ISO/IEC 27001 - Jira 및 Confluence 클라우드는 ISO/IEC 27001 인증을 획득했습니다. 보안 관리 프로그램의 구조에 대한 자세한 내용을 읽고 ISO/IEC 27001 인증서를 Atlassian 규정 준수 페이지에서 검토할 수 있습니다.

ISO/IEC 27018 - Atlassian은 클라우드 환경에서 PII(개인 식별 정보) 또는 PD(개인 데이터) 보호에 대한 ISO/IEC 27018 인증도 받았습니다. Atlassian의 ISO/IEC 27018 인증서도 Atlassian 규정 준수 페이지에서 확인할 수 있습니다.

CSA(Cloud Security Alliance) - Atlassian은 CSA STAR(Security, Trust, & Assurance Registry)를 위한 CCM(Cloud Controls Matrix) CAIQ 자체 평가를 마쳤습니다.

HIPAA / HITECH – Atlassian은 Atlassian Cloud 제품에 대한 비즈니스 협력 계약에 서명할 수 없습니다. 계약이 필요한 기업의 경우 Server 제품을 사용할 것을 권장합니다. 이에 대한 자세한 정보는 개인 정보 보호 정책에서 확인할 수 있습니다.

PCI – Atlassian은 PCI DSS 인증 신용카드 프로세서가 포함된 토큰을 사용합니다. Atlassian에서는 절대 고객의 신용카드 세부 정보를 보거나 저장하지 않습니다. PCI 환경 내에서 당사 제품을 사용하려면 자체 PCI 규정 준수 요구 사항에 대한 평가를 진행해야 합니다.

FedRAMP - Trello Enterprise는 FedRAMP Low-Tailored ATO(Authority to Operate)를 달성했습니다. Jira, Confluence, Jira Align 등 Atlassian 제품은 FedRAMP 승인을 위한 평가를 받고 있습니다. 자세한 내용은 Atlassian 영업 담당자에게 문의하세요.

Atlassian 규정 준수 페이지 및 Atlassian 규정 준수 FAQ에서 자세한 내용을 확인하세요.

Atlassian은 Confluence를 사용하여 내부 정책 센트럴을 구축하기 위해 많은 노력을 기울여 왔습니다. Atlassian의 모든 정책은 유사한 형식 및 구조, 정의된 소유자 및 지정된 검토 주기가 있습니다. Atlassian의 각 내부 기술 도메인 정책에 대한 자세한 내용을 읽어 보세요.

Atlassian은 Atlassian에서 관리하는 책임과 고객 각자가 관리해야 하는 책임에 대해 명시한 백서를 발행했습니다. 고객을 염두에 두고 작성한 이 백서에는 각각의 고객이 관리해야 하는 특정 보안 주제가 자세히 나와 있습니다. 백서를 자세히 읽어 보세요.

Atlassian Cloud 고객의 경우 Cloud 보안 성명서 및 개인 정보 보호 정책에서 Atlassian의 접근 방식을 개괄적으로 확인할 수 있습니다.

Atlassian에서는 전송 중인 고객 데이터와 미사용 고객 데이터를 암호화합니다.

Atlassian Cloud 제품 및 서비스에 저장된 모든 고객 데이터는 TLS(Transport Layer Security) 1.2 이상 및 PFS(Perfect Forward Secrecy)를 사용하는 공용 네트워크를 통해 전송할 때 무단 공개 또는 수정되지 않도록 암호화됩니다.

Data drives on servers holding customer data and attachments in Jira Cloud, Confluence Cloud, Statuspage, Opsgenie, Jira Align and Trello use full disk, industry-standard AES-256 encryption at rest. Customer data on Bitbucket Cloud is not fully encrypted at rest.

자세한 내용을 알아보려면 보안 규정 페이지를 참조하세요.

예, 모든 Atlassian Cloud 시스템은 통신을 위해 PFS와 함께 TLS만 사용합니다. 업계 표준에 따라 Atlassian은 SSL 3에 대한 지원을 중단했습니다.

비밀번호는 Atlassian Cloud 내에서 암호화로 해시하므로, 사용자가 관리할 수 있습니다.

Atlassian은 Atlassian이 호스팅하는 시스템 및 제품에 대한 지속적인 테스트를 비롯하여 광범위한 보안 프로그램을 제공합니다. 또한 Cloud 제품에 대해 독립적인 타사의 평가도 받고 있습니다. 기본적인 테스트 접근 방식은 공개 버그 바운티를 통해 모든 Cloud 및 Server 제품을 테스트하는 것입니다.

아래 보고서에 식별된 보안 취약점은 버그 바운티 유입 프로세스를 거쳐 내부 Jira에서 추적할 수 있으며, 버그 바운티에서 발견한 항목은 Atlassian의 공개 보안 취약점 SLA에 따라 분류 및 교정합니다.

최근 보고서는 Atlassian 보안 테스트 페이지 하단에 게시되어 있습니다.

Atlassian 클라우드 제품의 이용 약관 에 따라 현재 Atlassian에서는 고객이 계획한 테스트를 허용합니다. Atlassian은 열린 기업이 되기 위해 노력하고 있으며 계속해서 버그 바운티 프로그램 통계를 정기적으로 게시할 것입니다.

Atlassian 제품 및 서비스의 보안을 평가하는 데 있어서 버그 바운티가 효율적이고 경제적인 접근 방식이라고 생각하지만, 고객이 직접 보안을 테스트하기 원할 수도 있다는 점을 이해합니다. Atlassian에서는 고객이 진행하는 보안 평가(침투 테스트, 취약점 평가)를 허용합니다. 단, 우리 모두의 안전을 위해 몇 가지 규칙을 지켜주실 것을 요청드립니다. 보고할 이슈를 발견한 경우에는 Atlassian의 사이트에 있는 취약점 보고 방법에 대한 지침을 확인해 주세요.

Atlassian 제품에서 취약점을 발견하신 경우, 이를 최대한 빨리 수정할 수 있도록 Atlassian에 알려 주세요. Atlassian의 취약점 보고 방법에 대한 지침을 읽어 보시면 Atlassian 기념품을 받거나 명예의 전당에 이름을 올리는 방법을 확인하실 수 있습니다.

Atlassian의 최신 개인 정보 보호 정책을 확인해 보세요.

Atlassian은 법 집행에 대한 가이드라인, 개인 정보 보호 정책, 고객 계약, 허용되는 사용 정책 및 관련 제품별 약관에 따라 정부 요청에 응답합니다. 고객의 신뢰는 중요하며 Atlassian은 법적으로 필요하다고 합리적으로 간주되는 경우에만 사법 당국의 요청에 따라 고객 정보를 제공합니다. 고객의 권리를 보호하기 위해 Atlasssian에서는 요청을 면밀히 검토하여 법률에 적합한지 확인합니다.

Atlassian에서 고객 정보를 취득하려면 사법 당국의 공무원은 소환장, 법원 명령 또는 영장과 같이 취득하려는 정보에 적합한 법률상의 절차를 제공해야 합니다. 예를 들어, Atlassian은 수색 영장을 발행할 권한이 있는 연방 법원 또는 주 법원에서 상당한 사유에 근거해 유효한 수색 영장을 발행하여 정보를 공개해야만 하는 상황이 아닌 경우 비공개 고객 정보를 제공하지 않습니다. Atlassian은 매년 투명성 보고서에서 사용자 데이터에 대한 정부 요청 및 콘텐츠 제거 또는 계정 중지에 대한 정부 요청 정보를 게시합니다.

Atlassian에서 전송 및 미사용 시 데이터를 암호화하고 보호하는 방법에 대한 자세한 정보는 보안 규정 페이지를 참조하세요.

Atlassian에서는 고객이 가동 중단이나 보안 인시던트를 겪지 않도록 최선을 다하고 있습니다. 그러나 보안 인시던트는 언제라도 발생할 수 있다는 것을 잘 알고 있습니다. 보안 인시던트 발생 시 Atlassian의 책임은 무엇이며 고객이 관리 계획을 세워야 하는 부분은 무엇인지에 대한 내용을 확인하세요.