Оценки безопасности


Правила компании Atlassian, касающиеся тестирования безопасности облачных продуктов

Клиенты Atlassian вправе проводить оценку безопасности своих продуктов Atlassian Cloud (определение см. ниже) без предварительного разрешения. Термин «оценка безопасности» означает любое действие, совершенное с целью определить, оценить или протестировать возможности и средства обеспечения безопасности продуктов и сервисов Atlassian (например, тестирование на проникновение и сканирование на уязвимости). На этой странице приведены правила («Правила тестирования безопасности»), которые должны соблюдаться клиентами, желающими провести оценку безопасности своих продуктов Atlassian Cloud. Ваши продукты Cloud и продукты Cloud, принадлежащие другим клиентам, размещаются в общей инфраструктуре, составляющей платформу Atlassian для предоставления облачных продуктов («платформа Atlassian Cloud»). Клиенты обязаны проявлять особую осторожность, чтобы ограничить любую оценку безопасности рамками своих продуктов или экземпляров Cloud и избежать непреднамеренного влияния на других клиентов.

Каждая оценка безопасности должна проводиться в соответствии с Правилами тестирования безопасности Atlassian, изложенными на этой странице. Ваше использование продуктов Cloud по-прежнему будет подчиняться Условиям использования Atlassian Cloud или другим применимым условиям соглашений (в совокупности именуемым «Условия обслуживания»), на основании которых вы приобретали соответствующие облачные продукты. Любое нарушение этих Правил тестирования безопасности или соответствующих Условий обслуживания может стать причиной приостановки или прекращения доступа к вашему аккаунту и (или) возбуждения дела в суде против вас. Вы несете ответственность за любой ущерб платформе Atlassian Cloud, любое отрицательное воздействие на данные других клиентов или использование платформы Atlassian Cloud, вызванное нарушением с вашей стороны Правил тестирования безопасности или Условий обслуживания.

Облачные продукты, которые можно подвергать оценке безопасности

Перечисленные ниже продукты являются «продуктами Cloud» в контексте данных Правил тестирования безопасности:

  • Jira Software
  • Jira Service Desk
  • Jira Core
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • OpsGenie

Правила тестирования безопасности

Разрешенные действия

  • Проводить оценку безопасности могут только клиенты Atlassian, оформившие подписку на соответствующие продукты Cloud, перечисленные выше. Оценка безопасности Jira Align в настоящее время невозможна.
  • Клиенты могут проводить оценку безопасности только собственных экземпляров продуктов Cloud в соответствии с политиками Atlassian в области оценки безопасности, включая настоящие Правила тестирования безопасности.
  • При проведении оценки безопасности разрешается использовать автоматизированные инструменты/сканеры, однако помните, что компания Atlassian также использует эти инструменты. Команда клиента по обеспечению безопасности должна проверить и приоритизировать любые результаты автоматического сканирования, прежде чем отправлять их в Atlassian вместе с рабочим, воспроизводимым доказательством концепции. Необработанные данные сканеров безопасности не принимаются.

Запрещенные действия

  • Сканирование или тестирование продуктов, экземпляров или ресурсов Cloud, принадлежащих любым другим клиентам Atlassian, а также доступ к ним.
  • Умышленный доступ к данным любого другого клиента (в том числе доступ к учетным данным любого другого клиента или использование этих учетных данных).
  • Нетехнические атаки (в том числе с использованием социальной инженерии, фишинга или несанкционированного доступа к инфраструктуре).
  • Физические атаки на безопасность (в том числе на офисы, оборудование, сотрудников Atlassian и т. д.).
  • Тестирование продуктов, не входящих в список разрешенных продуктов.
  • Воздействие на корпоративную структуру Atlassian.
  • Отказ в обслуживании (DoS), распределенный отказ в обслуживании (DDoS), имитация DoS и имитация DDoS.
  • Флудинг портов.
  • Флудинг протоколов.
  • Флудинг запросами (запросы на вход в систему, запросы к API).
  • Отправка необработанных отчетов сканера уязвимостей или приложения для оценки безопасности.

Reporting Issues

Если вы считаете, что обнаружили потенциальную уязвимость безопасности, связанную с продуктами Atlassian Cloud или любым другим сервисом Atlassian, вы соглашаетесь сообщить об этом в течение 24 часов, руководствуясь следующими инструкциями: Сообщение об уязвимости. Вы также можете отправить результаты в программу вознаграждения за найденные ошибки (Bug Bounty), но помните, что результаты автоматического сканирования рассматриваться не будут. После отправки необходимо запросить у нас разрешение, прежде чем раскрывать проблему публично. Результаты оценки безопасности считаются конфиденциальной информацией Atlassian. Каждый запрос на публичное разглашение требует отдельного сообщения для рассмотрения Atlassian. Запросы на публичное раскрытие проблемы, которая еще не была устранена для клиентов, будут отклонены.

Дополнительные термины

Преднамеренный доступ к данным любого другого клиента Atlassian строго запрещен. Если вы считаете, что обнаружили конфиденциальные данные клиента (учетные данные для входа, ключи API и т. п.) или способ получения доступа к данным клиента (например, посредством уязвимости), незамедлительно сообщите об этом в службу поддержки Atlassian, но не пытайтесь проверить уязвимость или иным способом получить доступ к аккаунту или данным клиента.

Помимо права Atlassian приостановить или прекратить доступ к вашему аккаунту в случае нарушения вами Правил тестирования безопасности, компания Atlassian оставляет за собой право реагировать на любые действия в своих сетях, если она заподозрит в этих действиях злой умысел или расценит как угрозу иного рода. Компания Atlassian вправе добавить ваши IP-адреса или диапазон IP-адресов в черный список, если получит сообщение о нарушении, вызванном вашими действиями по оценке безопасности. Если вы обратитесь в службу поддержки Atlassian с просьбой снять ограничения, укажите основную причину совершения действия, расцененного как нарушение, и подробно изложите, какие меры вы приняли с целью не допустить повторного нарушения.

При желании вы можете уведомить команду Atlassian по безопасности о своем намерении провести оценку безопасности, отправив заявку в службу поддержки Atlassian с темой: Intent for Security Assessment (Намерение провести оценку безопасности). Укажите дату и временной диапазон тестирования, IP-адреса или диапазон адресов источника, целевые домены и контактную информацию. Хотя предварительное уведомление не является обязательным, оно поможет нам идентифицировать тестирование и не блокировать сеть, чтобы не свести на нет процесс тестирования.

Партнеры и реселлеры продуктов Atlassian Cloud несут ответственность за действия своих клиентов, совершаемые в рамках оценки безопасности.