合规性常见问题


一般问题

如何完成供应商尽职调查/供应商问卷/安全问卷? Copy link to heading Copied! 显示更多
  

如果您在填写调查问卷以记录 Atlassian Trust 计划的各个部分时需要帮助,我们可以为您提供所需的资源,帮助您解答有关 Atlassian 云产品的安全性和合规性问题。我们在供应商风险响应页面云安全联盟提交的文件中预先编译了安全性和合规性资源。如果这些资源不能满足您的需求,请向 Atlassian 支持部门提交请求。

您们是否完成了云安全联盟 (CSA) 共识评估倡议问卷 (CAIQ)? Copy link to heading Copied! 显示更多
  

当然可以,我们也希望您这样做。您可在我们的安全、信任和保证注册 (STAR) 条目页面上找到它。我们计划每个季度更新一次,或在环境发生重大变化时更新。详细阅读:Atlassian 的 STAR 条目

您也可在我们的供应商安全和风险响应页面上查看其他预编撰的响应方式。

Atlassian Cloud 合规性范围包括哪些 Atlassian 产品? Copy link to heading Copied! 显示更多
  

根据推出(或某些情况下的收购)的情况,产品将随合规性计划而有所不同。有关最新产品及其相关的合规性计划,请参阅 Atlassian 合规性页面

Atlassian 是否维护有任何辅助处理者? Copy link to heading Copied! 显示更多
  

Atlassian 可能会使用辅助处理者(如我们的辅助处理者页面所述)代表我们的客户、我们的产品或特定的数据中心托管和管理活动来执行特定活动。如果辅助处理者列表发生变化或更新,此页面还为客户提供订阅 RSS 的选项。

你们能否提供数据中心的位置? Copy link to heading Copied! 显示更多
  

Atlassian 不管理自己的任何数据中心,所有数据中心的运营均采用外包。首先,我们依靠 AWS 作为我们的数据中心托管和管理合作伙伴。区域部署因产品而异。有关 AWS Data Center 控制措施的更多信息,请参阅 AWS Data Center 控制措施站点。

对于 Jira 和 Confluence Cloud:AWS 区域包括美国东部、美国西部、爱尔兰、德国法兰克福、新加坡和悉尼。

对于 Halp:AWS 区域包括美国东部和美国西部。

对于 Opsgenie:客户应选择加入 AWS 美国(俄勒冈州和加利福尼亚州的美国西部,以及俄亥俄州的美国东部)或欧洲(德国法兰克福和爱尔兰)。

对于 Statuspage:AWS 区域包括美国东部和美国西部。

对于 Trello:AWS 区域包括美国东部。

对于 Jira Align:AWS 区域包括美国东部(俄亥俄州)、欧洲(德国法兰克福)和澳大利亚(悉尼)。

Bitbucket:AWS 区域包括美国东部和美国西部。

合规报告

Atlassian Cloud 产品是否已获得 ISO27001 认证? Copy link to heading Copied! 显示更多
  

根据推出(或某些情况下的收购)的情况,产品随 ISO27001 和 ISO27018 范围而有所不同。有关最新产品及其相关的合规性计划,请参阅 Atlassian 合规性页面

Atlassian PCI 证书的有效期有多长? Copy link to heading Copied! 显示更多
  

对于 PCI,我们通常会在每年 9 月收到更新的认证,证书有效期为一年。我们当前的证书日期为 2021 年 9 月 30 日,有效期为一年。我们的 PCI 认证仅与 Atlassian 处理信用卡付款有关。对于客户选择在我们的产品中存储的信用卡,我们不提供任何保证。如果您需要在产品中存储信用卡,请查看我们的 SOC2 报告,确定控制措施是否符合您的要求。

Atlassian SOC2 报告的有效期为多长? Copy link to heading Copied! 显示更多
  

SOC2 Type 2 审计是对一段时间内控制措施绩效的审查。审核期结束后,将编写报告并提供给客户。Atlassian 发布的 SOC2 报告期限为 12 个月(10 月 1 日至 9 月 30 日)。这些报告适用于接下来的 12 个月,直到我们进行下一次审计。

影响新报告发布的因素有很多,但我们的外部审计通常在 11 月进行,更新后的报告通常在每年 12 月底之前发布。我们还会在每年 1 月/2 月发出为期 3 个月的过渡信,将有效期延长至 1 月底。

所有 SOC2 报告(和过渡信 (bridge letter))都可以在合规性资源中心下载。

我在哪里可以申请过渡信? Copy link to heading Copied! 显示更多
  

根据 Atlassian 在 SOC2 报告周期内的全年覆盖情况,我们可以提供一个过渡信或差距信 (gap letter)。本文档可以根据与我们合规性资源中心 - SOC 2 上的 SOC2 报告相同的点击式保密协议来下载。

合规计划

Atlassian Cloud 产品是否已获得 HIPAA 认证? Copy link to heading Copied! 显示更多
  

Jira Software Cloud Enterprise 和 Confluence Cloud Enterprise 符合 HIPAA 标准。要了解更多信息,请访问此页面

我们还致力于实现 Jira Service Management 的合规性。要跟踪此项目的状态,请访问我们的云路线图

如何向 Atlassian 申请符合 GDPR 的数据处理附录? Copy link to heading Copied! 显示更多
  

我们已发布预先签署的数据处理附录 (DPA)。DPA 有助于满足 GDPR 下的转移要求。请查看我们的 DPA 或阅读隐私和 GDPR 常见问题以了解更多信息。

控制框架

Atlassian 会不会分享有关内部控制的信息? Copy link to heading Copied! 显示更多
  

我们进行了大量工作来实施 Atlassian 控制框架 (ACF),此框架结合了来自外部监管要求和行业标准的控制措施。我们利用此框架在内部实施控制措施,并借助外部公司的力量来评估和验证我们控制措施的实施与运作。您可以在我们的 Atlassian 合规性页面查看我们所有认证或报告的状态。