アトラシアンのコンプライアンス
アトラシアンの言葉をそのまま受け入れるのではなく、一人ひとりが当社のセキュリティおよびプライバシーに関する実務や業務を点検、検証することを奨励します。当社のチームは常に、組織がコンプライアンス上のニーズを満たすことができるよう、カバレッジの拡大に取り組んでいます。
アトラシアンのコンプライアンスプログラム
SOC 2
SOC 2 (システムおよび組織統制) は、クラウドサービスのセキュリティ、可用性、秘密保持に関連する非財務レポートの統制に焦点を置いた、定期的に更新されるレポートです。
現時点では、Jira および Confluence Cloud、Jira Service Management、Bitbucket Cloud、Trello、Opsgenie、Statuspage、Jira Align、および Halp で SOC 2 レポートを提供しています。
守秘義務契約
Ernst & Young LLP (以下「EY」) は、Atlassian Pty Ltd (以下「会社」) の利益のみを目的とし、その用途に限定して、かつ AICPA (米国公認会計士協会、以下「AICPA」)、会社の既存のユーザー法人およびそれぞれの監査人の関連規格に従った限定的目的で、添付のレポート (以下「本報告書」) を作成しました。また、会社が特定する見込みユーザー法人 (既存のユーザー法人と合わせてそれぞれを「受領者」と総称) は、本契約の規定に従うことを条件に、本レポートへのアクセス権を保持できます。ユーザーが本レポートにアクセスするには、以下に定める条件への同意が前提となります。各条件を注意深くお読みください。個人でなく会社を代表して本契約に同意する場合、「受領者」または「ユーザー」とは、ユーザーの所属企業を意味し、ユーザーは所属企業に、本契約に従う義務を追わせることになります。
以下の [I ACCEPT (同意する)] ボタンをクリックすると、ユーザーと受領者は以下の規定に従う義務を追うことに同意したとみなされます。かかる受諾および同意は、ユーザー、ユーザーの代理人および受領者の手書きの署名と同じ効果があるとみなされるものとし、本契約は、記載および受諾が電子的に行われたとしても、適用法の記載要件を満たすものとみなされます。本レポートの一部または本レポートに記載される情報や助言を会社以外の者に配信または開示する行為は、以下を除き禁止されます。
会社は、受領者が次のすべての項目を読み、その内容を理解し、これら項目に同意することを条件として、本レポートへのアクセスを受領者に許可することに同意します。
- 本レポートは、AICPA ガイド「Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy」に従って会社を対象に実施されるサービス監査人の調査 (以下「本件サービス」) をその内容とします。受領者は本レポートのコピーを提供するよう、会社に要求済みです。
- 本件サービスおよび本レポートは、会社、会社の既存ユーザー法人、およびそれぞれの監査人の利益のみを目的とし、これらの用途に限定して請け負われ、作成されました。EY は、本件サービスの十分性または本レポートに関して、受領者に対していかなる表明も保証も行っていません。EY が契約により追加のサービスや手順を履行していた場合、報告書に取り上げられたその他の事項がEY の注意を引いていた可能性があります。
- 本件サービスは、(a) AICPA の一般的に公正妥当と認められる監査基準、または公開会社会計監査委員会の基準に準拠した財務諸表の監査、レビューまたは調査に該当しません。(b) 適用される専門的職業人の基準に準拠した予測財務諸表の調査に該当しません。(c) 任意の法域の法律または規制への準拠をテストするための不正または違法行為の検知手順を含みません。
- 受領者は、(a) EY (Ernst & Young)、EY のグローバルネットワークのほかのメンバー事務所、またはそれぞれの関連会社、パートナー、代理人、代表者、もしくは従業員 (以下「EY 当事者」と総称)、または会社、もしくはその関連会社、パートナー、代理人、代表者、従業員 (以下「EY 当事者」と共に「報告当事者」と総称) に対していかなる権利も取得せず、報告当事者は、本件サービスまたは本契約に基づく本レポートへの自己のアクセスに関連して、受領者に対して何らの義務または責任も負いません。(b) 受領者は、本レポートに依拠することができません。(c) 受領者は、米国または州の証券法の条項に基づき、本契約の条項が無効または回避される可能性について争いません。
- 法手続きによって強制される場合を除き (強制される場合、受領者は EY および会社が適切な保護を求めることができるように、その旨を速やかに通知する必要があります)、受領者は、本レポートもしくはその一部、または EY もしくは会社が本レポートに関連して受領したその他の秘密情報を口頭または書面で開示しないものとします。受領者はまた、公的文書で、または第三者に対して、本レポートに関連して EY または会社について言及しないものとします。ただし、受領者の従業員、代理人および代表者のうち、受領者のセキュリティ、規制およびその他の業務ポリシーに関する業務の準拠状態を評価するためにこうした情報を知る必要があり、かつ本契約に定める秘密性の制約と同程度に厳格な制約に拘束される者は、当該第三者から除外されます。「秘密情報」とは、本レポートならびにその他の情報および資料のうち以下のいずれかに該当するものを指します。(i) 開示時において、「秘密」と印を付けたうえで、会社が書面で開示するもの。(ii) 会社がその他の方法で開示するもののうち、開示時点および開示から 30 日間秘密と特定されるもの。(iii) 秘密性を帯びると通常みなされるもの。
- 受領者は、開示から1年間または本レポートに明示されるほかの有効期間 (いずれか短い方)、会社の運営が受領者のセキュリティ、規制およびその他の業務ポリシーに準拠しているかどうかを評価する目的に限り、本レポートを含む秘密情報を使用できます。本契約によって、会社の知的財産権に関するトランザクションまたは譲渡を成立させる契約が作成または暗示されることはありません。
- 受領者は (自己ならびにその承継人および譲受人のために)、本レポート、本レポートへの受領者のアクセスまたは EY による本件サービスの履行に関連して、受領者が現在までおよび将来において報告当事者に対して保持する (保持する可能性があるまたは保持するものとみなす) すべての請求または訴因から各報告当事者を解放します。受領者は、次の事由に起因または関連して、いずれかの報告当事者が被ったまたは負担したすべての請求、負債、損失および費用について報告当事者を補償、防御、および免責するものとします。(a) 受領者またはその代表者による本契約の違反。(b) 受領者から直接もしくは間接的に本レポートへのアクセスを取得した当事者または受領者がアクセスをリクエストした当事者による本レポートまたはその他の機密情報の使用または依拠。
- 本契約が終了した場合、または報告当事者が書面で要求した場合、受領者は以下のすべてを行うものとします。(i) 秘密情報の使用を停止する。(ii) 要求を受けてから 7 営業日以内に、秘密情報および当該情報のすべてのコピー、メモまたは抜粋を破棄または会社に返却する。(iii) 報告当事者が要求する場合、受領者がこれらの義務を履行したことを書面で確認する。
- 本契約は、米国ニューヨーク州の法律のうち、同州の居住者によって締結され完全に履行される契約に適用されるものに準拠して解釈されるものとします。本契約は、任意の報告当事者が、個別または共同で執行することができます。
ご自分のメールアドレスを入力することにより、本契約の規定に拘束されることに同意したことになります。勤務する企業など法人に代わって本契約を締結するユーザーは、当該法人に義務を負わせる法的権利を有することを当社に表明するものとします。
表示するレポートをダウンロードしてください。
SOC 3
SOC 3 (システムおよび組織統制) は、クラウドサービスのセキュリティ、可用性、秘密保持に関連する内部統制に焦点を置いた、定期的に更新されるレポートです。
下記に関する SOC3 をダウンロード:
PCI DSS
PCI (Payment Card Industries) データセキュリティスタンダードとは、クレジットカード情報の取り扱いに関する情報セキュリティ標準です。
下記に関する PCI 準拠証明書 (AoC) をダウンロード:
ISO/IEC 27001
ISO 27001 は情報セキュリティ管理システム (ISMS) に関する仕様を定めたものであり、組織の情報リスク管理プロセスのフレームワークとなっています。
認定資格に含まれる製品: Jira Cloud (Automation for Jira - A4J など)、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、Jira Align、Statuspage、Jira Service Management (JSM)
ISO/IEC 27018
ISO 27018 は、PII プロセッサーとしてパブリッククラウド内で個人情報 (PII) を保護する業務を行うにあたっての行動規範です。
認定資格に含まれる製品: Jira Cloud (Automation for Jira - A4J など)、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、Jira Align、Statuspage、Jira Service Management (JSM)
VPAT
自主的製品アクセシビリティテンプレート (Voluntary Product Accessibility Template) は、供給業者が特定の製品のアクセシビリティを自主開示する際に使用する文書です。
FedRAMP
Federal Risk and Authorization Management Program(FedRAMP)とは、クラウド製品およびサービスのセキュリティ評価、認定、および継続的な監視を行うために標準化されたアプローチを提供する米国政府機関のプログラムです。
FedRAMP Marketplace で以下の製品のそれぞれのステータスをご確認ください。
ベンダー管理およびセキュリティアセスメントプログラム
当社のデータセンター、コロケーション、マネージドサービスプロバイダーは、評価プロセスの一環として徹底したセキュリティアセスメントを受け、その後も定期的に SOC1、SOC2、ISO/IEC 27001 監査を受けています。監査結果の中に当社またはお客様にとってリスクになる重大な問題が見つかった場合は、ベンダーと緊密に連携しながら、問題が解決されるまで修正作業を追跡します。
アトラシアンのコントロールフレームワーク
当社の共通コントロールフレームワークとは、アトラシアンが当社のグローバル製品およびインフラストラクチャチーム全体で実施している一連のセキュリティアクティビティやコントロールのことを意味します。このフレームワークを策定するにあたって、当社は世界中のアトラシアンのお客様に適用されるあらゆる認証の要件を分析しました。こうしたコンプライアンスに向けた全体的で構造化されたアプローチにより、アトラシアンの製品やインフラストラクチャ全体の一貫した統制が可能になっています。
クラウドセキュリティアライアンスメンバーシップ
アトラシアンは、クラウドコンピューティングにおけるセキュリティ保証のためのベストプラクティスを推進する非営利組織、クラウドセキュリティアライアンス (CSA) のメンバーです。CSA の STAR (Security, Trust & Assurance Registry) は、業界によって検証済みのセキュリティコントロールを文書化し、公開しているレジストリです。当社は Consensus Assessment Initiative Questionnaire (CAIQ) への回答を定期的に更新し、公開しています。
リスク管理プログラム
組織全体でのエンタープライズリスク管理の統合によって、ガバナンス、戦略、目標設定、および日常業務における意思決定が改善されます。アトラシアンのリスク管理プログラムは、リスクおよびコンプライアンスチームの焦点であり、アトラシアンの意思決定プロセスの基本要素として利用されています。このプログラムは ISO31000:2009 “リスクマネジメント - 原則及び指針” に従ってモデル化されており、評価は年次ごと、また年間を通して必要であれば随時実施しています。
アトラシアンのクラウドプラットフォームのロードマップをより詳細に把握
今後のセキュリティ、コンプライアンス、プライバシー、信頼性に関し、可能な限りの可視性をご提供することに尽力します。
アトラシアンのコンプライアンスプログラムについてご質問がありますか?
Cloud の認定を取得済みですか? セキュリティとリスクに関する質問表に回答してもらうことはできますか? 詳しい情報はどこでダウンロードできますか?
あらゆるご質問にお答えいたします。
信頼とセキュリティのコミュニティ
アトラシアンコミュニティの信頼とセキュリティのグループに参加すると、アトラシアンのセキュリティチームと直接やりとりでき、アトラシアン製品を安全かつ信頼できる方法で使用するための情報、ヒント、ベストプラクティスを共有できます。
アトラシアンサポート
セキュリティに関する具体的な質問は、高度な訓練を受けたサポートエンジニアにお問い合わせください。多くの質問に対する回答は、あらかじめ入力されたセキュリティに関する質問表でも確認できます。