Häufig gestellte Fragen zum Trust Center

Lesen Sie unseren Vertrauensbericht

Vertrauensbericht

Daten

Wo werden unsere Daten (die des Kunden) gespeichert?

Wo wir können, speichern wir Anwendungsdaten in der Jira-Instanz unserer Kunden. Wo dies nicht möglich ist, werden Kundendaten in unserem AWS-Konto in der Region USA Oregon (speziell us-west-2) und Frankfurt (speziell eu-central-1) für unsere Kunden in der EU gespeichert.

Welche Art von Daten speichert, verarbeitet oder überträgt Easy Agile?

Wir klassifizieren vier Arten von Daten:

• PII — persönlich identifizierbare Informationen für Endbenutzer, einschließlich ihres Namens und ihrer E-Mail-Adresse
• Unternehmensinformationen des Kunden — einschließlich Lizenz- und Rechnungsinformationen, Supportvereinbarungen, Support-Anfragen und mehr
• Kundenanwendungsdaten — Kundendaten, die sich in unseren Anwendungen befinden, z. B. der Name eines Programms oder Programminkrement in Easy Agile-Programmen
• Customer Jira Data — Kundendaten, die sich in der Jira-Instanz Ihres Unternehmens befinden

Wir verwenden das Prinzip der geringsten Rechte, um den Zugriff der Teammitglieder auf diese drei Arten von Daten einzuschränken.

Gemäß Cloud Platform (oben) werden diese Daten in der US-Region auf AWS, Atlassian und Drittanbietern gespeichert. Diese Anbieter werden gemäß unserer Datenschutzrichtlinie als Unterauftragsverarbeiter eingestuft.

Haben die Teammitglieder von Easy Agile Zugriff auf Jira-Kundendaten?

Nein, unsere Teammitglieder können nicht auf die Jira-Daten Ihres Unternehmens zugreifen.

Welchen Zugriff auf Jira-Kundendaten hat Easy Agile?

Atlassian Server/Data Center — keiner.

Atlassian Cloud — Für unsere Apps für Jira Cloud sind die folgenden Atlassian Connect-Bereiche (Berechtigungen) erforderlich: Lesen, Schreiben, Löschen und Projektverwaltung. Das Atlassian Connect-Framework respektiert die Berechtigungen des Benutzers, Projekts usw., sodass Anfragen für Jira-Daten vom Konto der Person gestellt werden, die die App verwendet.

Wer hat Zugriff auf Kundenantragsdaten?

Der CEO, der technische Leiter des Platform Engineering-Teams und unser Sicherheits- und IT-Manager haben Zugriff auf unser AWS-Produktionskonto, das Kundenanwendungsdaten enthält. Eine nicht erschöpfende Liste der darin enthaltenen Daten:

• Programm- und Programminkrementnamen in Easy Agile-Programmen
• Gespeicherte Views, Namen und Retrospektivdaten in Easy Agile TeamRhythm

Sicherheitslücke

Wenn Sie glauben, in einem Produkt oder einer Dienstleistung von Easy Agile eine Sicherheitslücke gefunden oder festgestellt zu haben einen Sicherheitsvorfall melden.

Wir stimmen mit Atlassian überein Schweregrade für Sicherheitsprobleme, und ihre Richtlinien für das Management von Sicherheitsvorfällen in Apps für Atlassian Marketplace-Anbieter.

CAIQ-Lite

Das Allianz für Cloud-Sicherheit stellt den CAIQ-Lite-Fragebogen zur Verfügung, der 73 der häufigsten Sicherheitsfragen der Branche abdeckt. Wenn Sie nach den standardisierten Antworten suchen, siehe unser neuestes CAIQ-Lite.

Architektur

Unsere Apps sind in erster Linie clientseitige Javascript-Anwendungen, die im Webbrowser eines Benutzers ausgeführt werden. Sie rufen die meisten Daten, die sie benötigen, direkt von der Atlassian Jira-Instanz Ihres Unternehmens ab. Wir erweitern die Jira-Daten um spezifische Anwendungsdaten (im Folgenden als Kundendaten bezeichnet).

Wo diese Kundendaten gespeichert werden, hängt davon ab, ob du Atlassian Cloud oder deren Server-/Rechenzentrumslösung verwendest:

• Wenn du Atlassian Cloud verwendest, werden die Kundendaten auf unserer Cloud-Plattform gespeichert (siehe unten).
• Wenn du Atlassian Server oder Data Center verwendest, werden Kundendaten im ActiveObjects-Speicher von Jira gespeichert, der sich in deiner selbst gehosteten Jira-Instanz befindet.

Cloud-Plattform

Amazon Web Services

Unsere gesamte Produktionsinfrastruktur befindet sich in AWS in den Regionen USA und Frankfurt. Wir nutzen mehrere Dienste, aber von besonderer Bedeutung ist der Einsatz von Organizations, Security Hub, GuardDuty, Config und CloudTrail, um unsere Sicherheitslage kontinuierlich zu überprüfen und zu verbessern.

Wir verwenden mehrere separate AWS-Konten, die unsere Entwicklungs-, Test-, Phase- und Produktionsumgebungen sowohl für interne Systeme als auch für unsere kundenorientierten Anwendungen abdecken. Dies stellt sicher, dass wir Zugriff und Systeme trennen können und genau wissen, wer Zugriff auf welche Umgebung hat.

Atlassian

Wir nutzen das Atlassian Connect-Framework für die Bereitstellung unserer Apps, die Jira erweitern. In dieses Framework sind die standardmäßigen Best Practices von Atlassian im Bereich Sicherheit integriert, sodass wir diese „kostenlos“ erhalten.

Darüber hinaus sind wir als Platinum Atlassian Marketplace Partner ein Teilnehmer an der Cloud Fortified, Bug Bounty-, Ecoscanner-, Schwachstellen-Offenlegungs- und Cloud-Sicherheitsprogramme. Jedes dieser Programme hat jährliche Verlängerungsanforderungen und bestätigt, dass wir mindestens die Sicherheitsstandards von Atlassian erfüllen.

Drittanbieter

Zusätzlich zu den Plattformdiensten von Atlassian und Amazon nutzen wir mehrere andere Dienste, um unsere Dienste bereitzustellen.

Aus Sicht des Anwendungszustands nutzen wir Bugsnag und Datadog für die Überwachung von Ausnahmen bzw. der Anwendungsleistung. Keines dieser Dokumente enthält personenbezogene Daten oder Kundendaten.

Für die Kundenansprache verwenden wir Hubspot und BigMarker. Diese enthalten personenbezogene Daten von Endbenutzern und Unternehmensinformationen von Kunden. Sie enthalten keine Kundenanwendungs- oder Jira-Daten.

Interne Systeme

Schließlich verfügen wir über mehrere interne Systeme, die es uns ermöglichen, den Zustand unseres Unternehmens zu verstehen. Diese enthalten personenbezogene Daten und Unternehmensinformationen von Kunden. Diese Systeme befinden sich in AWS-Konten, die von unseren kundenseitigen Anwendungen getrennt sind.

Methode der Softwareentwicklung

Welcher Softwareentwicklungsmethode folgt Easy Agile?

Eine „Easy Agile“ -Variante, die sich kontinuierlich an die Größe des Unternehmens (wächst), das Produktportfolio (entwickelt sich) und die Bedürfnisse unserer Kunden anpasst.

Die Automatisierung zwischen Jira und Github stellt sicher, dass alle Softwareentwickler einem Standardansatz folgen. Beispielsweise müssen Quellcode-Branches einen Jira-Issue-Key haben, und bei einem Pull-Request sind zwei Genehmiger erforderlich, um einen Branch mit dem Main zusammenzuführen.

Automatisierte Tests in Entwicklungs-, Test- und Testumgebungen mit abschließender Beförderung von der Phase bis zur Produktion geben die Gewissheit, dass das, was wir liefern, auch wirklich versendet wird. Telemetrie rund um all diese Aspekte gibt uns Einblick in den Zustand der Anwendungen während des gesamten Lebenszyklus der Softwareentwicklung und -bereitstellung.

Gibt es ein Verfahren zur Änderungskontrolle für Änderungen der Produktionsumgebung?

Ja, unsere Infrastruktur in AWS wird per Code erstellt (Amazon Web Services CDK). Alle Änderungen an unserer Infrastruktur folgen dem gleichen Ablauf wie Änderungen an unseren Anwendungen — es wird ein Pull-Request erstellt, für den zwei zusätzliche Genehmiger erforderlich sind. Der Branch wird dann zusammengeführt und über die Phase bis zur Produktion befördert, sodass Zeit für zukünftige Tests in jeder Umgebung bleibt.

Änderungen werden schließlich in die Produktion übernommen, und das alles mit einem Audit-Trail vom ersten Commit bis zur Produktion.

Zugriff und Authentifizierung

Wie wird der Zugriff verwaltet?

Unsere kundenorientierten Anwendungen nutzen die bestehende Atlassian-Authentifizierung, da sie die Funktionalität von Jira erweitern.

Was unsere internen Systeme und Verfahren anbelangt, so nutzen wir eine SSO-Lösung und verlangen MFA für alle unsere Cloud-Plattformanbieter.

Passwörter werden immer nur einmal verwendet und von jedem Teammitglied in einem Passwort-Manager gespeichert.

Schließlich wenden wir das Prinzip der geringsten Rechte an, um den Zugriff auf Systeme auf diejenigen zu beschränken, die erforderlich sind und auf Anfrage erfolgen.

Können die Teammitglieder von Easy Agile auf die Produktionsumgebung zugreifen?

Nein, jede unserer Umgebungen ist in ein anderes AWS-Konto aufgeteilt (zu Abrechnungszwecken unter einer Organisation). Da die Produktion in einem völlig separaten AWS-Konto stattfindet, können wir den Zugriff einschränken.

Zwei Teammitglieder haben Zugriff auf das AWS-Produktionskonto. Die Authentifizierung erfolgt über unsere SSO-Lösung, für die wiederum MFA erforderlich ist. Nur ein CEO kann ändern, wer Zugriff auf das Produktionskonto hat.

Verfügbarkeit und Serviceniveaus

Was ist die Support-Abdeckung und das SLA?

siehe unser Service Level Agreement.

Haben Sie ein Verfahren zur Geschäftskontinuität und Notfallwiederherstellung?

Ja, wir haben ein Geschäftskontinuitätsverfahren und es wurde 2020 und 2021 umfassend getestet und geändert. Wir verfolgen einen flexiblen Arbeitsansatz und unterstützen die Teammitglieder bei der Einrichtung von Heimbüros und stellen sicher, dass sie unabhängig von der Umgebung weiterarbeiten können.

Wir haben unser Disaster Recovery-Verfahren noch nicht durchgeführt, aber angesichts unserer Infrastruktur als Code und Snapshots von Datenbanken sind wir zuversichtlich, dass wir unsere Cloud-Plattform bei Bedarf auf einem anderen Anbieter wiederherstellen können.

Ein weiterer Aspekt, der hier zu berücksichtigen ist, ist, dass Atlassian auch ausschließlich AWS verwendet. Wenn also AWS ausfällt, ist Atlassian Cloud ausgefallen, und alle unsere primären Softwareentwicklungssysteme sind dann ebenfalls ausgefallen. Wir berücksichtigen dieses Szenario heute nicht in unserem Disaster Recovery-Verfahren.

Sicherheit

Führen Sie jährliche Penetrationstests durch?

Easy Agile hat zwei Penetrationstests durchgeführt. Einer im Jahr 2022 und ein weiterer im Jahr 2023. Unser Penetrationstest 2024 soll bis Ende Juni abgeschlossen sein.

Haben Sie eine physische Sicherheitsrichtlinie?

Ja, wir verwenden eine Geräteverwaltungslösung, um zu verfolgen, ob die Geräte des Unternehmens unseren Sicherheitsrichtlinien entsprechen. Da wir nicht über eine physische Serverinfrastruktur verfügen und AWS verwenden, ist diese Geräteverwaltung auf Laptops der Teammitglieder beschränkt.

Wie werden Kunden über Sicherheitsvorfälle informiert?

Als Platinum Atlassian Marketplace Partner halten wir uns an die Richtlinien für das Management von Sicherheitsvorfällen in Apps für Atlassian Marketplace-Anbieter.

Wenn Sie weitere Fragen haben, zögern Sie nicht, uns zu kontaktieren.

Kontaktiere uns