Atlassian의 규정 준수
설명만 읽어 보지 마시고 직접 Atlassian의 보안과 개인 정보 보호 규정 및 운영 방식을 확인해 보세요. Atlassian의 팀은 조직이 규정 준수 요구 사항을 충족할 수 있도록 지원 범위를 확대하기 위해 지속적으로 노력하고 있습니다.
Atlassian의 규정 준수 프로그램
SOC2
SOC(System and Organization Controls) 2는 정기적으로 업데이트되는 재무와 관련되지 않은 보고 컨트롤에 집중하는 보고서입니다. 클라우드 서비스의 보안, 가용성 및 기밀 유지와 관련한 내용을 담고 있습니다.
Atlassian에서는 현재 Jira, Confluence Cloud, Jira Service Management, Bitbucket Cloud, Trello, Opsgenie, Statuspage, Jira Align, Halp에 대한 SOC 2 보고서를 제공합니다.
비밀 유지 계약
Ernst & Young LLP(이하 “EY”)는 오직 Atlassian Pty Ltd(이하 "회사")만을 위한, 회사만 사용할 수 있는 첨부된 보고서(이하 "보고서")를 마련했습니다. 이 보고서는 미국공인회계사협회(이하 "AICPA")의 관련 표준에 따라 제한된 목적으로 회사의 기존 사용자 법인 및 감사자가 사용할 수 있습니다. 또한 회사에서 식별한 특정 잠재 사용자 법인( 기존 사용자 법인을 포함해 총칭하여, 이하 각 "수신자")은 이 계약의 약관에 따라 해당 보고서에 액세스할 수 있습니다. 보고서에 액세스하려면 다음에 명시된 약관에 동의해야 합니다. 다음 내용을 주의 깊게 읽어 보시기 바랍니다. 개인이 아닌 회사를 대표하여 본 약관에 동의하는 경우, "수신자" 또는 "귀하"는 귀하의 회사를 의미하며, 귀하의 회사는 이 계약을 체결하게 됩니다.
아래 "동의함" 버튼을 클릭하면 귀하와 수신자가 이 약관의 계약을 체결하는 데 동의하는 것으로 간주됩니다. 귀하가 자신과 수신자를 대신하여 서면으로 서명하면 약관의 수락과 동의에 효력이 발생합니다. 본 계약이 전자적으로 작성 및 수락되었다 하더라도 모든 해당 법률의 모든 서면 요구 사항을 충족하는 것으로 간주됩니다. 아래 명시된 경우를 제외하고, 보고서의 일부 또는 그 안에 포함된 정보 또는 권고 사항을 회사 외부인에게 배포하거나 공개하는 행위는 금지됩니다.
수신자가 다음 내용을 모두 읽고 이해하고 동의한다는 조건으로, 회사는 수신자가 보고서에 액세스할 수 있는 것에 동의합니다.
- 보고서는 AICPA 가이드에 따라 서비스 감사자가 회사를 대상으로 수행한 검사(이하 "서비스")로 구성되어 있으며, 보안, 가용성, 처리 무결성, 기밀 유지 또는 개인 정보 보호와 관련된 서비스 조직의 규정에 대해 보고합니다. 수신자가 회사에 보고서 사본을 제공해 줄 것을 요청했습니다.
- 서비스를 시작했으며, 회사, 기존 사용자 법인 및 감사자만을 위한, 그리고 이들만 사용할 수 있는 보고서를 준비했습니다. 이 보고서는 회사의 잠재 사용자 법인이 사용하는 것을 비롯한 다른 목적으로 사용할 수 없습니다. EY는 수신자에게 서비스의 충분함 또는 보고서와 관련한 어떠한 부분도 진술하거나 보증하지 않았습니다. EY에서 추가 서비스 또는 절차를 약속했다면, EY가 보고서에 설명된 다른 문제에 대해 알고 있을 것입니다.
- 이 서비스는 (a) 일반적으로 인정받는 AICPA 감사 표준 또는 미국 상장회사회계감독위원회의 표준에 따른 재무 제표에 대한 감사, 검토 또는 검사, (b) 해당하는 전문 표준에 따른 향후 재무 제표에 대한 검사로 해석되지 않으며, (c) 관할 구역의 법률 또는 규정 준수를 테스트하기 위한 사기 또는 불법 행위를 감지하는 절차를 포함하지 않습니다.
- 수신자는 (a) EY, 모든 글로벌 Ernst & Young 네트워크의 회원 기업 또는 각 계열사, 파트너, 에이전트, 대리인, 직원(총칭하여 이하 "EY 당사자"), 회사 또는 회사의 각 계열사, 파트너, 에이전트, 대리인, 직원(EY 당사자를 포함하여, 이하 "보고 당사자")에 대한 어떠한 권리도 획득하지 않으며 보고 당사자는 서비스 또는 보고서 액세스와 관련하여 수신자에 대한 어떤 의무나 법적 책임을 지지 않으며; (b) 보고서에 의존할 수 없으며; 및 (c) 미국 또는 주 보안법의 조항이 이 계약의 특정 조항을 무효화시킬 수 있다고 주장할 수 없습니다.
- 법적 절차에서 강제하는 경우(EY 및 회사가 적절한 보호 조치를 할 수 있도록 수신자가 즉시 EY 및 회사에 통지해야 함)를 제외하고, 수신자는 본 계약에 따라 보고서나 보고서의 일부나 EY 또는 회사로부터 받은 기타 기밀 정보를 구두 또는 서면으로 공개하거나 본 계약에 따라 수신자의 보안, 규제 및 기타 비즈니스 정책의 규정 준수에 대한 운영을 평가하기 위해 정보를 알아야 하는 수신자의 직원, 에이전트 및 대리인을 제외하고 및 타사는 최소한 본 계약에 명시된 수준의 엄격한 기밀 유지 제한을 따른 경우를 제외하고 타사 또는 공개 문서에 EY 또는 회사를 언급할 수 없습니다. "기밀 정보"란 (i) 회사에서 서면으로 공개했으며 공개 시점에 기밀이라고 표시했거나 (ii) 회사에서 다른 방식으로 공개했으며 공개 시점 또는 공개로부터 30일 내에 기밀이라고 식별했거나 (iii) 합리적으로 기밀 특성을 갖는다고 여겨지는 보고서 및 기타 정보와 자료를 의미합니다.
- 수신자는 공개일로부터 일(1) 년이 되지 않는 기간 또는 보고서에 따로 명시된 유효 기간 동안 수신자의 보안, 규제 및 기타 비즈니스 정책의 규정 준수에 대한 회사의 운영을 평가할 목적에 한해 보고서를 포함한 기밀 정보를 사용할 수 있습니다. 본 계약은 특정 거래의 체결이나 회사가 지적 재산권 권리를 양도하는 데 동의하는 것으로 해석되거나 이를 의미하지 않습니다.
- 수신자(당사자, 후계자 및 양수인)는 본 계약에 따라 보고서, 보고서에 대한 수신자의 액세스 권한 또는 EY의 서비스 이행과 관련하여 수신자가 보고 당사자에 대해 현재 제기하거나 향후 제기할 모든 청구 또는 소송에서 각 보고 당사자를 면제합니다. 수신자는 (a) 수신자 또는 수신자 대리인이 본 계약을 위반하거나, (b) 수신자로부터 또는 수신자를 통해, 또는 수신자의 요청을 받아 보고서에 대한 액세스 권한을 직접 또는 간접적으로 취득한 당사자가 보고서 또는 기타 기밀 정보를 사용하거나 의존하는 것과 관련하여 발생하는 모든 청구, 책임, 손해 및 지출에 대해 배상하거나 변호하고, 보고 당사자의 책임을 면제합니다.
- 본 계약이 종료되거나 보고 당사자의 서면 요청이 있는 경우, 수신자는 (i) 기밀 정보 사용을 중단하고, (ii) 요청을 받은 날로부터 영업일 기준 7일 이내에 기밀 정보 및 모든 사본, 기록물 또는 발췌본을 회사에 반납하거나 폐기하고, (iii) 보고 당사자의 요청 시 수신자는 이 의무를 준수했음을 서면으로 확인해 주어야 합니다.
- 본 계약은 뉴욕주 거주자 간에 체결하여 완전히 이행해야 하는 계약에 적용할 수 있는 뉴욕주의 법률의 적용을 받으며 그에 따라 해석해야 합니다. 보고 당사자는 개인 또는 단체로 본 계약을 시행할 수 있습니다.
이메일을 입력하면 이 계약의 약관을 따르는 데 동의하게 됩니다. 근무하는 회사와 같은 법인을 대표하여 이 계약을 체결하려는 경우, 귀하가 해당 법인의 계약을 체결할 법적 권한이 있음을 진술합니다.
보려는 보고서를 다운로드하세요.
SOC 3
SOC(System and Organization Controls) 3는 정기적으로 업데이트되는 내부 규정 관련 보고서이며 클라우드 서비스의 보안, 가용성 및 기밀 유지와 관련된 내용을 담고 있습니다.
다음에 대한 SOC3 다운로드:
PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 정보 처리를 위한 정보 보안 표준입니다.
다음에 대한 PCI AoC(Attestations of Compliance) 다운로드:
ISO/IEC 27001
ISO 27001은 조직의 정보 위험 관리 프로세스에 대한 프레임워크 ISMS(Information Security Management System)의 규격입니다.
인증에 포함된 제품: Jira Cloud, Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align 및 Statuspage
ISO/IEC 27018
ISO 27018은 PII(개인 식별 정보) 프로세서 역할을 하는 공용 클라우드에서 PII를 보호하기 위한 행동 지침입니다.
인증에 포함된 제품: Jira Cloud, Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align 및 Statuspage
VPAT
VPAT(Voluntary Product Accessibility Template)는 공급업체가 특정 제품의 접근성을 스스로 공개할 때 사용하는 문서입니다.
FedRAMP
FedRAMP(미국 연방 위험 및 승인 관리 프로그램)는 클라우드 제품 및 서비스에 대한 보안 평가, 승인 및 지속적 모니터링에 대해 표준화된 접근 방식을 제공하는 미국 연방 정부 프로그램입니다.
다음 제품에 대해 FedRAMP Marketplace에서 개별 상태를 확인하세요.
벤더 관리 및 보안 평가 프로그램
Atlassian의 데이터센터, 코로케이션 및 관리되는 서비스 공급자는 평가 프로세스의 일환으로 철저한 보안 평가를 받으며, 그 후에는 정기적인 SOC1, SOC2 및/또는 ISO/IEC 27001 감사를 받습니다. 감사를 통해 Atlassian이나 고객에게 위험이 될 수 있는 중요한 요소를 발견한 경우, Atlassian은 벤더와 긴밀히 협력하여 이슈가 해결될 때까지 벤더에서 이를 수정하기 위해 어떤 노력을 기울이는지 지속적으로 확인합니다.
Atlassian 컨트롤 프레임워크
Atlassian의 일반 컨트롤 프레임워크는 Atlassian이 전체 글로벌 제품 및 인프라 팀에 구현하는 일련의 보안 활동 및 컨트롤입니다. 이 프레임워크를 만들기 위해 Atlassian은 전 세계 Atlassian 고객에게 적용되는 모든 인증의 요구 사항을 분석했습니다. Atlassian은 이처럼 규정 준수에 대한 전체적이고 구조화된 접근 방식을 통해 지속적으로 Atlassian의 제품 및 인프라를 제어할 수 있습니다.
CSA(Cloud Security Alliance) 멤버십
Atlassian은 클라우드 컴퓨팅 분야에서 보안 보증을 위한 모범 사례 촉진을 목표로 하는 비영리 조직인 CSA(Cloud Security Alliance)의 회원입니다. CSA의 STAR(Security, Trust & Assurance Registry)는 업계에서 검증된 보안 컨트롤을 문서화한 공개 액세스가 가능한 레지스트리입니다. Atlassian에서는 일상적으로 CAI(Consensus Assessment Initiative) 설문 조사를 업데이트하고 일반인들에게 공개하고 있습니다.
위험 관리 프로그램
조직 전체의 엔터프라이즈 위험 관리를 통합하면 거버넌스, 전략, 목표 설정, 일상 운영에서 의사결정을 개선할 수 있습니다. Atlassian의 위험 관리 프로그램은 위험 및 규정 준수 팀에서 중점적으로 관리하고 있으며, Atlassian의 의사결정 프로세스의 기반이 됩니다. Atlassian의 프로그램은 ISO31000-2009 “위험 관리 - 원칙 및 가이드라인”을 모델로 하여 작성했으며, 매년 및 연중에도 필요할 때마다 평가합니다.
Cloud 플랫폼 로드맵에 대한 높은 가시성
Atlassian은 향후 보안, 규정 준수, 개인 정보 보호 및 안정성 릴리스에서 가능한 부분에 대해 최대한 가시성을 제공하기 위해 노력합니다.
규정 준수 프로그램과 관련하여 질문이 더 있으신가요?
클라우드 인증이 있나요? 제 보안 및 위험 관련 설문 조사에 답변해 주실 수 있나요? 어디에서 추가 정보를 다운로드할 수 있나요?
고객의 모든 질문에 답변하겠습니다.
신뢰 및 보안 커뮤니티
Atlassian 커뮤니티의 신뢰 및 보안 그룹에 가입하여 보안 팀으로부터 직접 이야기를 듣고, Atlassian 제품을 안전하고 안정적인 방법으로 사용하기 위한 정보, 팁 및 모범 사례를 공유하세요.
Atlassian 지원
많은 훈련을 받은 Atlassian 지원 엔지니어에게 문의하여 구체적인 보안 질문에 대한 답변을 들으세요. 미리 답변이 채워져 있는 보안 설문 조사에서 상당수 질문에 대한 답변을 찾아볼 수 있습니다.