Risico's en kwetsbaarheden verminderen, periodieke technische en niet-technische evaluaties uitvoeren als reactie op veranderingen in het milieu of de bedrijfsvoering

Jaarlijks doen we een hiatenbeoordeling, werken we onze veiligheidsrisicoanalyse bij en verkrijgen we een HIPAA-attest van een onafhankelijke certificeringsautoriteit.

We voeren risicobeoordelingen uit, waaronder identificatie, beoordeling, toewijzing, acceptatie, herstel en andere relevante managementactiviteiten, om ervoor te zorgen dat we werken binnen de overeengekomen risicobereidheid en relevante wettelijke en regelgevende vereisten. We evalueren voortdurend het ontwerp van controles en mitigatiestrategieën, inclusief het aanbevelen van wijzigingen in de controleomgeving. We hanteren een risico- en controlematrix binnen onze tool Governance, Risk and Compliance (GRC).

Achtergrondonderzoek en juiste beëindigingsprocedures

Nieuwe Atlassians zijn wereldwijd verplicht om een antecedentenonderzoek te ondergaan bij het accepteren van een werkaanbod. Een uitgebreide reeks achtergrondcontroles wordt automatisch geactiveerd en uitgevoerd op alle nieuwe medewerkers en op onafhankelijke contractanten.

Onze medewerken en contractanten die toegang hebben tot vertrouwelijke informatie zijn gebonden aan hun arbeidsovereenkomst en vertrouwelijkheidsdocumenten om ervoor te zorgen dat verantwoordelijkheden en plichten op het gebied van informatiebeveiliging geldig blijven na beëindiging of verandering van dienstverband en contractuele relaties.

Sancties tegen personeelsleden

Tijdens de onboarding moet elke nieuwe medewerker onze zakelijke gedragscode en het ethisch beleid van het bedrijf erkennen en een volledige training over beveiligingsbewustzijn doen. Er bestaan formele sancties die worden toegepast op personen die niet voldoen aan het vastgestelde beleidslijnen en procedures voor informatiebeveiliging.

Toestemming voor toegang voor medewerkers die met ePHI werken

Active Directory-rollidmaatschap wordt automatisch toegewezen op basis van de afdeling en het team van een gebruiker en is beperkt tot degenen die deze toegang nodig hebben. Als een gebruiker overstapt naar een ander team, wordt er een waarschuwing gegenereerd die de follow-up en verwijdering van verouderde toegang activeert, waar nodig. Systeem- of service-eigenaren zijn aangewezen als goedkeurders om gebruikerstoegang te verlenen of te wijzigen binnen Active Directory-toegangsniveaus voor verschillende systemen.

Bevoorrechte toegang tot productieomgevingen is beperkt tot geautoriseerde en geschikte gebruikers.

Toegang tot ons interne netwerk en onze tools is beperkt tot geautoriseerde gebruikers via logische toegangsmaatregelen. Elk gebruikersaccount moet:

• een actief Active Directory-account hebben en
• lid zijn van de juiste Active Directory-groep.

Passende verlening van toegang (minst bevoorrechte basis)

Een sessie beëindigen na een vooraf bepaalde periode zonder activiteit

Desktop- en mobiele applicaties hebben een maximale time-out voor gebruikerssessies op basis van onze standaardbedieningsprocedures (8 tot 24 uur voor desktopsessies, 30 tot 90 dagen voor mobiele sessies).

Er wordt een screensaver afgedwongen voor zowel macOS- als Windows-eindpunten, waarbij een wachtwoord moet worden ingevoerd om deze te ontgrendelen.

Auditlogging/detectie (inclusief monitoring van inlogpogingen)

We bewaren gebeurtenislogs en beveiligen deze tegen verlies en manipulatie. We controleren de toegang tot logs periodiek. We hebben loggen binnen onze AWS-omgeving ingeschakeld en sturen die logs door naar Splunk. We hebben geautomatiseerde waarschuwingen geïmplementeerd voor zowel AWS- als alle HIPAA-gekwalificeerde cloud-gebeurtenissen op basis van bekende en eerdere beveiligingsgebeurtenissen en -incidenten.

We volgen een beoordelingsproces om onze waarschuwingen af te stemmen en te optimaliseren en valse positieven te verwijderen. We hebben een speciale automatiseringsengineer in dienst om het waarschuwingsontwikkelings- en triageproces te stroomlijnen.

Vermoedelijke of bekende beveiligingsincidenten identificeren en erop reageren. Incidenten en de resultaten ervan beperken en documenteren

We hebben een organisatiebreed incidentbeheerproces geïmplementeerd, waarbij het beveiligingsteam verantwoordelijk is voor het programma, dat bestaat uit:

• het opnemen van elke actie, bij het beheer van een incident, in het incidentmanagementsysteem onder een incidentticket. Records moeten het volgende bevatten:
  • starttijd van het incident
  • Incidentomschrijving
  • niveau
  • getroffen services
  • impact
  • aantal getroffen klanten
  • hoofdoorzaak
  • ondernomen acties
  • getroffen SLO's (beïnvloede capaciteiten)
• problemen, waar mogelijk, associëren met de onderliggende oorzaak en/of ze groeperen in bovenliggende incidenten
• het voltooien van een Post Incident Review (PIR) na grote en kritieke incidenten

Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor beveiligingscompliance

We hebben een specifieke HIPAA-beveiligingsfunctionaris. Onze beveiligingsfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-beveiligingsregel en hoe die vereisten van toepassing zijn op onze producten.

Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor privacycompliance

We hebben een toegewijde HIPAA-privacyfunctionaris. Onze privacyfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-privacyregel en hoe die vereisten van toepassing zijn op onze producten.

Training gebruikersbewustzijn

Als onderdeel van het Atlassian-programma voor beveiligingsbewustzijn moeten alle medewerkers jaarlijks een training volgen. Daarnaast verspreiden we het hele jaar door beveiligingsgerelateerde bewustmakingsoefeningen en communicatie ad hoc.

Procedures om kritieke bedrijfsprocessen door te laten gaan

We hebben procedures voor de uitvoering van Disaster Recovery gedefinieerd, herzien en getest. Het beleid beschrijft op hoog niveau het doel, de doelstellingen, de scope, de beoogde hersteltijd, de doelstelling van het herstelpunt en de rollen/verantwoordelijkheden. We testen elk kwartaal formele plannen voor bedrijfscontinuïteit en disaster recovery. Ter ondersteuning van onderdelen van het rampenplan beoordelen we diensten en systemen jaarlijks op het kritieke belang ervan.

We verrichten en testen back-up- en herstelactiviteiten van applicaties, systemen en configuraties die verband houden met de Atlassian-assets in overeenstemming met onze standaard operationele procedures.

Contracten voor zakenpartners bevatten voldoende garanties dat je gegevens op de juiste manier worden beschermd door Atlassian en externe leveranciers

We bieden garanties dat we je informatie op de juiste manier beschermen en je informatie alleen gebruiken of openbaar maken zoals toegestaan of vereist, waar we PHI namens je creëren, ontvangen, onderhouden of verzenden. Deze garanties worden vastgelegd in een contract voor zakenpartners met u. We hebben ook een implementatiegids samengesteld met instructies voor klanten over hoe ze onze services moeten gebruiken en configureren om ervoor te zorgen dat ook zij informatie op de juiste manier beschermen.

Daarnaast zorgen we ervoor dat relevante externe leveranciers je PHI beschermen door hen te verplichten een contract voor zakenpartners met ons te ondertekenen.

Fysieke faciliteiten en apparatuur beschermen tegen manipulatie of diefstal

Al onze medewerkers en contractanten krijgen bij het onboarden een beveiligingsbadge om fysieke toegang te krijgen tot een faciliteit. Bij beëindiging en sluiting van een profiel in ons Human Resources Information System trekt ons systeem automatisch fysieke toegang in.

We vaardigen tijdelijke badges uit aan bezoekers op lokale locaties. Bezoekers moeten gastpassen teruggeven bij het verlaten van het gebouw. Als kaarten niet worden geretourneerd, beëindigen we die badges automatisch.

Fysieke beveiligingen implementeren voor alle werkstations die toegang hebben tot ePHI

We hebben een ZeroTrust-netwerk geïmplementeerd om alleen toegang toe te staan vanaf bekende apparaten die zijn geregistreerd bij een beheerplatform. We hebben onze toepassingen in beveiligingsniveaus geplaatst, afhankelijk van de gegevens die ze opslaan en de systemen waarmee ze verbinding maken. Dit netwerk met niveaus is als volgt ingedeeld: hoog niveau, laag niveau en open niveau. Het type apparaat en de beveiligingsstatus ervan worden beoordeeld om te bepalen tot welke toepassingen het toegang heeft.

We beheren schijfcodering, wachtwoordvergrendeling en beveiligingspatching op alle macOS- en Windows-laptops.

We hebben USB-apparaten voor massaopslag geconfigureerd als alleen-lezen op alle door Atlassian uitgegeven macOS- en Windows-apparaten.

Procedures om de definitieve beschikking over ePHi en de hardware waarop het is opgeslagen aan te pakken

We wissen elke geretourneerde laptop voordat deze opnieuw wordt ingezet of verwijderd. Er is ook een procedure voor verloren/gestolen laptops om te voorkomen dat gegevens worden gestolen.

Documentatie bewaren gedurende 6 jaar vanaf de aanmaakdatum of vanaf de datum waarop de documentatie voor het laatst van kracht was

Al ons beleid wordt ten minste jaarlijks beoordeeld door de aangewezen beleidseigenaar en wordt voor onbepaalde tijd behouden. Om een momentopname van ons beleid te bekijken, ga je naar Onze Atlassian-beleidsregels voor beveiliging en technologie.

Ons privacybeleid is hier te vinden.

Beveiligingsmaatregelen om ervoor te zorgen dat ePHi correct wordt gewijzigd

We versleutelen alle 'at rest'-gegevens van cloudproducten die voor HIPAA zijn gekwalificeerd. Bovendien versleutelen we gegevens die via openbare netwerken worden verzonden en zorgen we ervoor dat de gegevens de beoogde bestemming bereiken.

Externe gebruikers maken via het SSL-protocol verbinding met voor HIPAA gekwalificeerde cloudproducten via versleuteld verkeer.

Mechanismen om ePHi te versleutelen wanneer dit passend wordt geacht