/ COGNITIFF

Compliance & Audit

Enterprise Checklists for Jira wurde für Umgebungen entwickelt, in denen Checklisten-Nachweise gegenüber Auditoren standhalten müssen – etwa bei SOC 2, SOX, HIPAA, ITIL und ISO 27001-Programmen. Diese Seite beschreibt, was die App leistet (und ebenso wichtig: was sie nicht vorgibt zu leisten), damit Sie diese nahtlos in Ihr Kontroll-Framework einordnen können.

Automatisierter Audit-Trail

Jede Interaktion wird automatisch protokolliert – es ist keine Benutzeraktion erforderlich.

  • Erfasste Ereignisse: Element erstellen, abhaken, Haken entfernen, Text bearbeiten, löschen, neu anordnen und Vorlagen-Synchronisierung.
  • Dual-Write-Speicherung:
    1. Ein maßgebliches Protokoll (Authoritative Log) im Forge-Speicher der App (die Single Source of Truth für Exporte und externe Audits).
    2. Eine Best-Effort-Zusammenfassung, die in das benutzerdefinierte Feld Checklist Audit Log geschrieben wird, damit aktuelle Aktivitäten im nativen Verlauf-Tab von Jira sichtbar werden.
  • Manipulationserkennend (Tamper-evident), nicht kryptografisch unveränderlich. Das Protokoll wird automatisiert erstellt und durch die Zugriffskontrollen auf Feldebene in Jira geschützt; es handelt sich nicht um eine Blockchain. In Marketing- oder internen Kontrolldokumentationen sollte es als automatisierter Audit-Trail und nicht als unveränderlich beschrieben werden.

Sperrung des Vorgangsstatus

Eine SOC 2-konforme Garantie, dass niemand heimlich die Definition of Done eines geschlossenen Tickets ändern kann.

  • Sobald der Status eines Vorgangs in die Statuskategorie Done wechselt – Done, Closed, Resolved oder ein beliebiger benutzerdefinierter Status, der dieser Kategorie zugeordnet ist –, wird die Checkliste schreibgeschützt.
  • Alle Änderungsoperationen (abhaken, Haken entfernen, bearbeiten, löschen, neu anordnen, Vorlage anwenden) werden sowohl in der Benutzeroberfläche als auch im Backend abgelehnt, sodass auch API- und Automatisierungspfade die Sperre nicht umgehen können.
  • Die Checkliste bleibt sichtbar und exportierbar; lediglich die Bearbeitung wird blockiert.

CSV-Audit-Export

Wird von autorisierten Benutzern (Jira-Administratoren, Projekt-Administratoren) zur Beweissicherung abgerufen.

  • Export pro Vorgang – direkt aus dem Checklisten-Panel eines einzelnen Vorgangs.
  • Massenexport pro Projekt – über den Tab Export im Admin-Dashboard, paginiert für große Datenmengen.
  • Prüferfreundliche Spalten – die Spalte Issue Key verwendet den für Menschen lesbaren Jira-Schlüssel (z. B. CMSP-7), sodass Auditoren direkt auf den Vorgang zurückverweisen können.
  • OWASP-Schutz vor Formel-Injektionen – Führende =, +, -, @, Tabulator- und CR-Zeichen in benutzergesteuerten Feldern werden neutralisiert, sodass beim Öffnen der CSV-Datei in Excel oder Google Sheets keine Formeln ausgeführt werden können.

Workflow-Durchsetzung

Der Workflow-Validator Checklist Complete blockiert Übergänge in einen Zielstatus, sofern nicht jedes Checklisten-Element abgehakt ist. Vorgänge ohne Checkliste passieren den Validator (sodass Legacy-Tickets nicht blockiert werden). In Kombination mit der Status-Sperrung erhalten Sie so sowohl ein Gate vor dem Schließen als auch einen Freeze nach dem Schließen.

Native Benachrichtigungen & Automatisierung

  • Benachrichtigungen für Beobachter (Watcher) / Bearbeiter (Assignee) werden nativ beim Abschluss eines Elements ausgelöst (durch Administratoren umschaltbar), sodass die Kollaborationsschleife nicht stumm bleibt.
  • Jedes Abhaken / Entfernen eines Hakens schreibt in die Vorgangseigenschaft enterprise-checklist-event, die von jeder Jira-Automatisierungsregel über den Trigger Issue property changed verarbeitet werden kann – für die Weiterleitung von Nachweisen in Ticketing-, GRC- oder Chat-Tools.

Zuordnung zu gängigen Frameworks

FrameworkKontrollbereichWie die App unterstützt
SOC 2CC7.2 / CC8.1 — Change Management & MonitoringAutomatisierter Audit-Trail jeder Checklisten-Änderung; Status-Sperrung bei Done; CSV-Nachweisexport.
SOXITGC Change ControlsValidator Checklist Complete bei produktionsrelevanten Übergängen; Massen-Audit-Export pro Projekt.
HIPAA§164.308(a)(1) Administrative SchutzmaßnahmenStarter-Vorlage “Cloud Infrastructure ePHI Baseline”; projektbezogene Aktivierung; eingeschränkte Bearbeitungsberechtigungen, die von Jira geerbt werden.
ITILChange & Incident ManagementStarter-Vorlagen für Incident Management und Production Deployment mit Read-Do-Typisierung für sequenzielle Abläufe.
ISO 27001A.12.1.2 Change ManagementAppend-only Vorlagen-Synchronisierung bewahrt lokale Änderungen; prüferlesbarer CSV-Export.

DSGVO & Datenresidenz

  • Forge-Datengrenzen. Alle Checklisten-Daten verbleiben im Forge-Speicher von Atlassian und erben somit die Datenresidenz-Verpflichtungen von Atlassian.
  • Personal Data Reporting API. Ein wöchentlich geplanter Job meldet erfasste Atlassian-Konto-IDs an die Personal Data Reporting API von Atlassian.
  • Recht auf Vergessenwerden. Wenn Atlassian signalisiert, dass ein Konto geschlossen wurde, werden alle Checklisten-Datensätze, die auf dieses Konto verweisen, anonymisiert – die Konto-ID wird durch einen Sentinel-Wert ersetzt, während die Integrität des Audit-Protokolls erhalten bleibt.

Barrierefreiheit

  • Konform mit WCAG 2.1 Level AA.
  • Alle Interaktionen – abhaken, Haken entfernen, bearbeiten, neu anordnen, löschen, Vorlage anwenden – sind vollständig per Tastatur navigierbar und mit Screenreadern kompatibel.

Sicherheit

  • Eingabevalidierung an jedem Einstiegspunkt (UI, REST, Automatisierungspfade).
  • Markdown-Bereinigung (Sanitisation) beim Rendern, um XSS im Elementtext zu verhindern.
  • Schutz vor CSV-Formel-Injektionen wie oben beschrieben.
  • Keine PII in Anwendungsprotokollen. Konto-IDs und Anzeigenamen tauchen niemals in operativen Protokollen auf.
  • Nebenläufigkeitssicherheit (Concurrency Safety). Gleichzeitige Bearbeitungen derselben Checkliste werden durch optimistische Nebenläufigkeitskontrolle (Optimistic Concurrency Control) abgesichert, sodass konfliktbehaftete Schreibvorgänge niemals zu unbemerktem Datenverlust führen.

Internationalisierung

Die App wird derzeit in Englisch ausgeliefert. Die Benutzeroberfläche ist für die Lokalisierung vollständig externalisiert.