7 min read

Koje zahtjeve usklađenosti zadovoljava Atlassian Cloud?

Picture of Bernarda Ivičević Bernarda Ivičević : 2023.05.31 14:27:02

Cloud Migration

Sve više kupaca prelazi na Atlassian Cloud. Ovdje možete saznati koje zahtjeve za sigurnost, zaštitu podataka i usklađenost ispunjava i što oni uključuju.

Cloud više nije jedna od opcija ili alternativa, postao je strateški zahtjev zbog trenutne SaaS revolucije. SaaS proizvodi kao što je Atlassian Cloud razvili su se u standardizirane poslovne alate i pokazuju temeljne razlike u odnosu na on-premise rješenja. Velika je suprotnost da administraciju i upravljanje infrastrukturom kontrolira pružatelj. To znači da interni IT tim može strateški koristiti svoje oslobođene resurse negdje drugdje.

Usklađenost u Atlassian Cloudu

wp_44-png

ISO / IEC 27001

Međunarodna organizacija za standardizaciju (ISO) neovisna je organizacija koja broji 167 članova za normizaciju iz cijelog svijeta. ISO/IEC obitelj standarda 27000 pomaže organizacija da omoguće sigurnost svojih informacijskih sredstava.

Prvo, ISO/IEC 27001:2013 je standard upravljanja sigurnošću koji definira sveobuhvatne sigurnosne mjere pram smjernicama najbolje prakse iz ISO/IEC 27002. Certifikacija se temelji na razvoju i implementaciji rigoroznog sigurnosnog programa.

ISO/IEC 27018 formulira priznate smjernice za provedbu mjera za zaštitu osobnih podataka. Atlassian Trust Management System podržava procese koji se nalaze u osnovi ponuda na cloudu.

Atlassian osigurava usklađenost s Općom uredbom o zaštiti podataka (GDPR) i svim propisima o zaštiti podataka. GDPR građanima EU-a daje veću kontrolu nad njihovim podacima i spaja različite zakone o zaštiti podataka i sigurnosti u jedan sveobuhvatan zakon.

Kao tvrtka s globalnom bazom kupaca, Atlassian je u mogućnosti premjestiti i pristupiti podacima bilo gdje u svijetu. Atlassian poštuje pravila za daljnje prijenose osobnih podataka izvan Europskog gospodarskog prostora (EEA) i nudi klijentima robustan okvir za međunarodne prijenose podataka prema Izmjeni privatnosti.

Uz dopunu Pravila o privatnosti, Atlassian je predan zaštiti podataka i prava kupaca odgovarajući na zahtjeve organa za provedbu zakona samo nakon pažljivog pravnog pregleda.

SOC2 / SOC3

Izvješća SOC 2 i SOC 3 (kontrole sustava i organizacije) neovisna su izvješća o istrazi koja dokumentiraju kako tvrtka ili organizacija provodi bitne mjere i ciljeve usklađenosti.

Odbor za standarde revizije primjenjivih kriterija za usluge povjerenja (TSC) Američkog instituta ovlaštenih javnih računovođa (AICPA) osnova je izvješća SOC 2 i SOC3.

Svrha izvješća je procijeniti sve informacijske sustave tvrtke ili organizacije koji su relevantni za sigurnost, dostupnost, integritet obrade, povjeriljivost i zaštitu podataka.

Izvješće SOC 3 sadrži pisanu izjavu servisne organizacije. Time se osigurava da su poduzete sve potrebne mjere u skladu s važećim kriterijima za usluge povjerenja. Razlika između ova dva izvješća je dostupnost javnosti. To je moguće samo sa SOC 3.

Istraživanja izvješća i SOC 2 i SOC 3 utemeljena su na dokazima provedena u skladu sa standardnom SSAE 18 (odjeljci AT-C 105 i 205), za što je odgovorna AICPA.

FedRAMP

S FedRAMP-om (Federalni program za upravljanje rizikom i autorizacijom) američka je vlada uspostavila vladin program za standardizaciju sigurnosti i procjene rizika, autorizaciju i kontinuirani nadzor proizvoda i usluga na cloudu.

Postoje dvije FedRAMPA autorizacije: preliminarno odobrenje od strane Zajedničkog odbora za autorizaciju (JAB) ili odobrenje od strane vladine agencije. Relevantna tijela rade izravno s pružateljem cloud usluga zbog autorizacije. Ako pružatelj usluga na cloudu odlučiti dobiti licencu za rad izravno od nadležnog tijela, cijeli FedRAMP proces prati odgovarajuće nadležno tijelo.

Autorizacije zahtijevaju procjenu od strane ovlaštene tvrtke za procjenu. Potreban je i temeljit pregled od strane Ureda za upravljanje programom FedRAMP (PMO).

PCI DSS

Standard za sigurnost podataka industrije platnih kartica (PCI-DSS) je vlasnički standard za sigurnost informacija kojima upravlja Vijeće za sigurnosne standarde PCI.

PCI Security Council definirao je mrežnu sigurnost i smjernice za poslovne transakcije za zaštitu podataka o kreditnim karticama kupaca kao "minimalni sigurnosni standard".

PCI-DSS se primjenjuje na sve sustave, mreže i aplikacije koje obrađuju, pohranjuju ili prenose podatke vlasnika kartice. Također se odnosi na sustave koji se koriste za osiguranje i evidentiranje pristupa spomenutim sustavima. PCI-DSS se odnosi na sve subjekte koji pohranjuju, obrađuju ili prenose podatke vlasnika kartice ili osjetljive podatke za autentifikaciju.

VPAT

Section 508 je amandman na Zakon o rehabilitaciji SAD-a iz 1073. Odjeljak 508 zahtijeva od saveznih agencija SAD-a da zaposlenicima i građanima s invaliditetom omoguće pristup elektroničkim informacijama i elektroničkoj tehnologiji koji se može usporediti s osobama bez invaliditeta. Osim toga, javna tijela također moraju uzeti u obzir dostupnost pri kupnji ili korištenju informacijske tehnologije.

ACSC - Cloud Computing Security

Ovaj vodič pomaže procjeniteljima da pregledaju sigurnost usluge na cloudu kako bi organizacijama pružili neovisno jamstvo da su sigurnosne tvrdnje pružatelja usluga na cloudu (CSP) valjanje. Organizacija i CSP dijele odgovornost za smanjenje rizika pri korištenju usluga na cloudu. Prije korištenja usluga na cloudu, organizacije bi trebale provesti procjenu rizika i primijeniti potrebne mjere za smanjenje rizika. Ovaj dokument pokriva infrastrukturu kao uslugu (IaaS), platformu kao uslugu (PaaS) i softver kao uslugu (SaaS) koje pruža CSP kao dio javnog clouda, clouda zajednice i vanjskog privatnog clouda.

APRA Prudential Standard CPS 234

Australsko tijelo za bonitetnu regulaciju (APRA) izdalo je smjernice financijskim institucijama koje regulira kako bi im pomoglo u održavanju kobernetičke sigurnosti i upravljanja u njihovim organizacijama kada korište računalstvo na cloudu. APRA je izdala posebne smjernice za outsourcing ponude računalstva na cloudu, a regulatori su obvezni pregledati i pridržavati se APRA Prudential Standarda CPS 234 Information Security prilikom outsourcinga. APRA 234 Vodič za outsourcing pruža mapiranja za svaki zahtjev i kako Atlassian Cloud Enterprise može pomoći klijetima da ispune svoje obveze, uključujući informacije o pravim revizije, sigurnosti podataka, raskidu i outsourcingu.

BaFIN

Savezno tijelo za financijski nadzor (BaFin) odgovorno je za nadzor svih financijskih institucija u Njemačkoj. Atlassian podržava svoje njemačke klijente koji posluju u sektoru financijskih usluga u rješavanju regulatornih zahtjeva na nacionalnoj razini s BaFin-om i na regionalnoj razini s Europskim nadzornim tijelom za bankarstvo (EBA).

Protokoli usklađenosti, uključujući one koje postavlja BaFin, zajednička su odgovornost financijske institucije i pružatelja usluga u oblaku. Atlassian pruža vodič za BaFin outsourcing sa specifičnim mapiranjem za svaki zahtjev i kako njegov Cloud Enterprise pomaže korisnicima u ispunjavanju njihovih obveza, uključujući informacije o pravima revizije, sigurnosti podataka, raskidu i outsourcingu.

CCPA

Kalifornijski zakon o privatnosti potrošača (CCPA) zakon je o privatnosti usvojen u Sjedinjenim Državama 2018. koji regulira upotrebu, prikupljanje i obradu osobnih podataka. Zakon potrošačima u Kaliforniji daje prava kao subjektima podataka, a Atlassian je predan poštivanju zahtjeva zakona. Atlassianov program privatnosti uključuje značajke koje podržavaju usklađenost s CCPA-om, kao što su: B. Alati za olakšavanje brisanja osobnih podataka i zahtjeva za pristup.

Atlassian ne prodaje osobne podatke, ali ih može dati trećim stranama kao što je opisano u Politici privatnosti. Atlassian je ažurirao svoja pravila o privatnosti kako bi uključio podatke specifične za stanovnike Kalifornije i CCPA. Novi zakon o privatnosti, Kalifornijski zakon o pravima na privatnost (CPRA), trenutno je u obliku nacrta i očekuje se da će stupiti na snagu 1. siječnja 2023.

Cloud Security Alliance

Cloud Security Alliance (CSA) neprofitna je organizacija koja promiče najbolje prakse za osiguravanje sigurnosti u računalstvu u oblaku i pomaže u zaštiti drugih oblika obrade podataka. Njihov program registra sigurnosti, povjerenja i osiguranja (CSA STAR) ocjenjuje pružatelje usluga u oblaku (CSP) kroz trostupanjski program samoprocjene, provjere treće strane i kontinuiranog nadzora.

STAR nudi tri razine jamstva, a CSP-ovi mogu predati ili ispunjeni Upitnik inicijative za zajedničko osiguranje (CAIQ) ili izvješće koje dokumentira usklađenost s Cloud Controls Matrix (CCM) kao dio samoprocjene CSA STAR. Atlassian, koji je i korporativni član Cloud Security Alliance-a i popis Trusted Cloud Provider, nudi samoprocjenu razine 1 za svoje proizvode u oblaku.

European Banking Authority (EBA)

Europsko bankovno tijelo (EBA) agencija je EU-a odgovorna za razvoj i provedbu okvira za regulaciju i nadzor bankarstva u svim zemljama EU-a kako bi se osigurala financijska stabilnost i povjerenje potrošača. Atlassian Cloud Enterprise razvio je rješenje za pomoć europskim klijentima u sektoru financijskih usluga u usklađivanju s EBA propisima i smjernicama.

Usklađenost s ovim zahtjevima zajednička je odgovornost financijskih institucija i pružatelja usluga u oblaku. Atlassian pruža EBA vodič za outsourcing sa specifičnim mapiranjem za svaki zahtjev i kako tvrtka pomaže klijentima u ispunjavanju obveza kao što su prava revizije, sigurnost podataka, lokacija obrade podataka, lančani outsourcing i raskid.

Financial Market Supervisory Authority

Atlassian je predan pomaganju svojim klijentima financijskih usluga u Švicarskoj da se pridržavaju propisa Švicarskog nadzornog tijela za financijsko tržište (FINMA) za održavanje odgovarajućih programa kibernetičke sigurnosti i upravljanja. Smjernice FINMA-e o zahtjevima za outsourcing za tvrtke u oblaku uključene su u Okružnicu 2018/3. Atlassian FINMA Outsourcing Guide detaljno opisuje svaki zahtjev i kako Atlassian Cloud Enterprise pomaže korisnicima u ispunjavanju obaveza kao što su prava revizije, sigurnost podataka, prekid i lančani outsourcing.

HECVAT

Vijeće za informacijsku sigurnost visokog obrazovanja (HEISC), u suradnji s drugim organizacijama, razvilo je Higher Education Cloud Vendor Assessment Toolkit (HECVAT) za ustanove visokog obrazovanja kako bi se procijenili zahtjevi sigurnosti i privatnosti pružatelja usluga oblaka u Sjedinjenim Državama. Kao pružatelj usluga u oblaku, Atlassian Cloud proveo je HECVAT samoprocjenu za svoje osnovne proizvode, opisujući usklađenost s industrijskim standardima i sigurnost svojih proizvoda i infrastrukture.

HIPAA

HIPAA je propis američkog Ministarstva zdravstva i socijalnih usluga osmišljen za zaštitu zaštićenih zdravstvenih informacija. Odnosi se na pružatelje zdravstvenih usluga, planove zdravstvene skrbi i klirinške kuće zdravstvene skrbi, kao i treće strane poznate kao "Poslovni suradnici". Atlassian osigurava usklađenost sa HIPAA za svoje klijente kroz niz sigurnosnih mjera, procjena, politika i postupaka. Korisnici moraju kupiti Enterprise Plan i Ugovor o poslovnom suradništvu (BAA) kako bi bili sukladni HIPAA-i kada koriste Atlassianove proizvode i usluge. Atlassian je također izradio vodič za implementaciju HIPAA-e za kupce kako bi osigurao da koriste proizvode i usluge na način usklađen s HIPAA-om.

NCSC - UK Cloud Security

Nacionalni centar za kibernetičku sigurnost (NCSC) je organizacija vlade Ujedinjenog Kraljevstva usmjerena na pružanje smjernica za kibernetičku sigurnost kako bi se smanjili rizici kibernetičke sigurnosti za mreže javnog i privatnog sektora u Ujedinjenom Kraljevstvu. NCSC je razvio 14 načela sigurnosti u oblaku za sigurnost informacija, uključujući sigurnu upotrebu pružatelja usluga u oblaku (CSP), upravljanje identitetom i pristupom te standarde šifriranja. Atlassianov UK Cloud Security Principles Outsourcing Vodič mapira svaki zahtjev i objašnjava kako oni mogu pomoći u ispunjavanju obveza kao što su prava revizije, sigurnost podataka, prekid i lančani outsourcing.

Lei Geral de Proteção de Dados (LGPD)

Brazilski opći zakon o zaštiti podataka (LGPD) utvrđuje smjernice za prikupljanje, korištenje, obradu, pohranjivanje i prijenos osobnih podataka brazilskih subjekata podataka. Zakon uređuje prikupljanje podataka, povećava odgovornost, izriče novčane kazne za prekršaje, osniva brazilsko tijelo za zaštitu podataka (ANPD) i navodi zahtjeve za zaštitu osobnih podataka. Atlassianovi proizvodi u oblaku usklađeni su sa široko priznatim standardima i certifikatima, a tvrtka daje dodatak svom Dodatku za obradu podataka s uvjetima koji pokrivaju usklađenost s LGPD-om. Atlassianove GDPR prakse također se odnose na usklađenost s LGPD-om.

Section 889

Odjeljak 889 (a)(1)(A) i (B) Savezne uredbe o nabavi (FAR) zabranjuje američkim vladinim agencijama da nabavljaju ili podugovaraju tvrtke kojima upravljaju određene tvrtke, uključujući Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation , Hangzhou Hikvision Digital Technology Company i Dahua Technology Company. Atlassian izjavljuje da ne koristi pokrivenu telekomunikacijsku opremu ili usluge i potvrđuje da je proveo razumnu istragu u tu svrhu.

Web Content Accessibility Guidelines – WCAG

Smjernice za pristupačnost web sadržaja (WCAG) međunarodno su priznati standardi za izradu softvera, web stranica i sadržaja dostupnih osobama s invaliditetom. Oni su ugrađeni u odjeljak 508 Zakona o rehabilitaciji SAD-a i Europskog standarda pristupačnosti (EN 301 549). Atlassianovi interni standardi pristupačnosti temelje se na WCAG 2.1 i usmjereni su na usklađenost razine AA. Bit će ažurirani kako bi odražavali smjernice u WCAG 2.2 koje se očekuju krajem 2022. Kako bi osigurao transparentnost i odgovornost, Atlassian objavljuje izvješća o sukladnosti s WCAG-om za svaki od svojih proizvoda, s detaljima o razini podrške za svaki WCAG kriterij.

Više informacija o Cloudu možete pronaći ovdje: