Reduzir riscos e vulnerabilidades e realizar avaliações periódicas, técnicas e não técnicas, em resposta a mudanças ambientais ou operacionais

Todos os anos, a Atlassian realiza a Avaliação de Lacunas, atualiza a Análise de Risco de Segurança e obtém o Atestado HIPAA de uma autoridade certificadora independente.

A Atlassian conduz avaliações de risco que incluem a identificação, a avaliação, a atribuição, a aceitação, a remediação e outras atividades de gerenciamento relevantes, para garantir que a gente esteja operando em conformidade com o apetite ao risco acordado e com os requisitos legais e regulamentares relevantes. A gente realiza avaliações contínuas de controles e estratégias de mitigação, incluindo recomendações de alterações no ambiente de controle. Além disso, há uma matriz de riscos e controles na ferramenta de Governança, Risco e Conformidade (GRC) que a gente oferece.

Triagem de antecedentes e procedimentos de rescisão adequados

Os novos colaboradores da Equipe da Atlassian, em todo o mundo, precisam passar por uma verificação de antecedentes ao aceitar a oferta de emprego. O acionamento de um conjunto abrangente de verificações de antecedentes é automático, e todas as novas contratações, bem como contratados independentes, passam por essas verificações.

Os funcionários e contratados da Atlassian que têm acesso a informações confidenciais têm obrigações por meio de seus contratos de trabalho e acordos de confidencialidade para garantir que as responsabilidades e os deveres de segurança da informação permaneçam válidos após a rescisão ou mudança de emprego, assim como o fim das relações contratuais.

Sanções contra funcionários

Durante a integração, cada novo funcionário deve aceitar a política do Código de Conduta e Ética Empresarial da Atlassian, além de concluir o treinamento de conscientização sobre segurança. Sanções formais existem e são empregadas aos indivíduos que não cumprem as políticas e os procedimentos de segurança da informação estabelecidos.

Autorização de acesso para funcionários que trabalham com informações de saúde protegidas em formato eletrônico (ePHI)

A condição de membro da função do Active Directory é uma atribuição automática com base no departamento e na equipe do usuário e restrita às pessoas que precisam desse acesso. Se algum usuário for transferido para outra equipe, é gerado um alerta que aciona o acompanhamento e a remoção do acesso obsoleto, nos casos apropriados. Os proprietários do sistema ou do serviço foram designados como aprovadores para conceder ou modificar o acesso do usuário nos níveis de acesso do Active Directory para diversos sistemas.

O acesso privilegiado aos ambientes de produção é restrito apenas para usuários autorizados e apropriados.

O acesso à rede interna e às ferramentas da Atlassian é restrito a usuários autorizados por meio de medidas lógicas de acesso. Cada conta de usuário deve:

• ter uma conta ativa do Active Directory e
• ser membro do grupo apropriado do Active Directory.

Concessão adequada de acesso (modelo de privilégio mínimo)

Encerrar a sessão após um tempo de inatividade predeterminado

Os aplicativos para desktop e dispositivos móveis têm um tempo limite máximo de sessão do usuário com base nos procedimentos operacionais padrão da Atlassian (8 a 24 horas para sessões de desktop, 30 a 90 dias para sessões de dispositivos móveis).

Um protetor de tela é aplicado para terminais macOS e Windows com a exigência de inserir uma senha para desbloquear o terminal.

Detecção/criação de registros de auditoria (incluindo monitoramento de tentativas de login)

Os registros de eventos são mantidos e protegidos contra perda ou adulteração. O acesso aos registros é analisado com frequência. Habilitamos a criação de registro no ambiente da AWS e direcionamos esses registros para o Splunk. Implementamos alertas automatizados para a AWS, bem como para todos os eventos de nuvem qualificados pela HIPAA com base em eventos e incidentes de segurança conhecidos e anteriores.

Um processo de revisão é mantido para ajustar e otimizar nossos alertas e remover falsos positivos. Temos um engenheiro de automação dedicado para agilizar o processo de desenvolvimento e triagem de alertas.

Identificar e responder a incidentes de segurança suspeitos ou conhecidos. Mitigar e documentar os incidentes e seus resultados

A gente implementou um processo de gerenciamento de incidentes em toda a empresa, com a equipe de segurança responsável pelo programa, que consiste em:

• registrar cada ação, ao gerenciar os incidentes, no Sistema de Gerenciamento de Incidentes em um ticket de incidente. Os registros devem incluir:
  • hora de início do incidente
  • Descrição do incidente
  • Gravidade
  • serviços afetados
  • Impacto
  • número de clientes afetados
  • Causa-raiz
  • ações tomadas
  • SLOs afetados (recursos afetados)
• associar os problemas, sempre que possível, à causa subjacente e/ou agrupar os problemas em incidentes pai
• realizar uma análise pós-incidente (PIR) depois de incidentes graves e críticos

Identificar o indivíduo responsável pelo desenvolvimento e pela implementação do programa de conformidade de segurança da HIPAA

A gente tem um Diretor de Segurança da HIPAA dedicado. O Diretor de Segurança entende suas responsabilidades, a Regra de Segurança da HIPAA e como esses requisitos se aplicam aos produtos que a gente oferece.

Identificar o indivíduo responsável pelo desenvolvimento e pela implementação do programa de conformidade com a privacidade da HIPAA

A gente tem um Diretor de Privacidade da HIPAA dedicado. O Diretor de Privacidade entende suas responsabilidades, a Regra de Privacidade da HIPAA e como esses requisitos se aplicam aos produtos que a gente oferece.

Treinamentos de conscientização do usuário

Como parte do programa de conscientização de segurança da Atlassian, todos os funcionários precisam concluir o treinamento todos os anos. Além disso, a gente distribui exercícios e comunicações ad hoc sobre conscientização relacionados à segurança ao longo do ano.

Procedimentos para permitir a continuação dos processos fundamentais de negócios

A gente definiu, analisou e testou os procedimentos para execução de recuperação de desastres. A política descreve, em alto nível, a finalidade, os objetivos, o escopo, o objetivo do tempo de recuperação, o objetivo do ponto de recuperação e as funções/responsabilidades. A gente testa planos formais de continuidade de negócios e recuperação de desastres a cada três meses. Em apoio aos componentes do plano de contingência, a gente avalia serviços e sistemas quanto à sua criticidade todos os anos.

A gente realiza e testa os backups e as restaurações de aplicativos, sistemas e configurações associados aos ativos da Atlassian de acordo com os procedimentos operacionais padrão da Atlassian.

Os Contratos de Parceiros Empresariais têm garantias satisfatórias de que seus dados vão ter a proteção adequada por parte da Atlassian e dos fornecedores terceirizados

A Atlassian provê garantias de que suas informações vão ter a proteção adequada e de que elas só vão ser usadas ou divulgadas conforme permitido ou exigido onde quer que a gente crie, receba, mantenha ou transmita informações de saúde protegidas (PHI) em seu nome. Essas garantias são registradas nos Contratos de Parceiro Empresariais firmados com você. A gente também criou um Guia de Implementação que oferece instruções aos clientes sobre como eles devem usar e configurar os serviços da Atlassian para garantir que eles também mantenham as informações devidamente protegidas.

Além disso, a gente garante que os fornecedores terceirizados relevantes vão proteger suas PHI, exigindo que eles firmem Contratos de Parceiro Empresarial com a gente.

Proteger instalações físicas e equipamentos contra adulteração ou roubo

Todos os funcionários e contratados da Atlassian recebem um crachá de segurança na integração para que tenham acesso físico a uma instalação. Após a rescisão e o encerramento de um perfil no Sistema de Informações de Recursos Humanos da Atlassian, o sistema faz a revogação automática do acesso físico.

A Atlassian emite crachás temporários para visitantes em instalações locais. Os visitantes devem devolver os crachás de convidados na saída do prédio. Se os crachás não forem devolvidos, o cancelamento deles é automático.

Implementar proteções físicas para todas as estações de trabalho que acessam ePHI

A gente implementou uma rede ZeroTrust para permitir o acesso apenas de dispositivos conhecidos registrados em uma plataforma de gerenciamento. A Atlassian dividiu os aplicativos que oferece em níveis de segurança, dependendo dos dados que eles armazenam e dos sistemas aos quais se conectam. Essa rede de níveis é a seguinte: Nível alto, Nível médio e Nível aberto. O tipo de dispositivo e a postura de segurança são avaliados para determinar quais aplicativos ele pode acessar.

A gente gerencia criptografia de disco, bloqueio de senha e aplicação de correções de segurança em todos os notebooks macOS e Windows.

Os dispositivos de armazenamento em massa USB foram configurados como apenas leitura em todas as máquinas macOS e Windows emitidas pela Atlassian.

Procedimentos para tratar da disposição final das ePHI e do hardware no qual elas estão armazenadas

Todos os notebooks devolvidos são limpos antes de serem implementados outra vez ou descartados. Um procedimento para a perda/roubo de notebooks também está em vigor para garantir que os dados não sejam roubados.

Manter a documentação por 6 anos a partir da data de sua criação ou a partir da data em que esteve em vigor pela última vez

Todas as políticas da Atlassian são revisadas pelo menos uma vez por ano pelo proprietário designado da política e são retidas por tempo indeterminado. Para ver o resumo das políticas da Atlassian, acesse as Políticas de segurança e tecnologia da Atlassian.

A Política de Privacidade da Atlassian pode ser encontrada aqui.

Medidas de segurança para garantir que as ePHI não sofram alterações não autorizadas

A gente criptografa todos os dados em repouso de produtos de nuvem qualificados pela HIPAA. Além disso, os dados transmitidos por redes públicas são criptografados, e a gente assegura que os dados cheguem ao destino pretendido.

A conexão de usuários externos a produtos de nuvem qualificados pela HIPAA usa tráfego criptografado por meio do protocolo SSL.

Mecanismos para criptografar as ePHI sempre que for considerado apropriado