Naleving bij Atlassian
Maar geloof ons niet zomaar; inspecteer en controleer ook vooral onze beveiligings- en privacywerkwijzen en -activiteiten. Ons team werkt er onafgebroken aan om onze dekking uit te breiden om organisaties te helpen aan hun compliancebehoeften te voldoen.
Ons complianceprogramma

SOC2
SOC 2 (System and Organization Controls) is een rapport dat regelmatig opnieuw uitgevoerd wordt, gericht op niet-financiële rapportagecontroles die te maken hebben met de beveiliging, beschikbaarheid en vertrouwelijkheid van een cloudservice.
Momenteel bieden we SOC2-rapporten voor Jira en Confluence Cloud, Jira Service Management, Bitbucket Cloud, Trello, Opsgenie, Statuspage, Jira Align en Halp.
Geheimhoudingsovereenkomst
Ernst & Young LLP ('EY') heeft het bijgevoegde rapport (het 'rapport') opgesteld ten behoeve van en gebruik door Atlassian Pty Ltd (het 'bedrijf'), en, voor beperkte doeleinden in overeenstemming met de relevante normen van het American Institute of Certified Public Accountants (de 'AICPA'), bestaande gebruikersentiteiten van het bedrijf en hun auditors. Daarnaast kunnen bepaalde potentiële gebruikersentiteiten, die door het bedrijf zijn geïdentificeerd (gezamenlijk met bestaande gebruikersentiteiten, elk een 'ontvanger'), toegang hebben tot het rapport onder de voorwaarden van deze overeenkomst. Om toegang tot het rapport te krijgen, moet je instemmen met de onderstaande voorwaarden. Lees deze aandachtig door. Als je niet als individu maar namens je organisatie met deze overeenkomst instemt, verwijzen 'ontvanger' en 'jij' naar je organisatie en bind je je organisatie aan deze overeenkomst.
Door hieronder op de knop 'IK GA AKKOORD' te klikken, geef je aan dat jij en de ontvanger ermee akkoord gaan gebonden te zijn aan deze algemene voorwaarden. Deze aanvaarding en overeenkomst worden geacht even effectief te zijn als een schriftelijke handtekening namens jezelf en de ontvanger, en deze overeenkomst wordt geacht te voldoen aan alle schriftelijke vereisten van enig toepasselijk recht, niettegenstaande het feit dat de overeenkomst elektronisch is geschreven en aanvaard. Verspreiding of openbaarmaking van enig deel van het rapport of enige informatie of adviezen daarin aan andere personen dan het bedrijf is verboden, behalve zoals hieronder vermeld.
Het bedrijf stemt ermee in de ontvanger toegang te verlenen tot het rapport op voorwaarde dat de ontvanger het volgende leest, begrijpt en ermee instemt:
- Het rapport bestaat uit een onderzoek van een serviceauditor (de 'diensten') dat voor het bedrijf is uitgevoerd in overeenstemming met de AICPA-handleiding 'Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy'. De ontvanger heeft gevraagd dat het bedrijf de ontvanger een kopie van het rapport verstrekt.
- De diensten werden uitgevoerd en het rapport werd opgesteld, uitsluitend ten behoeve van en gebruik door het bedrijf, de bestaande gebruikersentiteiten en hun accountants –en was niet bedoeld voor enig ander doel, inclusief het gebruik door potentiële gebruikersentiteiten van het bedrijf. EY heeft de ontvanger geen enkele verklaring of garantie gegeven ten aanzien van de toereikendheid van de diensten of anderszins met betrekking tot het rapport. Als EY betrokken bij het uitvoeren van aanvullende diensten of procedures was geweest, zouden andere zaken onder de aandacht van EY kunnen zijn gekomen die in het rapport zouden zijn behandeld.
- De diensten (a) vormden geen audit, toetsing of onderzoek van jaarrekeningen in overeenstemming met algemeen aanvaarde auditnormen van de AICPA of de normen van de Public Company Accounting Oversight Board, (b) vormden geen onderzoek van toekomstige jaarrekeningen in overeenstemming met toepasselijke professionele normen of (c) omvatten geen procedures om fraude of illegale handelingen op te sporen om de naleving van de wet- of regelgeving van een rechtsgebied te testen.
- De ontvanger (a) verwerft geen rechten jegens EY, enig ander lid van het wereldwijde Ernst & Young-netwerk, of een van hun respectievelijke gelieerde ondernemingen, partners, agenten, vertegenwoordigers of werknemers (gezamenlijk de 'EY-partijen'), het bedrijf of een van diens respectievelijke gelieerde ondernemingen, partners, agenten, vertegenwoordigers of werknemers (samen met EY-partijen, de 'partijen in het rapport), en de partijen in het rapport aanvaarden geen verplichting of aansprakelijkheid jegens de ontvanger, in verband met de diensten of de toegang tot het rapport hieronder; (b) mag zich niet beroepen op het rapport; en (c) zal niet betogen dat bepalingen van de wetten van de Verenigde Staten of wetten inzake staatseffecten enige bepaling van deze overeenkomst ongeldig zouden kunnen maken of vermijden.
- Behalve wanneer dit verplicht is door een juridische procedure (waarover de ontvanger EY en het bedrijf onmiddellijk zal informeren zodat zij passende bescherming kunnen zoeken), zal de ontvanger geen rapport of een deel daarvan of enige andere vertrouwelijke informatie die van EY of van het bedrijf is ontvangen, mondeling of schriftelijk openbaar maken in relatie daartoe of verwijzen naar EY of het bedrijf in verband daarmee, in enig openbaar document of naar een derde partij, anders dan werknemers, agenten en vertegenwoordigers van de ontvanger, die de informatie moeten kennen om de activiteiten te evalueren op naleving van de beveiliging, regelgeving en andere bedrijfsbeleid, en mits dergelijke derden gebonden zijn aan geheimhoudingsbeperkingen die ten minste even streng zijn als die welke in deze overeenkomst zijn vermeld. 'Vertrouwelijke informatie' verwijst naar het rapport en andere informatie en materialen die (i) door het bedrijf schriftelijk worden bekendgemaakt en als vertrouwelijk worden aangemerkt op het moment van openbaarmaking, of (ii) door het bedrijf op een andere manier worden bekendgemaakt en als vertrouwelijk worden aangemerkt op het moment van openbaarmaking en binnen dertig (30) dagen na openbaarmaking, of (iii) redelijkerwijs worden beschouwd als vertrouwelijk van aard.
- De ontvanger mag vertrouwelijke informatie, inclusief het rapport, gebruiken gedurende een periode van een (1) jaar na openbaarmaking of een andere geldigheidstermijn zoals aangegeven in het rapport, en alleen om de activiteiten van het bedrijf te evalueren op naleving van de beveiliging, regelgeving en ander bedrijfsbeleid. Deze overeenkomst vormt of impliceert geen overeenkomst voor enige transactie of een overdracht door het bedrijf van enige rechten op haar intellectuele eigendom.
- De ontvanger (namens zichzelf en zijn opvolgers en rechtverkrijgers) ontslaat hierbij elk van de partijen in het rapport van alle claims of oorzaken van actie die de ontvanger heeft, of hierna kan of zal hebben, in verband met het rapport, de toegang van de ontvanger tot het rapport, of de uitvoering van de diensten. De ontvanger vrijwaart en verdedigt de partijen in het rapport van en tegen alle vorderingen, aansprakelijkheden, verliezen en uitgaven die zijn geleden of gemaakt door een van hen voortvloeiend uit of in verband met (a) enige schending van deze overeenkomst door de ontvanger of zijn vertegenwoordigers; en/of (b) enig gebruik of vertrouwen op het rapport of andere vertrouwelijke informatie door een partij die direct of indirect toegang heeft tot het rapport van of via de ontvanger of op diens verzoek.
- Na beëindiging van deze overeenkomst of na schriftelijk verzoek van een partij in het rapport zal de Ontvanger: (i) het gebruik van de vertrouwelijke informatie staken, (ii) de vertrouwelijke informatie en alle kopieën, notities of uittreksels daarvan binnen zeven (7) werkdagen na ontvangst van het verzoek retourneren of vernietigen, en (iii) na verzoek van een rapporterende partij, schriftelijk bevestigen dat de ontvanger aan deze verplichtingen heeft voldaan.
- Deze overeenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met de wetten van de staat New York die van toepassing zijn op overeenkomsten die zijn gemaakt en volledig moeten worden uitgevoerd door ingezetenen daarvan. Deze overeenkomst kan worden afgedwongen door een van de partijen in het rapport, hetzij individueel of gezamenlijk.
Door je e-mailadres in te voeren ga je ermee akkoord gebonden te zijn aan de voorwaarden van deze overeenkomst. Als je deze overeenkomst aangaat voor een entiteit, zoals het bedrijf waarvoor je werkt, verklaar je dat je wettelijk bevoegd bent om die entiteit te binden.
Download het rapport dat je wilt inzien:

SOC 3
SOC 3 (System and Organization Controls) is een rapport dat regelmatig opnieuw uitgevoerd wordt, gericht op interne controles die te maken hebben met de beveiliging, beschikbaarheid en vertrouwelijkheid van een cloudservice.
Download SOC3 voor:

PCI DSS
De Payment Card Industries Data Security Standard is een informatiebeveiligingsnorm voor de verwerking van creditcardgegevens.
Download onze PCI AoC (Attestations of Compliance) voor:

ISO/IEC 27001
ISO 27001 is een specificatie voor een ISMS (information security management system); een kader voor de informatierisicobeheer-processen van een organisatie.
Producten opgenomen in certificering: Jira Cloud (inclusief Automation for Jira - A4J), Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align, Statuspage en Jira Service Management (JSM)

ISO/IEC 27018
ISO 27018 is een gedragscode voor de bescherming PII (personaly identifiable information) persoonsgegevens in publieke clouds die fungeren als PII-verwerkers.
Producten opgenomen in certificering: Jira Cloud (inclusief Automation for Jira - A4J), Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align, Statuspage en Jira Service Management (JSM)

VPAT
De Voluntary Product Accessibility Template is een document dat providers kunnen gebruiken om de toegankelijkheid van een bepaald product zelf aan te geven.

FedRAMP
Het Federal Risk and Authorization Management Program (FedRAMP) is een Amerikaans federaal programma dat een gestandaardiseerde aanpak biedt van beveiligingsbeoordeling, autorisatie en continue bewaking van cloudproducten en -services.
Bekijk de individuele status van de volgende producten op de FedRAMP Marketplace:
Programma voor leveranciersbeheer en beveiligingsbeoordelingen
Onze datacenters, co-locaties en beheerde serviceproviders doorlopen een uitgebreide beveiligingsbeoordeling als onderdeel van het beoordelingsproces en ondergaan vervolgens regelmatige SOC1, SOC2 en/of ISO/IEC 27001 audits. In het geval dat deze audits materiële bevindingen opleveren die een risico vormen voor Atlassian of onze klanten, werken we nauw samen met de leverancier om hun herstelinspanningen in de gaten te houden tot het probleem is verholpen.
Het gemeenschappelijk controlekader van Atlassian
Ons gemeenschappelijk controlekader is een reeks beveiligingsactiviteiten en -controles die Atlassian implementeert in onze internationale product- en infrastructuurteams. Om dit kader op te bouwen hebben we de vereisten van alle certificeringen die van toepassing zijn op Atlassian-klanten overal ter wereld geanalyseerd. Dankzij deze holistische en gestructureerde aanpak van compliance kunnen we deze controles consistent implementeren in de producten en infrastructuur van Atlassian.
Lidmaatschap Cloud Security Alliance
Atlassian is lid van de Cloud Security Alliance (CSA), een organisatie zonder winstoogmerk die als doel heeft om best practices voor beveiligingsgarantie voor cloudcomputing te stimuleren. Het STAR (Security, Trust en Assurance Registry) van CSA is een openbaar toegankelijk register waarin beveiligingscontroles die binnen de branche geverifieerd zijn worden gedocumenteerd. We werken regelmatig een CAI (Consensus Assessment Initiative)-vragenlijst bij en maken deze openbaar om te bekijken.

Risicobeheerprogramma
Door enterprise-risicobeheer te integreren in een organisatie, verbetert de besluitvorming op het gebied van toezicht, strategie, doelstelling en dagelijkse bedrijfsvoering. Het Risk Management Program van Atlassian staat centraal bij ons risico- en complianceteam en dient als de basis voor ons besluitvormingsproces. Ons programma is gemodelleerd naar ISO31000-2009, "Risk Management - Principles and Guidelines" en evaluaties worden zowel jaarlijks als gedurende het jaar wanneer nodig uitgevoerd.
Meer inzicht krijgen in de roadmap van ons cloudplatform
We zijn toegewijd aan het bieden van zichtbaarheid in onze komende releases op het gebied van beveiliging, compliance, privacy en betrouwbaarheid waar mogelijk.
Heb je meer vragen over ons complianceprogramma?
Hebben jullie cloudcertificeringen? Kunnen jullie mijn vragenlijst over beveiliging en risico invullen? Waar kan ik meer informatie downloaden?
We zijn er en we zitten klaar om al je vragen te beantwoorden.
Community Trust & Security
Sluit je aan bij de groep Trust & Security in de Atlassian Community om rechtstreeks van ons beveiligingsteam te horen en informatie, tips en best practices voor het veilig en betrouwbaar gebruiken van Atlassian-producten te delen.
Atlassian-ondersteuning
Neem contact op met een van onze uitstekend opgeleide supporttechnici om antwoorden te krijgen op je specifiekste beveiligingsvragen. Je vindt de antwoorden op de meeste van je vragen wellicht ook in onze ingevulde beveiligingsvragenlijsten.