Close

Valutazioni di sicurezza


Regole di Atlassian per i test di sicurezza sui prodotti Cloud

I clienti Atlassian possono effettuare valutazioni di sicurezza rispetto ai loro prodotti Atlassian Cloud (come definiti di seguito) senza previa approvazione. Il termine "valutazione della sicurezza" si riferisce a qualsiasi attività volta a determinare, valutare o testare le caratteristiche di sicurezza e i controlli dei prodotti e dei servizi Atlassian (ad esempio, test di penetrazione e scansioni di vulnerabilità). Questa pagina illustra le regole ("Regole dei test di sicurezza") applicabili ai clienti che desiderano eseguire valutazioni di sicurezza sui loro prodotti Atlassian Cloud. La piattaforma Atlassian per la fornitura di Prodotti Cloud ("Piattaforma Atlassian Cloud") utilizza un'infrastruttura condivisa per ospitare i tuoi Prodotti Cloud e i Prodotti Cloud appartenenti ad altri clienti. Occorre prestare attenzione a limitare tutte le valutazioni di sicurezza ai Prodotti Cloud o alle relative istanze per evitare impatti indesiderati per altri clienti.

Tutte le valutazioni di sicurezza devono seguire le Regole dei test di sicurezza Atlassian come descritto in dettaglio in questa pagina. L'utilizzo dei Prodotti Cloud da parte dell'utente continuerà ad essere soggetto alle Condizioni d'uso di Atlassian Cloud o ad altri termini e condizioni applicabili del contratto (collettivamente, "Condizioni d'uso") in base ai quali l'utente ha acquistato i Prodotti Cloud pertinenti. Qualsiasi violazione delle presenti Regole dei test di sicurezza o delle Condizioni d'uso pertinenti può comportare la sospensione o la chiusura dell'account e/o azioni legali. L'utente è responsabile di qualsiasi danno alla Piattaforma Atlassian Cloud e di qualsiasi impatto negativo sui dati di altri clienti o sull'uso della Piattaforma Atlassian Cloud causato dalla violazione delle presenti Regole dei test di sicurezza o delle Condizioni d'uso.

Prodotti Cloud idonei per le valutazioni di sicurezza

I prodotti elencati di seguito costituiscono "Prodotti Cloud" ai fini delle presenti Regole dei test di sicurezza:

  • Jira Software
  • Jira Service Management
  • Jira Align
  • Jira Work Management
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie
  • Halp

Regole dei test di sicurezza

Attività consentite

  • Le valutazioni di sicurezza possono essere eseguite solo dai clienti Atlassian iscritti ai prodotti Cloud idonei elencati sopra.
  • Puoi condurre valutazioni di sicurezza solo in base alle tue istanze dei Prodotti Cloud in conformità alle policy di Atlassian relative alle valutazioni della sicurezza, incluse le presenti Regole dei test di sicurezza.
  • Puoi utilizzare strumenti/scanner automatizzati per eseguire valutazioni di sicurezza; tuttavia, tieni presente che anche noi utilizziamo questi strumenti. Eventuali risultati di uno scanner automatizzato devono essere esaminati e valutati dal team di sicurezza del cliente prima di essere inoltrati ad Atlassian, con un modello di verifica funzionante e riproducibile. I risultati degli scanner di sicurezza non sottoposti a valutazione non saranno accettati.

Attività vietate

  • Scansione, test o accesso a Prodotti Cloud o a istanze o asset Cloud che non appartengono all'utente, inclusi quelli appartenenti ad altri clienti Atlassian.
  • Accesso intenzionale ai dati di qualsiasi altro cliente, incluso l'accesso o l'utilizzo di credenziali del cliente.
  • Attacchi non tecnici (inclusi, a titolo esemplificativo ma non esaustivo, ingegneria sociale, phishing o accesso non autorizzato all'infrastruttura).
  • Attacchi di sicurezza fisica (incluso, a titolo di esempio, uffici, apparecchiature, dipendenti Atlassian e così via).
  • Prodotti di test non inclusi nell'ambito.
  • Targeting dell'infrastruttura aziendale Atlassian.
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), DoS simulato, DDoS simulato.
  • Flooding delle porte.
  • Flooding del protocollo.
  • Flooding di richieste (flooding di richieste di accesso, flooding di richieste API).
  • Invio di report non sottoposti a valutazione da uno scanner di vulnerabilità o applicazione della valutazione di sicurezza.

Segnalazione di problemi

Se ritieni di aver rilevato un potenziale difetto di sicurezza correlato ai prodotti Atlassian Cloud o ad altri servizi Atlassian, accetti di segnalarlo entro 24 ore seguendo le istruzioni per la segnalazione di una vulnerabilità. Puoi inoltre inviare i rilievi al nostro programma Bug Bounty, ma tieni presente che i rilievi di scanner automatizzati non saranno accettati. Dopo l'invio, prima di rendere pubblicamente noto un problema devi richiedere l'autorizzazione ad Atlassian. I risultati delle valutazioni di sicurezza sono considerati informazioni riservate di Atlassian. Atlassian elaborerà le richieste di divulgazione pubblica in base ai singoli report. Le richieste di divulgazione pubblica di un problema che non è stato ancora risolto per i clienti saranno rifiutate.

Termini aggiuntivi

Sebbene l'accesso intenzionale ai dati di qualsiasi altro cliente Atlassian sia severamente vietato, se ritieni di aver trovato dati sensibili dei clienti (ad esempio, credenziali di accesso, chiavi API ecc.) o una modalità di accesso ai dati dei clienti (ad es. attraverso una vulnerabilità) segnalalo immediatamente all'Assistenza Atlassian, ma non cercare di convalidare la vulnerabilità o di accedere in altro modo all'account o ai dati di un cliente.

Oltre a esercitare i propri diritti di sospensione o cessazione dell'account, in caso di violazione Atlassian delle presenti Regole dei test di sicurezza Atlassian si riserva il diritto di rispondere alle attività nelle proprie reti che sembrano essere dannose o costituire per altri versi una minaccia. Atlassian può inserire nella blacklist i tuoi indirizzi IP o l'intervallo di indirizzi IP se riceve una segnalazione di abuso per attività correlate alla tua valutazione di sicurezza. Se contatti l'Assistenza Atlassian per rimuovere le restrizioni, specifica la causa primaria dell'attività segnalata e descrivi in dettaglio le azioni che hai intrapreso per impedire il ripetersi del problema segnalato.

Facoltativamente, se desideri comunicare ad Atlassian Security la tua intenzione di condurre un'analisi di sicurezza, invia un ticket all'Assistenza Atlassian con l'oggetto: Intent for Security Assessment (Intenzione di effettuare una valutazione di sicurezza). Includi la data del test e l'intervallo di tempo del test, gli IP di origine o l'intervallo di indirizzi IP, i domini di destinazione e le informazioni di contatto. Sebbene non sia obbligatoria, la notifica preliminare ci aiuterà a identificare i test e a non creare problemi di blocco della rete che potrebbero invalidarli.

I partner e rivenditori dei prodotti Atlassian Cloud sono responsabili dell'attività di valutazione della sicurezza dei propri clienti.