Close

Vertrauenswürdigkeit von Marketplace-Apps

Vertrauen ist eine unerlässliche Komponente in der Beziehung zwischen Atlassian-Kunden und unseren Marketplace-Partnern.

Mengendiagramm

Cloud-Apps sind eine geteilte Verantwortung

Atlassian stellt Informationen, Kontrollen und Funktionen zur Verfügung und erleichtert gleichzeitig die Kommunikation zwischen dir und Marketplace-Partnern.

Marketplace Partner

Marketplace-Partner entwerfen Apps und Betriebsprozesse entsprechend ihren gesetzlichen Verpflichtungen, den Anforderungen von Atlassian und den allgemeinen Best Practices der Branche für zuverlässige, konforme und sichere Apps. Sie bieten zudem Unterstützung und Informationen, damit du fundierte Entscheidungen treffen kannst.

Atlassian

Atlassian stellt Informationen und Funktionen zur Verfügung, um Marketplace-Partnern dabei zu helfen, vertrauenswürdige Apps zu entwickeln und Kunden dabei zu helfen, Apps zu überprüfen und zu verwalten.

DU

Du nutzt die von Atlassian und Marketplace-Partnern bereitgestellten Informationen, um Apps anhand deiner Anforderungen zu überprüfen. Es gilt zu beachten, dass die App-Installation eine neue Beziehung mit einem Marketplace-Partner erfordert, die von deiner Beziehung zu Atlassian getrennt zu betrachten ist.

Unterstützung von Kunden und Partnern bei Atlassian

Unterstützung beim Datenschutz für Marketplace-Partner

Atlassian verfügt über Programme, Tools, Bildungsressourcen und Anforderungen, die Dritten helfen, deine Daten zu schützen, wenn du deine Workflows mit Marketplace-Apps erweiterst.

Falls Partner unsere Anforderungen nicht erfüllen, können wir Maßnahmen ergreifen – beispielsweise, indem wir Badges entfernen, Apps auf dem Marketplace ausblenden, pausieren oder sie zu einer Seite für die öffentliche Transparenz hinzufügen.

Eine Datenschutz- und Sicherheitsbaseline festlegen

Dank unseren Marketplace-Programmen können Marketplace-Partner die höchsten einheitlichen Standards für Anwendungssicherheit und Datenschutz erreichen.

Symbol: Cloud-Sicherheit

Eine Sicherheitsbaseline mit Anforderungen festlegen

Atlassian hat Mindestsicherheitsanforderungen für Cloud-Apps festgelegt, die alle Marketplace-Apps erfüllen müssen. Die Anforderungen sind verbindlich und sorgen dafür, dass alle Apps dieselben Best Practices für Sicherheit einhalten.

Abbildung: Code-Review

Sicherheit durch regelmäßige Scans aufrechterhalten

Die Ecoscanner-Plattform von Atlassian führt regelmäßig Sicherheitsüberprüfungen für alle Marketplace-Cloud-Apps durch, um die Sicherheit unseres Ökosystems zu gewährleisten.

Wenn sich herausstellt, dass eine App eine Sicherheitsanforderung nicht erfüllt, ergreift Atlassian Maßnahmen zum Schutz der Kunden.

Bug-Symbol

Sicherheitsprobleme rechtzeitig beheben

Um die Sicherheit aller Marketplace-Cloud-Apps zu gewährleisten, müssen Marketplace-Partner die SLAs für Bugfixes einhalten. Wenn in einer auf dem Marketplace verfügbaren App ein Sicherheitsrisiko identifiziert oder festgestellt wird, dass eine Sicherheitsanforderung fehlt, müssen Partner zeitnah reagieren.

Logo von Bugcrowd

Sicherheitsrisiko über das optionale Bug-Bounty-Programm schneller erkennen

Atlassian hat ein erstklassiges Bug-Bounty-Programm, um die App-Sicherheit zu verbessern und das Kundenvertrauen zu steigern. Teilnehmende Marketplace-Partner können proaktiv gegen Sicherheitsrisiken vorgehen, bevor diese entstehen, indem sie Sicherheitsforscher für die Ermittlung von Schwachstellen belohnen. Obwohl das Programm in der Regel optional ist, müssen Apps dafür registriert werden, um den Badge "Cloud Fortified" oder "Cloud Security Participant" zu erhalten.

Symbol: Sicherheitsverfahren

Transparenz durch Datenschutzanforderungen gewährleisten

Apps müssen eine Datenschutzrichtlinie bereitstellen, die den Zugriff, die Erfassung und die Verarbeitung von Daten beschreibt und festlegt. Zudem muss sie offenlegen, mit wem und in welchen Ländern Endbenutzerdaten möglicherweise geteilt oder gespeichert werden.

Zusätzlich zu einer Datenschutzrichtlinie verlangt Atlassian von Partnern, dass sie alle erforderlichen Rechte, Genehmigungen und Einwilligungen von Endbenutzern für die Verarbeitung von Endbenutzerdaten einholen.

Administrative Sichtbarkeit und Kontrolle für Kunden

Mithilfe der zentralisierten App-Informationen auf dem Atlassian Marketplace erfährst du alles, was du wissen musst, um Apps auszuwählen, die deinen Anforderungen entsprechen.

Zudem kannst du Kontrollen nutzen, damit nur vertrauenswürdige Apps auf die Daten zugreifen können, die sie benötigen.

Das ist möglich durch:
Häkchensymbol

Zentralisierte App-Verwaltung auf admin.atlassian.com

Häkchensymbol

Kontrollen für die Installation von Endbenutzer-Apps

Häkchensymbol

Kontrollen zur Beschränkung des App-Zugriffs auf ausgewählte Inhalte

Häkchensymbol

Registerkarte "Datenschutz und Sicherheit" auf dem Atlassian Marketplace

Häkchensymbol

Erforderliche Datenschutzrichtlinien für jedes Marketplace-App-Angebot

Arbeitsbereich auf sichere Weise mit Apps optimieren

Zusätzlich zu Vertrauensbadges arbeiten wir ständig mit Partnern zusammen, um dir mehr App-Informationen auf admin.atlassian.com und dem Marketplace zur Verfügung zu stellen. Um vor der Installation mehr über eine App zu erfahren, kannst du folgendermaßen vorgehen:

SCHRITT 1

Navigiere zunächst im App-Angebot zur Registerkarte "Datenschutz und Sicherheit".

Hier findest du normalerweise von Partnern bereitgestellte Informationen darüber, wie eine App unter anderem Daten, Berechtigungen, Compliance-Zertifizierungen, Sicherheitsdetails und Datenschutzinformationen handhabt.

SCHRITT 2

Rufe die Datenschutzrichtlinie der App auf.

Partner müssen in ihrem Marketplace-App-Angebot eine Datenschutzrichtlinie bereitstellen, in der detailliert beschrieben wird, wie die App auf Daten zugreift und sie verwendet. Wenn du die benötigten Informationen nicht über die Registerkarte "Datenschutz und Sicherheit" findest, versuche es mit der Datenschutzrichtlinie oder der Dokumentation.

Schritt 3

Informiere dich auf der Partner-Website.

Manche Partner haben ihre eigenen umfassenden Trust Center, die detaillierte Informationen über das Unternehmen und die App bereitstellen.

Schritt 4

Kontaktiere den Partner direkt.

Im App-Angebot sind Support-Kontakte aufgeführt. Jedoch handelt es sich dabei nicht immer um den richtigen Ansprechpartner für Sicherheitsfragen. Nutze den Sicherheitskontakt, der direkt in der Registerkarte "Datenschutz und Sicherheit" aufgeführt ist, um Zeit zu sparen.

Schritt 5

Melde dich für neue Versionsupdates an.

Alternativ kannst du über die Registerkarte "Verbundene Apps" auf admin.atlassian.com nach Apps suchen, für die ein Update verfügbar ist – so bleibst du bei Änderungen an Apps immer auf dem Laufenden.

Apps finden, bei denen Datenschutz und sichere Workflows Priorität haben

Vielleicht fällt dir auf, dass einige Apps auf dem Atlassian Marketplace den Badge "Cloud Security Participant" oder "Cloud Fortified" aufweisen. Anhand dieser Badges kannst du schnell erkennen, welche Marketplace-Apps über die allgemeinen Atlassian-Standards hinausgehen und eine sichere und zuverlässige Cloud-Erfahrung bieten.

Die Anforderungen für jeden Badge lauten wie folgt:

 

 

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Datenschutz

Datenschutzrichtlinie für Apps

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Sicherheit

Grundlegende Sicherheitsanforderungen für Cloud-Apps

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Überwachung durch die Schwachstellen-Scan-App von Atlassian, Ecoscanner

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Zusätzliche, von Atlassian festgelegte App-Sicherheitsanforderungen und feste Zeitrahmen

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Teilnahme am Bug-Bounty-Programm für Marketplace

All Cloud apps

 

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

Umfasst das Tab "Datenschutz und Sicherheit" mit vollständigen Informationen

Alle Cloud-Apps

(optional)

"Cloud Security Participant"-Apps

(optional)

Cloud Fortified-Apps

Zuverlässigkeit

Zusätzliche Überprüfungen für Service-Zuverlässigkeit und skalierbare Leistung

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified-Apps

Integrierte Vorfalls- und Prüfverfahren für schnellere Fehlerbehebung und kontinuierliche Verbesserung

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified-Apps

Support

Wirtschaftlich angemessene Anstrengungen beim Support

Alle Cloud-Apps

"Cloud Security Participant"-Apps

Cloud Fortified-Apps

SLA mit einer Reaktionszeit von 24 Stunden (5 Tage die Woche) für alle T1-Tickets

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified-Apps

Frequently Asked Questions

What does Atlassian do to ensure the security of Marketplace apps?
  

Atlassian has programs and requirements in place to ensure a baseline of security and privacy across 3rd party Marketplace apps, as well as opt-in programs to encourage additional investment. We also regularly share educational materials to help Marketplace Partners build trustworthy cloud apps.

To maintain the baseline of security and privacy best practices across all 3rd party cloud apps, Atlassian regularly scans all cloud apps listed on the Marketplace. Specific Cloud Security Requirements are enforced via a set of security scanners powered by Atlassian’s EcoScanner platform.

In addition, all Marketpalce Partners must accept and comply with Atlassian Developer Terms, Marketplace Partner Agreement and Security Bug Fix Policy for Marketplace apps, which outline legal and privacy requirements as well as SLAs for security bugs.

Alongside our baseline security requirements, we also issues badges for the Marketplace to apps that have made additional investments in security, reliability and support. These badges identify:

For trust-related information (data protection, security, privacy, compliance) about specific apps, you can also view the answers provided by the app’s vendor in the Privacy & Security tab of their app listing on the Atlassian Marketplace.

Can Marketplace apps access, process or store my data?
  

Most apps need to access data in your instance to perform their core functions.

Before you install an app, we will present a page requesting consent preferences, so that you may elect how data will be accessed, processed, and stored. Admins must consent to the app's request for data access during the installation flow.

Each Marketplace app requires a different set of permissions. These details, along with data handling practices (e.g data residency, processing, storage, retention), can be found in the Privacy & Security tab on the app listing in the Marketplace.

Are there controls to block Marketplace Partners from accessing or extracting customer data?
  

With the app access rule under data security policies, customers can limit app access to certain content in selected projects or spaces. You can create an app access rule to limit an app’s ability to access and modify certain data in a Confluence space or Jira project, particularly user-generated content such as pages, blog posts, attachments, and other content that a user adds to a Confluence space or Jira project. This feature enables org admins to block all apps from spaces and projects, whereas Atlassian Access customers can make a selection and block a subset of installed apps. Learn more about blocking app access.

Atlassian is building more data loss prevention capabilities, such as data classification, to our Cloud offerings. Atlassian Guard is an easy way to defend your data and improve security posture. You can stay up-to-date on the development of these features by following our Cloud roadmap.

Additionally, there are vendors in the Atlassian Marketplace who provide DLP solutions that may meet your needs.

Does Atlassian perform application penetration testing to Marketplace apps?
  

No, Atlassian doesn’t perform penetration testing on Marketplace apps.

However, Atlassian has a Marketplace Security Bug Bounty program designed for apps which is a requirement of Cloud Fortified program or to get a Cloud Security Participant badge.

All Marketplace apps need to meet the cloud security requirements which are checked and enforced via security scanners and bug fix SLAs. Learn more about security scanning.

Do I have to go through a security assessment for each Marketplace app I am using?
  

Yes. Marketplace partners are independent businesses and by installing an app, you are establishing a separate relationship with them.

Atlassian takes some measures to ensure apps listed on Marketplace meet certain standards. See the cloud security requirements for more details on the security standards we require all Marketplace partners to follow, but ultimately Atlassian is not responsible for the products or services offered by Marketplace partners.

It is your responsibility to review apps and agreements provided by third parties.

To make this process easier for you, every cloud app on Marketplace has a “Privacy & Security” section where partners share more details on app security, data protection, privacy and compliance.

You can also have a look at Marketplace Trust programs to see how we showcase apps that have made additional investments in security through Atlassian’s Cloud Security Participant and Cloud Fortified programs. In case of any remaining questions you may contact the individual app vendor.

Ultimately, it is up to you to vet each app before installation and decide whether it meets your requirements.

Trust & Security-Community

Tritt der "Trust & Security"-Gruppe der Atlassian Community bei, um Informationen, Tipps und Best Practices für den sicheren und zuverlässigen Einsatz von Atlassian-Produkten zu erhalten.