Часто задаваемые вопросы

ISO/IEC 27001 — Atlassian Cloud имеет сертификацию ISO/IEC 27001. Узнайте подробнее о структуре нашей Программы управления безопасностью и ознакомьтесь с сертификатом, подтверждающим соответствие стандарту ISO/IEC 27001, на странице о соответствии требованиям в Atlassian.

Альянс безопасности облачных вычислений (CSA). Мы заполнили матрицу контроля облачных вычислений и опросник для самостоятельной оценки состояния безопасности облачной среды (CAIQ), о чем сделана запись в Реестре безопасности, доверия и достоверности CSA.

HIPAA / HITECH — Jira Software Cloud Enterprise и Confluence Cloud Enterprise соответствуют требованиям HIPAA. Подробнее см. на этой странице.

PCI. Для проведения операций с использованием кредитных карт компания Atlassian применяет токенизацию для взаимодействия с процессинговыми центрами, прошедшими сертификацию PCI DSS. Это гарантирует, что мы не узнаем и не сохраним реквизиты вашей кредитной карты. Чтобы использовать наши продукты в средах, на которые распространяется стандарт PCI, вы должны самостоятельно определить, какие требования стандарта PCI должны соблюдаться.

FedRAMP. Продукт Trello Enterprise прошел проверку на соответствие требованиям FedRAMP Low-Tailored Authority to Operate (ATO). Продукты Jira, Confluence и Jira Align компании Atlassian прошли проверку на соответствие требованиям FedRAMP. За подробной информацией обращайтесь к представителю отдела продаж Atlassian.

Подробнее см. на нашей странице о соблюдении требований в Atlassian и в соответствующем разделе часто задаваемых вопросов.

Мы долго трудились над созданием внутреннего Центра правил в рамках нашего продукта Confluence. Все наши правила составлены в едином формате и имеют схожую структуру; с каждым связаны конкретный владелец и фиксированная периодичность проверок. Вы можете ознакомиться с кратким изложением сути каждого из наших внутренних правил технологической сферы.

Мы опубликовали технический документ, в котором прописаны обязанности с нашей стороны, а также обязательства, которые возлагаются на каждого нашего клиента. При составлении документа мы ориентировались на клиентов, поэтому подробно описали различные аспекты безопасности, в которых должен разбираться каждый клиент. Ознакомьтесь с этим техническим документом.

Клиенты, пользующиеся продуктами Atlassian Cloud, могут ознакомиться с нашим подходом на странице, посвященной Принципам безопасности, и в Политике конфиденциальности.

Компания Atlassian шифрует данные клиентов при передаче и при хранении.

Все данные клиентов, хранящиеся в продуктах и сервисах Atlassian Cloud, шифруются при передаче с помощью протокола TLS 1.2+ с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения.

Данные наших клиентов и вложенные файлы в Jira Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie, Jira Align, Halp и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью полнодискового шифрования на основе отраслевого стандарта AES-256.

Подробная информация приведена на странице Принципы безопасности.

Да, все системы Atlassian Cloud при обмене данными используют только протокол TLS 1.2+ с полной безопасностью пересылки (PFS). Чтобы обеспечить соответствие требованиям отраслевых стандартов, мы прекратили поддержку SSL 3.

Пароли криптографически хэшируются в облаке Atlassian, чтобы можно было управлять пользователями.

У нас действует масштабная программа обеспечения безопасности, которая подразумевает постоянное тестирование размещенных систем и продуктов. Мы также организуем независимую экспертизу наших продуктов Cloud сторонними лицами. Основной подход к тестированию выражается в общедоступной программе по выявлению ошибок за вознаграждение (Bug Bounty), которая распространяется на все наши облачные и серверные продукты. Просмотреть все сертификаты соответствия требованиям можно в нашем Центре ресурсов Atlassian для обеспечения соответствия требованиям.

Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их регистрации в программе вознаграждения за найденные ошибки (Bug Bounty). Все найденные таким образом проблемы сортируются по приоритету и устраняются в соответствии с нашим соглашением SLA об устранении уязвимостей в защите для неограниченного круга лиц.

Актуальные отчеты публикуются в нижней части страницы о тестировании безопасности.

В соответствии с нашими Условиями использования облачных продуктов, в настоящий момент клиенты могут инициировать тестирование. Мы стремимся быть открытыми и продолжим регулярно публиковать статистику нашей программы Bug Bounty.

Хотя мы считаем нашу программу Bug Bounty наиболее эффективным и экономичным способом оценки безопасности наших продуктов и сервисов, мы понимаем ваше желание протестировать систему безопасности самостоятельно. Мы разрешаем клиентам проводить оценку безопасности (тесты на проникновение, оценку уязвимостей), но просим придерживаться ряда правил, чтобы не создавать дополнительных рисков. Если вам удастся найти проблему, о которой вы захотите сообщить, следуйте инструкциям по отправке сообщений об уязвимостях, которые также приведены на нашем сайте.

Если вы обнаружили уязвимость в одном из наших продуктов, просим сообщить о ней, чтобы мы могли устранить ее в кратчайшие сроки. Ознакомьтесь с нашими инструкциями по отправке отчетов об уязвимостях, а в знак признательности мы можем подарить вам сувенирную продукцию от компании Atlassian или добавить вас в наш Зал славы.

Ознакомьтесь с Политикой конфиденциальности Atlassian на главном сайте и ответами на часто задаваемые вопросы на этой странице или странице, посвященной конфиденциальности, в нашем Центре безопасности.

Ответ компании Atlassian на запросы правительственных учреждений регулируется Руководством по соблюдению законодательства, Политикой конфиденциальности, Соглашением с клиентом, Политикой допустимого использования и всеми применимыми Условиями использования конкретного сервиса. Мы дорожим вашим доверием и предоставляем информацию клиентов правоохранительным органам лишь в том случае, если имеем основания считать, что обязаны сделать это в соответствии с законом. Мы внимательно изучаем запросы на предмет соблюдения требований законодательства, чтобы защитить права наших клиентов.

Для получения информации о клиенте от компании Atlassian сотрудники правоохранительных органов должны соблюсти юридический процесс, соответствующий типу запрашиваемой информации, например предоставить повестку в суд, судебное распоряжение или ордер. Например, компания Atlassian не будет предоставлять непубличный контент клиента, пока не будет предоставлен действующий ордер на обыск. Такой ордер должен быть выдан с указанием основания для подозрений федеральным судом или судом штата, уполномоченным выдавать ордеры на обыск, которые требуют от Atlassian раскрыть контент. Компания Atlassian публикует ежегодный Отчет о прозрачности, содержащий в себе информацию о запросах данных пользователей, а также запросах на удаление контента или приостановку работы аккаунтов, направленных правительственными учреждениями.

Подробнее о том, как Atlassian шифрует и защищает данные при передаче и хранении, см. на странице принципов безопасности.

Компания Atlassian прилагает максимум усилий, чтобы наших клиентов не затрагивали перебои в обслуживании или инциденты безопасности. При этом наша команда признает, что инциденты случаются.

Чтобы быть готовыми к инцидентам безопасности, мы задокументировали свои обязанности во время таких инцидентов и меры, которые должны принимать наши клиенты в подобных случаях.

Чтобы быть готовыми к инцидентам, связанным с перебоями в обслуживании или восстановлением работы, мы задокументировали процессы и процедуры по обеспечению надежности. Если вы хотите узнать больше, ознакомьтесь с нашим примером разбора инцидента, который был опубликован после перебоя в ходе восстановления данных.