Close

Avaliações de segurança


Regras da Atlassian para o teste de segurança de produtos Cloud

Os clientes da Atlassian podem realizar avaliações de segurança em seus produtos Atlassian Cloud (conforme definido abaixo) sem autorização prévia. O termo "avaliação de segurança" se refere a qualquer atividade destinada a determinar, avaliar ou testar os recursos e controles de segurança dos produtos e serviços da Atlassian (como, por exemplo, testes de intrusão e varreduras de vulnerabilidade). Esta página estabelece as regras ("Regras para Testes de Segurança") vigentes para clientes que queiram realizar avaliações de segurança em seus produtos Atlassian Cloud. A plataforma da Atlassian para produtos Cloud (a "Plataforma Atlassian Cloud") usa uma infraestrutura compartilhada para hospedar os produtos Cloud que pertencem a você e a outros clientes. É preciso tomar cuidado para limitar todas as avaliações de segurança aos seus produtos e instâncias Cloud e evitar impactos indesejados a outros clientes.

Toda as avaliações de segurança devem seguir as Regras para Teste de Segurança da Atlassian conforme descrito nesta página. O uso dos produtos Cloud vai continuar sujeito aos Termos de Serviço do Atlassian Cloud ou a outros termos e condições pertinentes do(s) acordo(s) (coletivamente, "Termos de Serviço") sob os quais você comprou os produtos Cloud relevantes. Qualquer violação das Regras para Teste de Segurança ou dos Termos de Serviço relevantes pode resultar na suspensão ou no encerramento da sua conta e/ou em uma ação legal contra você. Você é responsável por todo e qualquer dano à Plataforma Atlassian Cloud e por qualquer impacto negativo causado a dados de outros usuários ou ao uso da Plataforma Atlassian Cloud decorrentes de uma violação sua às Regras para Teste de Segurança ou aos Termos de Serviço.

Produtos Cloud disponíveis para avaliações de segurança

Os produtos abaixo constituem os "Produtos Cloud" para os fins destas Regras para Testes de Segurança:

  • Jira Software
  • Jira Service Desk
  • Jira Core
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie

 

Regras para Testes de Segurança

Atividades permitidas

  • As avaliações de segurança só podem ser feitas por clientes da Atlassian que sejam assinantes dos Produtos Cloud válidos listados acima. No momento, as avaliações de seguranças não podem ser feitas no Jira Align
  • Você só pode fazer avaliações de segurança nas suas próprias instâncias dos Produtos Cloud, conforme as políticas da Atlassian relativas a avaliações de segurança, como estas Regras para Testes de Segurança
  • Você pode usar ferramentas/scanners automáticos para fazer avaliações de segurança, mas não esqueça que a gente também usa essas ferramentas. Os resultados de um scanner automático devem ser avaliados e selecionados pela equipe de segurança do cliente antes de serem encaminhados à Atlassian com uma prova de conceito que funcione e seja reproduzível. A Atlassian não aceita resultados de scanners de segurança que não passaram por triagem

Atividades proibidas

  • Escaneamento, teste ou acesso de ativos, instâncias ou Produtos Cloud que não pertençam a você, incluindo aqueles que pertençam a outros clientes da Atlassian
  • Acesso deliberado aos dados de outros clientes (como o acesso ou uso das credenciais de qualquer cliente)
  • Ataques não técnicos (como engenharia social, phishing ou acesso não autorizado à infraestrutura)
  • Ataques de segurança física (como aos escritórios, equipamentos e funcionários da Atlassian)
  • Teste de produtos fora do escopo
  • Uso da infraestrutura corporativa da Atlassian como alvo
  • Recusa de Serviço (DoS), Recusa Distribuída de Serviço (DDoS), DoS simulada e DDoS simulada
  • Saturação de portas
  • Saturação de protocolos
  • Saturação de solicitações (saturação de solicitações de login, saturação de solicitações de API)
  • Envio de relatórios de scanners de vulnerabilidade ou aplicativos de avaliação de segurança que não passaram por triagem

Relato de problemas

Se você achar que descobriu uma possível falha de segurança relacionada aos produtos Atlassian Cloud ou a outro serviço da Atlassian, você concorda em informar a falha dentro de 24 horas seguindo estas instruções: como relatar uma vulnerabilidade. Você também pode enviar suas descobertas para o programa de recompensa por bugs (observe que descobertas por scanner automático não são aceitas). Depois do envio, é necessário pedir permissão à Atlassian antes de divulgar o problema ao público. Os resultados de avaliações de segurança são considerados informações confidenciais da Atlassian. A Atlassian processa solicitações de revelação ao público com base em cada relatório. Solicitações para revelar ao público um problema que ainda não foi resolvido para os clientes são rejeitadas.

Termos adicionais

Embora acessar de propósito os dados de qualquer outro cliente Atlassian seja estritamente proibido, se você achar que encontrou dados sigilosos de outros clientes (por exemplo, credenciais de login, chaves de API, etc.) ou uma forma de acessar esses dados (isto é, por meio de uma vulnerabilidade), relate isso ao Suporte da Atlassian no mesmo instante. Não tente validar a vulnerabilidade ou acessar a conta ou os dados desse cliente.

Além dos direitos da Atlassian de suspender ou encerrar sua conta em caso de violação das Regras para Teste de Segurança, a Atlassian se reserva o direito de responder a quaisquer atividades em nossas redes que pareçam ser mal-intencionadas ou representem uma ameaça. A Atlassian pode fazer uma lista de restrição para seu(s) IP(s) ou faixa de IPs, se a gente receber um relatório de inconformidades em atividades ligadas à sua avaliação de segurança. Caso você entre em contato com o Suporte da Atlassian para remover as restrições, explique a razão da atividade relatada e explique o que fez para evitar que o problema relatado aconteça de novo.

Você também pode notificar a Atlassian Security da sua intenção de fazer uma avaliação de segurança. Para isso, abra um chamado com o Suporte da Atlassian com o assunto "Intenção de avaliação de segurança". Inclua a data e duração do teste, IP(s) ou intervalo de IPs de origem, domínios de destino e informações de contato. Embora a notificação prévia não seja necessária, ela ajuda a identificar o teste e a não bloquear a rede, o que pode anular o teste.

Parceiros e revendedores dos produtos Atlassian Cloud são responsáveis pelas atividades de avaliação de segurança de seus clientes.