Skip to the main content.

3 Min. Lesezeit

Welche Zertifizierungen hat die Atlassian Cloud?

Erhalten Sie eine Übersicht zu den verschiedenen Atlassian Cloud Zertifizierungen und was diese beinhalten:

Die Cloud ist nicht mehr nur noch eine optionale Alternative, sie ist durch die fortschreitende SaaS-Revolution eine strategische Voraussetzung geworden. SaaS-Produkte wie die Atlassian Cloud haben sich zu standardisierten Unternehmenswerkzeugen entwickelt und zeigen grundlegende Unterschiede zu den On-premise Lösungen auf. Ein großer Kontrast besteht darin, dass die Administration und das Management der Infrastruktur von dem Anbieter gesteuert wird. Somit kann das interne IT-Team seine freigewordenen Ressourcen anderweitig strategisch einsetzen.

95 % aller Neu-Kunden von Atlassian wählen die Cloud, somit übersteigt die Zahl der Cloud-Kunden die 160.000. Diese setzen ihr Vertrauen bereits in Atlassian und ihr allumfassendes Sicherheitskonzept.

Bei Cloud Diensten beginnt Vertrauen mit Sicherheit und Zuverlässigkeit. Die Cloud-Produkte von Atlassian werden regelmäßig von unabhängiger Seite geprüft. Die Einhaltung globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen sind entsprechend zertifiziert.

Nachfolgend finden Sie die Zertifizierungen der Atlassian Cloud.

ISO / IEC 27001

Die internationale Organisation für Normung (ISO) ist eine unabhängige, Organisation, die 167 Normungsorganisationen aus der ganzen Welt als Mitglieder zählt. Die ISO/IEC-Normenfamilie 27000 hilft Unternehmen, die Sicherheit ihrer Informationsressourcen zu gewährleisten.

Zunächst ist die ISO/IEC 27001:2013 ist eine Sicherheitsmanagementnorm, die umfassende Sicherheitsmaßnahmen gemäß den Best-Practice-Richtlinien aus der ISO/IEC 27002 definiert. Grundlage der Zertifizierung ist die Entwicklung und Implementierung eines strengen Sicherheitsprogramms.

ISO/IEC 27018 formuliert anerkannte Richtlinien zur Umsetzung von Maßnahmen für den Schutz personenbezogener Daten. Das Atlassian Trust Management System unterstützt die Abläufe, die den Cloud-Angeboten zugrunde liegen. (ISO-Zertifikat von Atlassian)

GDPR

Atlassian stellt sicher, dass sie die Datenschutz-Grundverordnung (DSGVO) und alle Vorschriften zum Datenschutz einhalten. Die DSGVO gibt EU-Bürgern mehr Kontrolle über ihre Daten und vereint diverse Datenschutz- und Sicherheitsgesetze in einem umfassenden Gesetz.

Die DSGVO soll dem Wert personenbezogener Daten und der Kontrolle, die Einzelpersonen über ihre personenbezogenen Daten haben, Rechnung tragen.

Als Unternehmen mit einem globalen Kundenstamm ist Atlassian in der Lage, Daten auf der ganzen Welt zu übertragen und darauf zuzugreifen. Atlassian respektiert die Regeln für die Weiterübermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) und bietet Kunden im Rahmen des Zusatzes zum Datenschutz ein robustes Framework für die internationale Datenübertragung.

Zusätzlich zum Zusatz bezüglich des Datenschutzes, schützt Atlassian, die Daten und die Rechte von Kunden zu schützen, indem erst nach einer sorgfältigen juristischen Prüfung auf Anfragen von Strafverfolgungsbehörden reagiert wird.

 

SOC2 / SOC3

SOC 2 und SOC 3 Berichte (System and Organization Controls) sind unabhängige Untersuchungsberichte, die dokumentieren, wie ein Unternehmen oder eine Organisation essenzielle Compliance-Maßnahmen und -ziele umsetzt.

Das Auditing Standards Board der geltenden Trust Services Criteria (TSC) des American Institute of Certified Public Accountants (AICPA) ist die Basis der SOC 2 und der SOC 3 Berichte.

Die Absicht der Berichte ist die Evaluierung aller Informationssysteme eines Unternehmens oder einer Organisation, die relevant für die Sicherheit, die Verfügbarkeit, die Verarbeitungsintegrität, die Vertraulichkeit und den Datenschutz sind.

Ein SOC 3-Bericht enthält eine schriftliche Stellungnahme der Serviceorganisation. Dieser stellt sicher, dass alle gemäß den jeweils geltenden Trust Services Criteria erforderlichen Maßnahmen getroffen wurden. Der Unterschied zwischen den beiden Berichten ist die Zugänglichkeit für die Öffentlichkeit. Dies ist nur beim SOC3 möglich.

Sowohl SOC 2-Berichte als auch SOC 3-Berichte sind Nachweisuntersuchungen, die gemäß der in der Verantwortung des AICPA liegenden Norm SSAE 18 durchgeführt werden (Sections AT-C 105 und 205).

FedRAMP

Die US-amerikanische Regierung hat mit FedRAMP (Federal Risk and Authorization Management Program) ein Regierungsprogramm für die Standardisierung der Sicherheits- und Risikobeurteilung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und Cloud-Services eingerichtet.

Es gibt zwei FedRAMP-Autorisierungen: die vorläufige Autorisierung durch das Joint Authorization Board (JAB) oder die Autorisierung durch eine Behörde. Für die Autorisierung arbeiten die betreffenden Behörden direkt mit dem Cloud-Anbieter zusammen. Entscheidet sich ein Cloud-Service-Anbieter für die Einholung einer Betriebserlaubnis direkt über eine Behörde, wird der gesamte FedRAMP-Prozess durch die jeweilige Behörde begleitet.

Voraussetzungen für die Autorisierungen sind eine Bewertung durch ein beim Programm akkreditiertes Bewertungsunternehmen. Zudem wird eine gründliche technische Prüfung durch das FedRAMP Program Management Office (PMO) benötigt.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein proprietärer Informationssicherheitsstandard, der vom PCI Security Standards Council verwaltet wird.

Der PCI Security Council hat Richtlinien für Netzwerksicherheit und Geschäftstransaktionen zum Schutz der Kreditkarteninformationen von Kunden als „Mindestsicherheitsstandard“ definiert.

Dabei gilt der PCI-DSS für alle Systeme, Netzwerke und Anwendungen, die Karteninhaberdaten verarbeiten, speichern oder übermitteln. Außerdem gilt er für Systeme, die zur Absicherung und Protokollierung von Zugriffen auf die genannten Systeme verwendet werden. Der PCI-DSS gilt für alle Rechtspersönlichkeiten, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übermitteln.

VPAT

Section 508 ist ein Zusatzartikel zum US-amerikanischen Rehabilitation Act von 1973. Gemäß Section 508 müssen US-Bundesbehörden Mitarbeitern und Bürgern mit Beeinträchtigung vergleichbaren Zugang zu elektronischen Informationen und elektronischer Technologie ermöglichen wie Personen ohne Beeinträchtigung. Außerdem müssen Behörden den Aspekt Barrierefreiheit auch beim Kauf oder der Verwendung von Informationstechnologie berücksichtigen.