Atlassian 合规性要求
不要轻信我们的一家之言。我们欢迎您检查和验证我们的安全与隐私实践及操作。我们的团队坚持不懈地扩大覆盖范围,帮助各个组织满足合规性需求。
我们的合规性计划

SOC2
SOC 2(系统与组织控制)是一份定期更新的报告,重点说明与云服务的安全性、可用性和机密性有关的非财务报告控制措施。
我们目前为 Jira 和 Confluence Cloud、Jira Service Management、Bitbucket Cloud、Trello、Opsgenie、Statuspage、Jira Align 和 Halp 提供 SOC2 报告。
保密协议
为维护 Atlassian Pty Ltd(下称“本公司”)的独家利益,安永会计师事务所(Ernst & Young LLP,下称“安永”)特出具随附报告(下称“约定报告”)。约定报告仅供本公司使用,并且仅限按照美国注册会计师协会(下称“AICPA”)、本公司现有用户实体及其审计机构的相关标准用于有限目的。此外,由本公司确定的部分潜在用户实体(连同现有用户实体统称为“接收方”)也许可以根据本协议条款访问约定报告。要访问约定报告,您必须同意以下条款和条件。请仔细阅读这些条款和条件。如果您并非以个人身份而是代表公司同意本协议,则“接收方”和“您”指您所在公司。如果您同意本协议,即表示您所在公司接受本协议约束。
一旦点击下方的“我接受”按钮,即表示您和接收方同意接受这些条款和条件的约束。此类接受和同意应视为与您、您的代表和接收方代表书面签字等效,且本协议应视为符合适用法律的书面要求,而不受本协议是否以电子方式撰写和接受的限制。严禁向本公司以外的人士散布或披露约定报告中的任意内容以及任何信息或建议,下文另有规定的情形除外。
本公司同意允许接收方访问约定报告,但接收方必须阅读、理解并同意所有下述规定:
- 约定报告包含根据《AICPA 指南》和《服务组织在安全性、可用性、处理完整性、保密性或隐私性方面的控制报告》为本公司开展的服务审计检查(下称“约定服务”)。接收方已请求本公司向其提供约定报告副本。
- 约定服务和约定报告专为维护本公司、其现有用户实体及各自审计机构的利益而提供和制定,并且仅供本公司、其现有用户实体、各自审计机构以及本公司的潜在用户实体严格按照本协议所述目的使用。安永不对服务充分性或约定报告的其他方面做出任何声明或保证。如果安永被聘请执行额外服务或程序,安永可能还会发现本应在约定报告中解决的其他事项。
- 约定服务 (a) 不构成按照美国注册会计师协会公认的审计标准或上市公司会计监督委员会的标准对财务报表进行的审计、审查或检查;(b) 不构成按照适用专业标准对预期财务报表进行的检查;也 (c) 不包含旨在检查法律或司法法规合规性的欺诈或非法行为侦查程序。
- 接收方 (a) 并未获得针对安永、安永全球网络其他成员公司或其各自关联方、合作伙伴、代理人、代表或雇员(统称“安永方”)、本公司或其各自关联方、合作伙伴、代理人、代表或雇员(与安永方合称“报告方”)的任何权利。同时,报告方不对约定服务或按照本协议访问约定报告的行为承担任何义务或责任;(b) 不得完全依赖约定报告;也 (c) 不认为美国或各州证券法中的任何规定会导致本协议中的任何规定失效或被撤销。
- 接收方不得口头或书面披露其通过安永或本公司收到的任何报告、报告中的任何内容以及与之相关的任何其他机密信息,不得在任何公开文件中提及此类信息,也不得向除为评估是否遵守接收方的安全、监管和其他业务政策之目的,具有知情权并且受不低于本协议所述保密义务约束的接收方雇员、代理人或代表以外的第三方提及此类信息,但法律程序要求接收方披露的情形除外(在此情况下接收方应立即通知安永和本公司,以便安永和本公司可以寻求适当保护)。“机密信息”指约定报告以及 (i) 本公司书面披露并在披露时标记为机密信息的其他资料和材料;或 (ii) 本公司以其他方式披露并在披露之时以及披露后三十 (30) 天内确定为机密信息的其他资料和材料;或 (iii) 可合理认定为机密信息的其他资料或材料。
- 接收方可在披露后一 (1) 年内或约定报告中指明的其他有效期内(以较早者为准)使用机密信息(包括约定报告),并且仅限用于评估本公司的运营是否符合接收方的安全、监管和其他企业政策。本协议并未创建或暗示同意完成任何交易,也不构成本公司对其知识产权相关权利的转让。
- 接收方(代表本方及其继承人和受让人)特此免除各报告方就约定报告、接收方对约定报告的访问权以及安永履行约定服务的行为已向其提出、今后可能或将会向其提出的任何索赔或诉因。如果因 (a) 接收方或其代表违反本协议规定;和/或 (b) 直接或间接从接收方获得或通过接收方获得或请求获得约定报告访问权的其他方使用或完全依靠约定报告行事,而导致报告方遭受或招致任何索赔、责任、损失和费用,接收方应向报告方提供赔偿和辩护,以确保报告方免受损失。
- 一旦本协议终止或报告方提出相应书面请求,接收方应:(i) 停止使用机密信息;(ii) 在收到请求后七 (7) 个工作日内将机密信息及其所有副本、备注或摘录退还本公司或予以销毁;(iii) 按照报告方的要求以书面形式确认已履行相关义务。
- 本协议应受由纽约州居民订立和充分履行的协议所适用的纽约州法律管辖,并依其解释。本协议可由任何报告方单独或统一执行。
一旦输入您的电子邮件地址,即表示您同意接受本协议条款的约束。如果您代表某个实体(如您所在公司)签订本协议,则您向我们声明您具有合法权利来确保该实体接受本协议约束。
请下载您想要查看的报告:

SOC 3
SOC 3(系统与组织控制)是一份定期更新的报告,重点说明与云服务的安全性、可用性和机密性相关的内部控制措施。
下载以下产品的 SOC3 报告:

PCI DSS
支付卡行业数据安全标准是适用于信用卡信息处理的信息安全标准。
下载以下产品的 PCI 合规证明 (AOC):

ISO/IEC 27001
ISO 27001 是信息安全管理系统 (ISMS) 的规范,该系统是针对组织信息风险管理流程的框架。
认证所含产品:Jira Cloud(包括 Automation for Jira - A4J)、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、Jira Align、Statuspage 和 Jira Service Management (JSM)

ISO/IEC 27018
ISO 27018 是个人身份信息 (PII) 处理者保护公共云中 PII 的实践准则。
认证所含产品:Jira Cloud(包括 Automation for Jira - A4J)、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、Jira Align、Statuspage 和 Jira Service Management (JSM)

VPAT
“自愿性产品可访问性模板”(VPAT) 是供提供商用来自我披露特定产品可访问性的文档。

FedRAMP
联邦风险和授权管理计划 (FedRAMP) 是美国联邦政府范围的一项计划,它旨在为云产品与服务的安全评估、授权和持续监控提供标准化方法。
在 FedRAMP Marketplace 上查看以下各个产品的状态:
供应商管理和安全评估计划
作为评估流程的一部分,我们的数据中心、主机托管地点和托管服务提供商会经过全面安全评估,之后还会定期进行 SOC1、SOC2 和/或 ISO/IEC 27001 审计。如果这些审计有重大发现,对 Atlassian 或我们的客户构成风险,我们将与相关供应商密切合作,跟踪他们的补救措施,直到问题得以解决。
Atlassian 控制框架
“通用控制框架”是 Atlassian 在我们全球产品与基础设施团队中实施的一系列安全活动和控制措施。为创建此框架,我们分析了适用于全球 Atlassian 客户的所有认证的要求。借助这种全面的结构化合规方法,我们能够在 Atlassian 的各种产品和基础设施中始终如一地实施这些控制措施。
云安全联盟成员资格
Atlassian 是云安全联盟 (CSA) 的成员,这一非营利组织以推广云计算安全保障的最佳实践为使命。CSA 的“安全、信任与保障注册表”(STAR) 是一个可公开访问的注册表,它记录了经行业验证的安全控制措施。我们会定期更新“共识评估倡议”(CAI) 问卷,并将其公开发布以供查看。

风险管理计划
在整个组织中整合企业风险管理可以改进治理、战略、目标设定和日常运营方面的决策。Atlassian 的风险管理计划是我们风险与合规团队的焦点,也是我们决策流程的基本要素。我们的计划以 ISO31000-2009“风险管理 - 原则和准则”为范本,每年进行一次评估,而且也会按需进行评估。
进一步了解我们的云平台路线图
若有可能,我们会尽力确保即将推出的安全性、合规性、隐私保护和可靠性举措的透明度。
对我们的合规计划还有其他疑问?
你们有云认证吗?能否完成我的安全与风险调查问卷?哪里可以下载到更多信息?
我们随时为您解答所有问题。
信任与安全社区
加入 Atlassian 社区的信任与安全小组,获得我们安全团队的第一手资讯,并且分享以安全、可靠的方式使用 Atlassian 产品的各种信息、提示和最佳实践。
Atlassian 支持
联系我们训练有素的支持工程师,获得最具体安全问题的答案。您可以在我们预先准备的安全问卷中找到许多问题的答案。