Close

Häufig gestellte Fragen zur Compliance


Allgemein

Wie kann ich meinen Due-Diligence-Fragebogen für Anbieter/Lieferantenfragebogen/Sicherheitsfragebogen ausfüllen? Copy link to heading Copied! Mehr anzeigen
  

Benötigst du Unterstützung beim Ausfüllen eines Fragebogens zur Dokumentation von Teilen unserer Atlassian Trust-Programme? Für diesen Fall haben wir einen Ansatz entwickelt, um dir Ressourcen zur Verfügung zu stellen, die du zur Beantwortung der Sicherheits- und Compliance-Fragen zu unseren Atlassian Cloud-Produkten benötigst. Wir haben Sicherheits- und Compliance-Ressourcen auf unserer allgemeinen Seite zu Risikomaßnahmen für Anbieter und in unseren Beiträgen zur Cloud Security Alliance zusammengestellt. Wenn diese Ressourcen deinen Anforderungen nicht genügen, sende eine Anfrage an den Atlassian-Support.

Wurde ein Cloud Security Alliance (CSA) Consensus Assessment Initiative Questionnaire (CAIQ) ausgefüllt? Copy link to heading Copied! Mehr anzeigen
  

Aber natürlich, das solltest du auf jeden Fall tun. Du findest den Beurteilungsbogen auf der Seite mit unserem Eintrag bei der Security, Trust and Assurance Registry (STAR). Wir planen, diese Informationen vierteljährlich zu aktualisieren bzw. immer dann, wenn es tiefgreifende Veränderungen in unserer Umgebung gibt. Wir empfehlen dir, Folgendes zu lesen: STAR-Eintrag von Atlassian.

Auf unserer Seite zu Anbietersicherheit & Risikomaßnahmen findest du weitere bereits zusammengestellte Antworten.

Welche Atlassian-Produkte werden von der Atlassian Cloud-Compliance abgedeckt? Copy link to heading Copied! Mehr anzeigen
  

Abhängig von der Einführung oder in einigen Fällen von der Anschaffung variieren die Produkte je nach Compliance-Programm. Die jeweils aktuellen Produkte und das dazugehörige Compliance-Programm sind auf der Compliance-Seite von Atlassian angegeben.

Pflegt Atlassian Beziehungen zu Unterauftragsverarbeitern? Copy link to heading Copied! Mehr anzeigen
  

Atlassian kann Unterauftragsverarbeiter einsetzen, wie auf unserer Seite für Unterauftragsverarbeiter dokumentiert, um bestimmte Aktivitäten für unsere Kunden oder unsere Produkte oder bestimmte Hosting- und Verwaltungsaktivitäten im Rechenzentrum durchzuführen. Auf dieser Seite können Kunden auch einen RSS-Feed abonnieren, um bei Änderungen oder Aktualisierungen an der Liste der Unterauftragsverarbeiter benachrichtigt zu werden.

An welchen Standorten befinden sich die Rechenzentren? Copy link to heading Copied! Mehr anzeigen
  

Atlassian verwaltet keines seiner eigenen Rechenzentren. Der gesamte Rechenzentrumsbetrieb ist ausgelagert. In erster Linie nutzen wir AWS als Partner für das Hosting und Management von Rechenzentren. Die regionalen Bereitstellungen variieren je nach Produkt. Weitere Informationen zu Kontrollmaßnahmen in AWS-Rechenzentren findest du auf der Website zu den Kontrollen für die AWS-Rechenzentren.

Für Jira und Confluence Cloud: Zu den AWS-Regionen zählen USA Ost, USA West, Irland, Frankfurt, Singapur und Sydney.

Für Halp: Zu den AWS-Regionen zählen USA Ost und USA West.

Für Opsgenie: Kunden müssen sich für AWS US (USA West in Oregon und Kalifornien und USA Ost in Ohio) oder EU (Frankfurt und Irland) entscheiden.

Für Statuspage: Zu den AWS-Regionen zählen USA Ost und USA West.

Für Trello: Die AWS-Region ist USA Ost.

Für Jira Align: Zu den AWS-Regionen zählen USA Ost (Ohio), Europa (Frankfurt) und Australien (Sydney).

Bitbucket wird von NTT in Kalifornien und Virginia gehostet. Weitere Informationen zum Hosting durch NTT findest du auf der Seite zu NTT-Rechenzentren.

Compliance-Berichte

Sind Atlassian Cloud-Produkte gemäß ISO 27001 zertifiziert? Copy link to heading Copied! Mehr anzeigen
  

Die Produkte, für die wir eine Zertifizierung gemäß ISO 27001 bzw. ISO 27018 vorweisen können, variieren abhängig von der Einführung oder in einigen Fällen von der Anschaffung. Die jeweils aktuellen Produkte und das dazugehörige Compliance-Programm sind auf der Compliance-Seite von Atlassian angegeben.

Wie lange ist das PCI-Zertifikat von Atlassian gültig? Copy link to heading Copied! Mehr anzeigen
  

Was die PCI-Compliance angeht, erhalten wir in der Regel im September eine aktualisierte Zertifizierung. Das Zertifikat ist jeweils ein Jahr lang gültig. Unser aktuelles Zertifikat vom 30. September 2021 ist ein Jahr lang gültig. Unsere PCI-Zertifizierung bezieht sich nur darauf, wie Atlassian Kreditkartendaten für Zahlungen verarbeitet. Wir geben keine Zusicherung für Kreditkartendaten, die unsere Kunden in unseren Produkten speichern. Wenn dies dein Anwendungsfall ist, solltest du unseren SOC2-Bericht lesen, um zu ermitteln, ob die Kontrollmaßnahmen für deine Zwecke ausreichend sind.

Wie lange ist der SOC2-Bericht von Atlassian gültig? Copy link to heading Copied! Mehr anzeigen
  

Bei SOC2-Typ-2-Audits handelt es sich um eine Überprüfung der Leistung von Kontrollmaßnahmen über einen bestimmten Zeitraum. Nach Ablauf des Audit-Zeitraums wird der Bericht erstellt und den Kunden zur Verfügung gestellt. Atlassian veröffentlicht SOC2-Berichte für einen Zeitraum von 12 Monaten (1. Oktober bis 30. September). Die Berichte gelten für die folgenden 12 Monate, in denen wir auch die nächsten Audits durchführen.

Es gibt viele Faktoren, die sich auf die Veröffentlichung neuer Berichte auswirken, aber unsere externen Audits finden meist im November statt. Die aktualisierten Berichte stehen in der Regel spätestens Ende Dezember zur Verfügung. Außerdem veröffentlichen wir im Januar/Februar jedes Jahres einen Bridge Letter für drei Monate, der den Abdeckungszeitraum bis Ende Januar verlängert.

Alle SOC2-Berichte (und der Bridge Letter) stehen im Compliance Resource Center zum Download bereit.

Wo kann ich einen Bridge Letter anfordern? Copy link to heading Copied! Mehr anzeigen
  

Basierend auf der ganzjährigen Berichterstattung von Atlassian gemäß unseren SOC2-Berichtszyklen können wir einen Bridge Letter (auch als Gap Letter bezeichnet) bereitstellen. Dieses Dokument kann unter derselben durchklickbaren Vertraulichkeitsvereinbarung heruntergeladen werden wie der SOC2-Bericht: Compliance Resource Center – SOC2.

Compliance-Programme

Sind Atlassian Cloud-Produkte HIPAA-zertifiziert? Copy link to heading Copied! Mehr anzeigen
  

Jira Software Cloud Enterprise und Confluence Cloud Enterprise sind HIPAA-konform. Weitere Informationen erhältst du auf dieser Seite.

Wir arbeiten auch an der Compliance für Jira Service Management. Informationen zum Status dieses Projekts findest du in unserer Cloud-Roadmap.

Wie fordere ich bei Atlassian einen DSGVO-konformen Zusatz zum Datenschutz an? Copy link to heading Copied! Mehr anzeigen
  

Wir haben unseren Zusatz zum Datenschutz (Data Processing Addendum, DPA) vorab unterschrieben und bereitgestellt. Dieser Zusatz trägt dazu bei, die Anforderungen an die Weiterleitung gemäß DSGVO zu erfüllen. Sieh dir unseren Zusatz zum Datenschutz an oder lies unsere FAQs zu Datenschutz und DSGVO.

Framework der Kontrollmaßnahmen

Wird Atlassian Informationen zu seinen internen Kontrollen herausgeben? Copy link to heading Copied! Mehr anzeigen
  

Wir haben viel Arbeit in die Entwicklung unseres Atlassian Control Framework (ACF) gesteckt, das Kontrollmaßnahmen aus externen behördlichen Auflagen mit Branchenstandards kombiniert. Wir nutzen dieses Framework, um Kontrollmaßnahmen intern zu implementieren, und beauftragen externe Unternehmen damit, die Implementierung und Umsetzung unserer Kontrollmaßnahmen zu bewerten und zu bestätigen. Den Status aller unserer Zertifizierungen oder Berichte kannst du auf der Compliance-Seite von Atlassian einsehen.