Close

Marketplace アプリの信用度

アトラシアンのお客様とサードパーティの Marketplace パートナーの間の重要な要素は、信頼性です。

ベン図スポット

クラウド・アプリは共同責任

アトラシアンは、お客様と Marketplace パートナー間のコミュニケーションを促進するための情報、コントロール、機能を提供します。

Marketplace パートナー

Marketplace パートナーは、信頼性が高くコンプライアンスに準拠した安全なアプリに関する法的義務、アトラシアンの要件、一般的な業界のベスト・プラクティスに従って、アプリと運用プロセスを設計します。また、情報に基づいた意思決定に役立つサポートと情報も提供します。

アトラシアン

アトラシアンは、Marketplace パートナーが信頼できるアプリを構築し、お客様がアプリを評価して管理するのに役立つ情報と機能を提供します。

あなた

お客様は、アトラシアンと Marketplace パートナーから提供された情報を利用して、アプリが自社の要件に合うかどうかを評価します。アプリをインストールするには、アトラシアンとの関係とは別に Marketplace パートナーとの新しい関係が必要であることを認識していることが重要です。

お客様とパートナーをサポートするアトラシアンのアプローチ

Marketplace パートナーに対するデータ保護のサポート

アトラシアンは、お客様が Marketplace アプリでワークフローを拡張する際に、サードパーティがお客様のデータを保護するのに役立つプログラム、ツール、教育リソース、要件を提供しています。

パートナーが私たちの要件を満たしていない場合、バッジの削除、Marketplace 上のアプリの非表示、一時停止、公的な透明性ページへの追加などの措置を講じる可能性があります。

プライバシーとセキュリティの基準を設定する

アトラシアンの Marketplace プログラムは、Marketplace パートナーがアプリのセキュリティとプライバシーに関して一貫した最高標準を達成するのに役立ちます。

クラウド・セキュリティ・スポット

要件を含むセキュリティ基準を設定する

アトラシアンでは、すべての Marketplace アプリが満たす必要があるクラウド・アプリのセキュリティの最低要件を定義しています。これらの要件は必須であり、すべてのアプリでセキュリティのベスト・プラクティスを実施することを目指しています。

コードレビューのイラスト

継続的なスキャンでセキュリティを維持する

アトラシアンの Ecoscanner プラットフォームは、エコシステムのセキュリティを確保するために、すべての Marketplace クラウド・アプリを対象にしたセキュリティ・チェックを継続的に実行します。

アプリがセキュリティ要件を満たしていないことが判明した場合、アトラシアンは顧客を保護するための措置を講じます。

虫のロゴ

セキュリティ問題の迅速な解決

Marketplace のすべてのクラウド・アプリのセキュリティを確実に保護するため、Marketplace パートナーはセキュリティ・バグ修正 SLA を遵守することが求められます。Marketplace に掲載されているアプリに脆弱性やセキュリティ要件の未達が見つかった場合、パートナーは迅速に対応する必要があります。

Bugcroud のロゴ

オプトイン・バグ報奨金プログラムによる脆弱性発見の強化

アトラシアンはセキュリティと信頼性を向上させるために、最高クラスの Marketplace バグ報奨金プログラムを設けています。このプログラムに参加する Marketplace パートナーは、プログラムを通して脆弱性を発見したセキュリティ調査員に報奨金を支払うことによって、セキュリティ・リスクが発生する前に積極的に対処できます。このプログラムは通常はオプションですが、Cloud Fortified または Cloud Security Participant バッジを取得するにはアプリが参加する必要があります。

セキュリティ・プラクティス・スポット

プライバシー要件による透明性の確保

アプリには、データへのアクセス、収集、処理、およびエンド・ユーザー・データを誰と共有しどこに保存できるかを概説したプライバシー ポリシーの提供が義務づけられています。

アトラシアンは、プライバシー ポリシーに加えて、エンド・ユーザー・データの処理に必要なすべての権利、許可、同意をエンド・ユーザーから取得することをパートナーに義務づけています。

顧客向けの管理上の可視性とコントロール

Atlassian Marketplace のアプリの情報は一元化されているので、要件に合ったアプリを選ぶために必要な情報を入手できます。

さらに、コントロールを活用して、信頼できるアプリだけが必要なデータにアクセスできるようにします。

私たちはこれを、次の方法でサポートしています。
チェックマークのアイコン

admin.atlassian.com でのアプリ管理の一元化

チェックマークのアイコン

エンド・ユーザーのアプリ・インストールのコントロール

チェックマークのアイコン

選択したコンテンツへのアプリ アクセスを制限するコントロール

チェックマークのアイコン

Atlassian Marketplace の「プライバシーとセキュリティ」タブ

チェックマークのアイコン

Marketplace の各アプリ・リストに必要なプライバシー ポリシー

アプリを使ってワークスペースを安全にパワーアップできる

アトラシアンでは、admin.atlassian.com と Marketplace でトラスト・バッジに加えてより多くのアプリ情報を提供するために、常にパートナーと協力しています。インストールする前にアプリの詳細を確認するには、次の方法があります。

ステップ 1

アプリのリストにある「プライバシーとセキュリティ」タブから始めます。

これには、アプリがデータを処理する方法、権限、コンプライアンス認定、セキュリティの詳細、プライバシー情報などに関するパートナー提供の情報を含める必要があります。

ステップ 2

アプリのプライバシー ポリシーを確認します。

パートナーは、Marketplace アプリ・リストにアプリによるデータ・アクセスと使用方法を詳述したプライバシー ポリシーを提供する必要があります。「プライバシーとセキュリティ」タブに必要な情報が見つからない場合は、プライバシー ポリシーまたはドキュメント内を探してみてください。

ステップ 3

パートナーの Web サイトを確認します。

一部のパートナーには、会社とアプリに関する詳細な情報を提供できる独自の総合的なトラスト・センターがあります。

ステップ 4

パートナーに直接連絡します。

アプリのリストでサポートの連絡先を見つけることができますが、セキュリティ上の質問の場合は、必ずしもこれが適切な連絡先とは限りません。時間を節約するために、「プライバシーとセキュリティ」タブに直接記載されているセキュリティ連絡先をご確認ください。

ステップ 5

新しいバージョンのアップデートにサインアップします。

または、admin.atlassian.com の「接続済みアプリ」タブでアップデート可能なアプリを確認して、アプリの変更に関する最新情報を入手できるようにします。

データとワークフローを保護するためにさらに一層の努力をしているアプリを見つける

Atlassian Marketplace では、一部のアプリに Cloud Security Participant または Cloud Fortified バッジが表示されています。これらのバッジによって、アトラシアンの一般的な標準を上回るアプリを簡単に特定し、安全で信頼性の高いクラウド・エクスペリエンスを提供できるようになります。

各バッジの要件は以下のとおりです。

 

 

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

プライバシー

アプリのプライバシーポリシー

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

セキュリティ

基本のクラウド アプリのセキュリティ要件

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

Atlassian のアプリの脆弱性スキャンを実行するプラットフォーム Ecoscanner による監視

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

Atlassian が定義する、追加のアプリ セキュリティ要件と修正の時間枠

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

Marketplace バグ報奨金プログラムへの参加

All Cloud apps

 

Cloud Security Participant アプリ

Cloud Fortified アプリ

[プライバシーとセキュリティ] タブを完備

すべての Cloud アプリ

(任意)

Cloud Security Participant アプリ

(任意)

Cloud Fortified アプリ

信頼性

サービスの信頼性とパフォーマンスに関する大規模な追加チェック

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified アプリ

より迅速な復旧と継続的な改善を実現する、Atlassian のプロセスと連携したインシデントとレビューのプロセス

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified アプリ

サポート

商用的に合理的なサポート提供の努力

すべての Cloud アプリ

Cloud Security Participant アプリ

Cloud Fortified アプリ

すべての T1 チケットに対する 24 時間以内での対応、週 5 日の SLA

All Cloud apps

 

Cloud Security Participant apps

 

Cloud Fortified アプリ

Frequently Asked Questions

What does Atlassian do to ensure the security of Marketplace apps?
  

Atlassian has programs and requirements in place to ensure a baseline of security and privacy across 3rd party Marketplace apps, as well as opt-in programs to encourage additional investment. We also regularly share educational materials to help Marketplace Partners build trustworthy cloud apps.

To maintain the baseline of security and privacy best practices across all 3rd party cloud apps, Atlassian regularly scans all cloud apps listed on the Marketplace. Specific Cloud Security Requirements are enforced via a set of security scanners powered by Atlassian’s EcoScanner platform.

In addition, all Marketpalce Partners must accept and comply with Atlassian Developer Terms, Marketplace Partner Agreement and Security Bug Fix Policy for Marketplace apps, which outline legal and privacy requirements as well as SLAs for security bugs.

Alongside our baseline security requirements, we also issues badges for the Marketplace to apps that have made additional investments in security, reliability and support. These badges identify:

For trust-related information (data protection, security, privacy, compliance) about specific apps, you can also view the answers provided by the app’s vendor in the Privacy & Security tab of their app listing on the Atlassian Marketplace.

Can Marketplace apps access, process or store my data?
  

Most apps need to access data in your instance to perform their core functions.

Before you install an app, we will present a page requesting consent preferences, so that you may elect how data will be accessed, processed, and stored. Admins must consent to the app's request for data access during the installation flow.

Each Marketplace app requires a different set of permissions. These details, along with data handling practices (e.g data residency, processing, storage, retention), can be found in the Privacy & Security tab on the app listing in the Marketplace.

Are there controls to block Marketplace Partners from accessing or extracting customer data?
  

With the app access rule under data security policies, customers can limit app access to certain content in selected projects or spaces. You can create an app access rule to limit an app’s ability to access and modify certain data in a Confluence space or Jira project, particularly user-generated content such as pages, blog posts, attachments, and other content that a user adds to a Confluence space or Jira project. This feature enables org admins to block all apps from spaces and projects, whereas Atlassian Access customers can make a selection and block a subset of installed apps. Learn more about blocking app access.

Atlassian is building more data loss prevention capabilities, such as data classification, to our Cloud offerings. Atlassian Guard is an easy way to defend your data and improve security posture. You can stay up-to-date on the development of these features by following our Cloud roadmap.

Additionally, there are vendors in the Atlassian Marketplace who provide DLP solutions that may meet your needs.

Does Atlassian perform application penetration testing to Marketplace apps?
  

No, Atlassian doesn’t perform penetration testing on Marketplace apps.

However, Atlassian has a Marketplace Security Bug Bounty program designed for apps which is a requirement of Cloud Fortified program or to get a Cloud Security Participant badge.

All Marketplace apps need to meet the cloud security requirements which are checked and enforced via security scanners and bug fix SLAs. Learn more about security scanning.

Do I have to go through a security assessment for each Marketplace app I am using?
  

Yes. Marketplace partners are independent businesses and by installing an app, you are establishing a separate relationship with them.

Atlassian takes some measures to ensure apps listed on Marketplace meet certain standards. See the cloud security requirements for more details on the security standards we require all Marketplace partners to follow, but ultimately Atlassian is not responsible for the products or services offered by Marketplace partners.

It is your responsibility to review apps and agreements provided by third parties.

To make this process easier for you, every cloud app on Marketplace has a “Privacy & Security” section where partners share more details on app security, data protection, privacy and compliance.

You can also have a look at Marketplace Trust programs to see how we showcase apps that have made additional investments in security through Atlassian’s Cloud Security Participant and Cloud Fortified programs. In case of any remaining questions you may contact the individual app vendor.

Ultimately, it is up to you to vet each app before installation and decide whether it meets your requirements.

信頼とセキュリティのコミュニティ

アトラシアン コミュニティの信頼とセキュリティのグループに参加すると、アトラシアン製品を安全かつ信頼できる方法で使用するための情報、ヒント、ベスト・プラクティスを受け取れます。