Compliance at Atlassian
Мы призываем вас ознакомиться с нашими практическими подходами и конкретными действиями в отношении безопасности и конфиденциальности и оценить их в деле. Наша команда постоянно пополняет список поддерживаемых стандартов, чтобы помогать организациям соблюдать требования.
Our compliance program

SOC 2
Регулярно обновляемый отчет SOC2 (System and Organization Controls — контрольные процедуры для систем и организаций) содержит информацию о средствах нефинансового контроля в отношении безопасности, доступности и конфиденциальности облачного сервиса.
В настоящее время отчеты SOC 2 доступны для Jira и Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Statuspage, Jira Align и Halp.
Non-disclosure agreement
Компания Ernst & Young LLP (далее «EY») подготовила прилагающийся Отчет (далее «Отчет») исключительно в интересах и для использования компанией Atlassian Pty Ltd (далее «Компания») и для ограниченного использования существующими пользователями Компании и их аудиторами в рамках соответствующих стандартов Американского института присяжных бухгалтеров (AICPA). Кроме того, некоторые потенциальные пользователи, обозначенные Компанией (вместе с существующими пользователями обозначаемые «Получатель»), могут получить доступ к Отчету, являющемуся объектом этого соглашения. Доступ к Отчету предоставляется вам при условии вашего согласия с условиями и положениями, изложенными ниже. Просим вас внимательно ознакомиться с ними. Если вы принимаете это соглашение от имени вашей компании, а не как частное лицо, то под «Получателем» подразумевается ваша компания и вы обязываете вашу компанию следовать этому соглашению.
Нажимая кнопку «Я ПРИНИМАЮ» ниже, вы подтверждаете, что вы и Получатель соглашаетесь следовать этим условиям предоставления услуг. Это согласие будет иметь такую же юридическую силу, как подпись, поставленная от вашего имени и от имени Получателя. Это соглашение будет считаться достаточным для удовлетворения любых письменных требований любого применимого закона, несмотря на то что соглашение написано и принято в электронном формате. Разглашение и передача любой части Отчета, любой информации или рекомендаций, содержащихся в нем, лицам, не имеющим отношения к Компании, запрещены, за исключением случаев, перечисленных ниже.
Компания обязуется предоставить Получателю доступ к Отчету при условии, что Получатель ознакомлен со следующими условиями, понимает и принимает их.
- Отчет состоит из результатов экспертизы (далее «Услуги»), проведенной аудитором для Компании в соответствии с руководством AICPA «Изучение средств контроля безопасности, доступности, конфиденциальности и целостности данных в сервисной организации». Получатель затребовал, чтобы Компания предоставила ему копию Отчета.
- Услуги были оказаны и Отчет был подготовлен исключительно в интересах Компании и для использования Компанией, ее существующими пользователями и их аудиторами, и не предназначены ни для какой иной цели, включая использование потенциальными пользователями Компании. Компания EY не предоставляла Получателю заверений или гарантий относительно достаточности Услуг или иных гарантий в связи с Отчетом. Если компания EY была привлечена для предоставления дополнительных услуг или процедур, она могла обратить внимание на другие аспекты, которые будут упомянуты в Отчете.
- Услуги не представляют собой (а) проведение аудита, обзора или исследования финансовой отчетности в соответствии с общепринятыми стандартами аудита AICPA или Совета по надзору за бухгалтерской отчетностью публичных компаний, (б) исследование прогнозов финансовой отчетности в соответствии с применимыми профессиональными стандартами, и (в) не включают в себя процедуры по обнаружению мошеннических или незаконных действий для проверки соблюдения законов или нормативных актов любой юрисдикции.
- Получатель (а) не приобретает никаких прав против EY, любой другой фирмы, являющейся частью глобальной сети Ernst & Young, или любых их филиалов, партнеров, агентов, представителей или служащих (вместе называемых «Стороны EY») и Компании или любых ее филиалов, партнеров, агентов, представителей или служащих (совместно со Сторонами EY именуемых «Стороны отчета»), причем Стороны отчета не берут на себя никаких обязательств в отношении Получателя в связи с оказанием Услуг или его доступом к настоящему Отчету; (б) не может полагаться на Отчет; и (в) не будет утверждать, что какие-либо положения законов США или законы о безопасности отдельных штатов могут аннулировать это соглашение или прекратить действие любого из его положений.
- За исключением случаев, когда Получатель обязан это сделать в судебном порядке (о чем он обязан незамедлительно уведомить EY и Компанию, чтобы они могли обеспечить себе необходимую защиту), Получатель обязуется устно и письменно не разглашать Отчет, любую его часть или любую другую связанную с ним Конфиденциальную информацию, полученную от EY и Компании, и не ссылаться на EY или Компанию в связи с ним в любых общедоступных документах или при взаимодействии с любой третьей стороной, кроме работников, агентов и представителей Получателя, которым необходима эта информация для оценки соответствия операций политикам безопасности, управления и другим деловым политикам Получателя, при условии, что эта третья сторона связана требованиями конфиденциальности, не менее строгими, чем указанные в этом соглашении. «Конфиденциальная информация» включает в себя Отчет и другую информацию и материалы, которые (1) были раскрыты Компанией в письменном виде и отмечены как конфиденциальные при раскрытии или (2) были раскрыты Компанией любым другим способом и обозначены как конфиденциальные в момент разглашения и в течении 30 (тридцати) дней после разглашения, или (3) обоснованно считаются носящими конфиденциальный характер.
- Получатель может использовать Конфиденциальную информацию, содержащуюся в Отчете, в течение 1 (одного) года с момента разглашения либо в течение иного срока, указанного в Отчете, и только с целью оценки соответствия действий Компании политикам безопасности, нормативным политикам и другим деловым политикам Пользователя. Это соглашение не дает и не подразумевает согласия на совершение какой-либо транзакции или передачи Компанией каких-либо прав на ее интеллектуальную собственность.
- Получатель (от своего имени и от имени своих наследников и правопреемников) настоящим освобождает все Стороны отчета от всех требований и оснований для предъявления иска в их отношении, которые есть у Получателя на текущий момент или могут возникнуть в будущем в связи с этим Отчетом, доступом Получателя к Отчету или предоставлением Услуг со стороны EY. Получатель обязуется возместить ущерб и защитить Стороны отчета от любых исков, обязательств, убытков и расходов, вызванных или возникших в связи с (а) любым нарушением этого соглашения Получателем или его представителями; и/или (б) любым использованием Отчета или другой конфиденциальной информации любой другой стороной, получившей доступ к Отчету прямо или косвенно от Получателя, через него или по его просьбе.
- При расторжении этого соглашения или получении письменного запроса от Сторон отчета Получатель обязуется: (1) прекратить использование Конфиденциальной информации, (2) вернуть Компании или уничтожить Конфиденциальную информацию, все ее копии, заметки и выдержки, взятые из нее, в течении 7 (семи) дней с момента получения запроса и (3) письменно подтвердить выполнение Получателем этих требований при получении запроса от Сторон отчета.
- Это соглашение подлежит регулированию и толкованию в соответствии с законами штата Нью-Йорк, применимыми к соглашениям, заключенным и исполняемым его жителями на его территории. Соглашение может быть приведено в исполнение любой из Сторон отчета индивидуально или совместно.
Предоставляя свой адрес электронной почты, вы соглашаетесь следовать условиям этого Соглашения. Если вы вступаете в это соглашение от имени другого лица, например, от имени вашей компании-работодателя, вы гарантируете нам, что владеете необходимыми юридическими полномочиями для заключения соглашения от имени этого лица.
Загрузите Отчет, который хотите просмотреть:

SOC 3
Регулярно обновляемый отчет SOC3 (System and Organization Controls — контрольные процедуры для систем и организаций) содержит информацию о средствах внутреннего контроля в отношении безопасности, доступности и конфиденциальности облачного сервиса.
Загрузить SOC3 для:

PCI DSS
Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это стандарт информационной безопасности для работы с данными кредитных карт.
Загрузите наши сертификаты соответствия PCI (AoC) для:

ISO/IEC 27001
ISO 27001 — это спецификация для системы управления информационной безопасностью (ISMS), платформы для управления информационными рисками в организации.
Продукты, входящие в сертификацию: Jira Cloud, Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align и Statuspage

ISO/IEC 27018
ISO 27018 — это свод практических правил защиты персональных данных в публичных облачных сервисах, выступающих в качестве операторов персональных данных.
Продукты, входящие в сертификацию: Jira Cloud, Confluence Cloud, Bitbucket Cloud, Trello, Opsgenie, Jira Align и Statuspage

VPAT
Шаблон добровольной оценки доступности продукта — это документ, который используется для раскрытия сведений о доступности того или иного продукта. Провайдеры составляют этот документ самостоятельно.

FedRAMP
Федеральная программа по управлению рисками и авторизацией (FedRAMP) — это федеральная государственная программа США, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и сервисов.
Ознакомьтесь с индивидуальным статусом следующих продуктов на FedRAMP Marketplace:
Vendor Management and Security Assessment Program
Наши дата-центры, офисы и поставщики управляемых сервисов проходят тщательную проверку уровня безопасности в рамках общего процесса оценки, после чего проходят регулярные аудиты по стандартам SOC1, SOC2 и (или) ISO/IEC 27001. Если в результате проверки будут обнаружены несоответствия, которые представляют угрозу для нас или наших клиентов, мы будем наблюдать за работой поставщика по устранению проблемы, пока она не будет решена.
The Atlassian Controls Framework
Общая схема контроля безопасности — это набор средств и действий для контроля безопасности, которые мы внедряем в наших международных командах по продукту и инфраструктуре. Для разработки этой схемы мы проанализировали требования ко всем сертификациям, которые проходят наши клиенты по всему миру. Такой полный и структурированный подход к соответствию требованиям позволяет нам постоянно внедрять эти средства во все наши продукты и инфраструктуру.
Cloud Security Alliance Membership
Atlassian является членом Альянса безопасности облачных вычислений (CSA) — некоммерческой организации, разрабатывающей рекомендации для обеспечения безопасности облачных вычислений. Реестр безопасности, доверия и достоверности CSA (STAR) — это общедоступный реестр, в котором задокументированы признанные в отрасли средства безопасности. Мы регулярно обновляем опросник в рамках инициативы по отраслевой оценке (CAI) и выкладываем его в публичный доступ.

Программа управления рисками
С внедрением принципов управления корпоративными рисками на всех уровнях организации повышается эффективность принятия решений в рамках деятельности по администрированию, стратегическому планированию, постановке целей и выполнению повседневных задач. На программе управления рисками Atlassian сосредоточены основные усилия нашей команды по оценке рисков и обеспечению соответствия требованиям. Эта программа лежит в основе нашего подхода к принятию решений. При ее разработке за образец был взят стандарт ISO 31000-2009 «Менеджмент риска. Принципы и руководящие указания». Оценка проводится ежегодно и даже чаще, если это необходимо.
Get more visibility into our cloud platform roadmap
Мы стараемся по возможности предоставлять информацию о предстоящих релизах, связанных с безопасностью, соблюдением требований, конфиденциальностью и надежностью.
Есть дополнительные вопросы по нашей программе соблюдения требований?
У вас есть сертификаты по продуктам Cloud? Вы можете заполнить мою анкету по безопасности? Где я могу получить подробную информацию?
We’re here and ready to answer all of your questions.
Trust & Security Community
Присоединяйтесь к группе по вопросам надежности и безопасности в сообществе Atlassian, чтобы общаться непосредственно с нашей командой и обмениваться информацией, советами и рекомендациями по безопасному и надежному использованию продуктов Atlassian.
Atlassian Support
Обратитесь к высококвалифицированным специалистам нашей службы поддержки, чтобы получить ответы на конкретные вопросы по безопасности. На многие вопросы можно найти ответы в уже заполненных анкетах по безопасности.