Atlassian & DSGVO

Sichere Cloud-Architektur, technisch und rechtlich

Atlassian Suite: DSGVO-konform seit 2016

Cloud-Software war in der Europäischen Union für einige Jahre ein heikles Thema: Wo fließen personenbezogene Daten hin und wo und wie lange werden sie gespeichert? Seit dem 24. Mai 2016 aber ist all dies in der Datenschutz-Grundverordnung, oder kurz DSGVO, EU-weit geregelt. Software-Hersteller, die ihre Cloud-Produkte in der EU vertreiben wollen, müssen sicherstellen, dass sie DSGVO-konform sind. Und das trifft selbstverständlich auf die Atlassian Suite vollumfänglich zu.

Atlassian setzt auf mehrseitige Sicherheit in der Cloud, mit strengen Kontrollen in Zonen und Umgebungen. Der Datenverkehr von Mitarbeitern, Kunden, CI/CD und DMZ-Netzwerken wird in jedem Bereich eingeschränkt. Positivlisten für die Authentifizierung regeln, welche Services interagieren dürfen.

Zero-Trust-Ansatz

Atlassian verwendet den Zero-Trust-Ansatz, bei dem nichts automatisch vertrauenswürdig ist, sondern alles überprüft wird. Der Zugriff auf Ressourcen erfolgt auf unterschiedlichen Sicherheitsstufen: offen, niedrig und hoch, je nach Vertraulichkeit. Authentifizierung und Geräteanforderungen variieren entsprechend.

Atlassian Gold Solution Partner

Sie möchten mehr wissen?

Disaster Recovery und Business Continuity

Atlassian plant aktiv für Störungen und implementiert Redundanzen in allen Produkten. Site Reliability Engineers überwachen und testen diese regelmäßig. Jedes Atlassian-Team hat einen Disaster Recovery Champion. Das sind speziell ausgebildete Mitarbeiter, die sicherstellen, dass Disaster Recovery (DR) in Projekte integriert ist. Regelmäßige DR-Tests verbessern Prozesse und Technologien.

End-to-End-Datensicherheit bei Atlassian

Branchenführende Hosting-Infrastruktur

Atlassian hostet seine Produkte und Daten auf Amazon Web Services (AWS), einem weltweit führenden Cloud-Hosting-Anbieter. Kundendaten werden in verschiedenen geografischen Regionen gespeichert, um Ausfälle zu vermeiden. Kunden entscheiden dabei, in welcher Region bzw. in welchem Land ihre Daten gespeichert werden. Rechenzentren in verschiedenen Verfügbarkeitszonen replizieren die Daten, um die Stabilität zu gewährleisten.

Kontrolle der Datenresidenz

Aufgrund von Datenschutzvorschriften wie der DSGVO ermöglicht es Atlassian seinen Kunden, die Speicherorte ihrer Daten zu kontrollieren. Die Datenresidenzfunktion erlaubt es IT-Administratoren, von Benutzern erstellte Produktinformationen an bestimmte Datenregionen zu binden. Dies wird derzeit in der Europäischen Union und den USA unterstützt, mit Plänen zur Erweiterung auf weitere Regionen.

Verschlüsselung von Daten

Atlassian bietet umfassende Verschlüsselung für Kundendaten und Anhänge in verschiedenen Produkten. Daten im Ruhezustand werden mit AES-256 verschlüsselt und Datenübertragungen erfolgen über TLS 1.2+ mit Perfect Forward Secrecy, um die Sicherheit zu gewährleisten.

Zusammenarbeit zum Schutz von Daten

Atlassian übernimmt die Verantwortung für die Sicherheit seiner Systeme, fordert aber das Mitwirken der Kunden, um Daten zu schützen. Es gibt gemeinsame Verantwortlichkeiten in den Bereichen Richtlinien, Benutzer und Informationen. Marketplace-Apps von Drittanbietern werden überprüft, und es werden Sicherheitsstandards wie Forge angeboten.

Einhaltung von globalen Datenschutzvorschriften

Atlassian Cloud Enterprise ermöglicht IT-Administratoren die Überwachung und Sicherstellung der globalen Datenschutzvorschriften in Technologieportfolios von Drittanbietern.

Datenschutzprogramm

Atlassians Datenschutzprogramm bietet Kunden einen hohen Datenschutzstandard, der über gesetzliche Anforderungen hinausgeht. Die Cloud-Produkte von Atlassian entsprechen allgemein anerkannten Datenschutzstandards und Zertifizierungen. Mitarbeiter, die mit Kundendaten arbeiten, werden regelmäßig in Sicherheits- und Vertraulichkeitsprotokollen geschult.

Kunden haben Kontrollen zur Verwaltung von Benutzerprofilen und zur Löschung von Konten verwalteter Benutzer. Auch nicht verwaltete Benutzer können die Löschung ihrer Daten beantragen.

Atlassian veröffentlicht jährlich einen Transparenzbericht, der behördliche Anfragen und deren Behandlung enthält. Das Unternehmen ist transparent bei behördlichen Anfragen zu Benutzerdaten und befolgt Richtlinien und Verfahren. Behörden müssen den rechtlichen Weg gehen, um Kundeninformationen von Atlassian zu erhalten.

Atlassians Cloud-Produkte entsprechen den Anforderungen der DSGVO und setzen sich für Datenschutz und -sicherheit ein.

Internationale Datenübertragungen

Atlassian bietet einen Zusatz zum Datenschutz, der die DSGVO-Vorgaben erfüllt und als Mechanismus für die rechtmäßige Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums dient. Zusätzlich investiert Atlassian in moderne Verschlüsselungsfunktionen wie Bring Your Own Key (BYOK).

Individuelle Datenschutzrechte und Einwilligung

Administratoren können Benutzerdaten aus Atlassians Cloud-Produkten leicht löschen. Sowohl verwaltete als auch nicht verwaltete Benutzer können die Löschung ihrer Daten beantragen.

Auswahl und Einwilligung

Benutzer in der EU erhalten transparente Einblicke und können entscheiden, wie Atlassian ihre Daten verwendet. Einwilligungen für Cookies und Marketingbotschaften werden an allen Erfassungsstellen eingeholt.

Kundendaten und Dritte

Atlassian arbeitet mit externen Serviceanbietern zusammen, die Zugriff auf personenbezogene Daten haben, um Dienstleistungen bereitzustellen. Atlassian informiert die Kunden über die Nutzung von Subunternehmern, die personenbezogene Daten verarbeiten könnten. Eine Liste der externen Subunternehmer, mit denen Atlassian zusammenarbeitet, finden Sie auf der Sub-processors-Seite von Atlassian. Besucher können einen RSS-Feed abonnieren, um Benachrichtigungen über neue Auftragsverarbeiter zu erhalten.

Integrierte Kontrollen für das Identitäts- und Zugriffsmanagement

Mithilfe der integrierten Kontrollen von Atlassian, können IT-Administratoren unter anderem Authentifizierungsprotokolle auf Enterprise-Niveau wie SAML-Single-Sign-On (SSO) und mehrstufige Authentifizierung (MFA) durchsetzen. Administratoren können außerdem Authentifizierungsrichtlinien für verschiedene Benutzerkreise anpassen und die Benutzerbereitstellung bzw. die Aufhebung derselben automatisieren. Dies mindert das Risiko von nicht autorisiertem Zugriff und erlaubt die Durchsetzung von Sicherheitskontrollen für die mobile Nutzung und Unterstützung für das Mobilgeräte- und mobile App-Management (MDM/MAM).

Proaktive Bedrohungsüberwachung und -prävention

Atlassian bietet umfassende Sicherheitstests und Schwachstellenmanagement-Programme, um Bedrohungen zu verhindern. Außerdem profitieren Kunden mit Atlassian Access von Unternehmens-Audit-Protokollen, die detaillierte Einblicke in die Aktivitäten von Administratoren liefern, wie beispielsweise Änderungen an Benutzern, Gruppen und Berechtigungen innerhalb des Unternehmens. Damit lassen sich verdächtige Aktivitäten einfacher ermitteln.

Wir unterstützen Sie gerne bei Ihren individuellen Anforderungen.

Die Unternehmen der ISO-Gruppe setzen Atlassian-Produkte bereits seit vielen Jahren für eigene Software-Entwicklungen und bei Kunden ein. Entsprechend groß ist unser Erfahrungsschatz, den wir gerne mit Ihnen teilen. Wir beraten Sie gern – unverbindlich und risikolos.