Info Hub

Wie wähle ich einen Plan?

Zuallererst müssen Sie sich selber darüber im Klaren sein, was Sie für Funktionen benötigen, welche Vorteile Sie nutzen wollen und was ihr Plan alles beinhalten muss. Fragen, die Sie sich unter anderen stellen können, sind:

• Welche Optionen muss mein Plan beinhalten?
• Welche Funktionen sind wichtig für mein Team?
• Was sind entbehrliche Eigenschaften, die der Plan nicht unbedingt beinhalten muss?
• Wie will ich in der Zukunft skalieren?

Basierend auf diesen Fragestellungen können Sie bereits einen Plan identifizieren, der Ihre minimalen Anforderungen erfüllt. Kalkulieren Sie wie viel Zeit und Geld ihr Team durch Automationen sparen kann, und was der Wert davon ist. Folgend darauf ist es ratsam abzuwägen, ob ein Plan einer höheren Stufe die Produktivität steigert und die Zusammenarbeit verstärkt. Mit Blick auf Ihr Budget und Ihrer Liste von Optionen, die der Plan enthalten soll, können Sie nun die richtige Wahl treffen.

Alle Pläne garantieren Sicherheit und Datenschutz nach industriellem Standard. Allerdings variiert das Maß an Sicherheitsfunktionen stark nach Plan. Beispielsweise ist Datenresidenz nicht bei der Free-Variante möglich. Die Cloud basiert auf der AWS Cloud Infrastruktur und erstellt Daten-Backups. Zudem ist sie gemäß der DSGVO zertifiziert und erlaubt Zugriff auf Tausende Apps und Integrationen.

Tausende von Nutzer effizient zu organisieren, kann für IT-Administratoren eine echte Herausforderung werden. Über verschiedene Atlassian Produkte hinweg den Überblick zu behalten, kann schnell überwältigend sein und zu nicht autorisiertem Zugriff, überflüssigen Lizenzkosten und Produkt Unterbrechungen führen.

Für Administratoren ist es essenziell einen zentralen Überblick zu behalten, um die richtigen Sicherheitsvorkehrungen zu installieren und informierte datenbasierte Entscheidungen zu treffen. Mithilfe der Atlassian Cloud Enterprise Variante für Jira Software, Service Management und Confluence ist es möglich über ein zentrales Interface diese Kontrolle zu erhalten.

Mit dem Cloud Enterprise Angebot kann man mehrere Instanzen von den einzelnen Atlassian Produkten aufsetzen, um somit komplexe Unternehmensaufgaben wie Datentrennung oder Anpassung der organisatorischen Umgebung zu bewältigen.

In der folgenden Abbildung ist die normale dezentrale Nutzerabrechnung zu sehen. Hier benötigt man für sieben Nutzer, dreizehn Lizenzen, da für jede Instanz eine neue Lizenz berechnet wird.

Centralized User Billing ist nur in der Enterprise Version der Atlassian Cloud erhältlich. Mit diesem Fetaure ist es möglich, einmalig für einen Nutzer zu zahlen und ihm Zugang zu mehreren Instanzen zu ermöglichen. Auch die Kosten der Marketplace Apps sind hiermit zu optimieren, da man diese nur für spezifische Instanzen kaufen kann, anstatt für alle Nutzer in einer Umgebung die Lizenz zu erwerben.

Will man einem Nutzer beispielsweise Zugriff zu mehreren Atlassian Instanzen von Jira Software, Confluence und Jira Service Management verschaffen, zahlt man einmalig bei der Enterprise Variante für jedes Produkt und kann mehrere Instanzen nutzen. Bei jeder anderen Version zahlt man einzeln für jedes Produkt und somit doppelt, sofern man ein Produkt auf zwei Instanzen trennen will.

In dieser Abbildung sieht man die zentrale Nutzerabrechnung, hier werden für sieben Nutzer auch nur sieben Lizenzen benötigt und damit jedem Zugriff zu jeder Instanz ermöglicht.

Sollte Ihre Organisation einen Enterprise Plan besitzen, ist es dennoch möglich zusätzlich Standard oder Premium Pläne zu abonnieren, um die Kollaboration mit Dritt-Anbietern zu vereinfachen oder Daten zu trennen.

Enterprise Pläne werden jährlich basierend auf der Nutzeranzahl abgerechnet. Da Enterprise Pläne aber mehrere Instanzen von einem Produkt beinhalten, kann man den Nutzern Zugriff auf eine Vielzahl von Atlassian Produkten ermöglichen ohne zusätzliche Kosten.

Atlassians Produkte laufen in einer Platform-as-a-Service (PaaS) Umgebung. Daher verwendet Atlassian viel Zeit darauf, die Auswirkungen etwaiger Störungen auf Kunden gering zu halten. Atlassians Maßnahmen lassen sich in drei Hauptkategorien unterteilen:

• Infrastruktur und Datenbanken
• Backups und Recovery Objectives
• Disaster Recovery Pläne

Infrastruktur und Datenbanken

Jira und Confluence Cloud werden im Rahmen des AWS Infrastructure-as-a-Service (IaaS)-Angebots in mehreren AWS-Regionen gehostet. Jira und Confluence Cloud verwenden logisch getrennte relationale Datenbanken für jede Produktinstanz.

Durch mehrere Rechenzentren und Availability Zones wird eine hohe Verfügbarkeit der Atlassian Produkte gewährleistet. Die Backups werden geografisch verteilt an verschiedenen Orten gespeichert. Bei Bedarf kann Atlassian Daten zwischen AWS-Regionen bewegen, sofern Datenresidenz möglich ist. Atlassian nutzt dafür die hochverfügbaren AWS-Rechenzentren, die in verschiedenen Weltregionen angesiedelt sind. Jira und Confluence nutzen den Multi-Availability-Zones-Deployment-Modus für Amazon Relational Database Service (RDS). In einem Multi-AZ-Deployment stellt Amazon RDS eine synchrone Standby-Replikat in einer anderen Availability Zone der gleichen Region bereit, um Redundanz und Failover-Funktionalität zu gewährleisten.

Backups und Recovery Objectives

Daten sind essenziell für das Überleben eines Unternehmens, Atlassian weiß das und hat daher ein umfangreiches Backupprogramm implementiert.

Für Jira und Confluence Cloud nutzt Atlassian die Snapshot-Funktion von Amazon RDS, um automatische tägliche Backups jeder RDS-Instanz anzulegen. Amazon RDS-Snapshots werden 30 Tage lang aufbewahrt. Sie unterstützen die zeitpunktspezifische Wiederherstellung (Point-in-Time Recovery) und sind AES-256-verschlüsselt.

In der Praxis ist ein System ohne Datenverlustrisiko allerdings entweder unerreichbar oder unerschwinglich, somit müssen gewisse Recovery Objectives festgelegt werden.

Das Recovery-Time-Objective (RTO) gibt an, wie schnell nach einem Vorfall ein Geschäftsprozess (oder System) wiederhergestellt und wieder in Betrieb sein soll. Das Recovery-Point-Objective (RPO) steht für die Datenmenge, deren Verlust für das Unternehmen nach erfolgter Wiederherstellung akzeptabel ist.

Jira und Confluence Cloud gehören zum Segment der Stufe 1, hierbei beträgt das RTO nur sechs Stunden und das RPO lediglich eine Stunde. Das bedeutet, der Datenverlust bei Ausfall umfasst nur die Daten der letzten Stunde.

Disaster Recovery Pläne

Atlassian führt regelmäßig Disaster-Recovery-Tests durch und hat sich in seinem Disaster-Recovery (DR)-Programm zu kontinuierlicher Verbesserung verpflichtet. So soll sichergestellt werden, dass die Daten und Services der Kunden jederzeit verfügbar und ausfallsicher sind.

Zu diesen Tests gehören unter anderem:

• die Dokumentation: Für kritische Kundenservices wird die Backupdokumentation vierteljährlich auf Genauigkeit, Vollständigkeit und Aktualität überprüft. Probleme werden intern verfolgt bis sie behoben sind
• die Prozesse: Die technische Grundlage der Backup- und Wiederherstellungsprozesse für kritische/kundenorientierte Services wird vierteljährlich geprüft.
• Ausfallsicherheit: Die Ausfallsicherheit der Availability Zones (AZ) wird regelmäßig getestet, um sicherzugehen, dass Atlassian einen AZ-Ausfall mit minimaler Unterbrechung überstehen kann.
• Systeme: Die Site-Reliability-Engineering (SRE)-Teams und Product-Engineering-Teams überwachen laufend eine Vielzahl von Kennzahlen, um sicherzustellen, dass alle unsere Services wie gewünscht funktionieren.

Atlassian sorgt für die Hochverfügbarkeit, den Schutz und die Ausfallsicherheit von Kundendaten. Dies wird erreicht durch erstklassige Technologien, kontinuierliche Tests und Validierungen. Mithilfe mehrerer geografisch verteilten Rechenzentren, verfügt Atlassian über ein umfangreiches Backupprogramm und testet Disaster-Recovery-Pläne regelmäßig auf Eignung und Wirksamkeit.

Erhalten Sie eine Übersicht zu den verschiedenen Atlassian Cloud Zertifizierungen und was diese beinhalten:

Die Cloud ist nicht mehr nur noch eine optionale Alternative, sie ist durch die fortschreitende SaaS-Revolution eine strategische Voraussetzung geworden. SaaS-Produkte wie die Atlassian Cloud haben sich zu standardisierten Unternehmenswerkzeugen entwickelt und zeigen grundlegende Unterschiede zu den On-premise Lösungen auf. Ein großer Kontrast besteht darin, dass die Administration und das Management der Infrastruktur von dem Anbieter gesteuert wird. Somit kann das interne IT-Team seine freigewordenen Ressourcen anderweitig strategisch einsetzen.

95 % aller Neu-Kunden von Atlassian wählen die Cloud, somit übersteigt die Zahl der Cloud-Kunden die 160.000. Diese setzen ihr Vertrauen bereits in Atlassian und ihr allumfassendes Sicherheitskonzept.

Bei Cloud Diensten beginnt Vertrauen mit Sicherheit und Zuverlässigkeit. Die Cloud-Produkte von Atlassian werden regelmäßig von unabhängiger Seite geprüft. Die Einhaltung globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen sind entsprechend zertifiziert.

Nachfolgend finden Sie die Zertifizierungen der Atlassian Cloud.

ISO / IEC 27001

Die internationale Organisation für Normung (ISO) ist eine unabhängige, Organisation, die 167 Normungsorganisationen aus der ganzen Welt als Mitglieder zählt. Die ISO/IEC-Normenfamilie 27000 hilft Unternehmen, die Sicherheit ihrer Informationsressourcen zu gewährleisten.

Zunächst ist die ISO/IEC 27001:2013 ist eine Sicherheitsmanagementnorm, die umfassende Sicherheitsmaßnahmen gemäß den Best-Practice-Richtlinien aus der ISO/IEC 27002 definiert. Grundlage der Zertifizierung ist die Entwicklung und Implementierung eines strengen Sicherheitsprogramms.

ISO/IEC 27018 formuliert anerkannte Richtlinien zur Umsetzung von Maßnahmen für den Schutz personenbezogener Daten. Das Atlassian Trust Management System unterstützt die Abläufe, die den Cloud-Angeboten zugrunde liegen. (ISO-Zertifikat von Atlassian)

GDPR

Atlassian stellt sicher, dass sie die Datenschutz-Grundverordnung (DSGVO) und alle Vorschriften zum Datenschutz einhalten. Die DSGVO gibt EU-Bürgern mehr Kontrolle über ihre Daten und vereint diverse Datenschutz- und Sicherheitsgesetze in einem umfassenden Gesetz.

Die DSGVO soll dem Wert personenbezogener Daten und der Kontrolle, die Einzelpersonen über ihre personenbezogenen Daten haben, Rechnung tragen.

Als Unternehmen mit einem globalen Kundenstamm ist Atlassian in der Lage, Daten auf der ganzen Welt zu übertragen und darauf zuzugreifen. Atlassian respektiert die Regeln für die Weiterübermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) und bietet Kunden im Rahmen des Zusatzes zum Datenschutz ein robustes Framework für die internationale Datenübertragung.

Zusätzlich zum Zusatz bezüglich des Datenschutzes, schützt Atlassian, die Daten und die Rechte von Kunden zu schützen, indem erst nach einer sorgfältigen juristischen Prüfung auf Anfragen von Strafverfolgungsbehörden reagiert wird.

SOC2 / SOC3

SOC 2 und SOC 3 Berichte (System and Organization Controls) sind unabhängige Untersuchungsberichte, die dokumentieren, wie ein Unternehmen oder eine Organisation essenzielle Compliance-Maßnahmen und -ziele umsetzt.

Das Auditing Standards Board der geltenden Trust Services Criteria (TSC) des American Institute of Certified Public Accountants (AICPA) ist die Basis der SOC 2 und der SOC 3 Berichte.

Die Absicht der Berichte ist die Evaluierung aller Informationssysteme eines Unternehmens oder einer Organisation, die relevant für die Sicherheit, die Verfügbarkeit, die Verarbeitungsintegrität, die Vertraulichkeit und den Datenschutz sind.

Ein SOC 3-Bericht enthält eine schriftliche Stellungnahme der Serviceorganisation. Dieser stellt sicher, dass alle gemäß den jeweils geltenden Trust Services Criteria erforderlichen Maßnahmen getroffen wurden. Der Unterschied zwischen den beiden Berichten ist die Zugänglichkeit für die Öffentlichkeit. Dies ist nur beim SOC3 möglich.

Sowohl SOC 2-Berichte als auch SOC 3-Berichte sind Nachweisuntersuchungen, die gemäß der in der Verantwortung des AICPA liegenden Norm SSAE 18 durchgeführt werden (Sections AT-C 105 und 205).

FedRAMP

Die US-amerikanische Regierung hat mit FedRAMP (Federal Risk and Authorization Management Program) ein Regierungsprogramm für die Standardisierung der Sicherheits- und Risikobeurteilung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und Cloud-Services eingerichtet.

Es gibt zwei FedRAMP-Autorisierungen: die vorläufige Autorisierung durch das Joint Authorization Board (JAB) oder die Autorisierung durch eine Behörde. Für die Autorisierung arbeiten die betreffenden Behörden direkt mit dem Cloud-Anbieter zusammen. Entscheidet sich ein Cloud-Service-Anbieter für die Einholung einer Betriebserlaubnis direkt über eine Behörde, wird der gesamte FedRAMP-Prozess durch die jeweilige Behörde begleitet.

Voraussetzungen für die Autorisierungen sind eine Bewertung durch ein beim Programm akkreditiertes Bewertungsunternehmen. Zudem wird eine gründliche technische Prüfung durch das FedRAMP Program Management Office (PMO) benötigt.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein proprietärer Informationssicherheitsstandard, der vom PCI Security Standards Council verwaltet wird.

Der PCI Security Council hat Richtlinien für Netzwerksicherheit und Geschäftstransaktionen zum Schutz der Kreditkarteninformationen von Kunden als „Mindestsicherheitsstandard“ definiert.

Dabei gilt der PCI-DSS für alle Systeme, Netzwerke und Anwendungen, die Karteninhaberdaten verarbeiten, speichern oder übermitteln. Außerdem gilt er für Systeme, die zur Absicherung und Protokollierung von Zugriffen auf die genannten Systeme verwendet werden. Der PCI-DSS gilt für alle Rechtspersönlichkeiten, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übermitteln.

VPAT

Section 508 ist ein Zusatzartikel zum US-amerikanischen Rehabilitation Act von 1973. Gemäß Section 508 müssen US-Bundesbehörden Mitarbeitern und Bürgern mit Beeinträchtigung vergleichbaren Zugang zu elektronischen Informationen und elektronischer Technologie ermöglichen wie Personen ohne Beeinträchtigung. Außerdem müssen Behörden den Aspekt Barrierefreiheit auch beim Kauf oder der Verwendung von Informationstechnologie berücksichtigen.