La conformité chez Atlassian
Ne vous contentez pas de nous prendre au mot. Nous vous encourageons à examiner et à vérifier nos opérations et nos pratiques de sécurité et de confidentialité. Notre équipe met constamment tout en œuvre pour étendre la couverture et aider les organisations à répondre à leurs besoins de conformité.
Notre programme de conformité

SOC2
SOC 2 (System and Organization Controls) est un rapport régulièrement mis à jour qui se concentre sur les contrôles en matière de reporting non financier relatifs à la sécurité, la disponibilité et la confidentialité d'un service cloud.
Nous proposons actuellement des rapports SOC 2 pour Jira ainsi que pour Confluence Cloud, Jira Service Management, Bitbucket Cloud, Trello, Opsgenie, Statuspage, Jira Align et Halp.
Accord de non-divulgation
Ernst & Young LLP (« EY ») a établi le rapport ci-joint (le « Rapport ») à l'usage et au profit exclusifs d'Atlassian Pty Ltd (la « Société »), et, à des fins limitées conformément aux normes pertinentes de l'American Institute of Certified Public Accountants (l'« AICPA »), pour les entités utilisateur existantes de la Société et leurs auditeurs. En outre, certaines entités utilisateur potentielles identifiées par la Société (collectivement avec les entités utilisateur existantes, chacune étant un « Destinataire ») peuvent avoir accès au Rapport en vertu des clauses du présent accord. Votre accès au Rapport est soumis à l'acceptation des clauses énoncées ci-après. Veuillez les lire attentivement. Si vous acceptez le présent accord non pas en tant que personne physique, mais au nom de votre société, le terme « Destinataire » ou « vous » désigne votre société, et vous liez cette dernière audit accord.
En cliquant sur le bouton « J'ACCEPTE » ci-dessous, vous indiquez que le Destinataire et vous-même consentez à être liés par les présentes conditions générales. Un tel consentement est réputé aussi valable que votre signature manuscrite, au nom du Destinataire et de vous-même, et le présent accord est réputé satisfaire toute exigence relative à l'écrit des éventuelles lois applicables, nonobstant le fait que l'accord est écrit et accepté par voie électronique. La diffusion ou la divulgation de tout ou partie du Rapport ou d'informations ou conseils figurant dans celui-ci à d'autres personnes que la Société est interdite, sauf dans les cas ci-après.
La Société accepte d'autoriser le Destinataire à accéder au Rapport à la condition que ledit Destinataire lise, comprenne et accepte l'ensemble des conditions ci-après :
- Le Rapport consiste en l'examen d'un auditeur de services (les « Services ») mené par la Société conformément au guide de l'AICPA intitulé « Rapport sur les contrôles d'une société de services pertinents pour la sécurité, l'accessibilité, l'intégrité du traitement, la confidentialité ou la protection des renseignements personnels ».Le Destinataire a demandé que la Société lui fournisse une copie dudit Rapport.
- Les Services ont été exécutés, et le Rapport a été établi à l'usage et au profit exclusifs de la Société, de ses entités utilisateur existantes et de leurs auditeurs. Il n'est destiné à aucune autre utilisation, y compris par les potentielles entités utilisateur de la Société. EY ne fait aucune déclaration et n'offre aucune garantie au Destinataire quant au caractère approprié des Services ou autres en lien avec le Rapport. Si EY avait été engagé pour exécuter des services ou des procédures supplémentaires, d'autres sujets auraient pu être portés à son attention et auraient alors été abordés dans ledit Rapport.
- Les Services (a) ne constituaient pas un audit, une revue ou un examen des états financiers conformément aux normes d'audit généralement admises de l'AICPA ou aux normes de la PCAOB (Public Company Accounting Oversight Board) ; (b) ne constituaient pas un examen des états financiers prospectifs conformément aux normes professionnelles applicables ; ou (c) n'incluaient pas de procédures visant à identifier des fraudes ou des actes illicites afin de tester la conformité aux lois ou règlements d'une juridiction donnée.
- (a) Le Destinataire n'acquiert aucun droit vis-à-vis d'EY, de toute autre société membre du réseau mondial d'Ernst & Young, ou de l'un(e) de ses sociétés affiliées, partenaires, agents, représentants ou employés respectifs (collectivement, les « Parties EY »), ni vis-à-vis de la Société ou de ses sociétés affiliées, partenaires, agents, représentants ou employés respectifs (collectivement avec les Parties EY, les « Parties au rapport »). Les Parties au rapport rejettent toute obligation ou responsabilité envers le Destinataire en lien avec les Services ou son accès au Rapport. Le Destinataire (b) ne peut se reposer sur le Rapport et (c) ne soutient pas que l'une quelconque des dispositions des lois des États-Unis ou d'un État relatives à la sécurité est susceptible d'invalider ou de contourner les dispositions du présent accord.
- Sauf s'il y est contraint par une procédure judiciaire (auquel cas le Destinataire est tenu d'informer dans les meilleurs délais EY et la Société afin que ceux-ci puissent rechercher une protection appropriée), le Destinataire ne divulgue pas, ni à l'oral ni à l'écrit, tout ou partie du Rapport ou toute autre Information confidentielle lui ayant été transmise par EY ou par la Société en lien avec celui-ci, dans tout document public ou à tout autre tiers que les employés, agents et représentants du Destinataire qui doivent connaître ces informations afin d'évaluer les opérations et de déterminer leur conformité avec les politiques de sécurité, réglementaires ou toute autre politique d'entreprise du Destinataire, et ce, à condition que lesdits tiers soient liés par des contraintes de confidentialité au moins aussi strictes que celles stipulées dans le présent accord. Le terme « Informations confidentielles » désigne le Rapport et tout autre support ou toute autre information (i) divulgué(e) par la Société par écrit et signalé(e) comme confidentiel(le) au moment de la divulgation ; (ii) divulgué(e) par la Société de toute autre façon et identifié(e) comme confidentiel(le) au moment de la divulgation et dans les trente (30) jours qui ont suivi ; ou (iii) raisonnablement considéré(e) comme étant de nature confidentielle.
- Le Destinataire peut utiliser les Informations confidentielles, y compris le Rapport, pendant un (1) an à compter de leur divulgation ou toute autre durée de validité telle qu'indiquée dans le Rapport si celle-ci se termine avant dans le seul but d'évaluer la conformité des opérations de la Société avec les politiques de sécurité, réglementaires ou toute autre politique d'entreprise du Destinataire. Le présent accord n'implique pas de consentement à effectuer une transaction, ni d'octroi, par la Société, de droits sur sa propriété intellectuelle.
- Le Destinataire (pour lui-même et ses successeurs et ayant-droit) exonère par les présentes chacune des Parties au rapport de toute revendication ou de tout droit d'action qu'il a, peut avoir ou aura par la suite vis-à-vis de l'autre partie en lien avec le Rapport, l'accès dudit Destinataire au Rapport ou l'exécution des Services par EY. Le Destinataire s'engage à indemniser, défendre et mettre hors de cause les Parties au rapport face à toute revendication, responsabilité, perte ou dépense subie ou encourue par l'une d'elles résultant de ou en rapport avec (a) une violation du présent accord par le Destinataire ou ses représentants ; et/ou (b) une utilisation ou un recours au Rapport ou à d'autres Informations confidentielles par l'une des parties ayant eu accès audit Rapport, directement ou indirectement, par ou via le Destinataire, ou encore à sa demande.
- Lors de la résiliation du présent accord ou sur demande écrite d'une Partie au rapport, le Destinataire est tenu : (i) de cesser d'utiliser les Informations confidentielles ; (ii) de détruire les Informations confidentielles et l'ensemble des copies, notes ou extraits y afférents ou de les rendre à la Société dans la sept (7) jours ouvrés à compter de la réception de la demande ; et (iii) sur demande d'une Partie au rapport, de confirmer par écrit son respect des présentes obligations.
- Le présent accord est régi par, et interprété en conformité avec, les lois de l'État de New York applicables aux accords conclus et devant être pleinement exécutés dans ledit État par les résidents de celui-ci. Il peut être appliqué par l'une des Parties au rapport, individuellement ou collectivement.
En saisissant votre adresse e-mail, vous acceptez d'être lié par les clauses du présent accord. Si vous concluez le présent accord au nom d'une entité, comme la société pour laquelle vous travaillez, vous nous garantissez disposer de l'autorité légale pour ce faire.
Veuillez télécharger le rapport que vous souhaitez afficher :

SOC 3
SOC 3 (System and Organization Controls) est un rapport régulièrement mis à jour qui se concentre sur les contrôles internes relatifs à la sécurité, la disponibilité et la confidentialité d'un service cloud.
Téléchargez le rapport SOC 3 pour :

PCI DSS
La norme relative à la sécurité des données dans l'industrie des cartes de paiement est un standard de sécurité de l'information qui concerne la manipulation des informations sur les cartes de crédit.
Téléchargez nos attestations de conformité PCI pour :

ISO/CEI 27001
ISO 27001 est une spécification pour un système de management de la sécurité de l'information. Ce framework encadre les processus d'une organisation en matière de gestion des risques de sécurité de l'information.
Produits inclus dans la certification : Jira Cloud (y compris Automation for Jira - A4J), Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align, Statuspage et Jira Service Management (JSM)

ISO/CEI 27018
ISO 27018 est un code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII.
Produits inclus dans la certification : Jira Cloud (y compris Automation for Jira - A4J), Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align, Statuspage et Jira Service Management (JSM)

VPAT
Le modèle VPAT (Voluntary Product Accessibility Template) est un document utilisé par les fournisseurs pour divulguer volontairement l'accessibilité d'un produit donné.

FedRAMP
Le FedRAMP (Federal Risk and Authorization Management Program) est un programme à l'échelle du gouvernement fédéral américain qui offre une approche standardisée de la sécurité, en termes d'évaluation, d'autorisation et de surveillance continue pour les produits et services cloud.
Consultez le statut des produits suivants sur le Marketplace FedRAMP :
Programme de gestion des fournisseurs et d'évaluation de la sécurité
Nos fournisseurs de data centers, de services de colocation et de services gérés sont soumis à une évaluation de sécurité minutieuse dans le cadre de notre processus, avant d'être soumis à des audits SOC 1, SOC 2 et/ou ISO/CEI 27001 réguliers. Lorsque ces audits aboutissent à des conclusions importantes, qui présentent des risques pour nos clients ou Atlassian, nous collaborons étroitement avec le fournisseur afin de surveiller les efforts de remédiation jusqu'à la résolution du problème.
Le framework de contrôles Atlassian
Le framework de contrôles communs est un ensemble d'activités de sécurité et de contrôles implémentés par Atlassian pour toutes ses équipes produit et infrastructure à travers le monde. Pour établir ce framework, nous avons analysé les exigences de toutes les certifications applicables aux clients Atlassian du monde entier. Cette approche de la conformité holistique et structurée nous permet d'implémenter ces contrôles de façon cohérente pour tous les produits et l'infrastructure Atlassian.
Adhésion à CSA
Atlassian est membre de CSA (Cloud Security Alliance), une organisation sans but lucratif qui a pour mission de promouvoir les bonnes pratiques d'assurance sécurité dans le cloud. Le STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et public qui documente les contrôles de sécurité vérifiés par l'industrie. Nous mettons fréquemment à jour un questionnaire CAIQ (Consensus Assessment Initiative Questionnaire) et le rendons public pour que chacun puisse le consulter.

Programme de gestion des risques
L'intégration de l'ERM à tous les niveaux de l'organisation améliore la prise de décisions en matière de gouvernance, de stratégie, de définition d'objectifs et de fonctionnement quotidien. Le programme de gestion des risques d'Atlassian est au cœur des activités de notre équipe de gestion des risques et de la conformité. C'est sur lui que repose notre processus de prise de décision. Il s'inspire de la norme ISO 31000-2009 « Management du risque – Principes et lignes directrices », et des évaluations sont effectuées chaque année et au besoin, tout au long de l'année.
Gagnez en visibilité sur notre feuille de route pour la plateforme Cloud
Nous nous engageons à fournir une visibilité sur nos publications de sécurité, de conformité, de confidentialité et de fiabilité dans la mesure du possible.
Vous avez d'autres questions sur notre programme de conformité ?
Disposez-vous de certifications Cloud ? Pouvez-vous renseigner mon questionnaire sur la sécurité et les risques ? Où puis-je télécharger des informations complémentaires ?
Nous sommes disponibles et prêts à répondre à toutes vos questions.
Communauté Confiance et sécurité
Rejoignez le groupe Confiance et sécurité de la communauté Atlassian pour recevoir directement les conseils de notre équipe de sécurité et pour partager des informations, des conseils et des bonnes pratiques d'utilisation des produits Atlassian de manière sécurisée et fiable.
Support Atlassian
Contactez l'un de nos ingénieurs de support hautement qualifiés pour obtenir des réponses à vos questions de sécurité les plus spécifiques. Vous trouverez les réponses à un grand nombre de vos questions dans nos questionnaires de sécurité prérenseignés.