Skip to the main content.

7 Min. Lesezeit

Welche Compliance-Anforderungen erfüllt die Atlassian Cloud?

Immer mehr Kunden wechseln in die Atlassian Cloud. Welche Sicherheits-, Datenschutz- und Compliance-Anforderungen sie erfüllt und was diese beinhalten erfährst Du hier.

 

Die Cloud ist nicht mehr nur noch eine optionale Alternative, sie ist durch die fortschreitende SaaS-Revolution eine strategische Voraussetzung geworden. SaaS-Produkte wie die Atlassian Cloud haben sich zu standardisierten Unternehmenswerkzeugen entwickelt und zeigen grundlegende Unterschiede zu den On-Premise-Lösungen auf. Ein großer Kontrast besteht darin, dass die Administration und das Management der Infrastruktur von dem Anbieter gesteuert wird. Somit kann das interne IT-Team seine freigewordenen Ressourcen anderweitig strategisch einsetzen.

Bei Cloud-Diensten beginnt Vertrauen mit Sicherheit und Zuverlässigkeit. Die Cloud-Produkte von Atlassian werden regelmäßig von unabhängiger Seite geprüft. Die Einhaltung globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen sind entsprechend zertifiziert.

Compliance in der Atlassian Cloud

 

wp_44-png

ISO / IEC 27001

Die internationale Organisation für Normung (ISO) ist eine unabhängige Organisation, die 167 Normungsorganisationen aus der ganzen Welt als Mitglieder zählt. Die ISO/IEC-Normenfamilie 27000 hilft Unternehmen, die Sicherheit ihrer Informationsressourcen zu gewährleisten.

Zunächst ist die ISO/IEC 27001:2013 eine Sicherheitsmanagement-Norm, die umfassende Sicherheitsmaßnahmen gemäß den Best-Practice-Richtlinien aus der ISO/IEC 27002 definiert. Grundlage der Zertifizierung ist die Entwicklung und Implementierung eines strengen Sicherheitsprogramms.

ISO/IEC 27018 formuliert anerkannte Richtlinien zur Umsetzung von Maßnahmen für den Schutz personenbezogener Daten. Das Atlassian Trust Management System unterstützt die Abläufe, die den Cloud-Angeboten zugrunde liegen. (ISO-Zertifikat von Atlassian)

wp_45-png

GDPR

Atlassian stellt sicher, die Datenschutz-Grundverordnung (DSGVO) und alle Vorschriften zum Datenschutz einzuhalten. Die DSGVO gibt EU-Bürgern mehr Kontrolle über ihre Daten und vereint diverse Datenschutz- und Sicherheitsgesetze in einem umfassenden Gesetz.

Als Unternehmen mit einem globalen Kundenstamm ist Atlassian in der Lage, Daten auf der ganzen Welt zu übertragen und darauf zuzugreifen. Atlassian respektiert die Regeln für die Weiterübermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) und bietet Kunden im Rahmen des Zusatzes zum Datenschutz ein robustes Framework für die internationale Datenübertragung.

Zusätzlich zum Zusatz bezüglich des Datenschutzes, schützt Atlassian die Daten und die Rechte von Kunden zu schützen, indem erst nach einer sorgfältigen juristischen Prüfung auf Anfragen von Strafverfolgungsbehörden reagiert wird.

 

SOC2 / SOC3

SOC 2 und SOC 3 Berichte (System and Organization Controls) sind unabhängige Untersuchungsberichte, die dokumentieren, wie ein Unternehmen oder eine Organisation essenzielle Compliance-Maßnahmen und -ziele umsetzt.

Das Auditing Standards Board der geltenden Trust Services Criteria (TSC) des American Institute of Certified Public Accountants (AICPA) ist die Basis der SOC 2 und der SOC 3 Berichte.

Die Absicht der Berichte ist die Evaluierung aller Informationssysteme eines Unternehmens oder einer Organisation, die relevant für die Sicherheit, die Verfügbarkeit, die Verarbeitungsintegrität, die Vertraulichkeit und den Datenschutz sind.

Ein SOC 3-Bericht enthält eine schriftliche Stellungnahme der Serviceorganisation. Dieser stellt sicher, dass alle gemäß den jeweils geltenden Trust Services Criteria erforderlichen Maßnahmen getroffen wurden. Der Unterschied zwischen den beiden Berichten ist die Zugänglichkeit für die Öffentlichkeit. Dies ist nur beim SOC3 möglich.

Sowohl SOC 2-Berichte als auch SOC 3-Berichte sind Nachweisuntersuchungen, die gemäß der in der Verantwortung des AICPA liegenden Norm SSAE 18 durchgeführt werden (Sections AT-C 105 und 205).

FedRAMP

Die US-amerikanische Regierung hat mit FedRAMP (Federal Risk and Authorization Management Program) ein Regierungsprogramm für die Standardisierung der Sicherheits- und Risikobeurteilung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und Cloud-Services eingerichtet.

Es gibt zwei FedRAMP-Autorisierungen: die vorläufige Autorisierung durch das Joint Authorization Board (JAB) oder die Autorisierung durch eine Behörde. Für die Autorisierung arbeiten die betreffenden Behörden direkt mit dem Cloud-Anbieter zusammen. Entscheidet sich ein Cloud-Service-Anbieter für die Einholung einer Betriebserlaubnis direkt über eine Behörde, wird der gesamte FedRAMP-Prozess durch die jeweilige Behörde begleitet.

Voraussetzungen für die Autorisierungen sind eine Bewertung durch ein beim Programm akkreditiertes Bewertungsunternehmen. Zudem wird eine gründliche technische Prüfung durch das FedRAMP Program Management Office (PMO) benötigt.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein proprietärer Informationssicherheitsstandard, der vom PCI Security Standards Council verwaltet wird.

Der PCI Security Council hat Richtlinien für Netzwerksicherheit und Geschäftstransaktionen zum Schutz der Kreditkarteninformationen von Kunden als „Mindestsicherheitsstandard“ definiert.

Dabei gilt der PCI-DSS für alle Systeme, Netzwerke und Anwendungen, die Karteninhaberdaten verarbeiten, speichern oder übermitteln. Außerdem gilt er für Systeme, die zur Absicherung und Protokollierung von Zugriffen auf die genannten Systeme verwendet werden. Der PCI-DSS gilt für alle Rechtspersönlichkeiten, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übermitteln.

VPAT

Section 508 ist ein Zusatzartikel zum US-amerikanischen Rehabilitation Act von 1973. Gemäß Section 508 müssen US-Bundesbehörden Mitarbeitern und Bürgern mit Beeinträchtigung vergleichbaren Zugang zu elektronischen Informationen und elektronischer Technologie ermöglichen wie Personen ohne Beeinträchtigung. Außerdem müssen Behörden den Aspekt Barrierefreiheit auch beim Kauf oder der Verwendung von Informationstechnologie berücksichtigen.

ACSC: Cloud Computing Security for Cloud Service Providers (Cloud-Computing-Sicherheit für Cloud-Service-Anbieter)

ACSC - Cloud Computing Security

Dieser Leitfaden hilft Assessoren dabei, die Sicherheit eines Cloud-Service zu überprüfen, um unabhängige Bestätigung für Organisationen zu geben, dass die Sicherheitsansprüche von Cloud-Service Providern (CSPs) gültig sind. Die Organisation und der CSP tragen gemeinsam die Verantwortung zur Risikominderung bei der Nutzung von Cloud-Services. Vor der Nutzung von Cloud-Services sollten Organisationen eine Risikobewertung durchführen und notwendige Maßnahmen zur Risikominderung umsetzen. Dieses Dokument umfasst Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), die von einem CSP als Teil einer Public Cloud, Community Cloud und Outsourced Private Cloud bereitgestellt werden.

 

acbaef4c-d660-42ae-b4fa-41376cbc7352

APRA Prudential Standard CPS 234

Die Australian Prudential Regulation Authority (APRA) hat Leitlinien für die von ihr beaufsichtigten Finanzinstitute herausgegeben, um sie bei der Aufrechterhaltung der Cybersicherheit und der Governance in ihren Organisationen zu unterstützen, wenn sie Cloud Computing nutzen. Die APRA hat spezielle Leitlinien für das Outsourcing von Cloud-Computing-Angeboten herausgegeben, und die Aufsichtsbehörden müssen beim Outsourcing den APRA Prudential Standard CPS 234 Informationssicherheit überprüfen und einhalten. Die APRA 234 Outsourcing-Anleitung bietet Zuordnungen zu den einzelnen Anforderungen und zeigt auf, wie Atlassian Cloud Enterprise Kunden bei der Erfüllung ihrer Verpflichtungen unterstützen kann, einschließlich Informationen zu Auditrechten, Datensicherheit, Kündigung und Outsourcing.

BaFIN

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist für die Aufsicht über alle Finanzinstitute in Deutschland zuständig. Atlassian unterstützt seine deutschen Kunden, die im Finanzdienstleistungssektor tätig sind, bei der Bewältigung der regulatorischen Anforderungen auf nationaler Ebene mit der BaFin und auf regionaler Ebene mit der Europäischen Bankenaufsichtsbehörde (EBA).

Compliance-Protokolle, einschließlich der von der BaFin festgelegten, liegen in der gemeinsamen Verantwortung des Finanzinstituts und des Cloud-Dienstleisters. Atlassian bietet einen BaFin-Outsourcing-Leitfaden mit spezifischen Zuordnungen zu jeder Anforderung und dazu, wie sein Cloud Enterprise Kunden bei der Erfüllung ihrer Verpflichtungen unterstützt, einschließlich Informationen zu Prüfungsrechten, Datensicherheit, Kündigung und Outsourcing.

CCPA

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz, das 2018 in den USA verabschiedet wurde und die Verwendung, Erfassung und Verarbeitung personenbezogener Daten regelt. Das Gesetz gibt kalifornischen Verbrauchern Rechte als Betroffene, und Atlassian verpflichtet sich zur Einhaltung der Anforderungen des Gesetzes. Das Datenschutzprogramm von Atlassian umfasst Funktionen, die die Einhaltung des CCPA unterstützen, wie z. B. Tools zur Erleichterung der Löschung personenbezogener Daten und von Zugriffsanfragen.

Atlassian verkauft keine persönlichen Daten, kann diese aber, wie in der Datenschutzrichtlinie beschrieben, an Dritte weitergeben. Atlassian hat seine Datenschutzrichtlinien aktualisiert, um Informationen speziell für Einwohner Kaliforniens und das CCPA aufzunehmen. Ein neues Datenschutzgesetz, der California Privacy Rights Act (CPRA), befindet sich derzeit im Entwurfsstadium und wird voraussichtlich am 1. Januar 2023 in Kraft treten.

777c4b79-cb1b-4142-8fda-ac433e42a6e3

Cloud Security Alliance

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, die bewährte Praktiken für die Gewährleistung der Sicherheit im Cloud Computing fördert und zur Sicherung anderer Formen der Datenverarbeitung beiträgt. Ihr Security, Trust & Assurance Registry Program (CSA STAR) bewertet Cloud Service Provider (CSPs) durch ein dreistufiges Programm aus Selbstbewertung, Prüfung durch Dritte und kontinuierlicher Überwachung.

STAR bietet drei Zuverlässigkeitsstufen, und CSPs können entweder einen ausgefüllten Common Assurance Initiative Questionnaire (CAIQ) oder einen Bericht, der die Einhaltung der Cloud Controls Matrix (CCM) dokumentiert, als Teil der CSA STAR-Selbstbewertung einreichen. Atlassian, das sowohl korporatives Mitglied der Cloud Security Alliance ist als auch auf der Liste der Trusted Cloud Provider steht, bietet eine Selbstbewertung der Stufe 1 für seine Cloud-Produkte an.

 

a13e19e3-864e-41fa-8e91-469333edd76c

European Banking Authority (EBA)

Die European Banking Authority (EBA) ist eine EU-Behörde, die für die Entwicklung und Umsetzung eines Regelwerks zur Regulierung und Überwachung des Bankwesens in allen EU-Ländern zur Gewährleistung der Finanzstabilität und des Verbrauchervertrauens verantwortlich ist. Atlassian Cloud Enterprise hat eine Lösung entwickelt, die europäische Kunden im Finanzdienstleistungssektor bei der Einhaltung der EBA-Vorschriften und -Richtlinien unterstützt.

Die Einhaltung dieser Anforderungen liegt in der gemeinsamen Verantwortung der Finanzinstitute und des Cloud-Service-Anbieters. Atlassian bietet einen EBA-Outsourcing-Leitfaden mit spezifischen Zuordnungen zu den einzelnen Anforderungen und zeigt auf, wie das Unternehmen Kunden bei der Erfüllung von Verpflichtungen wie Prüfungsrechten, Datensicherheit, Ort der Datenverarbeitung, Ketten-Outsourcing und Kündigung unterstützt.

de6c02af-32b6-48ac-b2cc-cb19d1d07be4

Financial Market Supervisory Authority

Atlassian hat sich verpflichtet, seine Schweizer Kunden aus dem Finanzdienstleistungssektor bei der Einhaltung der Vorschriften der Eidgenössischen Finanzmarktaufsicht (FINMA) für die Aufrechterhaltung angemessener Cybersicherheits- und Governance-Programme zu unterstützen. Die FINMA-Anleitung zu den Outsourcing-Anforderungen für Cloud-Unternehmen ist im Rundschreiben 2018/3 enthalten. Die FINMA-Outsourcing-Anleitung von Atlassian geht auf die einzelnen Anforderungen ein und erläutert, wie Atlassian Cloud Enterprise den Nutzern hilft, Verpflichtungen wie Audit-Rechte, Datensicherheit, Kündigung und Ketten-Outsourcing zu erfüllen.

dc308097-0cfe-49f5-ba10-82d72404716c

HECVAT

Der Higher Education Information Security Council (HEISC) hat in Zusammenarbeit mit anderen Organisationen das Higher Education Cloud Vendor Assessment Toolkit (HECVAT) für Hochschulen entwickelt, um die Sicherheits- und Datenschutzanforderungen von Cloud-Service-Anbietern in den Vereinigten Staaten zu bewerten. Als Cloud-Service-Anbieter hat Atlassian Cloud eine Selbstbewertung für seine Kernprodukte gemäß HECVAT durchgeführt, in der die Ausrichtung an Branchenstandards und die Sicherheit seiner Produkte und Infrastruktur beschrieben wird.

HIPAA

HIPAA ist eine Verordnung des US-Gesundheitsministeriums zum Schutz geschützter Gesundheitsinformationen. Sie gilt für Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen im Gesundheitswesen sowie für Dritte, die als “Business Associates” bezeichnet werden. Atlassian stellt die Einhaltung des HIPAA für seine Kunden durch eine Reihe von Sicherheitsmaßnahmen, Bewertungen, Richtlinien und Verfahren sicher. Kunden müssen einen Enterprise Plan und ein Business Associate Agreement (BAA) erwerben, um die HIPAA-Bestimmungen bei der Nutzung der Produkte und Dienstleistungen von Atlassian einzuhalten. Atlassian hat außerdem einen HIPAA-Implementierungsleitfaden für Kunden erstellt, um sicherzustellen, dass sie die Produkte und Dienstleistungen auf eine HIPAA-konforme Weise nutzen.

NCSC - UK Cloud Security

Das National Cyber Security Centre (NCSC) ist eine britische Regierungsorganisation, die sich auf die Bereitstellung von Leitlinien für die Cybersicherheit konzentriert, um die Cybersicherheitsrisiken für Netzwerke des öffentlichen und privaten Sektors in Großbritannien zu verringern. Das NCSC hat 14 Cloud Security Principles für die Informationssicherheit entwickelt, darunter die sichere Nutzung eines Cloud Service Providers (CSP), Identitäts- und Zugriffsmanagement sowie Verschlüsselungsstandards. Der Outsourcing-Leitfaden der UK Cloud Security Principles von Atlassian bildet jede Anforderung ab und erklärt, wie sie bei der Erfüllung von Verpflichtungen wie Audit-Rechten, Datensicherheit, Kündigung und Ketten-Outsourcing helfen können.

Lei Geral de Proteção de Dados (LGPD)

Das brasilianische allgemeine Datenschutzgesetz (LGPD) legt Richtlinien für die Erhebung, Nutzung, Verarbeitung, Speicherung und Übermittlung personenbezogener Daten brasilianischer Betroffener fest. Das Gesetz regelt die Datenerfassung, erhöht die Rechenschaftspflicht, verhängt Geldstrafen für Verstöße, schafft eine brasilianische Datenschutzbehörde (ANPD) und umreißt die Anforderungen für den Schutz personenbezogener Daten. Die Cloud-Produkte von Atlassian entsprechen weithin anerkannten Standards und Zertifizierungen, und das Unternehmen bietet einen Anhang zu seinem Data Processing Addendum mit Bedingungen, die die Einhaltung der LGPD abdecken. Die GDPR-Praktiken von Atlassian behandeln auch die Einhaltung der LGPD.

Section 889

Abschnitt 889 (a)(1)(A) und (B) der Federal Acquisition Regulation (FAR) verbietet US-Regierungsbehörden die Beschaffung von oder die Auftragsvergabe an Unternehmen, die von bestimmten Unternehmen, darunter Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company und Dahua Technology Company, hergestellte Telekommunikationsgeräte oder -dienstleistungen verwenden. Atlassian versichert, dass es keine erfassten Telekommunikationsgeräte oder -dienste verwendet und bestätigt, dass es zu diesem Zweck eine angemessene Untersuchung durchgeführt hat.

Web Content Accessibility Guidelines – WCAG

Die Web Content Accessibility Guidelines (WCAG) sind international anerkannte Standards, um Software, Websites und Inhalte für Menschen mit Behinderungen zugänglich zu machen. Sie sind im US Rehabilitation Act Section 508 und in der europäischen Norm für Barrierefreiheit (EN 301 549) verankert. Die internen Zugänglichkeitsstandards von Atlassian basieren auf WCAG 2.1 und zielen auf eine Konformität der Stufe AA ab. Sie werden aktualisiert, um die für Ende 2022 erwarteten Richtlinien in WCAG 2.2 zu berücksichtigen. Um Transparenz und Verantwortlichkeit zu gewährleisten, veröffentlicht Atlassian WCAG-Konformitätsberichte für jedes seiner Produkte, in denen der Grad der Unterstützung für jedes WCAG-Kriterium aufgeführt ist.