Fisheye and Crucible: Data protection by design and by default

はじめに

GDPR の第 25 条は、データ保護バイ デザイン・デフォルトの原則を定めています。これは広義的な原則であり、状況や処理対象の個人データのタイプに応じて意味や用途が異なります。この原則は各組織に対して固有であり、順守に必要となる対応内容を判断する際には弁護士に相談することをおすすめします。このような対応の例として、個人データの処理に使用する特定のサードパーティ アプリケーションが、個人データの入力時にプライバシーに配慮した既定設定になっているか、などが考えられます。以下は、特定のアトラシアン製品で利用できる、関連する設定および構成の概要と、制限事項についての説明です。 

説明

Fisheye and Crucible is primarily a team collaboration tool, so many of the settings are open by default. There can be multiple sources of personal data stored in Fisheye and Crucible, like:

  • user profile
  • レビュー
  • repository data

For a more comprehensive list, please read Fisheye and Crucible: Right to erasure

Version compatibility

All workarounds are compatible with Fisheye and Crucible Server 4.1 and later.

回避策

匿名アクセス

By default, Fisheye and Crucible permit access to all users, even users who aren't logged in. This access can be revoked by an administrator by following the steps at Configuring anonymous access

Public sign up

By default, Fisheye and Crucible allow anyone to create an account. This feature can be disabled by an administrator by following the steps at Configuring public signup.

Emails

A user has no control over the emails they receive from, and generate to, other users triggered by the actions they take within the product. However, only users with Fisheye and Crucible accounts will receive emails.

Restricting profile viewing

Any logged in user can view another Fisheye and Crucible user's profile (including, username, display name, email).

Administrators can disable a user's email from displaying by doing the following:

  1. Go to Administration > Security Settings > Authentication > Email Visibility.
  2. Select the option Hidden beside visibility of users' email addresses. 

Restricting viewing user list

Administrators can change the visibility of user lists (global and repository) by doing the following:

  1. Go to Administration > Security Settings > Authentication > User List Visibility
  2. Select the option Hidden beside visibility of user lists. 

Restricting access to the user list, doesn't prevent users from being found through search, or a direct link.

Restricting viewing repository data

Administrators can restrict access to all repositories or a specific repository, by assigning permissions to users/groups. Please read Managing your repositories for steps on how to do this.

Fisheye has no control over the information obtained from external repositories. It is the job of the administrator to know what personal data is stored in the repository and who can access it.

Author mapping

Fisheye automatically maps users to repository authors based on their username and email. This has several consequences:

  • Users are mapped even if they don't have access to the repository. They will be listed in the repository activity (visible to anyone with access to the repository).
  • Automatic mapping can't be deleted. The only option is to change a user's details.

Fisheye also allows mapping of users with authors of changesets in the repository, please read Author mapping to learn more. Administrators can disable this option by following the steps at Configuring user managed mappings. Administrators can only modify explicit mappings, automatic mappings can't be disabled.

Restricting viewing project data

Administrators can restrict access to a particular project by changing the Creating a permission scheme linked to that project.

Projects have the option to Storing all revisions under review. If that option is enabled, all users with access to the project can see revisions (and commit authors) added to the review even if they don't have access to the repository.

制限事項

  1. There's no functionality that allows restricting access to a single profile.
  2. There's no option to disable automatic author mapping.

その他の注意事項

お使いの製品バージョンに応じた制約がある可能性があります

上記に関連する GDPR 回避策は、本製品の最新バージョン用に最適化されていることにご注意ください。製品のレガシー バージョンを実行している場合、回避策の効果は限定的である可能性があります。この記事で案内されている回避策を最適化するには、最新の製品バージョンにアップグレードすることを検討してください。

サードパーティ製アドオンは、独自のデータベース テーブルまたはファイルシステム内に個人データを保存する可能性があります。

GDPR コンプライアンスへの取り組みに関する上記の記事は、アトラシアンのサーバーおよびデータセンター製品内に保存されている個人データのみを対象としています。サーバーまたはデータセンター環境にサードパーティ製アドオンをインストールしている場合、お客様のサーバーまたはデータセンター環境でアクセス、転送、または処理する可能性がある個人データと GDPR コンプライアンスへの取り組みについて、サードパーティのアドオン プロバイダにお問い合わせください。

サーバーまたはデータ センターのお客様の場合、アトラシアンはお客様が製品内で保存するように選択した個人データへのアクセス、保管、または処理は行いません。アトラシアンが処理する個人データの詳細については、プライバシー ポリシーを参照してください。

最終更新日 2018 年 11 月 19 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.