades. Para ajudar os clientes a monitorar a segurança de seus dados, a Atlassian oferece segurança e governança de dados aprimoradas opcionais para os produtos Atlassian Cloud por meio do Atlassian Access, que possibilita que as organizações adicionem recursos de gerenciamento de identidade e acesso (IAM) de nível empresarial ao console central de administração. Isso ajuda a evitar o acesso não autorizado ao permitir que os clientes personalizem várias políticas de autenticação, obtenham supervisão centralizada e monitorem o uso para detectar comportamentos suspeitos.

As entidades regulamentadas pela APRA podem usar essas informações para avaliar nossos recursos de segurança da informação de acordo com seus ativos de informação armazenados nos produtos e plataformas da Atlassian.

4.

Referência da estrutura

17. Uma entidade regulamentada pela APRA deve atualizar ativamente sua capacidade de segurança da informação com relação às mudanças nas vulnerabilidades e ameaças, incluindo aquelas resultantes de mudanças nos ativos de informação ou em seu ambiente de negócios.

Comentário da Atlassian

As entidades regulamentadas pela APRA podem usar os recursos e as informações da linha 3 para avaliar nossos recursos de segurança da informação de acordo com seus ativos de informação armazenados nos produtos e plataformas da Atlassian.

5.

Referência da estrutura

Estrutura de política

6.

Referência da estrutura

18. Uma entidade regulamentada pela APRA deve manter uma estrutura de política de segurança da informação compatível com sua exposição a vulnerabilidades e ameaças.

Comentário da Atlassian

Esta é uma consideração do cliente. Por sua vez, a Atlassian documentou uma estrutura de política de segurança da informação que foi organizada para abranger os domínios incluídos na norma ISO27001 e na Cloud Controls Matrix (CCM) da Cloud Security Alliance (CSA).

Nosso Programa de Gestão de Políticas (PMP) inclui obrigações relacionadas a propriedade, disponibilidade e ciclo de revisão e descreve nossos objetivos gerais. Nossas políticas são revisadas pelo menos uma vez por ano e aprovadas pela gerência sênior. Mais informações sobre o PMP podem ser encontradas no Atlassian Trust Management System (ATMS).

Também publicamos trechos e resumos de cada uma de nossas principais políticas de segurança e tecnologias nas Nossas políticas de segurança e tecnologia da Atlassian.

7.

Referência da estrutura

19. A estrutura da política de segurança da informação das entidades regulamentadas pela APRA deve disponibilizar orientação sobre as responsabilidades de todas as partes que têm a obrigação de manter a segurança da informação.

Comentário da Atlassian

A Política de Segurança de Funcionários estabelece os princípios e as diretrizes gerais de segurança dos funcionários na Atlassian. Ela destaca que as responsabilidades de segurança são descritas nas definições do trabalho. Além disso, cada política em nosso conjunto de políticas de segurança abrange aspectos mais detalhados das responsabilidades que se aplicam a determinadas funções ou equipes de trabalho.

O artigo técnico sobre responsabilidades compartilhadas de segurança no Atlassian Cloud descreve as responsabilidades que os clientes têm e as decisões que eles devem tomar ao determinar como proteger seus dados.

8.

Referência da estrutura

Identificação e classificação de ativos de informação

9.

Referência da estrutura

20. As entidades regulamentadas pela APRA devem classificar seus ativos de informação, incluindo aqueles gerenciados por partes relacionadas e terceiros, por criticidade e confidencialidade. Essa classificação deve refletir o grau em que um incidente de segurança da informação que afete um ativo de informação tem o potencial de afetar, financeiramente ou não, a entidade ou os interesses dos depositantes, segurados, beneficiários ou outros clientes.

Comentário da Atlassian

Como os clientes são responsáveis por determinar quais produtos da Atlassian utilizar e para quais finalidades, é responsabilidade do Cliente determinar quais ativos de informação são gerenciados pela Atlassian e classificar esses ativos de informação. Por sua vez, a Atlassian lida com a classificação das informações da seguinte forma, descrita em nosso Padrão de Classificação de Dados:

  • classificação dos dados em termos de requisitos legais, valor e criticidade para a Atlassian
  • identificação, categorização e atualização dos dados em um mapa de fluxo de dados para garantir o tratamento adequado
  • exclusão segura de mídias utilizadas
  • proteção de mídias que tenham informações da empresa contra acesso não autorizado, uso indevido ou danos durante o transporte

10.

Referência da estrutura

Implementação de controles

11.

Referência da estrutura

21. Entidades regulamentadas pela APRA devem ter controles de segurança da informação para proteger seus ativos de informação, incluindo aqueles gerenciados por partes relacionadas e terceiros, que sejam implementados em tempo hábil e que sejam proporcionais: (a) a vulnerabilidades e ameaças aos ativos de informação; (b) à criticidade e à confidencialidade dos ativos de informação; (c) ao estágio em que os ativos de informação estão dentro de seu ciclo de vida; e (d) às possíveis consequências de um incidente de segurança da informação.

Comentário da Atlassian

Nossas práticas de segurança descrevem a abordagem de segurança da Atlassian. Oferecemos mais informações sobre a abordagem ao:

  • desenvolver a segurança na arquitetura de rede 
  • garantir o acesso às nossas redes por meio do ZeroTrust, o que, em termos simples, significa "nunca confie, sempre verifique" 
  • proteger o acesso aos nossos sistemas e serviços
  • proteger pontos de extremidade 
  • proteger os produtos 
  • proteger os dados

12.

Referência da estrutura

22. Quando os ativos de informação de uma entidade regulada pela APRA são gerenciados por uma parte relacionada ou por um terceiro, a entidade regulada pela APRA deve avaliar a organização dos controles de segurança da informação dessa parte ou terceiro que protegem os ativos de informação da entidade regulada pela APRA.

Comentário da Atlassian

Nosso Programa de Gerenciamento de Vulnerabilidades descreve a abordagem da Atlassian para detectar e lidar com vulnerabilidades de segurança em nossos produtos, incluindo os principais controles que implementamos para proteger as informações dos clientes.

Também detalhamos a abordagem para gerenciar incidentes de segurança em nosso sistema.

Juntos, esses recursos disponibilizam às entidades regulamentadas pela APRA informações detalhadas sobre a organização de nossos controles de segurança nas principais áreas, para que possam determinar se suas obrigações da CPS 234 foram cumpridas.

13.

Referência da estrutura

Gerenciamento de incidente

14.

Referência da estrutura

23. As entidades regulamentadas pela APRA devem ter mecanismos robustos para detectar e responder a incidentes de segurança da informação em tempo hábil.

Comentário da Atlassian

Embora as obrigações da CPS 234 em relação ao gerenciamento de incidentes de segurança sejam impostas às entidades regulamentadas pela APRA, a Atlassian reconhece que, quando essa entidade usa produtos da Atlassian com relação a alguns ou a todos os seus ativos de informação, a abordagem da Atlassian ao gerenciamento de incidentes de segurança também é uma consideração importante.

Temos uma Política de Resposta a Incidentes de Segurança documentada que inclui os seguintes princípios-chave:

  • antecipação de incidentes de segurança e preparação para resposta a incidentes
  • contenção, erradicação e recuperação de incidentes
  • investimento em pessoas, processos e tecnologias para garantir a capacidade de detecção e análise de incidentes quando ocorrerem
  • tornar a proteção dos dados pessoais e de clientes a principal prioridade durante incidentes de segurança
  • utilização regular do processo de resposta a incidentes de segurança
  • aprender e melhorar a função de gerenciamento de incidentes de segurança
  • comunicação de incidentes críticos de segurança à liderança da Atlassian
De acordo com essa política, a Atlassian mantém um plano de resposta a incidentes de segurança. Para garantir que o nosso processo de resposta a incidentes seja consistente, repetível e eficiente, temos uma estrutura interna claramente definida que abrange as etapas que precisamos seguir em cada fase do processo de resposta a incidentes. Temos manuais documentados que são atualizados continuamente e definem as etapas que precisamos seguir para responder a diferentes tipos de incidentes. Para saber mais informações sobre nosso processo de resposta a incidentes de segurança, consulte a Abordagem da Atlassian ao gerenciamento de incidentes de segurança e as Responsabilidades por incidentes de segurança da Atlassian.

A Atlassian tem um sólido histórico de notificação oportuna e proativa de incidentes de segurança e de trabalhar com os clientes em todas as mitigações necessárias. Em nosso Adendo de Processamento de Dados (DPA), nos comprometemos a informar o cliente sobre qualquer incidente de segurança sem demora injustificada e a disponibilizar informações oportunas relacionadas ao incidente de segurança, conforme for conhecido ou conforme solicitado razoavelmente pelos clientes, para permitir que eles cumpram suas obrigações de comunicação de violação de dados de acordo com a Lei de Proteção de Dados Vigente (conforme definido no Adendo de Processamento de Dados). Se os clientes precisarem dessa notificação para fins de conformidade, recomendamos que assinem e enviem o Adendo de Processamento de Dados localizado aqui.

15.

Referência da estrutura

24. As entidades regulamentadas pela APRA devem manter planos para responder a incidentes de segurança da informação que a entidade considera que poderiam ocorrer de forma plausível (planos de resposta de segurança da informação).

16.

Referência da estrutura

25. Os planos de resposta de segurança da informação das entidades regulamentadas pela APRA devem incluir mecanismos para (a) gerenciar todas as etapas relevantes de um incidente, desde a detecção até a revisão pós-incidente; e (b) escalar e relatar incidentes de segurança da informação ao Conselho, a outros órgãos governantes e a indivíduos responsáveis pelo gerenciamento e supervisão de incidentes de segurança da informação, conforme apropriado.

17.

Referência da estrutura

26. As entidades regulamentadas pela APRA devem revisar e testar todos os anos seus planos de resposta de segurança da informação para garantir que eles permaneçam eficazes e adequados à finalidade.

18.

Referência da estrutura

Teste de eficácia do controle e auditoria interna

19.

Referência da estrutura

27. As entidades regulamentadas pela APRA devem testar a eficácia de seus controles de segurança da informação por meio de um programa de testes sistemático. A natureza e a frequência dos testes sistemáticos devem ser proporcionais: (a) ao ritmo de mudança das vulnerabilidades e ameaças; (b) à criticidade e a confidencialidade do ativo de informação; (c) às consequências de um incidente de segurança da informação; (d) aos riscos associados à exposição a ambientes em que a entidade regulada pela APRA é incapaz de aplicar suas políticas de segurança da informação; e (e) à relevância e frequência da mudança nos ativos de informação

Comentário da Atlassian

A eficácia de nossos controles de segurança é testada por meio de várias auditorias e verificações externas que realizamos. Embora cada cliente seja responsável por testar a eficácia de seus próprios controles de segurança da informação e escalar quaisquer deficiências de controle de segurança detectadas em sua análise interna, a Atlassian oferece vários recursos com relação ao próprio programa de testes da Atlassian para ajudar os clientes a determinar se suas obrigações da CPS 234 foram cumpridas.

Os produtos de nuvem passam por verificações independentes frequentes dos controles de segurança, privacidade e conformidade, recebendo certificações, atestados de conformidade ou relatórios de auditoria com base em padrões no mundo inteiro. Oferecemos aos clientes acesso a esses atestados, certificados de conformidade e relatórios de auditoria (como SOC2 e ISO2700x) no Centro de recursos de conformidade para permitir que os clientes os analisem como parte de suas avaliações de risco. Cada certificação ou relatório de auditoria relevante contém informações adicionais sobre a parte certificadora ou auditora.

O Centro de recursos de conformidade também tem mapeamentos de controle de estruturas e leis em que certificações ou atestados formais podem não ser exigidos ou aplicados.

A Atlassian está sempre aprimorando a adequação e eficácia de seu ISMS. O Atlassian Trust Management System (ATMS) é analisado todos os anos, tanto internamente quanto por terceiros, para que os clientes da Atlassian possam confiar na validação de terceiros da eficácia do ATMS. O compromisso com a melhoria contínua é descrito internamente na página de definição do ATMS e serve para desenvolver o ATMS ao longo do tempo e resolver quaisquer lacunas.

Mais informações e validação de nossa abordagem podem ser encontradas em vários recursos no Trust Center

A Atlassian realiza auditorias de prontidão interna/externa e externas pelo menos uma vez por ano. Os resultados da auditoria interna não são compartilhados com os clientes.

20.

Referência da estrutura

28. Quando os ativos de informação de uma entidade regulada pela APRA são administrados por uma parte relacionada ou por um terceiro e a entidade regulada pela APRA depende dos testes de controle de segurança da informação dessa parte ou terceiro, a entidade regulada pela APRA deve avaliar se a natureza e a frequência dos testes de controles em relação a esses ativos de informação são proporcionais aos parágrafos 27 (a) a 27 (e) desta Regulação Prudencial.

21.

Referência da estrutura

29. As entidades regulamentadas pela APRA devem encaminhar e relatar ao Conselho ou à gerência sênior quaisquer resultados de testes que identifiquem deficiências de controle de segurança da informação que não possam ser corrigidas em tempo hábil.

22.

Referência da estrutura

30. As entidades regulamentadas pela APRA devem garantir que os testes sejam conduzidos por especialistas devidamente qualificados e funcionalmente independentes.

23.

Referência da estrutura

31. As entidades regulamentadas pela APRA devem revisar a suficiência do programa de testes pelo menos uma vez por ano ou quando houver alteração substancial nos ativos de informação ou no ambiente de negócios.

24.

Referência da estrutura

32. As atividades de auditoria interna de uma entidade regulamentada pela APRA devem incluir uma revisão da organização e da eficácia operacional dos controles de segurança da informação, incluindo aqueles mantidos por partes relacionadas e terceiros (garantia de controle de segurança da informação).

25.

Referência da estrutura

33. As entidades regulamentadas pela APRA devem assegurar que a garantia de controle de segurança da informação seja oferecida por pessoal devidamente qualificado para dar tal garantia

26.

Referência da estrutura

34. A função de auditoria interna de uma entidade regulamentada pela APRA deve avaliar a garantia de controle de segurança da informação disponibilizada por uma parte relacionada ou terceiro quando: (a) um incidente de segurança da informação que afeta os ativos da informação tem o potencial de afetar substancialmente, financeiramente ou não, a entidade ou os interesses de depositantes, segurados, beneficiários ou outros clientes; e (b) a auditoria interna pretende confiar na garantia de controle de segurança da informação disponibilizada pela parte relacionada ou terceiro.

27.

Referência da estrutura

Notificação APRA

28.

Referência da estrutura

35. As entidades regulamentadas pela APRA devem notificar a APRA o mais rápido possível e, em qualquer caso, no máximo 72 horas, após tomar conhecimento de um incidente de segurança da informação que: (a) afetou substancialmente ou teve o potencial de afetar substancialmente, financeiramente ou não, a entidade ou os interesses de depositantes, segurados, beneficiários ou outros clientes; ou (b) foi notificado a outros reguladores, na Austrália ou em outras jurisdições.

Comentário da Atlassian

A Atlassian entende o quanto é importante que você seja notificado imediatamente de qualquer violação de dados. É por isso que a Atlassian criou uma ampla equipe e um processo multifuncionais para lidar com incidentes de segurança, conforme descrito na página de gerenciamento de incidentes de segurança.

A Atlassian tem um sólido histórico de notificação oportuna e proativa de incidentes e de trabalhar com os clientes em todas as mitigações necessárias. A Atlassian se compromete, com o Adendo de Processamento de Dados e outros termos legais, a notificar os clientes sobre incidentes de segurança sem demora injustificada. Se os clientes precisarem dessa notificação para fins de conformidade, recomendamos que assinem e enviem o Adendo de Processamento de Dados localizado aqui. Depois que um cliente é notificado de um incidente pela Atlassian, o cliente é responsável por determinar se a notificação à APRA é exigida de acordo com o parágrafo 35 da CPS 234 e, em caso afirmativo, por notificar a APRA dentro do prazo de 72 horas, que começa a contar quando o cliente recebe a notificação da Atlassian.

A Atlassian opera um programa público de recompensas por bugs para nossos produtos por meio do parceiro Bugcrowd para ajudar os clientes a se manterem informados sobre quaisquer vulnerabilidades que possam impactar os produtos. Atualizações relevantes são disponibilizadas aos clientes por meio do Statuspage. Além disso, se um cliente optar por comprar um plano “Premium” ou “Enterprise” de qualquer Jira Software Cloud, Jira Service Management Cloud ou Confluence Cloud, ele vai receber o benefício da garantia de desempenho aprimorada, na qual garantimos que não vamos diminuir substancialmente a funcionalidade ou a segurança geral do produto de nuvem durante o período de assinatura em questão. Se recebermos uma reclamação de garantia de desempenho expandida de um cliente relacionada à segurança de um produto de nuvem e não pudermos corrigir a não conformidade, vamos notificar o Cliente sobre isso. Depois que o cliente recebe essa notificação, é responsável por determinar se a notificação à APRA é exigida de acordo com o parágrafo 36 da CPS 234 e, em caso afirmativo, por notificar a APRA dentro do prazo de 10 dias úteis, que começa a ser contado quando o cliente recebe a notificação da Atlassian.

29.

Referência da estrutura

36. As entidades regulamentadas pela APRA devem notificar a APRA o mais rápido possível e, em qualquer caso, no máximo 10 dias úteis, após tomar conhecimento de uma fraqueza relevante no controle de segurança da informação que a entidade acredita não ser capaz de remediar em tempo hábil.