ISO/IEC 27001 — as nuvens do Jira e do Confluence receberam a certificação ISO/IEC 27001. Leia mais sobre a estrutura do Programa de Gerenciamento de Segurança e veja o certificado ISO/IEC 27001 na página de Conformidade da Atlassian. 

ISO/IEC 27018 — a gente também recebeu a certificação ISO/IEC 27018 para proteção de informações de identificação pessoal (PII) ou dados pessoais (PD) nos ambientes de nuvem. O certificado ISO/IEC 27018 também pode ser encontrado na página de Conformidade da Atlassian.

Cloud Security Alliance — a gente concluiu a Autoavaliação CAIQ da Matriz de Controle de Nuvem para o Security, Trust and Assurance Registry (STAR) da CSA. 

HIPAA/HITECH — a gente não pode assinar um contrato de Colaborador Comercial para os produtos Cloud. A gente recomenda os produtos Server para empresas que necessitam dessa conformidade. Há mais informações sobre isso na Política de Privacidade.

PCI — a Atlassian usa tokens com processadores de cartão de crédito certificados para PCI DSS. A gente nunca vê nem armazena dados de cartão de crédito. Para usar os produtos em ambientes de PCI, você precisa avaliar os próprios requisitos de conformidade de PCI.

Veja mais na Página de Conformidade da Atlassian e nas perguntas frequentes sobre a Conformidade da Atlassian.

A equipe da Atlassian trabalhou muito para criar uma central de políticas internas dentro do Confluence. Todas as políticas têm formato e estrutura similares, proprietários definidos e ciclos de análise confirmados. Você pode ler toda a ladainha de cada uma das políticas internas de Domínio de Tecnologia.

A Atlassian publicou um artigo descrevendo as responsabilidades que são nossas e as responsabilidades dos clientes. As explicações dos tópicos de segurança específicos que cada um deve gerenciar foram preparadas com os clientes em mente. Leia o artigo.

Os clientes do Atlassian Cloud podem ver como nossa abordagem funciona na Declaração de Segurança da Nuvem e na Política de Privacidade.

A Atlassian criptografa os dados do cliente em trânsito e em repouso.

Todos os dados de clientes armazenados em produtos e serviços de nuvem da Atlassian são criptografados em trânsito em redes públicas usando o Transport Layer Security (TLS) 1.2 ou versão posterior com o Perfect Forward Secrecy (PFS) como proteção contra divulgação ou modificação não autorizada.

As unidades de dados nos servidores que contêm dados e anexos de clientes no Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, OpsGenie e Trello usam a criptografia em repouso de disco inteiro da AES-256, padrão do setor. Dados de clientes no Bitbucket Cloud não são criptografados em repouso por inteiro.

Para saber mais, consulte a página de Práticas de Segurança.

Sim, todos os sistemas do Atlassian Cloud usam apenas o TLS, junto com o PFS, para comunicação. Seguindo normas do setor, o SSL 3 não é mais compatível.

As senhas são criptografadas com hash na nuvem da Atlassian, o que possibilita o gerenciamento do usuário.

A gente tem um amplo programa de segurança que inclui testes contínuos dos sistemas e produtos hospedados, além de avaliações independentes de terceiros sobre os produtos Cloud. A principal estratégia de teste é feita com a recompensa por bugs aberta ao público para todos os produtos de nuvem e de servidor.

Todas as vulnerabilidades identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de recompensa por bugs, e todas as descobertas desse programa vão ser triadas e corrigidas de acordo com o SLA de vulnerabilidade de segurança pública.

A maioria dos relatórios atuais é publicada na página inferior da página de Testes de segurança.

Seguindo os Termos de Uso dos produtos de nuvem, a partir de agora, os testes iniciados por clientes são permitidos. A Atlassian tem o compromisso de ser aberta e vai continuar a publicar estatísticas do programa de recompensas por bugs com frequência. 

A Recompensa por Bugs é um método mais eficiente e econômico para avaliar a segurança dos produtos e serviços, mas, talvez, você queria testar a segurança por conta própria. A gente permite a realização de avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes, contanto que sigam algumas regras para que todos permaneçam seguros. Se quiser comunicar um item que tiver encontrado, veja as instruções sobre como relatar uma vulnerabilidade no site.

A gente agradece qualquer informação sobre vulnerabilidades descobertas, para que sejam corrigidas o mais rápido possível. Dê uma lida nas instruções sobre como relatar vulnerabilidades. Você pode receber um brinde da Atlassian ou ser adicionado ao  Hall da Fama.

Confira a Política de Privacidade mais recente.

Aqui na Atlassian, a gente faz o melhor possível para garantir que os clientes não sofram interrupções ou incidentes de segurança, mas a possibilidade existe. Por isso,  nossas responsabilidades durante um incidente de segurança  foram determinadas, e também aquilo que os clientes devem estar prontos para gerenciar.