Close

Evaluaciones de seguridad


Reglas de pruebas de seguridad para Productos Cloud de Atlassian

Los clientes de Atlassian pueden realizar evaluaciones de seguridad de los Productos de Atlassian Cloud (tal y como se definen más adelante) sin aprobación previa. El término “evaluación de seguridad” se refiere a cualquier actividad destinada a determinar, valorar o probar las funciones y controles de seguridad de los productos y servicios de Atlassian (por ejemplo, pruebas de penetración y análisis de vulnerabilidad). Esta página establece las normas (“Reglas de pruebas de seguridad”) aplicables a los clientes que deseen llevar a cabo evaluaciones de seguridad de sus Productos de Atlassian Cloud. La plataforma de Atlassian para proporcionar Productos de Atlassian Cloud (la “Plataforma de Atlassian Cloud”) utiliza una infraestructura compartida para hospedar tus Productos de Cloud y los pertenecientes a otros clientes. Se debe tener cuidado para limitar todas las evaluaciones de seguridad a los Productos de Cloud y las instancias propias con el fin de evitar un impacto no deseado sobre otros clientes.

Todas las evaluaciones de seguridad deben seguir las Reglas de pruebas de seguridad de Atlassian detalladas en esta página. Tu uso de los Productos de Atlassian seguirá estando sujeto a las Condiciones del servicio de Atlassian Cloud o a cualesquiera otros términos y condiciones aplicables del acuerdo o acuerdos (colectivamente, las “Condiciones del servicio”) bajo los que adquiriste los Productos de Cloud relevantes. Cualquier incumplimiento de las Reglas de pruebas de seguridad o de las Condiciones del servicio relevantes puede resultar en la suspensión o la cancelación de tu cuenta y/o en acciones legales contra ti. Eres responsable de cualquier daño causado en la Plataforma de Atlassian Cloud, así como de cualquier impacto negativo en los datos de otros clientes o en su uso de la Plataforma de Atlassian Cloud, que sea resultado de tu incumplimiento de las presentes Reglas de pruebas de seguridad o las Condiciones del servicio.

Productos de Cloud aptos para evaluaciones de seguridad

Los productos que se indican a continuación constituyen “Productos de Cloud” para los propósitos de estas Reglas de las pruebas de seguridad:

  • Jira Software
  • Jira Service Desk
  • Jira Core
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie

 

Reglas de las pruebas de seguridad

Actividades permitidas

  • Las evaluaciones de seguridad solo pueden realizarlas clientes de Atlassian suscritos a los Productos de Cloud que figuran en la lista anterior. En la actualidad, no es posible realizar evaluaciones de seguridad de Jira Align
  • Solo puedes realizar evaluaciones de seguridad de tus propias instancias de los Productos de Cloud y de acuerdo con las políticas de Atlassian sobre evaluaciones de seguridad, lo que incluye las presentes Reglas de las pruebas de seguridad
  • Se permite el uso de herramientas/escáneres automáticos para realizar evaluaciones de seguridad, pero ten en cuenta que nosotros también utilizamos dichas herramientas. El equipo de seguridad del cliente debe revisar y clasificar todos los resultados de un escáner automático antes de enviarlo a Atlassian, y dichos resultados deben ir acompañados por una prueba de concepto funcional y reproducible. No se aceptarán resultados no clasificados de escáneres de seguridad

Actividades prohibidas

  • Análisis o realización de pruebas sobre Productos de Cloud, instancias o activos que no te pertenezcan, incluidos los pertenecientes a cualquier otro cliente de Atlassian
  • , así como acceso a los mismos
  • Acceso deliberado a cualquier información de otros clientes (lo que incluye el acceso a sus credenciales y el uso de las mismas)
  • Ataques no técnicos (lo que incluye, por ejemplo, la ingeniería social, el robo de identidad o phishing y el acceso no autorizado a infraestructuras)
  • Ataques a la seguridad física (lo que incluye, por ejemplo, ataques contra las oficinas, el equipo y los empleados de Atlassian)
  • Realización de pruebas en productos distintos de los indicados
  • Ataques a la infraestructura empresarial de Atlassian
  • Ataques de denegación de servicio (DoS), denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada
  • Desbordamiento de puertos
  • Desbordamiento de protocolos
  • Desbordamiento de solicitudes (desbordamiento de solicitudes de inicio de sesión o de API)
  • Envío de informes no clasificados generados por un escáner de vulnerabilidades o una aplicación de evaluación de seguridad

Notificación de incidencias

Si crees que has descubierto un posible fallo de seguridad relacionado con los Productos de Atlassian Cloud u otro servicio de Atlassian, te comprometes a notificarlo en un plazo de 24 horas siguiendo el procedimiento de Informar de una vulnerabilidad. También puedes enviar tus hallazgos a nuestro Programa de recompensas por errores, pero ten en cuenta que no se aceptarán los resultados de un analizador automático. Una vez enviados tus hallazgos, debes pedirnos permiso antes de hacer pública cualquier incidencia. Los resultados de las evaluaciones de seguridad de Atlassian se consideran información confidencial de Atlassian. Atlassian procesará las solicitudes de divulgación pública por informe. Se rechazarán las solicitudes de divulgación pública de las incidencias que aún no tengan una solución para el cliente.

Condiciones adicionales

Aunque está estrictamente prohibido el acceso intencionado a los datos de otros clientes de Atlassian, si crees que has encontrado información confidencial de clientes (p. ej., credenciales de inicio de sesión, claves de API, etc.) o un modo de obtener acceso a los datos de los clientes (por medio de una vulnerabilidad), debes informar de inmediato al Soporte de Atlassian, sin intentar validar la vulnerabilidad ni acceder en modo alguno a la cuenta o los datos de otros clientes.

Además del derecho de Atlassian a suspender o eliminar tu cuenta si incumples las presentes Reglas de pruebas de seguridad, Atlassian se reserva el derecho a responder ante cualquier actividad en sus redes que parezca maliciosa o que suponga de algún modo una amenaza. Atlassian podría incluir tus IP o intervalo de IP en una lista de prohibición de acceso si recibe un informe de abusos por actividades relacionadas con tus evaluaciones de seguridad. Si te pones en contacto con el Soporte de Atlassian para eliminar dichas restricciones, debes especificar el origen del problema de la actividad descrita y detallar qué medidas has tomado para evitar que el problema indicado en el informe vuelva a ocurrir.

Si deseas notificar a la Seguridad de Atlassian de tu intención de realizar una evaluación de seguridad, también puedes enviar un ticket al Soporte de Atlassian con el siguiente asunto: Intent for Security Assessment (Evaluación de seguridad programada). Incluye la fecha y el intervalo horario de la prueba, las IP o intervalo de IP de origen, los dominios de destino y tu información de contacto. Aunque la notificación previa no es necesaria, nos ayuda a identificar la prueba y evita que emitamos un bloqueo de red que podría anular la evaluación.

Los partners y distribuidores de los Productos de Atlassian Cloud son responsables de la actividad de evaluación de seguridad de sus clientes.