Close

Nossas políticas de segurança e tecnologia da Atlassian

A Atlassian estabeleceu um programa de gerenciamento de segurança da informação (ISMP) descrevendo os princípios e as regras básicas de como mantemos a confiança e a segurança. Cada passo é tomado sempre avaliando os riscos às nossas operações e melhorando a segurança, confidencialidade, integridade e disponibilidade de nosso ambiente da Atlassian. Revisamos e atualizamos as políticas de segurança com frequência, realizamos testes de aplicativo e de rede de nosso ambiente e monitoramos a conformidade com as políticas de segurança.

A seguir, você vai encontrar uma lista e uma breve descrição de nossas principais políticas de Segurança e Tecnologia que a Atlassian estabeleceu para os ambientes internos e de nuvem.

Política, risco e governança

Esta política define os princípios gerais e as diretrizes para gerenciar a Segurança na Atlassian.

Os princípios básicos da nossa Política de Segurança incluem:

  • gerenciamento do acesso às informações da empresa e do cliente com base nas necessidades de negócios e de acordo com os nossos valores da Atlassian
  • execução de um conjunto de controles para gerenciar a implementação de segurança de acordo com essa política
  • revisão frequente dos riscos e da eficácia dos controles com objetivo de gerenciar esses riscos

Gerenciamento de acesso

Esta política define os princípios gerais e as diretrizes para o gerenciamento de acesso.

Os princípios básicos incluem:

A Atlassian vai manter uma política de controle de acesso definindo como gerenciar o acesso aos sistemas;

  • uso de contas e senhas de usuário para gerenciar o acesso
  • responsabilidade, por parte dos usuários, de gerenciar o acesso aos seus sistemas
  • registro e monitoramento dos sistemas verificação de acesso inadequado
  • gerenciamento do acesso remoto pela autenticação de múltiplos fatores

Gerenciamento de ativos

Esta política define os princípios gerais e as diretrizes para o gerenciamento dos ativos de TI da Atlassian e como eles devem ser tratados.

Os princípios básicos do gerenciamento de ativos na Atlassian incluem:

  • manutenção do inventário de ativos
  • banco de dados de gerenciamento mantidos por proprietários identificados
  • uso aceitável dos ativos identificado, documentado e implementado
  • devolução dos ativos à Atlassian, se o contrato for encerrado

Continuidade de negócios e recuperação de desastres

Esta política define os princípios gerais que estabelecem nossa abordagem quanto à resiliência, disponibilidade e continuidade dos processos, sistemas e serviços na Atlassian. Ela define os requisitos referentes aos processos de continuidade de negócios, recuperação de desastres e gerenciamento de crise.

Os princípios básicos incluem:

  • proprietários de serviço, processo ou sistema crítico para a missão devem garantir que a Continuidade de Negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre.
  • planos de continuidade no ambiente "last stand" adequado, fornecendo funcionalidade central (pelo menos) e um plano para falha para tal ambiente. Bem como, planos de retomada normal dos negócios.
  • bloqueio da implantação em produção de qualquer sistema, processo ou função crítico sem o plano de continuidade apropriado.
  • testes trimestrais dos planos e identificação e tratamento dos problemas.
  • tempo máximo para recuperação (RTO) no momento da detecção do evento até a operação da funcionalidade central. E também, agrupamento dos serviços em níveis que definem o RTO e o RPO máximos.

Segurança de comunicações

Esta política define os princípios gerais e as diretrizes para gerenciar a segurança de nossas comunicações e redes.

Os princípios básicos incluem:

  • controle do acesso à rede
  • acesso à rede e conhecimento sobre Política global de comunicações e sistemas eletrônicos
  • divisão das redes com base na importância

Cripto e criptografia

Esta política estabelece os princípios gerais para garantir que a Atlassian implemente a criptografia adequada a fim de assegurar a confidencialidade de dados cruciais. A Atlassian implementa mecanismos criptográficos para minimizar os riscos envolvidos em armazenar e transmitir informações confidenciais pelas redes, incluindo aquelas que são acessíveis ao público (como a Internet).

A Atlassian vai garantir que:

  • os dados confidenciais sejam criptografados da forma adequada
  • a força da criptografia selecionada corresponda à classificação das informações
  • as chaves criptográficas sejam gerenciadas com segurança
  • apenas algoritmos criptográficos aprovados sejam usados

Gerenciamento do ciclo de vida da informação e segurança de dados

A Política de Classificação de Segurança de Dados estabelece os requisitos gerais sobre como processar os dados do cliente. Exemplos de como lidar com diferentes tipos de dados podem ser encontrados abaixo. Embora um de nossos valores corporativos seja Ser uma empresa aberta, sem papo-furado, todos os funcionários ainda devem considerar como processar dados internos, bem como de clientes.

Todos os funcionários são responsáveis por garantir que as nossas informações recebam o nível adequado de proteção, cumprindo com esta Política de Classificação de Informações:

  • As informações devem ser classificadas em termos de requisitos legais, valor e importância para Atlassian
  • As informações devem ser classificadas para garantir o processamento adequado
  • O gerenciamento deve ser feito em todas as mídias removíveis com as mesmas diretrizes de processamento apresentadas a seguir
  • A mídia que estiver sendo descartada deve ser excluída com segurança
  • A mídia contendo informações da empresa deve ser protegida contra acesso não autorizado, uso indevido ou danos durante o transporte

Móvel e traga seu próprio dispositivo (BYOD)

Esta política estabelece os princípios gerais e as diretrizes para o uso de dispositivos pessoais com as redes e os ambientes da Atlassian.

A Atlassian vai garantir que:

  • esta política sobre Trazer seu próprio dispositivo (BYOD) tem como objetivo ser menos invasiva e mais flexível possível quanto ao uso de BYOD para manter a autonomia da equipe da Atlassian, ao mesmo tempo garantindo a proteção de dados corporativos e dos clientes.
  • o foco principal vai estar na verificação do comportamento/configuração e no monitoramento da conformidade dos dispositivos, com os princípios menos restritivos que garantam o cumprimento razoável dos objetivos de segurança necessários, em vez da aplicação de restrições. Quando as restrições forem necessárias, elas vão ser seletivas, dependendo dos dados que podem ser acessados.
  • esta política abrange nossas necessidades atuais e previstas para o futuro. Para alguns dos recursos descritos, a implementação imediata pode não ser possível.

Operações

Esta política estabelece os princípios gerais e as diretrizes para práticas operacionais de tecnologia na Atlassian.

Os princípios básicos incluem:

  • documentação dos procedimentos da Atlassian para as atividades operacionais
  • backups realizados com frequência e testados
  • mudanças gerenciadas e avaliadas por diversas pessoas
  • capacitação avaliada e planejada
  • instalação de software limitada e restrição dos softwares desnecessários
  • configuração e direcionamento dos registros à plataforma centralizada de registros
  • gerenciamento de incidentes operacionais de acordo com os nossos processos padrão de incidentes

Segurança dos funcionários

Esta política estabelece nossas considerações de segurança para a proteção de humanos.

Aqui na Atlassian, a gente vai garantir que:

  • as responsabilidades de segurança sejam descritas nas definições do trabalho
  • todos funcionários e usuários participem com frequência de treinamentos de conscientização sobre segurança
  • todos funcionários e contratados tenha o dever de relatar incidentes ou falhas de segurança
  • no desligamento do funcionário, deve ocorrer a devolução de ativos e acessos em um prazo razoável

Segurança física e ambiental

Esta política de segurança estabelece os princípios gerais e as diretrizes para proteger nossos prédios, escritórios e equipamentos.

Os princípios básicos da segurança física e do ambiente incluem:

  • fornecimento de áreas seguras de trabalho
  • proteção aos nossos equipamentos de TI onde quer que estejam
  • restrição aos nossos prédios e escritórios ao pessoal adequado

Privacidade

Esta política estabelece os princípios gerais para gerenciar a privacidade de dados relacionada ao cliente.

Os princípios básicos da privacidade de dados incluem:

  • gerenciamento de controles sobre a coleta de dados do cliente
  • revisão de dados do cliente apenas para fins de suporte
  • reprodução dos dados do cliente para fins de backup ou suporte

Gerenciamento de incidentes de segurança

Esta política estabelece os princípios gerais e as diretrizes para garantir que a Atlassian lide de modo adequado a qualquer incidente de segurança real ou suspeito. A Atlassian é responsável por monitorar incidentes que ocorram dentro da organização e que possam representar violação de confidencialidade, integridade ou disponibilidade de informações ou sistemas de informações. Todos os incidentes suspeitos devem ser relatados e avaliados.

A equipe de segurança da Atlassian vai:

  • Antecipar os incidentes de segurança e preparar os planos de resposta adequados
  • conter, erradicar e se recuperar de um incidente
  • Investir em pessoas, processos e tecnologias para garantir a capacidade de detectar e analisar um incidente, quando ele ocorrer
  • proteger os dados do cliente como prioridade máxima ao responder a um incidente.
  • aprender e melhorar a função de gerenciamento de incidentes de segurança

Gerenciamento de dados de terceiros e de fornecedores

Esta política estabelece os princípios gerais e as diretrizes para selecionar, engajar e supervisionar o acesso do fornecedor a dados da Atlassian.

A Atlassian vai garantir que:

  • vai ser responsável por gerenciar o processo de seleção dos nossos fornecedores
  • o proprietário de negócios que estiver solicitando o relacionamento com o fornecedor vai ser responsável por usar os contratos padrão da Atlassian
  • vai supervisionar o relacionamento para garantir que ele atenda aos padrões da Atlassian
  • a rescisão do contrato com qualquer fornecedor seja feita quando o serviço não for mais necessário

Aquisição, desenvolvimento e manutenção de sistemas

Esta política estabelece os princípios gerais e as diretrizes para o desenvolvimento de aplicativos internos e externos, além de criar limitações ao gerenciamento do ambiente de pré-produção e à incorporação de software livre a qualquer um de nossos produtos.

Os princípios básicos incluem:

  • requisitos de segurança integrados e incorporados a qualquer ambiente ou aquisição ou desenvolvimento de aplicativo;
  • desenvolvimento de produtos seguindo o processo interno de garantia de qualidade, que inclui a integração das verificações de segurança;
  • dados da produção anonimizados ou mascarados quando usados nos ambientes de pré-produção; e
  • integração de quaisquer estruturas de código aberto ou bibliotecas seguindo as nossas diretrizes internas

Gerenciamento de ameaças e vulnerabilidades

Esta política define os princípios gerais e as diretrizes para gerenciar ameaças à segurança e vulnerabilidades tanto em nosso ambiente quanto em nossos produtos.

A Atlassian vai garantir que:

  • a gente gerencie as vulnerabilidades de segurança nos nossos produtos e serviços, incluindo a emissão de atualizações, correções ou alertas
  • a gente gerencie as ameaças à segurança e as vulnerabilidades em todo o nosso ambiente, nos ambientes internos e hospedados
  • a gente gerencie a ameaça de malware no ambiente

Gerenciamento de auditoria e conformidade

Esta política define os princípios gerais e as diretrizes para gerenciar o programa de auditoria e conformidade para validar a implementação da Estrutura de controles da Atlassian.

A Atlassian vai garantir que:

  • a gente implemente as operações focadas na tecnologia, controles de segurança e privacidade para garantir que eles cumpram com as políticas internas relevantes, os regulamentos e as normas externas do setor;
  • as auditorias sejam coordenadas e fornecidas conforme o adequado para conseguir um alto nível de confiança no nosso ambiente de controle, além de obter certificação interna ou externa;
  • a gente busque validação externa da implementação dos nossos controles operacionais, de segurança, de privacidade, entre outros;
  • a empresa mantenha uma visão consolidada de todos os seus objetivos de controle relevantes, atividades e testes (Atlassian Controls Framework - ACF)