Confluencia / ¿cómo juzgar si es seguro para ITAR, EAR o IP?

Navega tus respuestas
0

Quiero que Altassian tenga un servidor de Confluence para mí. Sin embargo, no puedo decir si es lo suficientemente seguro para:

  1. información confidencial de ITAR
  2. información confidencial de EAR
  3. Propiedad intelectual / secreto comercial

He escuchado todos los argumentos habituales de que la seguridad de TI es mejor subcontratar y es más segura que en las instalaciones. He escuchado todos los argumentos de que si es lo suficientemente bueno para la compañía (complete el espacio en blanco), debe ser lo suficientemente bueno para usted.

Cuando se trata de ITAR / EAR, usted es personalmente responsable. Eso significa que vas a la cárcel, no a la compañía .

Cuando publica Información confidencial de un cliente, su NDA / CDA especifica que usted es responsable y puede ser demandado.

Atlassian no respondió a la pregunta anterior. Por lo tanto, me quedo con mis propios dispositivos para averiguar si es lo suficientemente seguro .

¿Cuál es la mejor manera de resolver este problema?

¿Existe alguna organización gubernamental / privada que establezca un estándar de seguridad que garantice si ciertos servicios en la nube son suficientes para ITAR / EAR / IP? ¿Puedo confiar en esto en un tribunal de la ley (de los EE. UU.)?

    
pregunta user3533030 22.03.2018 - 19:51
fuente

1 respuesta

1

Sin estar demasiado familiarizado con ITAR y EAR (no soy estadounidense), sugeriría que si Atlassian no hubiera respondido a sus inquietudes, no sería prudente hospedarlo en su nube.

Nada de lo que aparece a continuación implica que Atlassian sea imprudente con sus datos, si es que al revés, al describir sus prácticas de manera integral, pueden ayudarlo a tomar una decisión informada.

Lea a través de enlace que imagino que darte una pausa Entre otras cosas que me puedan interesar -

  • Los datos de confluencia no se almacenan encriptados.
  • Usan DC's geográficamente diversos, incluidos los DC fuera de los EE. UU., y los datos están fuertemente implícitos que se comparten entre múltiples zonas de disponibilidad, lo que podría implicar fuera de los EE. UU.
  • Sus emoyees tienen acceso (controlado) a sus datos. No se garantiza que sus empleados sean ciudadanos estadounidenses.

Si puede cumplir con los requisitos teniendo en cuenta las limitaciones que revelan, podría ser más seguro usar su sistema. Probablemente se reduzca si se necesitan autorizaciones de EE. UU., si los datos se pueden almacenar fuera de EE. UU. y si es necesario. Proteger contra actores estatales extranjeros.

    
respondido por el davidgo 22.03.2018 - 20:22
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el uso de client.pfx y server.pfx? Con un IPS en su lugar, ¿realmente necesitamos firewalls?