Fermez

La conformité chez Atlassian

Nous respectons des normes et règlements largement acceptés.


SOC2

SOC

Les rapports SOC (Service Organization Control) d'Atlassian sont certifiés par un tiers. Ils montrent dans quelle mesure Atlassian atteint les contrôles et objectifs clés en matière de conformité. Ils ont pour objectif d'aider vos auditeurs et vous-même à comprendre les contrôles mis en place pour soutenir les équipes responsables des opérations et de la conformité chez Atlassian. 

Atlassian a obtenu des certifications SOC2 pour :

  • Bitbucket Cloud (type II)

  • Confluence Cloud (type II)

  • Jira Cloud (type II)

  • Trello (type I)

Si vous souhaitez télécharger une copie du rapport SOC3 pour Jira et Confluence Cloud, veuillez cliquer ici.

Si vous souhaitez télécharger une copie du rapport SOC3 pour Bitbucket Cloud, veuillez cliquer ici.

ISO 27001 Certified

ISO/IEC 27001 – Systèmes de management de la sécurité de l'information

L'ISO/CEI 27001 est reconnue comme la première norme applicable aux systèmes de management de la sécurité de l'information (SMSI) au monde. Elle exploite également les contrôles de sécurité complets qui sont détaillés dans l'ISO/IEC 27002. Cette certification repose sur la conception et la mise en œuvre d'un programme strict en matière de management de la sécurité, lequel inclut également un système de management de la sécurité de l'information (SMSI). Cette norme de sécurité internationale largement reconnue et respectée stipule que les entreprises qui obtiennent la certification :

  • évaluent systématiquement leurs risques en matière de sécurité de l'information, tout en tenant compte de l'impact des menaces de sécurité et des vulnérabilités ;

  • conçoivent et mettent en œuvre tout un ensemble de contrôles en matière de sécurité de l'information afin d'éliminer les risques connexes ;

  • mettent en œuvre un processus global de management des audits et de la conformité afin de s'assurer que les contrôles répondent à leurs besoins de façon continue.

Le périmètre inclut les offres Atlassian Cloud : Jira Cloud, Confluence Cloud et Bitbucket Cloud, y compris les microservices utilisés pour fournir ces applications. Sont en outre incluses les fonctions institutionnelles, notamment les équipes juridiques, responsables des talents, de la confidentialité, des achats, des risques et de la conformité, de la sécurité, de l'expérience sur le lieu de travail et de la technologie sur le lieu de travail. 

ISO 27001 Certified

ISO/IEC 27018 – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage

L'ISO/IEC 27018 est un code de bonnes pratiques qui se concentre sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO/IEC 27002 relative à la sécurité de l'information et fournit des conseils supplémentaires en matière d'implémentation des contrôles de l'ISO/IEC 27002 applicables aux informations personnelles identifiables (PII). Il procure également un ensemble de contrôles supplémentaires et des conseils associés dans le but de répondre aux exigences de protection des PII dans le cloud public non visées par l'ensemble existant de contrôles de l'ISO/IEC 27002.

Le périmètre inclut les offres Atlassian Cloud : Jira Cloud, Confluence Cloud et Bitbucket Cloud, y compris les microservices utilisés pour fournir ces applications. Sont en outre incluses les fonctions institutionnelles, notamment les équipes juridiques, responsables des talents, de la confidentialité, des achats, des risques et de la conformité, de la sécurité, de l'expérience sur le lieu de travail et de la technologie sur le lieu de travail. 

PCI DSS Compliant

Norme relative à la sécurité des données dans l'industrie des cartes de paiement

Nous avons à cœur d'assurer la sécurité de votre carte de crédit et nous méprisons les fraudeurs ! Lorsque vous payez des produits ou des services Atlassian avec votre carte de crédit, vous avez l'assurance que nous accordons toute l'attention nécessaire à la sécurité de cette transaction. Nous sommes certifiés « Level 2 Merchant » et nous collaborons avec un fournisseur certifié de services d'évaluation (QSA) pour évaluer notre conformité à la norme PCI DSS. Nous sommes actuellement en conformité avec la norme PCI DSS 3.2, SAQ A.

Consulter ou télécharger notre attestation de conformité PCI

Jira, Confluence, Bitbucket et LearnDot

Trello

Statuspage

Hipchat

Cloud Security Alliance

Cloud Security Alliance – Registre STAR

Un questionnaire CSA STAR niveau 1 relatif à Atlassian est disponible au téléchargement sur le site Web du registre STAR de Cloud Security Alliance (CSA).

Le registre STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et public qui documente les contrôles de sécurité fournis par diverses offres de cloud computing. Il aide ainsi les clients à évaluer la sécurité des fournisseurs de cloud auxquels ils font actuellement (ou songent à faire) appel. Atlassian est inscrit au registre STAR de CSA. Membre moral de CSA, Atlassian a rempli le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) associé. La dernière version de ce questionnaire, qui s'aligne sur la version 3.0.1 de la matrice CCM (Cloud Controls Matrix) de CSA, apporte une réponse à plus de 300 questions susceptibles d'être posées à un fournisseur de cloud par un client ou par un auditeur en matière de sécurité du cloud.

Le CIAQ d'Atlassian couvre les offres Jira et Confluence Cloud, ainsi que les offres Hipchat et Bitbucket Cloud.

VPAT 508

Modèle VPAT

Le modèle VPAT (Voluntary Product Accessibility Template) est un document qui évalue l'accessibilité d'un produit donné conformément aux exigences de la section 508. Il s'agit d'une divulgation volontaire par le fournisseur, qui détaille chaque aspect des exigences de la section 508 et explique comment le produit soutient chaque critère.

Les modèles VPAT sont utilisés par les acheteurs pour déterminer l'accessibilité d'un produit et ses déficiences potentielles. Ils sont exigés avant tout achat par certains acheteurs.

Nos prestataires de services

Nous avons des attentes très élevées envers nos prestataires de services. Les fournisseurs de data centers, de services de colocation et de services gérés sont soumis à des audits SOC1, SOC2 et/ou ISO/IEC 27001 réguliers pour vérifier leurs pratiques.

Nous passons en revue les résultats de ces audits au minimum une fois par an dans le cadre de notre programme de gestion des fournisseurs. Lorsque ces audits aboutissent à des conclusions importantes, qui présentent des risques pour nos clients ou nous-mêmes, nous collaborons avec le prestataire de services afin de comprendre l'impact potentiel sur les données du client et de surveiller les efforts de mise en conformité jusqu'à la résolution du problème.

Validation de nos pratiques

Audits par des tiers indépendants

Nous faisons appel à des tiers indépendants pour auditer nos pratiques conformément aux normes et règlements les plus prisés au monde. Ces examens ont lieu au moins une fois par an et sont menés par des sociétés d'audit et de sécurité respectées dans le monde entier. Celles-ci sont indépendantes et procèdent à des évaluations minutieuses. Nous prenons leurs rapports au sérieux et nous avons mis en place des processus pour résoudre les problèmes posant des risques pour nos clients ou nous-mêmes. 

Tests externes et internes relatifs à la sécurité des applications

Notre équipe responsable de la sécurité effectue en permanence des tests manuels et automatisés portant sur la sécurité des applications, ainsi que des tests liés à la vulnérabilité du réseau. Elle est ainsi en mesure d'identifier et de corriger les potentielles failles de sécurité et les bugs dans nos applications web, mobiles et pour ordinateur. Nous collaborons également avec des tiers spécialisés dans la sécurité, ainsi qu'avec d'autres membres de la communauté de recherche sur la sécurité dans le secteur. Découvrez nos conseils pour signaler une faille et notre programme Bug Bounty.

Amélioration continue

L'amélioration continue des programmes, systèmes et contrôles de sécurité et de conformité constitue une partie essentielle des programmes de management de la sécurité de l'information. Atlassian s'engage à demander l'avis des différentes équipes internes, des clients, ainsi que des auditeurs internes et externes, et à améliorer ses processus et contrôles de sécurité, de confidentialité et de conformité au fil du temps.