Schließen

Atlassian-Compliance

Wir befolgen weithin anerkannte Normen und Bestimmungen.


SOC2

SOC

Die durch eine Drittpartei zertifizierten Service Organization Control (SOC)-Berichte von Atlassian legen dar, wie Atlassian wichtige Compliance-Kontrollen und -Ziele erreicht. Diese Berichte sollen dir und deinen Auditoren dabei helfen, die zur Unterstützung der Betriebsabläufe und Compliance bei Atlassian eingerichteten Kontrollen zu verstehen. 

Atlassian verfügt über SOC2-Zertifizierungen für:

  • Bitbucket Cloud (Type II)

  • Confluence Cloud (Type II)

  • Jira Cloud (Type II)

  • Trello (Typ I)

Hier kannst du den SOC3-Bericht für Jira und Confluence Cloud herunterladen.

Hier kannst du den SOC3-Bericht für Bitbucket Cloud herunterladen.

Zertifizierung nach ISO 27001

ISO/IEC 27001 – Managementsystem für Informationssicherheit

Die Norm ISO/IEC 27001 gilt als weltweit führend für Managementsysteme für Informationssicherheit (ISMS). ISO/IEC 27001 nutzt zudem die in ISO/IEC 27002 beschriebenen umfassenden Sicherheitskontrollen. Grundlage dieser Zertifizierung ist die Entwicklung und Implementierung eines rigorosen Sicherheitsmanagementprogramms einschließlich der Entwicklung und Implementierung eines Managementsystems für Informationssicherheit (ISMS). Diese weithin anerkannte internationale Sicherheitsnorm erwartet von Unternehmen, die eine Zertifizierung anstreben, u. a. die Umsetzung der folgenden Punkte:

  • Systematische Bewertung unserer IT-Sicherheitsrisiken unter Berücksichtigung der Auswirkungen von Bedrohungen und Schwachstellen

  • Entwurf und Umsetzung einer umfassenden Palette an Informationssicherheitskontrollen zur Bewältigung von Sicherheitsrisiken

  • Einführung eines allumfassenden Audit- und Compliance-Managementprozesses zur Gewährleistung der durchgängigen Erfüllung der Vorgaben unserer Sicherheitskontrollen

Enthalten sind die Atlassian Cloud-Angebote Jira Cloud, Confluence Cloud und Bitbucket Cloud inklusive der Mikro-Services zur Bereitstellung dieser Anwendungen.Ebenso Unternehmensfunktionen wie Rechtsabteilung, Personalabteilung, Richtlinien, Datenschutz, Einkauf, Risiko und Compliance, Sicherheit, Arbeitserfahrung und Arbeitstechnologie. 

Zertifizierung nach ISO 27001

ISO/IEC 27018 – Verhaltenskodex für den Schutz persönlicher Daten in der Cloud

Die Norm ISO/IEC 27018 ist ein Verhaltenskodex für den Schutz persönlicher Daten in der Cloud. Sie basiert auf dem Informationssicherheitsstandard ISO 27002 und dient als Leitfaden für die Implementierung von ISO 27002-Kontrollen, die für personenbezogene Daten, anhand derer eine Person eindeutig identifiziert werden kann (PII), in der öffentlichen Cloud gelten. Die Norm bietet zusätzliche Kontrollen und Richtlinien für die Schutzanforderungen von personenbezogenen Daten, die von den aktuellen Kontrollen der ISO 27002 nicht berücksichtigt werden.

Enthalten sind die Atlassian Cloud-Angebote Jira Cloud, Confluence Cloud und Bitbucket Cloud inklusive der Mikro-Services zur Bereitstellung dieser Anwendungen.Ebenso Unternehmensfunktionen wie Rechtsabteilung, Personalabteilung, Richtlinien, Datenschutz, Einkauf, Risiko und Compliance, Sicherheit, Arbeitserfahrung und Arbeitstechnologie. 

Erfüllung der Anforderungen von PCI DSS

Payment Card Industries Data Security Standard

Uns ist die Sicherheit deiner Kreditkarte wichtig und wir verabscheuen Betrüger! Wenn du Atlassian-Produkte oder -Services mit deiner Kreditkarte bezahlst, kannst du dir sicher sein, dass wir der Sicherheit dieser Transaktionen gebührende Aufmerksamkeit schenken. Wir sind ein Level-2-Händler und lassen unsere Compliance mit PCI DSS von einem Qualified Security Assessor (QSA) überprüfen. Derzeit erfüllen wir die Anforderungen von PCI DSS v3.2, SAQ A.

Lade unsere PCI Attestation of Compliance (AoC) herunter

Jira, Confluence, Bitbucket und LearnDot

Trello

Statuspage

Hipchat

Cloud Security Alliance

Cloud Security Alliance – Security, Trust, and Assurance Registry (STAR)

Ein CSA STAR Level 1 Questionnaire für Atlassian kann auf der Website der Cloud Security Alliance’s STAR Registry heruntergeladen werden.

CSA Security, Trust & Assurance Registry (STAR) ist ein kostenloses öffentliches Verzeichnis, in dem die Sicherheitskontrollen verschiedener Cloud-Angebote dokumentiert werden, sodass Kunden die Sicherheit von Cloud-Anbietern beurteilen können. Atlassian ist bei CSA STAR registriert, Corporate Member bei der Cloud Security Alliance (CSA) und hat den Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ) ausgefüllt. Die neueste Version des CAIQ gemäß der CSA Cloud Controls Matrix (CCM) v.3.0.1 beantwortet über 300 Fragen, die ein Cloud-Kunde oder Cloud-Sicherheits-Auditor an einen Cloud-Anbieter haben könnte.

Unser Atlassian CIAQ-Eintrag deckt Jira und Confluence Cloud sowie Hipchat und Bitbucket Cloud ab.

VPAT 508

Freiwillige Produktzugänglichkeitsvorlage (Voluntary Product Accessibility Template, VPAT)

Die freiwillige Produktzugänglichkeitsvorlage (VPAT) ist ein Dokument, mit dem ermittelt wird, wie barrierefrei ein Produkt im Sinne des US-Rehabilitation Act, Abschnitt 508, ist. In dem Dokument stellen Verkäufer auf freiwilliger Basis dar, wie ihre Produkte alle in Abschnitt 508 festgelegten Anforderungen erfüllen.

Käufer verwenden das Dokument, um die Nutzbarkeit von Produkten für Menschen mit Behinderungen einzuschätzen sowie mögliche Probleme zu identifizieren. Einige Käufer fordern ausgefüllte VPAT ein, bevor sie eine Kaufentscheidung treffen.

Unsere Serviceanbieter

Wir stellen an unsere Serviceanbieter sehr hohe Anforderungen. Rechenzentren, externe Standorte und Anbieter verwalteter Services müssen sich regelmäßig SOC1-, SOC2- und/oder ISO/IEC 27001-Audits zur Überprüfung ihrer Verfahren unterziehen.

Wir überprüfen die Ergebnisse dieser Audits mindestens einmal jährlich im Rahmen unseres Anbietermanagementprogramms. Sollten die Audits wesentliche Risiken für unsere Kunden aufdecken, untersuchen wir zusammen mit dem Serviceanbieter potenzielle Auswirkungen auf Kundendaten und verfolgen die Maßnahmen des Anbieters bis zur Behebung des Problems.

Bewertung unserer Verfahren

Unabhängige Audits durch Dritte

Unsere Verfahren werden in Audits von unabhängigen Drittparteien gemäß den weltweit begehrtesten Normen und Bestimmungen geprüft. Diese unabhängigen, gründlichen Überprüfungen finden mindestens einmal jährlich statt und werden von weltweit anerkannten Audit- und Sicherheitsunternehmen durchgeführt. Die Berichte hiervon nehmen wir sehr ernst und wir verfügen über Verfahren, uns mit jeglichen Risiken für unsere Kunden auseinanderzusetzen. 

Externe und interne Tests zur Anwendungssicherheit

Unser Sicherheitsteam führt ständig automatisierte und manuelle Tests zur Anwendungssicherheit und zu Netzwerkschwachstellen durch, um potenzielle Sicherheitsrisiken und Bugs in unseren Desktop-, Web- und mobilen Anwendungen zu ermitteln und zu beheben. Darüber hinaus arbeiten wir mit externen Sicherheitsexperten und anderen Sicherheitsspezialisten unserer Branche zusammen. Weitere Informationen erhältst du in unseren Richtlinien zum Melden von Schwachstellen und unserem Bug-Bounty-Programm.

Kontinuierliche Verbesserung

Die kontinuierliche Verbesserung der Sicherheits- und Compliance-Programme, -Systeme und -Kontrollen ist ein wesentlicher Bestandteil eines jeden Programms zum Management der Informationssicherheit. Atlassian bemüht sich um Feedback von verschiedenen internen Teams, Kunden sowie internen und externen Auditoren, um die Prozesse rund um Sicherheit, Datenschutz und Compliance sowie deren Kontrolle im Laufe der Zeit immer weiter zu verbessern.