Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua
Prodotti

In primo piano

Jira Software

Monitoraggio di progetti e ticket

Confluence

Collaborazione sui contenuti

Jira Service Management

ITSM high-velocity

Trello

Gestione visiva dei progetti

Vedi tutti i prodotti

Marketplace

Connetti migliaia di app e integrazioni per tutti i tuoi prodotti Atlassian

Close dropdown
Soluzioni

In primo piano

Gestione del lavoro

Gestisci i progetti e allinea gli obiettivi di tutti i team per raggiungere i risultati finali

Gestione dei servizi IT

Consenti ai team aziendali, di sviluppo e delle operazioni IT di offrire un ottimo servizio high velocity

Agile e DevOps

Gestisci un'organizzazione software Agile di alta qualità, dall'individuazione alla distribuzione e alle operazioni

PER DIMENSIONE DEL TEAM

Aziende

Piccole imprese

Startup

Organizzazioni non profit

PER FUNZIONE DEL TEAM

Sviluppo software

IT

Finanza

Marketing

Risorse umane

Per settore

Vendita al dettaglio

Telecomunicazioni

Servizi professionali

Enti pubblici

Close dropdown
Risorse

Apprendimento

Atlassian University

Playbook Atlassian

Documentazione prodotto

Risorse per sviluppatori

Assistenza

Atlassian Community

Assistenza Atlassian

Atlassian Migration Program

Servizi aziendali

Supporto dei partner

Acquisti e licenze

Connessioni

Informazioni su di noi

Opportunità di carriera

Blog Work Life

Eventi

Il supporto per i prodotti Server terminerà il 15 febbraio 2024

Man mano che si avvicina la fine del supporto per i nostri prodotti Server, crea un piano vincente per la tua migrazione a Cloud con l'Atlassian Migration Program.

Valuta le mie opzioni

Close dropdown
Search
Provalo ora
Toggle menu
Close search

Le policy sulla sicurezza e la tecnologia di Atlassian

Atlassian ha istituito un programma di gestione della sicurezza delle informazioni (ISMP) che descrive i principi e le regole per la gestione dei programmi Fiducia e sicurezza. Realizziamo questo obiettivo valutando continuamente i rischi per le nostre operazioni e migliorando la sicurezza, la riservatezza, l'integrità e la disponibilità del nostro ambiente Atlassian. Rivediamo e aggiorniamo regolarmente le policy di sicurezza, monitoriamo la conformità a tali policy e conduciamo test di sicurezza delle applicazioni e della rete del nostro ambiente.

Di seguito è riportato un elenco e una breve descrizione delle principali policy in materia di sicurezza e tecnologia che Atlassian ha adottato per i propri ambienti interni e cloud.

Sommario

Policy, rischio e governance relativi alla sicurezza

Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Atlassian gestirà l'accesso alle informazioni di aziende e clienti in base alle esigenze del business e in linea con i propri valori.
  • Atlassian implementerà una serie di controlli per gestire l'implementazione della sicurezza in linea con questa policy.
  • Atlassian esaminerà periodicamente i rischi e l'efficacia dei controlli destinati a gestirli.
  • Atlassian continuerà a fornire assistenza e a dare prova di impegno per il raggiungimento della conformità alla legislazione applicabile in materia di protezione delle informazioni personali e ai termini contrattuali dei clienti del cloud.

Gestione dell'accesso

Questa policy stabilisce i principi e le linee guida generali per la gestione degli accessi.

I principi di base (riepilogo) includono quanto segue:

  • Atlassian manterrà una policy di controllo degli accessi che indica come gestire l'accesso ai sistemi.
  • Gli account utente verranno utilizzati per gestire l'accesso.
  • Tutti gli utenti hanno la responsabilità di gestire l'accesso ai propri sistemi.
  • I sistemi verranno registrati e monitorati per controllare potenziali accessi inappropriati.
  • L'accesso remoto sarà abilitato tramite l'autenticazione a più fattori.
  • I doveri dovrebbero essere separati, laddove appropriato.

Gestione delle risorse

Questa policy stabilisce i principi e le linee guida generali per la gestione degli asset IT di Atlassian e il modo in cui devono essere gestiti.

I principi di base (riepilogo) della gestione degli asset in Atlassian includono quanto segue:

  • Atlassian manterrà un inventario degli asset.
  • Gli asset gestiti in un database di gestione degli asset avranno responsabili identificati.
  • L'uso accettabile degli asset sarà identificato, documentato e implementato.
  • Gli asset verranno restituiti ad Atlassian in caso di cessazione del rapporto di lavoro.

Continuità aziendale e ripristino di emergenza

Questa policy illustra i principi generali che stabiliscono il nostro approccio verso la resilienza, la disponibilità e la continuità di processi, sistemi e servizi in Atlassian. Definisce i requisiti relativi ai processi di continuità aziendale, ripristino di emergenza e gestione delle crisi.

I principi di base (riepilogo) includono quanto segue:

  • I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza.
  • I piani di continuità devono includere un ambiente di "ultima resistenza" appropriato, che offra funzionalità di base (come requisito minimo) e un piano che conduca a quell'ambiente in caso di emergenza. Devono essere incluse anche considerazioni per il ripristino della normale operatività.
  • Nessun sistema, processo o funzione mission-critical può essere distribuito in produzione in assenza di un adeguato piano di continuità.
  • I piani devono essere testati trimestralmente e i problemi devono essere identificati e risolti.
  • Il tempo di ripristino (RTO) massimo inizia dal rilevamento degli eventi fino a quando la funzionalità principale è operativa. I servizi sono raggruppati in livelli che definiscono gli RTO e RPO massimi.

Sicurezza delle comunicazioni

Questa policy stabilisce i principi e le linee guida generali per la gestione della sicurezza delle nostre comunicazioni e delle nostre reti.

I principi di base (riepilogo) includono quanto segue:

  • L'accesso alle reti deve essere controllato.
  • Viene fornito l'accesso alla rete e tutti gli utenti devono avere familiarità con la policy sulle comunicazioni e i sistemi elettronici.
  • Le reti devono essere separate in base alla criticità.

Crittografia

Questa policy stabilisce i principi generali per garantire che Atlassian implementi la crittografia appropriata per tutelare la riservatezza e l'integrità dei dati critici. Atlassian utilizza meccanismi crittografici per mitigare i rischi connessi all'archiviazione di informazioni sensibili e alla loro trasmissione su reti, comprese quelle accessibili al pubblico (come Internet). Facilitare l'uso di tecnologie di crittografia affidabili, sicure e di comprovata efficacia è un obiettivo chiave di questo standard al fine di mitigare il rischio di accesso non autorizzato e/o modifica di informazioni aziendali sensibili.

I principi di base (riepilogo) includono quanto segue:

  • I dati sensibili sono crittografati in modo appropriato.
  • Il livello di crittografia selezionato corrisponde alla classificazione delle informazioni.
  • Le chiavi crittografiche saranno gestite in modo sicuro.
  • Saranno utilizzati solo algoritmi crittografici e moduli software approvati.

Classificazione dei dati

Questa policy stabilisce e definisce le classificazioni dei dati e include descrizioni, esempi, requisiti e linee guida riguardanti il trattamento dei dati inclusi in ciascuna classificazione. Le classificazioni si basano sui requisiti legali, sulla sensibilità, sul valore e sulla criticità dei dati per Atlassian, i clienti di Atlassian, nonché i partner e i fornitori di Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • I dati devono essere classificati in termini di requisiti legali, valore e criticità per Atlassian.
  • I dati devono essere identificati, etichettati e tenuti aggiornati in una mappa del flusso di dati per garantirne una gestione appropriata.
  • Lo smaltimento dei supporti deve avvenire in modo sicuro.
  • I supporti contenenti informazioni aziendali devono essere protetti da accessi non autorizzati, uso improprio o danneggiamento durante il trasporto.

Dispositivi mobili e Bring Your Own Device (BYOD)

Questa policy stabilisce i principi e le linee guida generali per l'uso di dispositivi personali con reti e sistemi Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • La filosofia alla base della presente policy Bring Your Own Device (qui indicata come Policy BYOD o Policy) è quella di essere il più possibile discreta e flessibile per quanto riguarda l'utilizzo di BYOD per mantenere l'autonomia degli Atlassiani e di garantire al contempo la possibilità di proteggere i nostri dati aziendali e i dati dei nostri clienti.
  • Pertanto, l'attenzione sarà incentrata sul controllo della configurazione/dell'approccio e sul monitoraggio della conformità dei dispositivi applicando i principi meno restrittivi che consentano ragionevolmente di raggiungere gli obiettivi di sicurezza richiesti. L'eventuale necessità di applicare restrizioni verrà valutata caso per caso a seconda dei dati a cui è possibile effettuare l'acceso.
  • Questa policy copre sia le nostre esigenze attuali che quelle future previste. Alcune delle funzionalità descritte potrebbero non essere implementate immediatamente.

Operazioni

Questa policy stabilisce i principi e le linee guida generali per le pratiche operative in materia di tecnologia adottate da Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Le procedure devono essere documentate per le attività operative.
  • I backup devono essere eseguiti regolarmente e testati.
  • Le modifiche devono essere gestite e valutate da più persone.
  • La capacità deve essere valutata e pianificata.
  • L'installazione del software deve essere limitata e il software non necessario deve essere sottoposto a restrizioni.
  • I log devono essere configurati e inoltrati alla piattaforma di registrazione centralizzata.
  • Eventuali imprevisti operativi devono essere gestiti secondo il nostro processo HOT standard.

Sicurezza personale

Questa policy stabilisce i principi e le linee guida generali per la sicurezza del personale in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Le responsabilità della sicurezza devono essere indicate nelle definizioni delle mansioni.
  • Tutti i dipendenti e gli utenti devono seguire regolarmente la formazione sulla consapevolezza in materia di sicurezza.
  • Tutti i dipendenti e i collaboratori esterni hanno il dovere di segnalare imprevisti o vulnerabilità della sicurezza
  • In caso di licenziamento dei dipendenti, l'accesso e la restituzione degli asset dovranno avvenire in un lasso di tempo ragionevole.

Sicurezza fisica e ambientale

Questa policy stabilisce i principi e le linee guida generali per la protezione dei nostri edifici, dei nostri uffici e delle nostre apparecchiature.

I principi di base (riepilogo) includono quanto segue:

  • Presenza di aree di lavoro sicure.
  • Protezione delle nostre apparecchiature IT ovunque si trovino.
  • Limitare l'accesso ai nostri edifici e uffici.

Privacy

Questa policy stabilisce i principi volti a garantire che Atlassian implementi misure di sicurezza appropriate per contribuire a proteggere la privacy dei dati.

Atlassian riconosce che, per quanto la crittografia e altre tecnologie per il miglioramento della privacy (PET) siano strumenti potenti, è necessaria una valutazione attenta durante la selezione e l'implementazione della tecnologia. Atlassian adotta un approccio alla privacy basato sul rischio che considera la natura, l'ambito, il contesto e le finalità del trattamento dei dati, nonché la probabilità e la gravità dei rischi per i diritti e le libertà delle persone fisiche.

I principi di base (riepilogo) includono quanto segue:

  • Le PET devono essere scelte secondo un approccio basato sul rischio.
  • Le PET non devono impedire ad Atlassian di soddisfare i requisiti normativi relativi ai diritti alla privacy.
  • Le PET non devono compromettere la sicurezza dei sistemi e servizi che effettuano l'elaborazione dei dati.
  • Le PET non devono compromettere la capacità di ripristinare l'accesso e la disponibilità dei dati privati in caso di violazione.
  • Le PET devono consentire di eseguire regolarmente test e valutazioni dell'efficacia.

Gestione degli imprevisti di sicurezza

Questa policy stabilisce i principi e le linee guida generali per garantire che Atlassian reagisca in modo appropriato a qualsiasi imprevisto di sicurezza effettivo o sospetto. Atlassian ha la responsabilità di monitorare gli imprevisti che si verificano all'interno dell'organizzazione e che potrebbero violare la riservatezza, l'integrità o la disponibilità delle informazioni o dei sistemi informativi. Tutti gli imprevisti sospetti devono essere segnalati e valutati. La policy è stata implementata in modo che il personale Atlassian addetto alla sicurezza possa limitarne la durata e l'impatto negativo su Atlassian e sui suoi clienti, nonché acquisire informazioni dagli imprevisti.

I principi di base (riepilogo) includono quanto segue:

  • Anticipare gli imprevisti di sicurezza e prepararsi per la risposta agli imprevisti.
  • Contenere ed eliminare gli imprevisti, ed effettuare il ripristino dagli imprevisti.
  • Investire nelle nostre persone, nei nostri processi e nelle nostre tecnologie per avere la certezza di disporre della capacità di rilevare e analizzare un imprevisto di sicurezza, qualora si verifichi.
  • Adoperarsi affinché la protezione dei dati personali e dei dati dei clienti siano la massima priorità durante gli imprevisti di sicurezza.
  • Condurre regolarmente il processo di risposta agli imprevisti di sicurezza.
  • Acquisire informazioni dalla funzione di gestione degli imprevisti di sicurezza e migliorarla.
  • Comunicare gli imprevisti di sicurezza critici al gruppo dirigenziale Atlassian.

Gestione dei fornitori

Questa policy stabilisce i principi e le linee guida generali per selezionare, inserire, monitorare ed escludere fornitori.

I principi di base includono quanto segue:

  • Atlassian sarà determinata nella gestione del proprio processo di selezione dei fornitori.
  • L'onboarding e la gestione di tutti i fornitori devono avvenire in conformità ai processi di valutazione dei rischi e due diligence di Atlassian.
  • Il proprietario dell'azienda che richiede il coinvolgimento del fornitore è responsabile dell'utilizzo dei contratti Atlassian standard.
  • Atlassian si occuperà della supervisione della relazione per assicurarsi che soddisfi i propri standard.
  • Atlassian si riserva il diritto di risolvere il contratto con qualsiasi fornitore qualora il servizio non sia più necessario.

Acquisizione, sviluppo e manutenzione di sistemi

Questa policy stabilisce i principi e le linee guida generali per lo sviluppo di applicazioni, sia internamente che rivolte al cliente, oltre a creare limitazioni su come gestire gli ambienti di pre-produzione e includere software open source in uno qualsiasi dei nostri prodotti e servizi.

I principi di base (riepilogo) includono quanto segue:

  • I requisiti di sicurezza saranno inclusi e integrati in qualsiasi ambiente o in qualsiasi attività di sviluppo o acquisizione di applicazioni.
  • Lo sviluppo del prodotto seguirà il nostro processo interno di garanzia della qualità, che include l'integrazione dei controlli di sicurezza.
  • I dati di produzione soggetti a restrizioni in base alla policy di gestione del ciclo di vita delle informazioni sulla sicurezza dei dati saranno resi anonimi o mascherati quando vengono utilizzati in ambienti di pre-produzione.
  • L'integrazione di qualsiasi framework o libreria open source seguirà il nostro standard interno "Utilizzo di codice di terze parti in un prodotto Atlassian".

Gestione delle minacce e vulnerabilità

Questa policy stabilisce i principi e le linee guida generali per la gestione delle minacce e delle vulnerabilità della sicurezza sia nel nostro ambiente che nei nostri prodotti.

I principi di base (riepilogo) includono quanto segue:

  • Gestire le vulnerabilità di sicurezza nei nostri prodotti e servizi, inclusa la pubblicazione di aggiornamenti, patch o avvisi.
  • Gestire le minacce alla sicurezza e le vulnerabilità in tutto il nostro ambiente, sia interno che in hosting.
  • Gestire la minaccia di malware nell'ambiente.

Gestione degli audit e della conformità

Questa policy stabilisce i principi generali per la gestione e la verifica della conformità dei controlli in Atlassian.

I principi di base (riepilogo) includono quanto segue:

  • Implementiamo controlli per gestire correttamente il rischio e garantire la conformità alle policy, alle normative e agli standard di settore esterni pertinenti.
  • Utilizziamo gli audit come mezzo per verificare l'adeguatezza e l'efficacia operativa dei nostri controlli.
  • Gli audit sono coordinati ed eseguiti come necessario per raggiungere un livello elevato di fiducia nel nostro ambiente di controllo, nonché per ottenere una certificazione interna o esterna.
  • Atlassian chiede la convalida esterna dei controlli.
  • Atlassian mantiene una visione consolidata di tutti i suoi obiettivi di controllo, attività di controllo e test pertinenti.