Часто задаваемые вопросы

Здесь вы найдете ответы на самые распространенные вопросы о безопасности, надежности, конфиденциальности и соблюдении требований.


Придерживается ли Atlassian стандартов информационной безопасности? Показать
  

ISO/IEC 27001. Jira Cloud и Confluence Cloud сертифицированы по стандарту ISO/IEC 27001. Читайте подробнее о структуре нашей Программы управления безопасностью и ознакомьтесь с сертификатом, подтверждающим соответствие стандарту ISO/IEC 27001 на странице о соблюдении требований в Atlassian.

ISO/IEC 27018. Мы получили сертификат, подтверждающий соответствие стандарту ISO/IEC 27018. В этом стандарте приведены требования к защите данных, позволяющих установить личность (PII), или персональных данных (PD), расположенных в наших облачных средах. Наш сертификат, подтверждающий соответствие стандарту ISO/IEC 27018, можно также найти на странице о соблюдении требований в Atlassian.

Альянс безопасности облачных вычислений (CSA). Мы заполнили матрицу контроля облачных вычислений и опросник для самостоятельной оценки состояния безопасности облачной среды (CAIQ), о чем сделана запись в Реестре безопасности, доверия и достоверности CSA

HIPAA/HITECH. Если вы планируете приобрести продукты Cloud, имейте в виду, что в таком случае мы не можем заключить соглашение о деловом партнерстве. Компаниям, которым это соглашение необходимо для соблюдения нормативных требований, рекомендуется выбирать версии Server. Подробная информация об этом приведена в нашей Политике конфиденциальности.

PCI. Для проведения операций с использованием кредитных карт компания Atlassian применяет токенизацию для взаимодействия с процессинговыми центрами, прошедшими сертификацию PCI DSS. Это гарантирует, что мы не узнаем и не сохраним реквизиты вашей кредитной карты. Чтобы использовать наши продукты в средах, на которые распространяется стандарт PCI, вы должны самостоятельно определить, какие требования стандарта PCI должны соблюдаться.

Подробнее см. на нашей странице о соблюдении требований в Atlassian и в соответствующем разделе часто задаваемых вопросов.

Где можно ознакомиться с правилами компании Atlassian в отношении безопасности и технологий? Показать
  

Мы долго трудились над созданием внутреннего Центра правил в рамках нашего продукта Confluence. Все наши правила составлены в едином формате и имеют схожую структуру; с каждым связаны конкретный владелец и фиксированная периодичность проверок. Вы можете ознакомиться с кратким изложением сути каждого из наших внутренних правил технологической сферы.

Сформулировала ли компания Atlassian свои обязанности по обеспечению безопасности облака и облачных операций? Показать
  

Мы опубликовали технический документ, в котором прописаны обязанности с нашей стороны, а также обязательства, которые возлагаются на каждого нашего клиента. При составлении документа мы ориентировались на клиентов, поэтому подробно описали различные аспекты безопасности, в которых должен разбираться каждый клиент. Ознакомьтесь с этим техническим документом.

Кто может получить доступ к нашим данным? Показать
  

Клиенты, пользующиеся продуктами Atlassian Cloud, могут ознакомиться с нашим подходом, прочитав Заявление относительно облачной безопасности и Политику конфиденциальности.

Зашифрованы ли данные, которые хранятся в облачных продуктах Atlassian? Показать
  

Компания Atlassian шифрует данные клиентов при передаче и при хранении.

Все данные клиентов, хранящиеся в продуктах и сервисах Atlassian Cloud, шифруются при передаче с помощью протокола TLS 1.2+ с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, OpsGenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью полнодискового шифрования на основе отраслевого стандарта шифрования AES-256. Данные клиентов в Bitbucket Cloud не шифруются при хранении полностью.

Подробная информация приведена на странице Принципы безопасности.

Всегда ли в облачных продуктах Atlassian используется протокол TLS для шифрования данных? Показать
  

Да, все системы Atlassian Cloud при обмене данными используют только протокол TLS с полной безопасностью пересылки (PFS). Чтобы обеспечить соответствие требованиям отраслевых стандартов, мы прекратили поддержку SSL 3.

Как хранятся пароли от облачных продуктов Atlassian? Показать
  

Пароли криптографически хэшируются в облаке Atlassian, чтобы можно было управлять пользователями.

Проводит ли Atlassian проверки своей системы облачной безопасности? Показать
  

У нас действует масштабная программа обеспечения безопасности, которая подразумевает постоянное тестирование размещенных систем и продуктов. Мы также организуем независимую экспертизу наших продуктов Cloud сторонними лицами. Основной подход к тестированию выражается в общедоступной программе по выявлению ошибок за вознаграждение (Bug Bounty), которая распространяется на все наши облачные и серверные продукты.

Можно ли ознакомиться с отчетами Atlassian о тестировании? Показать
  

Все уязвимости системы безопасности, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их регистрации в программе вознаграждения за найденные ошибки (Bug Bounty). Все найденные таким образом проблемы сортируются по приоритету и устраняются в соответствии с нашим соглашением SLA об устранении уязвимостей системы безопасности для неограниченного круга лиц.

Актуальные отчеты публикуются в нижней части страницы о тестировании безопасности.

 

Можно ли провести собственное тестирование системы безопасности? Показать
  

В соответствии с нашими Условиями использования облачных продуктов, в настоящий момент клиенты могут инициировать тестирование. Мы стремимся быть открытыми и продолжим регулярно публиковать статистику нашей программы Bug Bounty. 

Хотя мы считаем нашу программу Bug Bounty наиболее эффективным и экономичным способом оценки безопасности наших продуктов и сервисов, мы понимаем ваше желание протестировать систему безопасности самостоятельно. Мы разрешаем клиентам проводить оценку безопасности (тесты на проникновение, оценку уязвимостей), но просим придерживаться ряда правил, чтобы не создавать дополнительных рисков. Если вам удастся найти проблему, о которой вы захотите сообщить, следуйте инструкциям по отправке сообщений об уязвимостях, которые также приведены на нашем сайте.

Мне удалось обнаружить уязвимость в одном из ваших продуктов. Как мне сообщить о ней? Показать
  

Если вы обнаружили уязвимость в одном из наших продуктов, просим сообщить о ней, чтобы мы могли устранить ее в кратчайшие сроки. Ознакомьтесь с нашими инструкциями по отправке отчетов об уязвимостях, а в знак признательности мы можем подарить вам сувенирную продукцию от компании Atlassian или добавить вас в наш Зал славы.

Какие правила компания Atlassian установила в отношении конфиденциальности данных? Показать
  

См. по ссылке актуальную версию нашей Политики конфиденциальности.

Какие обязанности принимает на себя Atlassian в случае инцидента безопасности? Показать
  

Компания Atlassian прилагает максимум усилий, чтобы наших клиентов не затрагивали перебои в обслуживании или инциденты безопасности. При этом мы подтверждаем, что риск возникновения инцидентов безопасности существует. Мы задокументировали свои обязанности во время инцидента безопасности и меры, которые должны принимать наши клиенты в таких случаях.