Close

FAQ sur la conformité


Général

Comment remplir le questionnaire de diligence raisonnable pour le fournisseur, le questionnaire fournisseur ou le questionnaire de sécurité ? Copy link to heading Copied! Afficher +
  

Si vous avez besoin d'aide pour remplir un questionnaire afin de documenter certaines parties de nos programmes Atlassian Trust, nous avons imaginé une approche fournissant les ressources dont vous avez besoin pour répondre aux questions que vous vous posez sur la sécurité et la conformité des produits cloud d'Atlassian. Des ressources de sécurité et de conformité sont disponibles sur notre page Sécurité des fournisseurs et réponses aux risques et dans nos dossiers Cloud Security Alliance. Si ces ressources ne répondent pas à vos besoins, envoyez une demande au support Atlassian.

Avez-vous répondu au questionnaire CAIQ (Consensus Assessment Initiative Questionnaire) de la CSA (Cloud Security Alliance) ? Copy link to heading Copied! Afficher +
  

Bien sûr. Ce document est disponible sur notre page d'entrée au registre STAR (Security, Trust and Assurance Registry). Nous prévoyons de le mettre à jour tous les trimestres ou lorsque des changements importants sont apportés à notre environnement. Lisez attentivement la page sur l'entrée d'Atlassian au registre STAR.

Vous pouvez également consulter les réponses à d'autres questions fréquentes sur notre page Sécurité des fournisseurs et réponses aux risques.

Quels produits Atlassian sont inclus dans le périmètre de conformité des produits cloud d'Atlassian ? Copy link to heading Copied! Afficher +
  

En fonction du déploiement ou, dans certains cas, de l'acquisition, les produits varient selon le programme de conformité. Pour connaître les derniers produits et les programmes de conformité associés, consultez la page La conformité chez Atlassian.

Atlassian travaille-t-elle avec des sous-traitants ? Copy link to heading Copied! Afficher +
  

Atlassian peut avoir recours à des sous-traitants, comme indiqué sur notre page Sous-traitants d'Atlassian, pour mener des activités spécifiques pour le compte de nos clients, nos produits, ou des activités d'hébergement et de gestion de data center spécifiques. Cette page permet également aux clients de s'abonner au flux RSS pour être informés des changements apportés à la liste de nos sous-traitants.

Où sont situés vos data centers ? Copy link to heading Copied! Afficher +
  

Atlassian ne dispose d'aucun data center propre, toutes les activités de data center sont externalisées. Nous nous appuyons principalement sur AWS en tant que partenaire d'hébergement et de gestion de data center. Les déploiements régionaux varient en fonction du produit. Pour plus d'informations sur les contrôles AWS en matière de data center, consultez la page dédiée sur le site d'AWS.

Pour Jira et Confluence Cloud, les régions AWS incluent USA-Est, USA-Ouest, Irlande, Francfort, Singapour et Sydney.

Pour Halp, les régions AWS incluent USA-Est et USA-Ouest.

Pour Opsgenie, les clients doivent choisir AWS USA (USA-Ouest en Oregon et Californie, et USA-Est dans l'Ohio) ou UE (Francfort et Irlande).

Pour Statuspage, les régions AWS incluent USA-Est et USA-Ouest.

Pour Trello, la région AWS inclut USA-Est.

Pour Jira Align, les régions AWS incluent USA-Est (Ohio), Europe (Francfort) et Australie (Sydney).

Bitbucket : les régions AWS incluent USA-Est et USA-Ouest.

Rapports de conformité

Les produits cloud d'Atlassian sont-ils certifiés ISO 27001 ? Copy link to heading Copied! Afficher +
  

En fonction du déploiement ou, dans certains cas, de l'acquisition, les produits concernés par la certification ISO 27001 et ISO 27018 varient. Pour connaître les derniers produits et les programmes de conformité associés, consultez la page La conformité chez Atlassian.

Quelle est la durée de validité du certificat PCI d'Atlassian ? Copy link to heading Copied! Afficher +
  

Pour PCI, nous obtenons généralement une nouvelle certification chaque année en septembre, valide pendant un an. Notre certificat actuel est daté du 30 septembre 2021 et est valide pendant un an. Notre certification PCI ne concerne que le traitement des cartes de crédit par Atlassian pour les paiements. Nous ne garantissons pas les cartes de crédit que nos clients choisissent d'enregistrer dans nos produits. Si tel est votre cas, consultez notre rapport SOC2 pour déterminer si les contrôles vous semblent appropriés.

Quelle est la durée de validité du rapport SOC2 d'Atlassian ? Copy link to heading Copied! Afficher +
  

Les audits SOC2 de type 2 sont un examen de l'efficacité des contrôles sur une période donnée. Une fois la période d'audit terminée, le rapport est préparé et mis à la disposition des clients. Atlassian publie des rapports SOC2 couvrant une période de 12 mois (du 1er octobre au 30 septembre). Les rapports sont valides pour les 12 mois suivants, après quoi de nouveaux audits sont réalisés.

Bien que la publication de nouveaux rapports dépende de nombreux facteurs, nos audits externes ont généralement lieu en novembre, et les rapports actualisés sont généralement publiés à la fin du mois de décembre de chaque année. En janvier/février de chaque année, nous publions également une lettre de transition valable trois mois, qui prolonge la période de couverture jusqu'à la fin du mois de janvier.

Tous les rapports SOC2 (ainsi que la lettre de transition ou « Bridge Letter ») sont disponibles au téléchargement dans le Centre de ressources dédié à la conformité.

Comment obtenir une lettre de transition ? Copy link to heading Copied! Afficher +
  

Sur la base de la couverture annuelle complète d'Atlassian dans le cadre de nos cycles de rapports SOC2, nous pouvons fournir une lettre de transition ou une lettre d'écart (« Gap Letter »). Ce document est disponible au téléchargement en vertu du même accord de confidentialité que le rapport SOC2 depuis la section SOC2 de notre Centre de ressources dédié à la conformité.

Programmes de conformité

Les produits cloud d'Atlassian sont-ils certifiés HIPAA ? Copy link to heading Copied! Afficher +
  

Jira Software Cloud Enterprise et Confluence Cloud Enterprise sont conformes à la norme HIPAA. Pour en savoir plus, consultez cette page.

Nous travaillons également à la conformité de Jira Service Management. Pour suivre l'état d'avancement de ce projet, veuillez consulter notre feuille de route Cloud.

Comment demander un avenant sur le traitement des données conforme au RGPD auprès d'Atlassian ? Copy link to heading Copied! Afficher +
  

Nous avons publié un avenant pré-signé sur le traitement des données. Cet avenant permet de répondre aux futures exigences du RGPD en matière de transfert. Consultez notre avenant ou la section Confidentialité et RGPD de notre FAQ.

Framework de contrôle

Atlassian partagera-t-il ces informations sur ses contrôles internes ? Copy link to heading Copied! Afficher +
  

Nous nous sommes considérablement investis dans l'Atlassian Control Framework (ACF), qui combine les contrôles de conformité aux exigences réglementaires externes et aux normes du secteur. Nous utilisons ce framework pour mettre en œuvre des contrôles internes, et faisons également appel à des sociétés externes pour évaluer et valider la mise en œuvre et le fonctionnement de nos contrôles. Vous pouvez consulter l'état de nos certifications et rapports depuis la page La conformité chez Atlassian.