Close
¿Quieres ver esta página en tu idioma?
Todos los idiomas
Elige tu idioma
Logotipo de la APRA

GUÍA DE SUBCONTRATACIÓN de las Normas de Prudencia CPS 234 de la APRA

La Autoridad Australiana de Regulación Prudencial ("APRA") ha emitido las Normas de Prudencia CPS 234 de Seguridad de la Información de la APRA ("CPS 234") para garantizar que las entidades reguladas por la APRA, incluidos los fondos de pensiones, los bancos y las compañías de seguros, cumplan con ciertos estándares mínimos para desarrollar y mantener sus capacidades de seguridad de la información. Las CPS 234 exigen que las entidades reguladas por la APRA:

  • definan claramente las funciones y responsabilidades relacionadas con la seguridad de la información;
  • mantengan una capacidad de seguridad de la información acorde con el tamaño y el alcance de las amenazas a sus activos de información;
  • implementen controles para proteger los activos de información y realicen pruebas periódicas y garanticen la eficacia de los controles; y
  • notifiquen rápidamente a la APRA los incidentes importantes de seguridad de la información.

Las CPS 234 también describen ciertas obligaciones de diligencia debida para una entidad regulada por la APRA cuando la entidad subcontrata la gestión de sus activos de información a un tercero. Esta página describe cada una de las obligaciones reglamentarias pertinentes de las CPS 234 y ofrece comentarios para ayudar a las entidades reguladas por la APRA a comprender y evaluar cada requisito de las CPS 234 en el contexto de los productos de Cloud de Atlassian y a garantizar que cumplen con sus obligaciones en virtud de las CPS 234.

 

Marco de referencia

Comentario de Atlassian

1.

Marco de referencia

Capacidad de seguridad de la información

2.

Marco de referencia

15. Una entidad regulada por la APRA debe mantener una capacidad de seguridad de la información proporcional al tamaño y el alcance de las amenazas a sus activos de información que le permita seguir funcionando correctamente

Comentario de Atlassian

Esta es una consideración del cliente. Consulta la fila 3 para obtener información sobre las capacidades de seguridad de Atlassian.

3.

Marco de referencia

16. Cuando los activos de información los gestione una parte relacionada o un tercero, la entidad regulada por la APRA debe evaluar la capacidad de seguridad de la información de esa parte, en función de las posibles consecuencias de un incidente de seguridad de la información que afecte a esos activos.

Comentario de Atlassian

Como proveedor de productos de Cloud para entidades reguladas por la APRA, Atlassian mantiene un sólido programa de seguridad de la información acorde con el tamaño y el alcance de las amenazas a las que nos enfrentamos. Hemos puesto a disposición varios recursos que proporcionan detalles sobre el diseño, la implementación y el funcionamiento de la capacidad de seguridad de la información de Atlassian. En última instancia, son las entidades reguladas por la APRA las que deben utilizar esta información para evaluar si los productos de Atlassian cumplen sus requisitos:

  • Centro de recursos de cumplimiento: un recurso que proporciona información detallada sobre nuestra seguridad, las auditorías de terceros y los certificados, todos ellos disponibles para satisfacer las necesidades de cumplimiento de nuestros clientes
  • Trust Center de Atlassian: un recurso para obtener información sobre cómo Atlassian te pone en contacto con la última información sobre la seguridad, la fiabilidad, la privacidad y la conformidad de nuestros productos y servicios.
  • Página de prácticas de seguridad: un enfoque eficaz de la seguridad comienza por poner nuestra casa en orden. Este recurso proporciona detalles sobre lo que hacemos para conseguirlo:
    • crear una arquitectura de red segura
    • proteger el acceso a nuestras redes a través de ZeroTrust, que simplemente significa" no confiar nunca, verificar siempre"
    • proteger el acceso a nuestros sistemas y servicios
    • proteger los dispositivos terminales
    • crear procesos de diseño y prueba seguros
Los productos y datos de Atlassian se alojan en el proveedor de alojamiento en la nube líder del sector, Amazon Web Services (AWS), y se ejecutan en un entorno de plataforma como servicio (PaaS). Las unidades de datos de los servidores que alojan los archivos adjuntos y datos de los clientes de Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie y Trello utilizan el cifrado de disco completo AES256 estándar del sector para el cifrado de datos en reposo. Los datos almacenados en los productos de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo TLS 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada.

Puedes encontrar una descripción detallada de cómo lo hemos creado en nuestra página de arquitectura de Atlassian Cloud y prácticas operativas. Además, como se indica en nuestro informe técnico sobre responsabilidades de seguridad compartidas de Atlassian Cloud, los clientes pueden revisar nuestro cuestionario STAR de Cloud Security Alliance (CSA), que incluye respuestas a más de 300 preguntas incluidas en el cuestionario de la iniciativa de evaluaciones de consenso (CAIQ). Encontrarás una descripción detallada de cómo detectamos y respondemos a las vulnerabilidades de seguridad en nuestro enfoque para la gestión de vulnerabilidades. Además, seguimos los procesos de gestión de vulnerabilidades descritos en la ISO 27001 y en Cloud Security Alliance (CSA). Al evaluar vulnerabilidades, usamos el sistema común de puntuación de vulnerabilidades, que permite comunicar la gravedad de las vulnerabilidades a nuestros clientes. Entre otros procesos, Atlassian:
  • Incentiva a los investigadores externos a detectar vulnerabilidades en nuestros productos a cambio de premios en efectivo como parte de nuestro programa de recompensas por errores. Como parte de nuestra iniciativa por ser accesibles y transparentes, invitamos a cualquier persona a que visite nuestra página del programa de recompensas por errores, se registre en el programa y nos ponga a prueba.
  • Anima a los clientes a denunciar las vulnerabilidades y su objetivo es corregir las vulnerabilidades de seguridad dentro de los objetivos de nivel de servicio (SLO) pertinentes descritos en nuestra Política de corrección de errores de seguridad.
  • Contrata regularmente a empresas especializadas en asesoramiento sobre seguridad para llevar a cabo pruebas de penetración en nuestros productos e infraestructuras de alto riesgo, y publica cartas de evaluación de nuestros socios de pruebas de penetración en Nuestro enfoque sobre las pruebas de seguridad externas
  • Permite que se lleven a cabo evaluaciones de seguridad (pruebas de penetración, valoraciones de vulnerabilidades) por parte de los clientes, sujetas a determinadas normas diseñadas para garantizar la seguridad de nuestros productos para todos los clientes.
En sus propias cuentas, los clientes son responsables de la gestión de vulnerabilidades. Para ayudar a los clientes a supervisar la seguridad de sus datos, Atlassian ofrece opciones mejoradas y de seguridad de los datos para los productos de Atlassian Cloud a través de Atlassian Access, que permite a las organizaciones añadir funciones de gestión de identidades y accesos (IAM) de nivel empresarial a su consola de administración central. Esto ayuda a evitar el acceso no autorizado al permitir a los clientes personalizar varias políticas de autenticación, obtener una supervisión centralizada y monitorizar el uso para detectar comportamientos sospechosos.

Las entidades reguladas por la APRA pueden utilizar esta información para evaluar nuestras capacidades de seguridad de la información en función de sus activos de información almacenados en los productos y las plataformas de Atlassian.

4.

Marco de referencia

17. Una entidad regulada por la APRA debe mantener activamente su capacidad de seguridad de la información con respecto a los cambios en las vulnerabilidades y las amenazas, incluidos los que se deriven de cambios en los activos de información o en su entorno empresarial.

Comentario de Atlassian

Las entidades reguladas por la APRA pueden utilizar los recursos y la información de la fila 3 para evaluar nuestras capacidades de seguridad de la información en función de sus activos de información almacenados en los productos y las plataformas de Atlassian.

5.

Marco de referencia

Marco de políticas

6.

Marco de referencia

18. Una entidad regulada por la APRA debe mantener un marco de políticas de seguridad de la información acorde con su exposición a vulnerabilidades y amenazas.

Comentario de Atlassian

Esta es una consideración del cliente. Por su parte, Atlassian ha documentado un marco de políticas de seguridad de la información que se ha estructurado para cubrir los dominios incluidos tanto en el estándar ISO27001 como en la matriz de controles en la nube (CCM) de la Cloud Security Alliance (CSA).

Nuestro programa de gestión de políticas (PMP, por sus siglas en inglés) incluye obligaciones relacionadas con la propiedad, la disponibilidad y el ciclo de revisión, y describe nuestros objetivos generales. Nuestras políticas se revisan al menos una vez al año y son aprobadas por la alta dirección. Encontrarás más información sobre nuestro PMP en nuestro Atlassian Trust Management System (ATMS).

También hemos publicado extractos y resúmenes de cada una de nuestras principales políticas de seguridad y tecnología en nuestras políticas de seguridad y tecnología en Atlassian

7.

Marco de referencia

19. El marco de políticas de seguridad de la información de una entidad regulada por la APRA debe proporcionar instrucciones sobre las responsabilidades de todas las partes que tienen la obligación de mantener la seguridad de la información.

Comentario de Atlassian

Nuestra política de seguridad del personal establece los principios y directrices generales de seguridad del personal en Atlassian. Destaca que las responsabilidades en materia de seguridad quedarán delimitadas en las definiciones de los puestos de trabajo. Además, cada política de nuestro conjunto de políticas de seguridad cubre aspectos más detallados de las responsabilidades que se aplican a funciones o equipos laborales concretos.

El documento técnico sobre responsabilidades compartidas para la seguridad en Atlassian Cloud describe las responsabilidades de los clientes y las decisiones que deben tomar para determinar cómo proteger sus datos.

8.

Marco de referencia

Identificación y clasificación de activos de información

9.

Marco de referencia

20. Una entidad regulada por la APRA debe clasificar sus activos de información, incluidos los gestionados por partes relacionadas y terceros, según su grado de gravedad y sensibilidad. Esta clasificación debe reflejar el grado en que un incidente de seguridad de la información que afecte a un activo de información puede afectar, financiera o no financieramente, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes.

Comentario de Atlassian

Como los clientes son responsables de determinar qué productos de Atlassian utilizar y con qué fines, es responsabilidad del cliente determinar qué activos de información gestiona Atlassian y clasificar dichos activos de información. Por su parte, Atlassian gestiona la clasificación de la información de la siguiente manera y tal como se describe en nuestra normativa de clasificación de datos:

  • Los datos deben clasificarse en términos de requisitos legales, valor e importancia para Atlassian.
  • Los datos deben identificarse, etiquetarse y mantenerse actualizados en un mapa de flujo de datos para garantizar que se gestionan de forma adecuada.
  • Los medios que se vayan a desechar deben borrarse de forma segura.
  • Los medios que contengan información de la empresa deben protegerse para que nadie acceda a ellos sin autorización, para que nadie los use indebidamente y para que no se dañen durante el transporte.

10.

Marco de referencia

Implementación de controles

11.

Marco de referencia

21. Una entidad regulada por la APRA debe tener controles de seguridad de la información para proteger sus activos de información, incluidos los gestionados por partes relacionadas y terceros, que se implementen de manera oportuna y que sean proporcionales a: (a) las vulnerabilidades y amenazas a los activos de información; (b) la criticidad y la sensibilidad de los activos de información; (c) la etapa en la que los activos de información se encuentran dentro de su ciclo de vida; y (d) las posibles consecuencias de un incidente de seguridad de la información

Comentario de Atlassian

Nuestras prácticas de seguridad describen el concepto de seguridad de Atlassian. Proporcionamos detalles sobre nuestro enfoque y hacemos lo siguiente:

  • incorporar la seguridad a nuestra arquitectura de red 
  • proteger el acceso a nuestras redes a través de ZeroTrust, que simplemente significa" no confiar nunca, verificar siempre" 
  • proteger el acceso a nuestros sistemas y servicios 
  • proteger los dispositivos terminales
  • proteger nuestros productos
  • proteger los datos

12.

Marco de referencia

22. Cuando los activos de información de una entidad regulada por la APRA los gestione una parte relacionada o un tercero, la entidad regulada por la APRA debe evaluar el diseño de los controles de seguridad de la información de esa parte.

Comentario de Atlassian

Nuestro programa de gestión de vulnerabilidades describe el enfoque de Atlassian para la detección y la gestión de vulnerabilidades de seguridad en nuestros productos, incluidos los controles clave que hemos establecido para proteger la información de nuestros clientes.

También hemos detallado nuestro enfoque para gestionar los incidentes de seguridad en todo nuestro sistema.

En conjunto, estos recursos proporcionan a las entidades reguladas por la APRA información detallada sobre el diseño de nuestros controles de seguridad en las áreas clave, de modo que puedan determinar si sus obligaciones con las CPS 234 se cumplen.

13.

Marco de referencia

Gestión de incidentes

14.

Marco de referencia

23. Una entidad regulada por la APRA debe contar con mecanismos sólidos para detectar y responder a los incidentes de seguridad de la información de manera oportuna.

Comentario de Atlassian

Si bien las obligaciones de las CPS 234 en relación con la gestión de los incidentes de seguridad se imponen a las entidades reguladas por la APRA, Atlassian reconoce que, cuando dicha entidad utiliza los productos de Atlassian con respecto a algunos o todos sus activos de información, el enfoque de Atlassian para la gestión de incidentes de seguridad también es una consideración importante.

Tenemos una política de respuesta ante incidentes de seguridad documentada que incluye los siguientes principios clave:

  • Prever los incidentes de seguridad y prepararse para afrontarlos.
  • Contener los incidentes, erradicarlos y recuperarse de ellos.
  • Invertir en nuestro personal, nuestros procesos y nuestras tecnologías para asegurarnos de que tenemos la capacidad de detectar y analizar un incidente de seguridad en cuanto se produzca.
  • Establecer como máxima prioridad la protección de los datos personales y de los clientes durante los incidentes de seguridad.
  • Probar periódicamente el proceso de respuesta ante incidentes de seguridad.
  • Aprender de la función de gestión de incidentes de seguridad y mejorarla.
  • Comunicar los incidentes de seguridad críticos al equipo de liderazgo de Atlassian.
Según esta política, Atlassian mantiene un plan de respuesta ante incidentes de seguridad. Para garantizar que nuestro proceso de respuesta ante incidentes sea coherente, repetible y eficiente, tenemos un marco interno claramente definido que abarca las medidas que debemos tomar en cada fase del proceso de respuesta ante incidentes. Tenemos manuales de estrategias documentados que se actualizan continuamente y que definen las medidas que debemos tomar para responder ante los diferentes tipos de incidentes. Para obtener más información sobre nuestro proceso de respuesta ante incidentes de seguridad, consulta Nuestro enfoque para la gestión de los incidentes de seguridad y nuestras responsabilidades con respecto a los incidentes de seguridad de Atlassian.

Atlassian tiene un sólido historial de notificación puntual y proactiva de los incidentes de seguridad y de trabajar con nuestros clientes en las mitigaciones necesarias. En nuestra Anexo sobre el tratamiento de datos, nos comprometemos a informar al cliente de cualquier incidente de seguridad sin demoras indebidas y a proporcionar información puntual relacionada con el incidente de seguridad tal como se conozca o según lo soliciten razonablemente los clientes para que puedan cumplir con sus obligaciones de notificación de vulneraciones de datos en virtud de la Ley de Protección de Datos aplicable (tal como se define en la Anexo sobre el tratamiento de datos). En la medida en que los clientes necesiten esta notificación por motivos de cumplimiento, les recomendamos que firmen y envíen el Anexo sobre el tratamiento de datos que se encuentra aquí.

15.

Marco de referencia

24. Una entidad regulada por la APRA debe mantener planes para responder a los incidentes de seguridad de la información que considere que podrían ocurrir de manera plausible (planes de respuesta relacionados con la seguridad de la información).

16.

Marco de referencia

25. Los planes de respuesta relacionados con la seguridad de la información de una entidad regulada por la APRA deben incluir los mecanismos establecidos para (a) gestionar todas las etapas relevantes de un incidente, desde la detección hasta la revisión posterior al incidente; y (b) escalar y denunciar los incidentes de seguridad de la información a la Junta, a otros órganos de gobierno y a las personas responsables de la gestión y supervisión de los incidentes de seguridad de la información, según corresponda.

17.

Marco de referencia

26. Una entidad regulada por la APRA debe revisar y probar anualmente sus planes de respuesta relacionados con la seguridad de la información para garantizar que sigan siendo efectivos y adecuados para su propósito.

18.

Marco de referencia

Pruebas de la eficacia del control y auditoría interna

19.

Marco de referencia

27. Una entidad regulada por la APRA debe poner a prueba la eficacia de sus controles de seguridad de la información mediante un programa de pruebas sistemáticas. La naturaleza y la frecuencia de las pruebas sistemáticas deben ser proporcionales a: (a) la velocidad a la que cambian las vulnerabilidades y las amenazas; (b) la criticidad y la sensibilidad del activo de información; (c) las consecuencias de un incidente de seguridad de la información; (d) los riesgos asociados a la exposición en entornos en los que la entidad regulada por la APRA no puede hacer cumplir sus políticas de seguridad de la información; y (e) la materialidad y la frecuencia de los cambios en los activos de información

Comentario de Atlassian

La eficacia de nuestros controles de seguridad se pone a prueba mediante varias auditorías y verificaciones externas que realizamos. Si bien cada cliente es responsable de probar la eficacia de sus propios controles de seguridad de la información y de aumentar cualquier deficiencia en el control de seguridad que descubra durante su revisión interna, Atlassian proporciona varios recursos con respecto al propio programa de pruebas de Atlassian para ayudar a los clientes a determinar si sus obligaciones con las CPS 234 se cumplen.

Nuestros productos de Cloud se someten regularmente a una verificación independiente de los controles de seguridad, privacidad y conformidad, y obtienen certificados, homologaciones o informes de auditoría de conformidad con estándares de todo el mundo. Proporcionamos a los clientes acceso a estas homologaciones, certificados de cumplimiento e informes de auditorías (como el SOC2 y el ISO2700x) en el Centro de recursos de cumplimiento para que los clientes puedan revisarlos como parte de sus evaluaciones de riesgos. Cada informe de certificación o auditoría correspondiente contiene información adicional sobre la parte certificadora o auditora.

Nuestro centro de recursos de cumplimiento también contiene mapas de control con respecto a los marcos y las leyes para el caso de que no se requieran o apliquen certificados formales.

Atlassian mejora continuamente la idoneidad, la adecuación y la eficacia de su ISMS. El Atlassian Trust Management System (ATMS) se revisa anualmente, tanto internamente como por parte de terceros, por lo que los clientes de Atlassian pueden confiar en la validación de terceros sobre la eficacia del ATMS. El compromiso con la mejora continua se describe internamente en nuestra página de definición del ATMS y sirve para hacer evolucionar el ATMS a lo largo del tiempo y abordar cualquier brecha.

Encontrarás más información y la validación de nuestro enfoque en varios recursos de nuestro Trust Center.

Atlassian realiza auditorías internas y externas de preparación y auditorías externas al menos una vez al año. Los resultados de la auditoría interna no se comparten con los clientes.

20.

Marco de referencia

28. Cuando los activos de información de una entidad regulada por la APRA los gestione una parte relacionada o un tercero y la entidad regulada por la APRA dependa de las pruebas de control de seguridad de la información de esa parte, la entidad regulada por la APRA deberá evaluar si la naturaleza y la frecuencia de las pruebas de los controles con respecto a esos activos de información son acordes a los párrafos 27 (a) a 27 (e) de estas Normas de Prudencia.

21.

Marco de referencia

29. Una entidad regulada por la APRA debe escalar e informar al consejo o a la alta dirección de cualquier resultado de las pruebas que identifique deficiencias en el control de seguridad de la información que no puedan subsanarse a tiempo.

22.

Marco de referencia

30. Una entidad regulada por la APRA debe garantizar que las pruebas las realicen especialistas debidamente cualificados y funcionalmente independientes.

23.

Marco de referencia

31. Una entidad regulada por la APRA debe comprobar la idoneidad del programa de pruebas al menos una vez al año o cuando se produzca un cambio importante en los activos de información o en el entorno empresarial.

24.

Marco de referencia

32. Las actividades de auditoría interna de una entidad regulada por la APRA deben incluir una revisión del diseño y la eficacia operativa de los controles de seguridad de la información, incluidos los mantenidos por partes relacionadas y terceros (garantía del control de seguridad de la información).

25.

Marco de referencia

33. Una entidad regulada por la APRA debe asegurarse de que la garantía del control de seguridad de la información la proporcione personal debidamente cualificado para proporcionar dicha garantía

26.

Marco de referencia

34. La función de auditoría interna de una entidad regulada por la APRA debe evaluar la garantía de control de seguridad de la información proporcionada por una parte relacionada o un tercero cuando: (a) un incidente de seguridad de la información que afecte a los activos de la información pueda afectar sustancialmente, financiera o no financieramente, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes; y (b) la auditoría interna pretenda basarse en las garantías de control de seguridad de la información proporcionadas por la parte relacionada o un tercero.

27.

Marco de referencia

Notificación a APRA

28.

Marco de referencia

35. La entidad regulada por la APRA debe notificar a la APRA lo antes posible y, en cualquier caso, a más tardar hasta 72 horas después de tener conocimiento de un incidente de seguridad de la información que: (a) haya afectado sustancialmente o pueda afectar de manera sustancial, financiera o no financieramente, a la entidad o a los intereses de los depositantes, asegurados, beneficiarios u otros clientes; o (b) haya sido notificado a otros reguladores, de Australia u otras jurisdicciones.

Comentario de Atlassian

Atlassian entiende lo importante que es que se te notifique sin demora de cualquier vulneración de datos. Por eso Atlassian ha creado equipos y procesos amplios y multifuncionales para gestionar los incidentes de seguridad, tal como se describe en nuestra página de gestión de incidentes de seguridad.

Atlassian tiene un sólido historial de notificación puntual y proactiva de los incidentes y de trabajar con nuestros clientes en las mitigaciones necesarias. Atlassian se compromete en su Anexo sobre el tratamiento de datos y otros términos legales a notificar a los clientes los incidentes de seguridad sin demora indebida. En la medida en que los clientes necesiten esta notificación por motivos de cumplimiento, les recomendamos que firmen y envíen el Anexo sobre el tratamiento de datos que se encuentra aquí. Cuando Atlassian haya notificado un incidente al cliente, éste será responsable de determinar si la notificación a la APRA es obligatoria según el párrafo 35 de las CPS 234 y, de ser así, de notificárselo a la APRA en un plazo de 72 horas, a partir del momento en el que el cliente recibe la notificación de Atlassian.

Atlassian cuenta con un programa público de recompensas por errores para los productos gestionado por nuestro partner, Bugcrowd, para ayudar a los clientes a estar al tanto de cualquier vulnerabilidad que pueda afectar a nuestros productos. Las actualizaciones materiales se proporcionan a los clientes a través de Statuspage. Además, si un cliente decide comprar un plan Premium o Enterprise de cualquier producto de Jira Software Cloud, Jira Service Management Cloud o Confluence Cloud, se beneficiará de nuestra garantía de rendimiento mejorado, en la que garantizamos que no reduciremos sustancialmente la funcionalidad ni la seguridad general del producto en la nube durante el periodo de suscripción aplicable. Si recibimos una solicitud de garantía ampliada de rendimiento de un cliente relacionada con la seguridad de un producto en la nube y no podemos corregir la no conformidad, se lo notificaremos al cliente. Una vez que el cliente reciba esta notificación, será responsable de determinar si la notificación a la APRA es obligatoria según el párrafo 36 de las CPS 234 y, de ser así, de notificárselo a la APRA en un plazo de 10 días hábiles a partir del momento en el que el cliente reciba el aviso de Atlassian.

29.

Marco de referencia

36. La entidad regulada por la APRA debe notificar a la APRA lo antes posible y, en cualquier caso, a más tardar en 10 días hábiles, después de tener conocimiento de una debilidad importante en el control de seguridad de la información que la entidad espera no poder subsanar oportunamente.