閉じる

アトラシアンのコンプライアンス

私たちは、世界で幅広く受け入れられている規格および規制に準拠しています。


SOC 2

SOC

アトラシアンの Service Organization Control (SOC) レポートは第三者機関によって認定されており、コンプライアンスに関する主要なコントロールと目標をアトラシアンがどのように達成しているのかを明示しています。このレポートの目的は、アトラシアンでのオペレーションとコンプライアンスを支援するために確立したコントロールについて、お客様およびお客様の監査役の理解を促すことです。 

アトラシアンは次の製品について SOC2 認証を取得しています。

  • Bitbucket Cloud (Type II)

  • Confluence Cloud (Type II)

  • Jira Cloud (Type II)

  • Trello (Type I)

Jira および Confluence Cloud 向けの SOC3 レポートのコピーをダウンロードするには、こちらをクリックしてください。

Bitbucket Cloud 向けの SOC3 レポートのコピーをダウンロードするには、こちらをクリックしてください。

ISO 27001 認証

ISO/IEC 27001 - 情報セキュリティマネジメントシステム

ISO/IEC 27001 は、ISMS (情報セキュリティマネジメントシステム) の上級規格として国際的に認められています。ISO/IEC 27001 では、ISO/IEC 27002 で詳細に規定されている包括的なセキュリティ管理策も活用しています。この認証の基本となるのが、情報セキュリティマネジメントシステム (ISMS) を含む、厳格なセキュリティ管理プログラムの開発と実装です。この国際的なセキュリティ規格は幅広く認知および尊重されており、認定を獲得した企業に対して次のことも求めています。

  • 情報セキュリティのリスクを体系的に評価し、セキュリティの脅威と脆弱性の影響を考慮すること

  • セキュリティのリスクに対処するための包括的な情報セキュリティコントロールを設計、実装すること

  • 総合的な監査およびコンプライアンス管理プロセスを実施して、コントロールが継続的に組織のニーズを満たすようにすること

対象には Jira クラウド、Confluence クラウド、Bitbucket クラウドのアトラシアンクラウド製品とこれらのアプリケーションの配信に使用されるマイクロサービスのほか、会社の部門として法務、人材、ポリシー、プライバシー、調達、リスク & コンプライアンス、セキュリティ、ワークプレースエクスペリエンス、ワークプレーステクノロジーの各チームが含まれます。 

ISO 27001 認証

ISO/IEC 27018 - クラウドでの個人データの保護に関する実践規範

ISO/IEC 27018 は、クラウドでの個人データの保護に焦点を当てた実践規範です。情報セキュリティ規格 ISO/IEC 27002 を基盤としており、パブリッククラウド内の PII (個人識別情報) に適用される ISO/IEC 27002 管理策向けの補足的実践ガイダンスを定めています。既存の ISO/IEC 27002 管理策一式では対処できないパブリッククラウド内の PII に対する保護要件を定めるために、補足的管理策一式と関連ガイダンスも定めています。

対象には Jira クラウド、Confluence クラウド、Bitbucket クラウドのアトラシアンクラウド製品とこれらのアプリケーションの配信に使用されるマイクロサービスのほか、会社の部門として法務、人材、ポリシー、プライバシー、調達、リスク & コンプライアンス、セキュリティ、ワークプレースエクスペリエンス、ワークプレーステクノロジーの各チームが含まれます。 

PCI DSS 準拠

クレジットカード業界のデータセキュリティ標準

私たちはお客様のクレジットカードのセキュリティを詐欺行為から守ります。アトラシアンの製品やサービスの代金をクレジットカードでお支払いになるときは、決済処理のセキュリティを適切に保護しているので、安心してご利用いただけます。レベル 2 事業者であるアトラシアンは、認定審査機関 (QSA) と共同で当社の PCI DSS 準拠を評価しています。現在は PCI DSS v3.2SAQ A に準拠しています。

アトラシアンの PCI コンプライアンス認定 (AoC) を表示またはダウンロード

Jira、Confluence、Bitbucket、LearnDot

Trello

Statuspage

Hipchat

クラウドセキュリティアライアンス

Cloud Security Alliance (CSA) - Security, Trust, and Assurance Registry (STAR)

アトラシアンの CSA STAR Level 1 の質問票は、Cloud Security Alliance の STAR Registry ウェブサイトからダウンロードできます。

CSA Security, Trust & Assurance Registry (STAR) は、無料で一般公開されているレジストリであり、さまざまなクラウドコンピューティングサービスのセキュリティコントロールが登録されています。ユーザーは、このレジストリを参照することで、現在契約している、または新規契約を検討しているクラウドプロバイダーのセキュリティを評価できます。アトラシアンは CSA STAR に登録していると共に、Cloud Security Alliance (CSA) の法人会員でもあり、CSA の Consensus Assessments Initiative Questionnaire (CAIQ) にすべて回答しています。最新版の CAIQ は CSA の Cloud Controls Matrix (CCM) v.3.0.1 に準拠しており、クラウドサービスの顧客またはクラウドセキュリティの監査人がクラウドプロバイダーに対して尋ねると想定される 300 以上の質問に対する回答を記載しています。

アトラシアンの CAIQ 回答は、Jira、Confluence、Hipchat、Bitbucket の各クラウド版サービスを対象としています。

VPAT 508

Voluntary Product Accessibility Template (VPAT)

Voluntary Product Accessibility Template (VPAT) は特定の製品の利用しやすさを米国リハビリテーション法第 508 条に従って評価するドキュメントです。これはベンダーによって開示され、第 508 条の要件の各側面と、製品がその基準をどのようにサポートしているかを詳しく述べたものです。

購入者は VPAT を利用して製品の利用しやすさや潜在的な欠陥がどこにあるかを判断します。購入者が購入前に要求することがあります。

当社のサービスプロバイダー

アトラシアンは当社のサービスプロバイダーに対し、非常に高いサービス水準を常に求めています。データセンター、コロケーション、マネージドサービスの各プロバイダーは、SOC1、SOC2、ISO/IEC 27001 の定期監査を受けて、それぞれの業務慣行を検証しています。

アトラシアンはベンダー管理プログラムの一環として、こういった監査の結果を毎年 1 回以上評価しています。監査結果の中に当社またはお客様にとってリスクとなると判断される重大な問題が見つかった場合は、該当のサービスプロバイダーと連携して、お客様のデータに対する潜在的な影響を把握し、問題が解決されるまでサービスプロバイダーによる修正作業を追跡します。

当社慣行の検証

独立した第三者機関による監査

アトラシアンでは、独立した第三者機関に依頼して、世界で最も認知されている標準や規制に照らした慣行の監査を受けています。こうした評価は毎年 1 回以上、世界的に知名度の高い監査企業およびセキュリティ企業によって公正かつ綿密に実施されます。私たちは機関から受けた報告を真摯に受け止めており、当社あるいはお客様にとってリスクとなる可能性のある問題に対処するためのプロセスも確立しています。 

外部および内部からのアプリケーションセキュリティテスト

Our security team performs automated and manual application security testing and network vulnerability testing on an on-going basis to identify and patch potential security vulnerabilities and bugs on our desktop, web, and mobile applications. We also work with third-party security specialists, as well as other industry security research community members. See our guidelines on submitting a vulnerability and our bug bounty program.

継続的改善

すべての情報セキュリティ管理プログラムにおいて最も重要なことは、セキュリティとコンプライアンスのプログラム、システム、コントロールを継続的に改善することです。アトラシアンはさまざまな社内チーム、お客様、社内外の監査人からフィードバックを求め、セキュリティ、プライバシー、コンプライアンスのプロセスとコントロールについて、時間をかけて改善していくことに力を注いでいます。