Close

보안 평가


Cloud 제품의 보안 테스트에 대한 Atlassian 규칙

Atlassian 고객은 사전 승인 없이 아래에 정의된 대로 자신의 Atlassian Cloud 제품에 대한 보안 평가를 수행할 수 있습니다. “보안 평가”라는 용어는 Atlassian 제품 및 서비스의 보안 기능 및 컨트롤을 결정, 평가 또는 테스트하기 위한 모든 활동을 의미합니다(예: 침투 테스트 및 취약성 스캔). 이 페이지에서는 Atlassian Cloud 제품에 대해 보안 평가를 수행하려는 고객에게 적용되는 규칙("보안 테스트 규칙")을 설명합니다. Cloud 제품을 제공하기 위한 Atlassian의 플랫폼(“Atlassian Cloud 플랫폼”)은 공유 인프라를 사용하여 귀하의 Cloud 제품과 다른 고객이 소유하고 있는 Cloud 제품을 호스팅합니다. 모든 보안 평가를 귀하의 Cloud 제품 또는 인스턴스로만 제한하고 다른 고객에게 의도하지 않은 영향을 미치지 않도록 주의를 기울여야 합니다.

모든 보안 평가는 이 페이지에 자세히 설명된 Atlassian 보안 테스트 규칙을 따라야 합니다. Cloud 제품을 사용할 경우 Atlassian Cloud 서비스 약관 또는 관련 Cloud 제품을 구매한 계약의 기타 적용 가능한 사용 약관(총칭하여 “서비스 약관”)이 계속 적용됩니다. 이러한 보안 테스트 규칙 또는 관련 서비스 약관을 위반할 경우 계정이 일시 중단 또는 종료될 수 있으며 및/또는 법적 조치가 이루어질 수 있습니다. 귀하는 이러한 보안 테스트 규칙 또는 서비스 약관을 위반하여 Atlassian Cloud 플랫폼을 손상하거나 다른 고객 데이터 또는 Atlassian Cloud 플랫폼 사용에 부정적인 영향을 주는 경우 그에 대한 책임을 져야 합니다.

보안 평가의 대상이 될 수 있는 Cloud 제품

이러한 보안 테스트 규칙의 목적에서는 다음 목록의 제품이 “Cloud 제품”입니다.

  • Jira Software
  • Jira Service Management
  • Jira Align
  • Jira Work Management
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie
  • Halp

보안 테스트 규칙

허용된 활동

  • 보안 평가는 위에 나열한 해당 Cloud 제품을 구독하는 Atlassian 고객만 수행할 수 있습니다.
  • 이러한 보안 테스트 규칙을 포함해 보안 평가와 관련된 Atlassian의 정책에 따라 Cloud 제품의 자신의 인스턴스에 대해서만 보안 평가를 수행할 수 있습니다
  • 자동 도구/스캐너를 사용하여 보안 평가를 수행할 수 있지만, Atlassian도 이러한 도구를 사용한다는 점에 유의하세요. 자동 스캐너의 결과는 고객의 보안 팀에서 검토 및 심사한 후에 작동 가능하며 재현 가능한 개념 증명을 포함하여 Atlassian에 전달해야 합니다. Atlassian은 심사하지 않은 보안 스캐너 결과를 수락하지 않습니다

금지된 활동

  • 다른 Atlassian 고객이 소유한 것을 포함하여 자신에게 속하지 않는 Cloud 제품, 인스턴스 또느 자산을 검사, 테스트 또는 액세스
  • 다른 고객의 데이터에 의도적으로 액세스(다른 고객의 자격 증명에 액세스하거나 그러한 자격 증명을 사용하는 경우 포함)
  • 비기술적 공격(소셜 엔지니어링, 피싱 또는 인프라에 대한 무단 액세스를 포함하되 이에 국한되지 않음)
  • 물리적 보안 공격(Atlassian 사무실, 장비, 직원 등을 포함하되 이에 국한되지 않음)
  • 범위에 속해 있지 않은 제품을 테스트
  • Atlassian 기업 인프라를 대상으로 테스트
  • DoS(서비스 거부), DDoS(분산형 서비스 거부), 시뮬레이션된 DoS, 시뮬레이션된 DDoS
  • 포트 플러딩
  • 프로토콜 플러딩
  • 요청 플러딩(로그인 요청 플러딩, API 요청 플러딩)
  • 심사하지 않은 취약성 스캐너 또는 보안 평가 애플리케이션의 결과를 제출

문제 보고

Atlassian Cloud 제품 또는 기타 Atlassian 서비스와 관련된 잠재적인 보안 결함을 발견했다고 생각하는 경우 취약성 보고 지침에 따라 24시간 이내에 결함을 보고하는 데 동의합니다. 또한 버그 바운티 프로그램에 결과를 제출할 수 있지만, 자동 스캐너 결과는 수락되지 않습니다. 제출했으면 문제를 일반에게 공개하기 전에 먼저 Atlassian에 허가를 요청해야 합니다. 보안 평가 결과는 Atlassian의 기밀 정보로 간주됩니다. Atlassian은 보고서별로 일반 공개 요청을 처리합니다. 아직 고객을 위해 해결되지 않은 문제를 일반에 공개하라는 요청은 거부됩니다.

추가 약관

다른 Atlassian 고객의 데이터에 의도적으로 액세스하는 행위는 엄격하게 금지되어 있지만 민감한 고객 데이터(예: 로그인 자격 증명, API 키) 또는 고객 데이터에 액세스하는 방법(즉, 취약성을 통해)을 발견했다고 생각하는 경우 즉시 Atlassian 고객 지원팀에 보고하되 취약성을 검증하거나 고객의 계정 또는 데이터에 액세스하려고 시도하지는 마세요.

Atlassian은 귀하가 이러한 보안 테스트 규칙을 위반하는 경우 계정을 일시 정지하거나 종료할 수 있는 권리 외에도 네트워크에서 악의적으로 보이거나 위협이 되는 모든 활동에 대응하는 권리를 보유합니다. Atlassian은 귀하의 보안 평가와 관련된 활동에 대한 남용 보고서를 받는 경우 귀하의 IP 또는 IP 범위를 차단 목록에 추가할 수 있습니다. 그러한 제한을 제거하기 위해 Atlassian 고객 지원팀에 연락하는 경우 보고된 활동의 근본 원인과 보고된 문제가 반복되는 것을 방지하기 위해 수행한 조치를 자세히 설명하세요.

선택 사항으로, Atlassian 보안 팀에 보안 평가를 수행한 의도를 알리려면 보안 평가 의도(Intent for Security Assessment)라는 제목으로 Atlassian 고객 지원팀에 티켓을 제출하세요. 테스트 날짜 및 시간 범위, 소스 IP 또는 범위, 대상 도메 및 연락처 정보도 함께 제출하세요. 미리 알리는 것은 필수는 아니지만, Atlassian이 테스트를 식별하고 테스트를 무효화시킬 수 있는 네트워크 차단을 방지하는 데 도움이 됩니다.

Atlassian Cloud 제품의 파트너 및 리셀러는 고객의 보안 평가 활동에 대해 책임을 집니다.