Prácticas de seguridad

Creemos que todos los equipos tienen potencial para hacer cosas asombrosas. Nuestra misión es dar rienda suelta a ese potencial en los equipos de distintos tamaños y en los distintos sectores y, a su vez, fomentar el avance de la humanidad con el poder del software. 

Sabemos que tu misión es tan importante para ti como la nuestra lo es para nosotros, y la información está en el núcleo de todos nuestros negocios y nuestras vidas. Esta es la razón por la cual la confianza del cliente es el centro de lo que hacemos y la seguridad es nuestra principal prioridad. Somos transparentes en cuanto a nuestro programa de seguridad para que puedas sentirte informado y seguro cuando utilices nuestros productos y servicios.

Obtén más información sobre nuestro enfoque sobre la seguridad y sobre cómo los clientes pueden jugar un papel importante en él.

La información de esta página se aplica a los productos de Atlassian Cloud Jira, Confluence y Bitbucket a menos que se indique lo contrario.

Qué hacemos

Nuestro Atlassian Trust Management System (ATMS) tiene en cuenta todos los requisitos de seguridad de los clientes y logra una serie de requisitos e iniciativas exclusivas para nosotros y nuestro entorno. Los detalles de nuestras iniciativas los encontrarás en el Trust Center de Atlassian, donde puedes descargar o solicitar nuestros informes de certificación de los estándares ISO 27001 y SOC 2, así como revisar nuestro cuestionario de CSA STAR y los detalles sobre nuestro Atlassian Trust Management System (ATMS).

Generamos seguridad

No consideramos la seguridad como algo a lo que debemos aspirar, sino como un proceso constante. Nos esforzamos continuamente por mejorar el desarrollo de nuestro software y los procesos operativos internos, con el objetivo de aumentar la seguridad de nuestro software y nuestros servicios. El método seguro debería ser el método fácil y, por eso, la seguridad está integrada en nuestros productos y nuestra infraestructura. Estos son algunos de los métodos con los que proporcionamos seguridad como parte de nuestra forma de trabajar, día a día.

Arquitectura

La seguridad es lo primero a la hora de diseñar nuestras aplicaciones, redes y procesos empresariales

La arquitectura de seguridad de Atlassian Cloud está diseñada teniendo en cuenta un amplio abanico de marcos de trabajo y estándares del sector, y en conjunción con nuestro proceso interno de modelado de amenazas. Además, está pensada para equilibrar la necesidad de flexibilidad con la necesidad de controles eficaces que garanticen la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. 

Aplicaciones

Seguridad en el desarrollo de aplicaciones, seguridad de datos y gestión del ciclo de vida de la información

Seguridad

Criptografía y cifrado, gestión de amenazas y vulnerabilidades, gestión de incidentes de seguridad

Infraestructura

Gestión de activos, control de acceso, operaciones, seguridad de las comunicaciones

Centro de datos y oficinas

Seguridad física y ambiental

Corporate

Gobernanza de la seguridad, organización de la seguridad, seguridad del personal, gestión de datos de proveedores y terceros, seguridad móvil, continuidad empresarial, auditoría/conformidad, privacidad

Los controles de seguridad que orientan nuestra arquitectura están diseñados para alinearse con distintos estándares y, debido a las coincidencias entre estos estándares, hemos creado nuestro propio marco de controles. Este marco proporciona una sola lista de cosas en las que centrarse y hace referencia a los distintos estándares que cumplimos, como se muestra en la Tabla 1.

Standard Patrocinador Controles Dominios

ISO 27001

Organización Internacional de Normalización

26 requisitos

6 cláusulas

ISO 27002

Organización Internacional de Normalización

114 requisitos

14 dominios

PCI-DSS

Sectores de tarjetas de pago

247 requisitos

6 dominios

CSA CCM

Cloud Security Alliance

133 controles

16 dominios

SOC2

Service Organisation Controls

116 requisitos

5 principios

SOX 404 (IT)

Ley federal de los Estados Unidos

22 requisitos

5 dominios

GAPP

AICPA

106 requisitos

10 dominios

Si quieres saber los detalles, lee más sobre nuestro marco de controles comunes.

 

red

Nuestra estrategia consiste en aplicar capas para el acceso a las redes con controles en cada nivel de la pila

Implementamos controles en cada capa de la pila; para ello, dividimos nuestra infraestructura por zonas, entornos y servicios.

Las restricciones de zona incluyen la limitación del tráfico de red en la oficina, el centro de datos y las plataformas. La separación de entornos limita la conectividad de producción y de desarrollo. Los servicios deben estar autorizados explícitamente para comunicarse con otros servicios a través de una lista de aceptación de autenticación.

Controlamos el acceso a nuestras redes sensibles utilizando un enrutamiento de nube privada virtual, reglas de cortafuegos y trabajo en red definido por software. Toda la conectividad se cifra de forma predeterminada.

La conectividad del personal requiere certificados de dispositivo, autenticación de varios factores y uso de proxies para el acceso a redes sensibles. El acceso a los datos de los clientes requiere una revisión y una aprobación explícitas.

También hemos implementado detección de intrusiones y sistemas de prevención en nuestras redes de producción y de oficina para identificar posibles incidencias de seguridad.

Aplicación

El modelado de amenazas se usa para garantizar que diseñamos controles adecuados para las amenazas a las que nos enfrentamos

Durante la fase de planificación y diseño de los productos, utilizamos el modelado de amenazas para conocer los riesgos de seguridad específicos que se asocian a un producto o función. En general, el modelado de amenazas es un intercambio de ideas entre ingenieros, ingenieros de seguridad, arquitectos y gestores de productos de una aplicación o servicio. Las amenazas se identifican y priorizan, y esa información se utiliza en los controles del proceso de diseño, además de ayudar en la revisión y las pruebas específicas en fases posteriores del desarrollo.

Utilizamos Microsoft Threat Modeling Tool y el marco de Modelo de amenazas STRIDE.  STRIDE es el acrónimo de un conjunto común de problemas de seguridad: Spoofing, Tampering, Reputation, Information Disclosure, Denial of Service y Elevation of Privilege (falsificación, manipulación, reputación, divulgación de información, denegación de servicio y elevación de privilegios).

Utilizamos el modelado de amenazas en fases tempranas y de forma habitual, y podemos garantizar que la configuración y los controles de seguridad relevantes están diseñados para mitigar las amenazas específicas de cada producto o función que desarrollamos. 

Fiabilidad

La importancia de nuestros productos variará para cada cliente. Por las conversaciones con nuestros clientes, sabemos que productos como Jira y Confluence a menudo terminan siendo parte de procesos empresariales clave. Para el funcionamiento de nuestra empresa empleamos nuestros propios productos, así que comprendemos la importancia de la fiabilidad y la capacidad de recuperación.

Disponibilidad y redundancia en toda la plataforma

Operamos en centros de datos de diversos puntos geográficos

Alojamos todas nuestras aplicaciones de Cloud con nuestros partners de alojamiento en la nube, AWS y NTT. Sus centros de datos se han diseñado y optimizado para alojar aplicaciones, tienen varios niveles de redundancia integrados y se ejecutan en un nodo de hardware de front-end independiente en el que se almacenan los datos de las aplicaciones.

Nos preocupamos por que nuestros datos y servicios tengan una alta disponibilidad. Nos centramos en la resiliencia de los productos a través de estándares y prácticas que nos permiten minimizar los tiempos de inactividad. Nuestras prácticas de resiliencia  se basan en SOC 2, ISO 27002 e ISO 22301.

Jira, Confluence, Statuspage, Trello, Opsgenie y Jira Align se alojan en el principal proveedor de alojamiento en la nube, Amazon Web Services (AWS), lo que produce un rendimiento óptimo con opciones de redundancia y conmutación por error en todo el mundo. Mantenemos varias regiones y zonas de disponibilidad tanto en el este como el oeste de EE. UU., en la Unión Europea y en Asia-Pacífico.

Nuestro partner de alojamiento de Bitbucket Data Center es NTT, que cuenta con las certificaciones SOC 2 e ISO 27001 sobre seguridad y disponibilidad, y que también nos garantiza el nivel de control que necesitamos y exigimos para aspectos como la seguridad física, el acceso base de red e IP, el aprovisionamiento de clientes y la gestión de problemas.

Para obtener más información acerca de cómo utilizamos distintos centros de datos y zonas de disponibilidad para tener una alta disponibilidad, consulta nuestras páginas de gestión de datos del cliente y de infraestructura de alojamiento en la nube.

Copias de seguridad

Contamos con un amplio programa de copias de seguridad

Los datos de las aplicaciones se guardan en un espacio de almacenamiento resiliente que se replica en los centros de datos. Además de la resiliencia en toda la plataforma, también contamos con un amplio programa de copia de seguridad para nuestras soluciones de Atlassian Cloud. No obstante, la restauración y recuperación de estas copias solo se proporcionan en nuestra propia plataforma de Atlassian Cloud. 

Las copias de seguridad de la base de datos de aplicaciones para Atlassian Cloud se realizan con las siguientes frecuencias: se realizan copias de seguridad diarias automatizadas y se conservan 30 días, con posibilidad de recuperación puntual. Todos los datos de copia de seguridad e instantáneas están cifrados. Los datos de copia de seguridad no se almacenan fuera de las instalaciones, sino que se replican en varios centros de datos de una región AWS determinada. Realizamos pruebas trimestrales de nuestras copias de seguridad. Para obtener más información, consulta nuestra página Infraestructura. Para obtener más información acerca de cómo hemos implementado un programa de copia de seguridad sólido, consulta nuestra página Gestión de datos del cliente.

Continuidad empresarial y recuperación ante desastres

Contamos con completos planes probados de continuidad empresarial y recuperación ante desastres

Estamos decididos a no #@!% a nuestros clientes y nos esforzamos por mantener potentes funciones de continuidad empresarial y recuperación ante desastres para garantizar que, en caso de que se produzca una interrupción en nuestras operaciones, el efecto en nuestros clientes sea mínimo.

Nuestro programa de recuperación ante desastres consta de unas prácticas clave para garantizar los niveles adecuados de control, supervisión y prueba:

  1. Control. La participación de la dirección es clave en cómo llevamos a cabo nuestro programa de recuperación ante desastres.  Con la dirección implicada, tenemos en cuenta los impulsos empresariales y técnicos en nuestra estrategia de resiliencia.
  2. Supervisión y mantenimiento. Adoptamos un enfoque disciplinado de control, riesgo y conformidad a la hora de supervisar y gestionar nuestro programa de recuperación ante desastres. Este nos permite operar con mayor eficacia en las actividades clave de supervisión, medición, generación de informes y corrección de nuestro programa de recuperación ante desastres. Los ingenieros de fiabilidad del sitio están comprometidos con las reuniones continuas de recuperación ante desastres y representan sus servicios críticos. Debaten con el equipo de riesgo y conformidad sobre las lagunas detectadas en la recuperación ante desastres y se centran en los niveles adecuados de corrección si es necesario.
  3. Pruebas. Llevamos a cabo pruebas con frecuencia y nos esforzamos para ofrecer mejoras constantes como parte de nuestro ciclo de vida de recuperación ante desastres para garantizar que tus datos y que el uso que haces de ellos presenten una disponibilidad y un rendimiento elevados.
    1. Evaluamos los niveles de resiliencia en todas las zonas de disponibilidad de AWS para poder gestionar cualquier fallo en dichas zonas con el tiempo de inactividad mínimo.
    2. Llevamos las copias de seguridad de nuestros datos a todos los centros de datos regionales de AWS. En caso de un incidente catastrófico, si una región no está disponible, protegemos tus datos en una región secundaria. 
    3. Evaluamos los fallos en las regiones de AWS. Sabemos que la probabilidad de que haya un fallo que afecte a toda una región es muy remota. Sin embargo, seguimos evaluando nuestra capacidad de tolerancia de fallos en los servicios y desarrollando nuestra resiliencia regional.
    4. Los procedimientos de copia de seguridad y restauración están implementados y se evalúan con frecuencia. Esto significa que, cuando se deben restaurar los datos, estamos preparados para ponerte en marcha con un personal de soporte cualificado y con procedimientos totalmente probados.

Además de garantizar la resistencia mediante el control, la supervisión y la realización de pruebas, Atlassian enfatiza la mejora continua a través del programa de recuperación ante desastres. Para obtener más información acerca de nuestras pruebas de recuperación ante desastres y nuestro programa de continuidad empresarial, consulta nuestra página Gestión de datos del cliente.

Publicamos el estado de disponibilidad del servicio en tiempo real para garantizar que puedas acceder a tus datos siempre que lo desees. 

Seguridad de los productos

Uno de los retos del sector es proporcionar productos seguros mientras se mantiene la rapidez de comercialización adecuada. Nuestro objetivo es conseguir el equilibrio adecuado entre velocidad y seguridad, después de todo, lo ejecutamos casi todo en nuestro propio software en Atlassian. Implementamos diversos controles de seguridad para mantener seguros nuestros datos y productos.

Cifrado y gestión de claves

Cifrado de datos en tránsito

Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador.

Cifrado de datos en reposo

Las unidades de datos de los servidores que alojan los archivos adjuntos y datos de los clientes de Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, Opsgenie y Trello utilizan el cifrado de disco completo AES-256 estándar del sector para el cifrado de datos en reposo. En la actualidad, Bitbucket no ofrece cifrado en reposo para los repositorios.

Para el cifrado de datos en reposo, ciframos específicamente los datos de cliente que se almacenan en un disco, como los datos de incidencias de Jira (detalles, comentarios, archivos adjuntos) o los datos de página de Confluence (contenido de página, comentarios, archivos adjuntos). El cifrado de datos en reposo ayuda a evitar el acceso no autorizado y garantiza que solo puedan acceder a los datos las funciones y servicios autorizados con acceso controlado a las claves de cifrado.

Gestión de claves de cifrado

Atlassian utiliza el Servicio de gestión de claves de AWS (KMS) para gestionar las claves. AWS inspecciona y gestiona de forma periódica e interna el proceso de cifrado, descifrado y gestión de claves como parte de sus procesos de validación interna. A cada clave se le asigna un propietario que será responsable de asegurar el nivel adecuado de controles de seguridad.

Aislamiento de inquilinos

El aislamiento de inquilinos garantiza que, aunque los clientes compartan una misma infraestructura de TI, se encuentren segregados por software, de modo que las acciones de un inquilino no puedan poner en riesgo los datos o servicios de otro.

El enfoque de Atlassian con respecto al aislamiento de inquilinos varía de una aplicación a otra y con el tiempo iremos compartiendo las diferencias. Para Jira y Confluence Cloud, que han evolucionado con los años hasta convertirse en aplicaciones SaaS completas de múltiples inquilinos, Atlassian emplea el concepto "Contexto de inquilino", implementado en el código de cada aplicación y gestionado por lo que denominamos el “Servicio de contexto de inquilino” (TCS, por sus siglas en inglés). Dicho concepto garantiza que, en este entorno compartido:

  • los datos de los clientes se conservan separados de forma lógica de otros inquilinos cuando están en reposo; y
  • cualquier solicitud procesada por Jira o Confluence cuenta con una vista de "inquilino específico" para que no afecte a otros inquilinos.

El TCS es independiente de Jira y de Confluence, pero resulta fundamental para el funcionamiento de ambos. En términos muy amplios, opera almacenando un "contexto" para cada uno de los inquilinos clientes. Este contexto incluye diversos metadatos asociados con el inquilino (como las bases de datos en las que está incluido, qué licencias posee, a qué funciones puede acceder y otra información de configuración) y credenciales cifradas exclusivas. El contexto de cada inquilino se asocia con un ID exclusivo que el TCS almacena de forma centralizada.

Cuando un cliente accede a Jira o Confluence Cloud, el TCS emplea el ID de inquilino para cotejar esos metadatos y, a continuación, los vincula a cualesquiera operaciones que el inquilino realice en la aplicación durante la sesión. Es importante señalar que el contexto que el TCS proporciona actúa en la práctica como una "lente" a través de la cual se produce cualquier interacción con los datos del cliente, y que esta lente siempre está confinada a un inquilino específico. Así se garantiza que un inquilino cliente no acceda a los datos de otro y que un inquilino no pueda afectar con sus acciones al servicio de otro.

Obtén más información sobre la arquitectura de Atlassian Cloud.

Pruebas de seguridad de productos

Contamos con programas internos y externos de pruebas de seguridad con nuestro programa de recompensas por errores

Nuestro enfoque para gestionar las vulnerabilidades de los productos es realizar pruebas de seguridad internas y externas. Las incidencias se dan a conocer a través de nuestro gestor de errores público.

Pruebas internas

Este enfoque abarca fases de planificación, desarrollo y pruebas. Cada prueba se basa en el trabajo anterior y se van endureciendo de manera progresiva. Contamos con un enfoque establecido para analizar código estático y dinámico en las fases de desarrollo y pruebas. En la fase de desarrollo, nos centramos en insertar análisis de código para eliminar cualquier incidencia de seguridad no funcional, funcional y fácilmente identificable.

En la fase de pruebas, nuestro equipo de desarrollo y el de ingeniería de seguridad cambian a un enfoque conflictivo para tratar de romper las funciones mediante técnicas de prueba manuales y automatizadas.

Nuestro equipo de ingeniería de seguridad ha desarrollado una amplia gama de herramientas de prueba de seguridad para automatizar tareas comunes y poner herramientas especializadas a disposición de los equipos de productos. Estas herramientas son beneficiosas para el equipo de seguridad y capacitan a los desarrolladores para "autoservirse" análisis de seguridad y tomar posesión del resultado. Nuestro equipo de ingeniería de seguridad está formado por expertos en la materia, pero, en última instancia, cada desarrollador de la empresa es responsable de su propio código.

Pruebas externas

Cuando una publicación pasa a producción, se realizan pruebas externas. Este enfoque se desarrolla en torno al concepto de "control permanente"; en lugar de tratarse de una prueba de penetración puntual, disponemos de un modelo siempre activo de pruebas continuas que usa un programa de recompensas por errores público basado en la colaboración de forma abierta.

Cuando uno de nuestros usuarios identifica una vulnerabilidad durante el uso estándar del producto, agradecemos su notificación y respondemos rápidamente a las vulnerabilidades enviadas (como se describe en el informe de detalles de vulnerabilidad). Mantenemos informado al remitente mientras investigamos y respondemos a la incidencia.

Los asesores especializados en seguridad se encargan de realizar pruebas de penetración en productos e infraestructuras de alto riesgo, como una nueva arquitectura de infraestructura (por ejemplo, nuestro entorno de Cloud), un producto nuevo o una nueva arquitectura fundamental (por ejemplo, el uso extensivo de microservicios).

Nuestro enfoque hacia las pruebas de penetración es altamente específico y cuenta con un objetivo claro. Por lo general, las pruebas serán las siguientes:

Caja blanca:  los evaluadores reciben documentación de diseño e informes de nuestros ingenieros de productos que respaldan sus pruebas.
Asistidas con código: los evaluadores tienen acceso completo a la base de código correspondiente para ayudar a diagnosticar cualquier comportamiento inesperado del sistema durante la prueba e identificar los posibles objetivos.
Basadas en las amenazas: las pruebas se centran en un escenario de amenaza concreto, como asumir que existe una instancia comprometida y probar el movimiento lateral desde ese punto de partida.

No ponemos estos informes o extractos a disposición de consumidores externos debido a la amplia información disponible para los evaluadores al realizar estas evaluaciones. La mayoría de estos sistemas y productos se incluirán posteriormente en nuestro programa público de recompensas por errores, proporcionando de este modo el control externo continuo adicional que buscan nuestros clientes. Para obtener más información sobre cómo validamos las pruebas de seguridad de los productos, consulta nuestra página Enfoque sobre las pruebas de seguridad externas.

Gestión de vulnerabilidades de productos

Adoptamos enfoques innovadores a la hora de compilar software de calidad

Nos salimos del ámbito tradicional del control de calidad para garantizar la introducción rápida y segura de nuevas funciones adoptando la noción de Asistencia de calidad*. Nos centramos en inculcar una mentalidad de "todo el equipo" en la calidad cambiando el papel del control de calidad al de facilitador en lugar de a la persona que hace el trabajo real de control de calidad. También trabajamos activamente para capacitar y formar a los desarrolladores para que prueben sus propias funciones según nuestros estándares de calidad.

Aunque nos esforzamos de forma continua por reducir el número de vulnerabilidades en nuestros productos, reconocemos que, en cierta medida, son parte inevitable del proceso de desarrollo. A través de nuestra colaboración mediante el programa de recompensas por errores, buscamos aumentar el coste que supone buscar y aprovechar vulnerabilidades en el tiempo, lo que hará que deje de ser atractivo para los "malos" invertir cada vez más tiempo y recursos en encontrar vulnerabilidades adicionales. Para obtener más información acerca de cómo validamos la gestión de vulnerabilidades de productos, consulta nuestra página Enfoque sobre las pruebas de seguridad externas.

* Nota: El término "Asistencia de calidad" fue inicialmente acuñado por Cem Kaner; si quieres obtener más información sobre él y sobre nuestro proceso de calidad global, lee nuestra serie de entradas de blog sobre control de calidad.

Prácticas operativas

La seguridad de nuestros productos es una prioridad, pero también comprendemos la importancia que tiene ser conscientes de la forma en que llevamos a cabo nuestras operaciones diarias internas. El concepto de “generar seguridad” es la misma filosofía que utilizamos con nuestros procesos internos e influye en la manera en que dirigimos la empresa.

Acceso a los datos de los clientes

El acceso a los datos de los clientes almacenados en las aplicaciones está restringido según la necesidad de acceso

En nuestra plataforma SaaS, tratamos todos los datos de los clientes con la misma confidencialidad y hemos implementado estrictos controles que rigen su uso. Durante el proceso de incorporación/introducción, proporcionamos formación sobre concienciación a nuestros empleados internos y externos que abarca las prácticas recomendadas para gestionar los datos de los clientes y su importancia.  

En Atlassian, solo los empleados autorizados de Atlassian tienen acceso a los datos de los clientes almacenados en nuestras aplicaciones. La autenticación se realiza a través de claves públicas protegidas por frases de contraseña y los servidores solo aceptan conexiones SSH entrantes de Atlassian y ubicaciones de centros de datos internas.

El acceso no autorizado o inapropiado a los datos de los clientes se trata como un incidente de seguridad y se gestiona a través de nuestro proceso de gestión de incidentes. Este proceso incluye instrucciones para avisar a los clientes afectados si se observa una infracción de una política.

El acceso físico a nuestros centros de datos, donde se alojan los datos de los clientes, se limita al personal autorizado y se verifica mediante mediciones biométricas. Las medidas de seguridad físicas para nuestros centros de datos incluyen guardias de seguridad en las instalaciones, vigilancia mediante vídeo de circuito cerrado, sistemas de doble puerta de seguridad y medidas adicionales de protección frente a intrusiones.

En nuestra Política de privacidad se incluye una  política más amplia que rige el acceso a los datos y metadatos de los clientes.

Acceso del soporte

Nuestros equipos de soporte solo acceden a los datos de los clientes cuando sea necesario para resolver un ticket abierto

Nuestro equipo de soporte global tiene acceso a nuestros sistemas y aplicaciones basados en la nube para facilitar los procesos de mantenimiento y soporte. Solo se puede acceder a las aplicaciones y datos alojados para supervisar su estado y realizar mantenimiento de los sistemas y aplicaciones, y cuando lo solicite el cliente a través de nuestro sistema de soporte.

Formación y concienciación

Nuestro programa de formación en seguridad y concienciación no solo consiste en marcar casillas de cumplimiento, sino que ofrece un significativo aumento del conocimiento en la empresa

El programa de concienciación se basa en la premisa de que la seguridad es responsabilidad de todos. Estas responsabilidades se extraen de nuestro Programa de políticas de seguridad interno, y el programa de formación y concienciación se utiliza como medio principal para comunicar estas responsabilidades al personal.

A los candidatos y contratistas se les pide que firmen un acuerdo de confidencialidad antes de empezar a trabajar con nosotros y, posteriormente, durante el proceso de incorporación, se les imparten cursos de concienciación sobre seguridad.

Continuando con el tema de la "mejora continua", transmitimos mensajes de seguridad a través de correos electrónicos para toda la empresa, así como a través de entradas de blog. Dichos mensajes suelen ser relevantes para el momento en cuestión (por ejemplo, una amenaza recién descubierta y publicitada) y resaltan la importancia de seguir buenas prácticas de seguridad.

Campeones de la seguridad

Sabemos que fuera del equipo de seguridad hay grandes pensadores sobre seguridad y queremos utilizar su entusiasmo y sus conocimientos

Aparte de nuestro programa de concienciación, también hemos organizado un programa de "Campeones de la seguridad".  La idea del programa es inculcar el concepto de seguridad en todos los equipos de Atlassian para integrar la seguridad. También queremos que la seguridad sea más accesible, y una de las formas de hacerlo es formar a las personas de la organización y proporcionarles conocimientos básicos de seguridad, ya sean operativos o de desarrollo. Se trata de captar a expertos con pasión y habilidades en seguridad para introducirlos en el equipo a tiempo parcial y que asesoren al resto de la empresa.

Gestión de los cambios

Hemos adoptado una gestión de cambios de estilo abierto

Los procesos de gestión de cambios tradicionales se basan en una jerarquía de tipo piramidal. Cuando alguien quiere realizar un cambio, debe presentarlo a una comisión que lo aprobará o rechazará. Seguimos un método que llamamos "Revisión por compañeros, compilación correcta". Cada cambio, ya sea en el código o en la infraestructura, deben revisarlo uno o más compañeros para que identifiquen las incidencias que puede causar. Aumentamos el número de revisiones según la importancia del cambio o del producto. Confiamos en nuestros ingenieros y equipos de desarrollo para que identifiquen incidencias de seguridad y rendimiento, y para que marquen el cambio como problemático antes de dar el visto bueno a su implementación. Además, utilizamos nuestra propia herramienta de integración continua, Bamboo, para identificar si alguno de los cambios, una vez integrado en la rama principal, creará incidencias; para ello, empleamos pruebas de integración, unidad, funcionamiento o seguridad. Si no se identifican incidencias en las fases de compilación y prueba, Bamboo mostrará un punto verde e identificará el proceso de compilación como correcto. En caso de incidencias, Bamboo mostrará un punto rojo y la fusión se volverá a evaluar para identificar los cambios que las provocan. Nuestro control "Revisión por compañeros, compilación correcta" ayuda a identificar los miles de cambios que realizamos cada semana.

Contratación

Nos esforzamos por contratar a los mejores

Como cualquier empresa, queremos atraer y contratar a los mejores para que trabajen con nosotros. Durante nuestras reuniones generales semanales a nivel global, solemos dar la bienvenida a las nuevas incorporaciones y los animamos a realizar "el mejor trabajo de su vida" y a "buscar los mejores cambios para Atlassian". Queremos que su talento mejore nuestra empresa cada día y cada semana. Durante la selección, realizamos comprobaciones laborales, financieras, de visado y de antecedentes. Tras aceptar la oferta, nos aseguramos de que cada persona siga un plan de incorporación de 90 días y acceda a una formación continua según su puesto. 

Procedimiento de salida de clientes

Si un contrato entre Atlassian y un cliente que utiliza nuestros productos de Cloud termina, los datos del cliente se eliminarán de nuestro entorno de Cloud según los plazos que se indican a continuación.

Algunos de los casos en los que se puede terminar el contrato del cliente son:

  • Pagos no satisfechos: cuando un cliente actual no efectúa un pago para la suscripción de un producto (ya sea mensual o anual);
  • Cancelación de la suscripción: cuando un cliente actual cancela su suscripción;
  • Fin del periodo de evaluación: cuando un cliente que evalúa uno de nuestros productos durante un periodo de prueba decide no seguir con una suscripción de pago.

Pagos no satisfechos

Cuando un cliente no efectúa un pago o este no puede realizarse, se anula la suscripción del cliente a todos los productos 15 días después de la fecha de vencimiento del pago. Cuando esto ocurre, sus datos se conservan en una copia de seguridad fría durante 60 días, tras lo cual se eliminan. El cliente puede evitar la eliminación de los datos satisfaciendo cualquier pago pendiente dentro del plazo de 15 días. No es posible recuperar los datos pasado este límite, aunque se realice el pago.

Cancelación de la suscripción

Si un cliente termina su suscripción de forma intencionada, sus datos se eliminan 60 días después del fin del periodo de suscripción actual (en el caso de los sitios de pago).

En el caso de Jira, si un cliente anula su suscripción a un producto de Jira (p. ej., Jira Software), pero conserva otro (p. ej., Jira Service Desk), sus datos de Jira se conservarán. Aquí se incluyen las evaluaciones; si el periodo de evaluación de un producto de Jira termina, pero el cliente tiene otros productos de Jira en su suscripción, sus datos de Jira se conservan. Sin embargo, si anula su suscripción a todos los productos de Jira, sus datos de Jira se eliminarán inmediatamente.

Del mismo modo, si un cliente elimina Confluence de su suscripción a productos Atlassian se eliminarán de inmediato sus datos de Confluence y se retirará el acceso a Confluence a todos los usuarios.

Fin del periodo de evaluación

Cuando el periodo de evaluación de un cliente concluye y este decide no continuar con una suscripción de pago, sus datos se eliminan pasados 15 días (en el caso de los sitios de evaluación)

Una vez que se eliminan los datos de un cliente en cualquiera de las situaciones anteriores, no es posible recuperarlos.

Destrucción de datos

Tus datos se eliminarán pasados 15 días (en el caso de los sitios de evaluación) o 60 días (en el caso de los sitios de suscripción de pago) de la anulación de una suscripción a un producto Atlassian por falta de pago o cancelación de la misma.

¿Qué sucede si no efectúo un pago o cancelo una suscripción a un producto determinado?

Si no pagas la suscripción a un producto Atlassian, se anulará tu suscripción a todos los productos 15 días después de la fecha de vencimiento del pago, en cuyo momento los usuarios ya no podrán acceder al producto.

Cancelar tu suscripción a un producto Atlassian evitará que se procesen renovaciones futuras del sitio. Tu sitio seguirá estando accesible hasta 15 días después del final del periodo de suscripción actual, momento en el que se desactivará. 

Retención de datos

Tu sitio se desactivará 15 días después del fin del periodo de suscripción actual. Atlassian retiene los datos de los sitios desactivados durante 15 días (para los sitios de evaluación) o 60 días (para los sitios de suscripción de pago) tras la finalización del periodo de la suscripción actual. 

Las evaluaciones de productos individuales en una suscripción anual a productos Atlassian duran 30 días. Si no recibimos el pago, se anulará tu suscripción a los productos de Jira y Confluence 17 días después de la fecha de vencimiento del pago, momento en el que los usuarios perderán el acceso a Jira y Confluence.

Los datos de Confluence se eliminarán 15 días después de anularse la suscripción del producto. Si termina una evaluación a un producto de Jira (p. ej., Jira Service Desk), pero aún tienes en tu suscripción anual otros productos de Jira (p. ej., Jira Software), tus datos de Jira no se eliminarán. Los datos de Jira solo se eliminarán si anulas la suscripción a todos los productos de Jira. 

Una vez eliminados tus datos, no es posible recuperarlos. Se recomienda encarecidamente crear una copia de seguridad del sitio de Confluence o Jira, como se indica a continuación.

¿Cómo debo preparar mis datos para trasladarlos a otro sitio?

Procesos de seguridad

Admitimos que siempre hay margen para el error. Queremos ser proactivos a la hora de detectar incidencias de seguridad, lo que nos permite identificar problemas lo antes posible para minimizar el daño.

Gestión de incidentes de seguridad

Siempre habrá incidentes, pero nuestra velocidad y eficacia a la hora de responder mantendrán su impacto lo más bajo posible

El equipo de seguridad de Atlassian combina registros de distintas fuentes de la infraestructura de alojamiento y utiliza una plataforma SIEM para supervisar y marcar cualquier actividad sospechosa. Nuestros procesos internos definen cómo se evalúan, se investigan y se escalan adecuadamente estas alertas. Animamos a nuestros clientes y a la comunidad en general a notificar los incidentes de seguridad sospechosos a través del soporte de Atlassian.  

En caso de un incidente de seguridad grave, Atlassian recurrirá a su capacidad interna, así como a expertos externos, para investigar el asunto y gestionarlo hasta su cierre. La base de datos de nuestros incidentes de seguridad se cataloga según el marco de trabajo de VERIS.

Obtén más información acerca de nuestro proceso de gestión de incidentes de seguridad y nuestras responsabilidades compartidas durante un incidente de seguridad.

Gestión de vulnerabilidades

Contamos con un amplio programa de gestión de vulnerabilidades para garantizar que buscamos activamente las debilidades que puede haber en nuestro entorno

Aparte de las prácticas de gestión de vulnerabilidades específicas de nuestros productos (de las que hemos hablado antes), nuestro equipo de seguridad lleva a cabo continuos análisis de vulnerabilidad de red para la estructura interna y externa mediante un analizador de vulnerabilidad líder del sector. Encontrarás más información sobre este proceso en nuestras preguntas frecuentes sobre Trust.

También usamos firmas especializadas en asesoramiento sobre seguridad para completar pruebas de penetración en productos e infraestructuras de alto riesgo. Puede tratarse, por ejemplo, de una nueva infraestructura creada para nosotros (p. ej., nuestro entorno de Cloud), un nuevo producto (p.ej. Stride) o una nueva arquitectura fundamental (p. ej., el amplio uso de los microservicios). 

Se realizan procesos internos para revisar y notificar vulnerabilidades y actuar sobre ellas. Este proceso incluye SLA predefinidos para solucionar vulnerabilidades según el nivel de gravedad de CVSS. Obtén más información acerca de nuestra Política de solución de errores de seguridad.

Para obtener más información acerca de nuestras pruebas de seguridad, consulta: Nuestro enfoque sobre las pruebas de seguridad externas.

Para obtener más información acerca de nuestro programa de gestión de vulnerabilidades, consulta: Gestión de vulnerabilidades de Atlassian.

Programa de recompensas por errores

Nuestro programa de recompensas por errores garantiza que nuestros sistemas se prueben de forma constante

La base de nuestro enfoque de la gestión de errores de seguridad es el programa de recompensas por errores, que garantiza que los productos se prueben de forma constante para buscar vulnerabilidades de seguridad. En un entorno de desarrollo realmente ágil con publicaciones frecuentes, las pruebas continuas son una necesidad. Creemos que los numerosos investigadores de seguridad independientes que participan en nuestro programa de recompensas por errores proporcionan el proceso de pruebas de seguridad externas más efectivo y la mejor manera de lograrlo.

Más de 25 de nuestros productos o entornos, que se extienden a través de nuestros productos de Server, aplicaciones móviles y productos de Cloud, están dentro del alcance de nuestro programa de recompensas por errores, con más de 500 evaluadores registrados.  El programa de recompensas por errores incluye detalles del número de vulnerabilidades notificadas, el tiempo medio de respuesta y el pago medio por recompensa.  

Para obtener más información acerca de nuestras pruebas de seguridad, consulta: Nuestro enfoque sobre las pruebas de seguridad externas.

Descarga de los informes de pruebas actuales

Cualquier vulnerabilidad de seguridad identificada en estos informes se supervisa mediante nuestro Jira interno, ya que llegan mediante el proceso de entrada del programa de recompensas por errores y se cierran en función de los cronogramas de SLA descritos en nuestra Política de solución de errores de seguridad.

 

Conformidad

Ejecutamos nuestro programa de seguridad cumpliendo diversos estándares conocidos del sector. Apreciamos el valor de estas certificaciones, ya que proporcionan una garantía independiente a los clientes sobre nuestro trabajo. Obtén más información acerca de nuestro Programa de gestión de seguridad.

SOC 2, ISO 27001, PCI DSS y CSA STAR son los estándares con cuyas certificaciones contamos actualmente. Encontrarás más detalles sobre estos programas en nuestra página Conformidad.

Standard

Patrocinador

Estado

ISO 27001

Organización Internacional de Normalización

Atlassian ha obtenido la acreditación ISO 27001 por el alcance de las operaciones descritas en nuestro certificado de acreditación. En resumen, nuestro equipo de seguridad cuenta actualmente con la certificación por sus funciones de proyectos, inteligencia e ingeniería de seguridad. El alcance de la acreditación se está ampliando actualmente por toda la organización.

ISO/IEC 27001 también utiliza los completos controles de seguridad detallados en la ISO/IEC 27002. La base de esta certificación es el desarrollo e implementación de un riguroso programa de gestión de seguridad, incluidos el desarrollo y la implementación de un sistema de gestión de seguridad de la información (ISMS). Este estándar de seguridad internacional, de reconocimiento y renombre mundiales, especifica que las empresas que obtienen la certificación también:

  • Evalúan sistemáticamente nuestros riesgos de seguridad de la información, de forma que tienen en cuenta el impacto de las vulnerabilidades y amenazas de seguridad
  • Diseñan e implementan una serie completa de controles de seguridad de la información para tratar los riesgos de seguridad
  • Implementan un proceso general de gestión de conformidad y auditoría para garantizar que los controles cumplen nuestras necesidades continuamente

Consulta el certificado ISO/IEC 27001 de Atlassian.

ISO 27018

Organización Internacional de Normalización

Actualmente, Atlassian está ampliando sus controles de seguridad y privacidad en toda la empresa para cumplir los requisitos del ISO 27018 como parte de su programa de conformidad con el RGPD.

ISO/IEC 27018 es un código de práctica que se centra en la protección de datos personales en la nube. Se basa en el estándar de seguridad de la información ISO/IEC 27002 y ofrece ayuda adicional sobre la implementación de los controles de ISO/IEC 27002 aplicables a la Información Personal (PII) de la nube pública. Asimismo, ofrece una serie de controles adicionales y asesoramiento asociado concebidos para cumplir los requisitos de protección de PII de la nube pública que la serie de controles de ISO/IEC 27002 no cumple.

Consulta el certificado ISO/IEC 27018 de Atlassian.

PCI-DSS

Sectores de tarjetas de pago

Atlassian es una empresa comerciante conforme con el estándar PCI DSS por recibir compras relacionadas con nuestros productos. Sin embargo, los productos de Atlassian no están concebidos para procesar ni almacenar datos de tarjetas de crédito para nuestros clientes.

No tienes que preocuparte de nada si pagas productos o servicios de Atlassian con tarjeta de crédito: nos encargamos de prestar la atención adecuada para garantizar la seguridad de esa transacción. Somos una empresa comerciante de nivel 2 y colaboramos con un asesor de seguridad cualificado (QSA) que evalúa nuestra conformidad con el PCI DSS. Actualmente, cumplimos los requisitos de PCI DSS v3.2 y SAQ A.

Consulta o descarga nuestras Atestaciones de Conformidad (AoC) de PCI:

CSA CCM/STAR

Cloud Security Alliance

Hay un cuestionario de CSA STAR de nivel 1 para Atlassian disponible para su descarga en el sitio web STAR Registry de Cloud Security Alliance.

CSA Security, Trust & Assurance Registry (STAR) es un registro gratuito y de acceso público que documenta los controles de seguridad proporcionados por diversas ofertas de informática en la nube, de modo que permiten a los clientes evaluar la seguridad de los proveedores de nube que usan actualmente o los que piensan contratar. Atlassian es una empresa inscrita a CSA STAR y miembro corporativo de Cloud Security Alliance (CSA) que ha realizado el cuestionario CAIQ (Consensus Assessments Initiative Questionnaire) de Cloud Security Alliance (CSA). La versión más reciente del CAIQ, junto con Cloud Controls Matrix (CCM) v.3.0.1 de CSA, responde a más de 300 preguntas que pueden querer formular clientes de la nube o auditores de seguridad en la nube sobre un proveedor de servicios en la nube.

Consulta las entradas del CIAQ de Atlassian en el registro de CSA STAR.

SOC 2/SOC 3 

Service Organisation Controls

Los informes del Control de Organización de Servicios (SOC) de Atlassian están certificados por un tercero y demuestran cómo Atlassian consigue controles y objetivos claves de conformidad. El objetivo de estos informes es que tú y tus auditores conozcáis los controles establecidos de cara a las operaciones y la conformidad en Atlassian. 

Atlassian ha obtenido certificados SOC 2 para muchos de nuestros productos. Descarga aquí los certificados SOC 2 y SOC 3 de Atlassian.

También realizamos, al menos una vez al año, amplias auditorías de seguridad mediante empresas de reconocido prestigio.

Los resultados de estos programas de auditoría y certificación, junto con los resultados de nuestros procesos internos, como la gestión de vulnerabilidades, se incluyen en un ciclo de mejora continua que nos ayuda a seguir perfeccionando el programa global de seguridad. 

Conformidad con el RGPD

Nos implicamos en cuerpo y alma en el éxito de nuestros clientes y en la protección de sus datos. Una de las formas en que cumplimos esta promesa es ayudando a los clientes y usuarios de Atlassian a comprender y, si procede, a cumplir el Reglamento General de Protección de Datos (RGPD). El RGPD representa el cambio más importante en la legislación europea sobre la privacidad de los datos de los últimos 20 años y entró en vigor el 25 de mayo de 2018.

Sabemos que nuestros clientes tienen requisitos en virtud del RGPD que se ven directamente afectados por el uso de los productos y servicios de Atlassian, y por eso, hemos dedicado importantes recursos para ayudarles a cumplir sus requisitos de acuerdo con el RGPD y la ley local.

Estas son algunas iniciativas del RGPD para nuestros productos de Cloud:

  • Hemos realizado importantes inversiones en nuestras certificaciones e infraestructura de seguridad (consulta la sección de seguridad y certificaciones).
  • Respaldamos los mecanismos apropiados de transferencia de datos internacionales manteniendo nuestras propias certificaciones del Escudo de la privacidad y ejecutando cláusulas contractuales tipo a través del Anexo de procesamiento de datos actualizado.
  • Ofrecemos herramientas de portabilidad y gestión de datos, entre las que se incluyen:
  • Nos hemos asegurado de que el personal de Atlassian que accede y procesa los datos personales de los clientes de Atlassian reciba formación para gestionar esos datos y de que conserve la confidencialidad y la seguridad de esos datos.
  • Los proveedores encargados del tratamiento de los datos personales se atendrán a las mismas prácticas y estándares de gestión de datos, seguridad y privacidad que nosotros.
  • Nos hemos comprometido a llevar a cabo asesoramientos y evaluaciones del impacto sobre los datos con organismos reguladores de la UE si es pertinente.

Obtén más información sobre el enfoque y la inversión en el RGPD en nuestra página Conformidad con el RGPD en Atlassian.

Privacidad

Valoramos las preocupaciones sobre privacidad de nuestros clientes y entendemos que son, probablemente, las mismas que tenemos nosotros cuando utilizamos aplicaciones basadas en SaaS. Así que, básicamente, intentamos tratar tu información personal de identificación y otros datos confidenciales de la misma forma que querríamos que nuestros proveedores de servicios trataran nuestros datos.

Atlassian y sus filiales cumplen el Marco del Escudo de la privacidad UE-EE. UU. y los principios del Escudo de la privacidad asociados para la recopilación, el uso y la conservación de información personal transferida de la Unión Europa a EE. UU.

Nuestro enfoque sobre privacidad se expone en detalle en la Política de privacidad.

Gestión de las solicitudes de aplicación de la ley

Atlassian publica un informe de transparencia anual que detalla las solicitudes que recibimos del Gobierno con respecto a nuestros datos de usuario, así como la eliminación de contenido o la suspensión de cuentas de usuario.

Responsabilidad compartida

En la nube, la seguridad de tus datos en nuestros sistemas es una responsabilidad conjunta.  Esta responsabilidad compartida se trata más ampliamente en nuestro recién publicado artículo técnico "The Atlassian Cloud Security Team (You’re part of it)" (El equipo de seguridad de Atlassian Cloud [formas parte de él]).

A un alto nivel, Atlassian gestiona la seguridad de las aplicaciones en sí, los sistemas en los que se ejecutan y los entornos en los que se alojan esos sistemas.  Garantizamos que esos sistemas y entornos cumplan los estándares relevantes, incluidos PCI DSS y SOC 2, según proceda.

Nuestros clientes gestionan la información de sus cuentas, a los usuarios que acceden a sus cuentas y las credenciales relacionadas, y controlan qué aplicaciones se instalan y cuáles son de confianza.  Ellos se aseguran de que sus empresas cumplen sus obligaciones sobre conformidad al utilizar nuestros sistemas.

Árbol de responsabilidades

En resumen, estas son algunas de las cosas que querríamos que nuestros clientes tengan en cuenta:

Decisiones clave

Las decisiones que tomas sobre cómo configurar nuestros productos influyen significativamente en la forma de implementar la seguridad.  Las decisiones clave son:

  • Todos los productos: gestión central y verificación de dominios. Puedes verificar uno o más dominios para demostrar que tú o tu organización sois dueños de estos dominios. La verificación de dominios permite a tu organización gestionar centralmente todas las cuentas de Atlassian de los empleados y aplicar políticas de autenticación (incluidos requisitos de contraseña y SAML). Tras verificar tu dominio, todos los usuarios que ya tengan cuenta de Atlassian en ese dominio recibirán un correo electrónico en el que se explica que están cambiando a una cuenta gestionada. Cualquiera que se cree una nueva cuenta de Atlassian con ese dominio verá que se trata de una cuenta gestionada.
  • Bitbucket: repositorios públicos frente a repositorios privados. Eres tú quien designa si los repositorios son públicos (cualquier usuario puede verlos) o privados (el acceso a esos repositorios se limitará a aquellos con permiso a acceder a los repositorios).
  • Trello: equipos y tableros públicos frente a los privados. En Trello puedes elegir la configuración de visibilidad de los tableros, incluida la capacidad para hacer públicos los tableros (con algunas limitaciones si tu cuenta de Trello está gestionada). Si un tablero está configurado como público, cualquier usuario puede verlo y es posible que aparezca en resultados de motores de búsqueda como Google. Obtén más información sobre la configuración de la visibilidad de tableros de Trello aquí. También puedes elegir hacer público tu equipo para que cualquier usuario pueda ver el perfil de este. Obtén más información sobre la configuración de visibilidad de equipos de Trello aquí.
  • Todos los productos: concesión de acceso. Nuestros productos están diseñados para permitir la colaboración. La colaboración requiere acceso. Sin embargo, tienes que tener cuidado cuando concedas permisos de acceso a tus datos y aplicaciones a otros usuarios. Una vez concedidos dichos permisos, no podremos evitar que esos usuarios realicen las acciones permitidas, aunque no las apruebes.

Acceso de usuarios

Al ser una solución SaaS, nuestros clientes son responsables de garantizar la conveniencia del acceso de los usuarios a sus datos. Comprender la clasificación de los datos que entran en el sistema y garantizar que los usuarios con acceso al mismo tengan autorización para acceder a esos datos son aspectos clave en este contexto.

Cuando sea necesario imponer restricciones de acceso para cumplir con la clasificación de datos y la gestión de requisitos, puede resultar conveniente emplear la autenticación basada en roles.

Animar a los usuarios a seguir prácticas recomendadas cuando creen contraseñas reducirá la materialización de amenazas como, por ejemplo, la adivinación de contraseñas o que personas malintencionadas reutilicen credenciales filtradas.

Ecosistema

El entorno de Atlassian consta de Atlassian como proveedor de servicios, los clientes y sus respectivos usuarios, y el Marketplace. Nuestros clientes tienen el control total sobre las aplicaciones que eligen instalar. Durante este procedimiento, el instalador (normalmente un administrador de usuarios) podrá revisar los permisos concedidos a las aplicaciones. Es importante que los administradores de los clientes presten atención a estos permisos. Cuando se concede un permiso, tenemos muy poca visibilidad sobre la forma en que la aplicación usa los datos del cliente.

Se espera que los clientes realicen comprobaciones sobre el desarrollador de la aplicación y la idoneidad y adecuación de los permisos solicitados por las aplicaciones antes de la instalación. Una vez instalado el complemento, la supervisión de la actividad de las aplicaciones y la notificación de la actividad sospechosa nos ayudarán a mantener limpio el entorno.

¿Quieres profundizar?

Hemos mencionado muchos otros documentos y recursos en esta página y te animamos a profundizar en ellos para comprender mejor nuestro enfoque en relación con la seguridad y la confianza.