1. Zweck und Geltungsbereich

Diese Sicherheitsrichtlinie beschreibt die Massnahmen und Grundsätze zum Schutz von Systemen, Daten und Integrationen im Zusammenhang mit JIRA2SAP™, einschliesslich der Nutzung von Jira-Templates zur SAP-Integration.

Diese Richtlinie gilt für:

1. den JIRA2SAP-Connector
2. den Datenaustausch zwischen Jira- und SAP-Systemen
3. Jira-Templates für Jira Data Center und Jira Cloud

Der Fokus dieser Richtlinie liegt auf technischen und organisatorischen Sicherheitsmassnahmen. Sie ist getrennt von der Datenschutzerklärung, die sich mit der Verarbeitung personenbezogener Daten befasst.

2. Sicherheitsgrundsätze

JIRA2SAP ist nach folgenden grundlegenden Sicherheitsprinzipien konzipiert:

1. Minimalprinzip (Least Privilege): Zugriffe sind auf das unbedingt notwendige Mass beschränkt
2. Trennung von Verantwortlichkeiten: Jira-Templates strukturieren Daten; die Integrationslogik wird extern verarbeitet
3. Sichere Kommunikation: Daten werden ausschliesslich über verschlüsselte Kanäle übertragen
4. Mandantentrennung: Kein Zugriff auf Daten anderer Kunden
5. Transparenz: Klare Dokumentation von Zuständigkeiten und Datenflüssen

3. Zugriffskontrolle und Authentifizierung

1. Der Zugriff auf JIRA2SAP-Komponenten ist ausschließlich autorisierten Systemen und Benutzern gestattet.
2. Alle Kommunikationskanäle sind durch geeignete Authentifizierungsmechanismen geschützt.
3. Zugangsdaten und Tokens werden sicher verwaltet und niemals in Jira-Templates offengelegt.
4. Administrative Zugriffe sind eingeschränkt und werden überwacht.

4. Sicherheit der Datenübertragung

1. Sämtliche Datenübertragungen zwischen Jira, JIRA2SAP und SAP erfolgen über verschlüsselte Verbindungen (z. B. HTTPS/TLS).
2. Unverschlüsselte Kommunikationskanäle werden nicht unterstützt.
3. Jira-Templates selbst stellen keine direkten Verbindungen zu SAP-Systemen her.

5. Datenverarbeitung und Datenspeicherung

1. JIRA2SAP verarbeitet ausschliesslich die für die Integration erforderlichen Daten.
2. Jira-Templates speichern weder SAP-Zugangsdaten noch Verbindungsinformationen.
3. Eine temporäre Datenverarbeitung erfolgt nur, soweit dies technisch für die Synchronisation erforderlich ist.
4. Die Datenspeicherung richtet sich nach vertraglichen Vereinbarungen und systemseitigen Anforderungen.

6. Mandantentrennung

1. Die Integrationsumgebungen der einzelnen Kunden sind logisch voneinander getrennt.
2. Es findet keine Weitergabe oder Vermischung von Kundendaten statt.
3. Test- und Produktivumgebungen sind – sofern anwendbar – voneinander getrennt.

7. Protokollierung und Incident Management

1. Integrationsaktivitäten und Fehler werden zu Diagnose- und Audit-Zwecken protokolliert.
2. Protokolldaten werden ausschließlich für den Betrieb, die Sicherheit und die Analyse von Vorfällen verwendet.
3. Im Falle eines Sicherheitsvorfalls werden angemessene Massnahmen zur Analyse, Eindämmung und Behebung ergriffen.

8. Jira-Templates – Sicherheitsrelevante Aspekte

Die von der ALPEIN Software SWISS AG bereitgestellten Jira-Templates sind unterstützende Konfigurationselemente und keine eigenständigen Integrationskomponenten. Ihre sicherheitsrelevanten Eigenschaften hängen vom jeweiligen Jira-Betriebsmodell ab.

8.1 Jira Data Center Templates

Für Jira Data Center werden Templates als installierbare Dateien (z. B. .jar) bereitgestellt:

1. Die Templates werden innerhalb der Jira-Data-Center-Umgebung des Kunden installiert.
2. Sie definieren ausschliesslich Projektstrukturen, benutzerdefinierte Felder und Workflows.
3. Die Templates enthalten keine SAP-Zugangsdaten oder sensiblen Verbindungsinformationen.
4. Die Templates greifen nicht direkt auf SAP-Systeme zu.
5. Der gesamte Datentransfer zu SAP erfolgt über den JIRA2SAP-Connector, nicht über das Template selbst.
6. Die Sicherheit der Jira-Data-Center-Umgebung liegt in der Verantwortung des Kunden.

8.2 Jira Cloud Templates

Für Jira Cloud werden Templates als Konfigurationsanleitungen und nicht als Software-Komponenten bereitgestellt:

1. In Jira Cloud werden keine Dateien oder Anwendungen installiert.
2. Die Templates bestehen aus dokumentierten Schritten zur Einrichtung von Spaces, Feldern und Automatisierungsregeln.
3. Jira-Cloud-Templates führen keinen Code aus.
4. Jira-Cloud-Templates speichern keine Zugangsdaten oder Geheimnisse.
5. Die Datenübertragung wird über Jira-Cloud-Automatisierungen ausgelöst und durch den externen JIRA2SAP-Connector verarbeitet.
6. Dieser Ansatz entspricht den Sicherheits- und Compliance-Anforderungen von Jira Cloud.

9. Verantwortlichkeiten

Kunden sind verantwortlich für:

1. die Absicherung ihrer Jira- und SAP-Umgebungen
2. die Verwaltung von Benutzerzugriffen und Berechtigungen
3. die Konfiguration der Templates gemäß interner Richtlinien

ALPEIN Software SWISS AG ist verantwortlich für:

1. das sichere Design von JIRA2SAP
2. die Bereitstellung sicherer Integrationsmechanismen
3. die Pflege und Aktualisierung der sicherheitsrelevanten Dokumentation

10. Pflege der Sicherheitsrichtlinie

Diese Sicherheitsrichtlinie wird regelmässig überprüft und bei Bedarf aktualisiert, um Änderungen in folgenden Bereichen zu berücksichtigen:

1. Produktweiterentwicklungen
2. bewährte Sicherheitspraktiken
3. Kunden- und regulatorische Anforderungen

11. Zusammenfassung

JIRA2SAP verfolgt einen Security-by-Design-Ansatz:

1. Jira-Templates sind nicht invasiv und enthalten keine sensiblen Informationen
2. Die Integrationslogik ist zentralisiert und kontrolliert
3. Unterschiede zwischen Jira Cloud und Jira Data Center werden klar berücksichtigt
4. Sicherheitsverantwortlichkeiten sind transparent und eindeutig definiert