Confluenza / come giudicare se è sicuro per ITAR, EAR o IP?

0

Voglio che Altassian ospiti un server Confluence per me. Tuttavia, non posso dire se è abbastanza sicuro per:

  1. Informazioni sensibili ITAR
  2. Informazioni sensibili EAR
  3. Proprietà intellettuale / segreto commerciale

Ho sentito tutti gli soliti argomenti che la sicurezza IT è meglio esternalizzare ed è più sicura di quella locale. Ho sentito tutti gli argomenti per cui, se è abbastanza buono per (compilare l'azienda vuota), deve essere abbastanza buono per te.

Quando si tratta di ITAR / EAR, sei personalmente responsabile. Ciò significa che vai in prigione, non nella compagnia .

Quando pubblichi Informazioni riservate di un cliente, la tua NDA / CDA specifica che tu sei responsabile e può essere citato in giudizio.

Atlassian non ha risposto alla domanda di cui sopra. Quindi, sono lasciato ai miei dispositivi per capire se è abbastanza sicuro .

Qual è il modo migliore per risolvere questo problema?

Esiste un'organizzazione governativa / privata che definisce uno standard per la sicurezza che garantisce se determinati servizi cloud sono sufficienti per ITAR / EAR / IP? Posso fare affidamento su questo in un tribunale della legge (statunitense)?

    
posta user3533030 22.03.2018 - 19:51
fonte

1 risposta

1

Senza essere eccessivamente familiare con ITAR e EAR (non sono un americano), suggerirei che se Atlassian non avesse risposto alle vostre preoccupazioni non sarebbe saggio ospitare nel loro cloud.

Niente di seguito implica che Atlassian sia avventato con i tuoi dati - se possibile, al contrario - descrivendo esaustivamente le loro pratiche, può aiutarti a prendere una decisione informata.

Leggi attraverso link che immagino sarà darti una pausa Tra le altre cose che potrebbero riguardarmi -

  • I dati di confluenza non vengono memorizzati crittografati.
  • Usano DC di diverse aree geografiche, inclusi i DC fuori dagli Stati Uniti, ed è strongmente implicito che i dati siano condivisi tra più zone di disponibilità, il che potrebbe implicare al di fuori degli Stati Uniti.
  • Le loro emoee hanno accesso (controllato) ai tuoi dati. Non è garantito che i tuoi dipendenti siano cittadini statunitensi.

Se puoi essere conforme tenendo conto delle limitazioni che rivelano, potrebbe essere più sicuro usare il loro sistema - Probabilmente si riduce a se sono necessarie autorizzazioni USA, se i dati possono essere archiviati fuori dagli Stati Uniti e se è necessario proteggere contro gli attori dello stato straniero.

    
risposta data 22.03.2018 - 20:22
fonte

Leggi altre domande sui tag