アトラシアンのコンプライアンス
アトラシアンの言葉をそのまま受け入れるのではなく、一人ひとりが当社のセキュリティおよびプライバシーに関する実務や業務を点検、検証することを奨励します。当社のチームは、組織がコンプライアンスニーズを満たせるようにカバレッジの拡張に継続的に取り組んでいます。
アトラシアンのコンプライアンスプログラム
SOC 2
SOC 2 (システムおよび組織統制) は、クラウドサービスのセキュリティ、可用性、秘密保持に関連する非財務レポートの統制に焦点を置いた、定期的に更新されるレポートです。
現時点では、Jira、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、 Statuspage、Jira Align で SOC 2 レポートを提供しています。
守秘義務契約
Ernst & Young LLP (以下「EY」) は、Atlassian Pty Ltd (以下「当社」) の単独の利益および使用のため、ならびに米国公認会計士協会 (以下「AICPA」) の該当する標準、当社の既存のユーザーエンティティおよびその監査人に基づく限定された目的のため、添付のレポート (以下「本レポート」) を作成しました。さらに、当社が認定した特定のユーザーエンティティ候補 (以下、既存のユーザーエンティティと併せて「受領者」) は本契約の条件に従って本レポートにアクセスできるものとします。本レポートにアクセスするには、以下に定める諸条件に同意する必要があります。これらの条件を注意深く読んでください。お客様が個人としてではなく会社の代理として本契約に合意する場合、「受領者」または「お客様」は貴社を意味し、お客様は貴社を本契約に従わせるものとします。
下の [同意する] ボタンをクリックすることで、お客様はお客様と受領者が本利用規約に従うことに同意するものとします。かかる承諾および同意は、お客様がお客様自身および受領者のために行う書面による署名と同等の効力を有すると見なされるものとします。また、本契約は、電子的に記述および承諾されるにもかかわらず、あらゆる適用法のあらゆる書面要件を満たすと見なされるものとします。レポートの一部またはレポートに記載されている情報もしくは助言を当社以外の個人に配布または公開することは、以下に定める場合を除いて禁止されます。
当社は、受領者が以下のすべての条件を読み、理解し、同意することを条件に、受領者にレポートへのアクセスを許可することに同意します。
- 本レポートは、サービス監査人が AICPA ガイド「サービス組織におけるセキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関する統制についてのレポート」に従って当社のために実施する検査 (以下「サービス」) を受けています。受領者は、当社に対し、本レポートのコピーを受領者に提供するよう要求しました。
- サービスの遂行およびレポートの作成は、当社、当社の既存のユーザーエンティティ、およびその監査人の利益および使用のためにのみ行われ、当社のユーザーエンティティ候補による使用を含むその他のいかなる目的も意図していません。EY は、サービスの十分性または本レポートに関して、受領者にいかなる表明または保証もしていません。EY が追加のサービスまたは手続きに従事していたなら、その他の事項が EV の知るところとなり、本レポートで扱われた可能性があります。
- サービスは、(a) AICPA の一般に受け入れられている監査基準または公開会社会計監督委員会の基準に基づく監査、レビュー、または検査を構成せず、(b) 専門的基準に基づく将来財務諸表の検査を構成せず、(c) 不正または不法行為を検出し、管轄区の法令の順守をテストする手続きを含んでいません。
- 受領者は、(a) EY、Ernst & Young グローバルネットワークの会員会社、またはその関連会社、パートナー、代理店、代理人、もしくは従業員 (以下、総称して「EY 当事者」)、当社またはその関連会社、パートナー、代理店、代理人、もしくは従業員 (以下、EY 当事者と併せて「レポート当事者」) に対するいかなる権利も獲得せず、レポート当事者は、サービスまたは以下に定めるレポートへのアクセスに関連して、受領者にいかなる義務または責任も負わないものとします。また、受領者は、(b) レポートに依存してはならず、(c) 米国または州のセキュリティに関する法律の条項によって本契約の条項が無効になりうることを主張しないものとします。
- 法的手続き (受領者は、EV と当社が適切な保護を申請できるように、EV と当社に速やかに通知する義務を負う) によってやむを得ない場合を除き、受領者は、レポートもしくはその一部、または EY もしくは当社から受領した機密情報を口頭または書面で公開しないものとします。また、公開文書で、または受領者のセキュリティ、規制、およびその他のビジネスポリシーに関する運用上のコンプライアンスを評価するため、本契約に定める機密保持の制約と同等以上に厳格な制約に従うことを前提に機密情報を知る必要がある受領者の従業員、代理店、代理人以外の第三者に、EV と当社について言及しないものとします。「機密情報」とは、レポートのほか、(i) 当社によって書面で公開され、公開時に「機密」と記される、(ii) 当社によってその他の方法で公開され、公開時および公開から 30 日以内に「機密」と認定される、または (iii) 機密性があると合理的に見なされる情報および資料を意味するものとします。
- 受領者は、レポートを含む機密情報を、公開から 1 年またはレポートに定められたその他の有効期間のいずれか短い期間、受領者のセキュリティ、規制、およびその他のビジネスポリシーに関する運用上のコンプライアンスを評価する目的にのみ使用できます。本契約は、当社による知的所有権の取引または割当を完了させる合意を形成または意味するものではありません。
- 受領者 (本人、承継人、および譲受人) は、本契約に基づき、レポート、受領者のレポートのアクセス、または EY のサービスの履行に関連して、各レポート当事者に対して現在有する、または将来有するであろう請求権または請求の原因をすべて放棄するものとします。受領者は、(a) 受領者またはその代理人による本契約違反および/または (b) 受領者を介して、または要請を行うことによって直接または間接にレポートにアクセスできる任意の当事者によるレポートまたはその他の機密情報の使用または依存に起因または関連して生じる請求、負債、損失、および支出からレポート当事者を補償および保護し、かつ無害に保つものとします。
- 本契約が終了したとき、またはレポート当事者から書面による要求があったとき、受領者は、(i) 機密情報の使用を中止し、(ii) 要求を受け取った日から 7 営業日以内に機密情報とそのすべてのコピー、メモ、または抜粋を破棄または当社に返却し、(iii) レポート当事者から要求されたときに受領者がこれらの義務を履行したことを書面で確認するものとします。
- 本契約は、ニューヨーク州の居住者によってニューヨーク州で取り交わされ、完全に履行される契約に適用されるニューヨーク州の法律に準拠するものとします。本契約は、任意のレポート当事者が個別に、または集合的に実施できます。
電子メールを入力することで、ユーザーは本契約に従うことに同意するものとします。勤務する企業など法人に代わって本契約を締結するユーザーは、当該法人に義務を負わせる法的権利を有することを当社に表明するものとします。
表示するレポートをダウンロードしてください。
SOC 3
SOC 3 (システムおよび組織統制) は、クラウドサービスのセキュリティ、可用性、秘密保持に関連する内部統制に焦点を置いた、定期的に更新されるレポートです。
下記に関する SOC3 をダウンロード:
PCI DSS
PCI (Payment Card Industries) データセキュリティスタンダードとは、クレジットカード情報の取り扱いに関する情報セキュリティ標準です。
下記に関する PCI 準拠証明書 (AoC) をダウンロード:
ISO/IEC 27001
ISO 27001 は情報セキュリティ管理システム (ISMS) に関する仕様を定めたものであり、組織の情報リスク管理プロセスのフレームワークとなっています。
認定資格に含まれる製品: Jira Cloud、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie
ISO/IEC 27018
ISO 27018 は、PII プロセッサーとしてパブリッククラウド内で個人情報 (PII) を保護する業務を行うにあたっての行動規範です。
認定資格に含まれる製品: Jira Cloud、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie
.png?cdnVersion=943)
Privacy Shield
US/EU プライバシーシールドおよび US/Swiss プライバシーシールドプログラムは、EU 居住者の個人データを欧州から米国に移動する際に、EU 居住者のプライバシー保護を強化します。
GDPR
一般データ保護規則 (General Data Protection Regulation) は、EU および欧州経済地域内すべての個人のデータ保護とプライバシーに関して定めた、EU 法内の規制です。
VPAT
自主的製品アクセシビリティテンプレート (Voluntary Product Accessibility Template) は、供給業者が特定の製品のアクセシビリティを自主開示する際に使用する文書です。
ベンダー管理およびセキュリティアセスメントプログラム
当社のデータセンター、コロケーション、マネージドサービスプロバイダーは、評価プロセスの一環として徹底したセキュリティアセスメントを受け、その後も定期的に SOC1、SOC2、ISO/IEC 27001 監査を受けています。監査結果の中にアトラシアンまたはアトラシアンのお客様にとってリスクとなる重大な問題が見つかった場合は、該当のベンダーと連携し、問題が解決されるまでベンダーによる修正作業を追跡します。
アトラシアンのコントロールフレームワーク
当社の共通コントロールフレームワークとは、アトラシアンが当社のグローバル製品およびインフラストラクチャチーム全体で実施している一連のセキュリティアクティビティやコントロールのことを意味します。このフレームワークを策定するにあたって、当社は世界中のアトラシアンのお客様に適用されるあらゆる認証の要件を分析しました。こうしたコンプライアンスに向けた全体的で構造化されたアプローチにより、アトラシアンの製品やインフラストラクチャ全体の一貫した統制が可能になっています。
クラウドセキュリティアライアンスメンバーシップ
アトラシアンは、クラウドコンピューティングにおけるセキュリティ保証のためのベストプラクティスを推進する非営利組織、クラウドセキュリティアライアンス (CSA) のメンバーです。CSA の STAR (Security, Trust & Assurance Registry) は、業界によって検証済みのセキュリティコントロールを文書化し、公開しているレジストリです。当社は Consensus Assessment Initiative Questionnaire (CAIQ) への回答を定期的に更新し、公開しています。
リスク管理プログラム
組織全体でのエンタープライズリスク管理の統合によって、ガバナンス、戦略、目標設定、および日常業務における意思決定が改善されます。アトラシアンのリスク管理プログラムは、リスクおよびコンプライアンスチームの焦点であり、アトラシアンの意思決定プロセスの基本要素として利用されています。このプログラムは ISO31000:2009 “リスクマネジメント - 原則及び指針” に従ってモデル化されており、評価は年次ごと、また年間を通して必要であれば随時実施しています。
アトラシアンのクラウドプラットフォームのロードマップをより詳細に把握
今後のセキュリティ、コンプライアンス、プライバシー、信頼性に関し、可能な限りの可視性をご提供することに尽力します。
アトラシアンのコンプライアンスプログラムについてご質問がありますか?
Cloud の認定を取得済みですか? セキュリティとリスクに関する質問表に回答してもらうことはできますか? 詳しい情報はどこでダウンロードできますか?
あらゆるご質問にお答えいたします。
信頼とセキュリティのコミュニティ
アトラシアンコミュニティの信頼とセキュリティのグループに参加すると、アトラシアンのセキュリティチームと直接やりとりでき、アトラシアン製品を安全かつ信頼できる方法で使用するための情報、ヒント、ベストプラクティスを共有できます。
アトラシアンサポート
セキュリティに関する具体的な質問は、高度な訓練を受けたサポートエンジニアにお問い合わせください。多くの質問に対する回答は、あらかじめ入力されたセキュリティに関する質問表でも確認できます。