/ COGNITIFF

Conformité & Audit

Enterprise Checklists for Jira est conçu pour les environnements qui doivent justifier les preuves de leurs checklists face aux auditeurs — dans le cadre des programmes SOC 2, SOX, HIPAA, ITIL et ISO 27001. Cette page détaille ce que fait l’application (et tout aussi important, ce qu’elle ne prétend pas faire) afin que vous puissiez l’intégrer proprement dans votre cadre de contrôle.

Piste d’audit automatisée

Chaque interaction est journalisée automatiquement — aucune action de l’utilisateur n’est requise.

  • Événements capturés : création d’élément, cochage, décochage, modification de texte, suppression, réorganisation et synchronisation de modèle.
  • Stockage à double écriture :
    1. Un journal de référence dans le stockage Forge de l’application (la source de vérité pour les exports et les audits externes).
    2. Un résumé optimisé (best-effort) écrit dans le champ personnalisé Checklist Audit Log, afin que l’activité récente apparaisse dans l’onglet Historique natif de Jira.
  • Inviolabilité vérifiable, mais pas cryptographiquement immuable. Le journal est automatisé et protégé par les contrôles d’accès au niveau des champs de Jira ; ce n’est pas une blockchain. Toute documentation marketing ou de contrôle interne doit le décrire comme une piste d’audit automatisée, et non comme immuable.

Verrouillage de l’état de la demande

Une garantie alignée sur la norme SOC 2 qu’aucune personne ne peut modifier discrètement la Définition de Terminé (Definition of Done) d’un ticket fermé.

  • Lorsque le statut d’une demande entre dans la catégorie de statut Done — Terminé, Fermé, Résolu, ou tout statut personnalisé associé à cette catégorie — la checklist passe en lecture seule.
  • Toutes les opérations de mutation (cocher, décocher, modifier, supprimer, réorganiser, appliquer un modèle) sont rejetées à la fois dans l’interface utilisateur et sur le backend, de sorte que les chemins d’API et d’automatisation ne peuvent pas non plus contourner le verrouillage.
  • La checklist reste visible et exportable ; seule la modification est bloquée.

Export d’audit CSV

Extrait par les utilisateurs autorisés (Administrateurs Jira, Administrateurs de projet) pour la collecte de preuves.

  • Export par demande — directement depuis le panneau de la checklist sur une demande individuelle.
  • Export en masse par projet — depuis l’onglet Export du tableau de bord d’administration, paginé pour les environnements de grande envergure.
  • Colonnes adaptées aux auditeurs — la colonne Issue Key utilise la clé Jira lisible par l’homme (par ex. CMSP-7) afin que les auditeurs puissent faire des références croisées directement vers la demande.
  • Protection OWASP contre l’injection de formules — les caractères de début =, +, -, @, tabulation et retour chariot (CR) dans les champs contrôlés par l’utilisateur sont neutralisés afin que l’ouverture du CSV dans Excel ou Google Sheets ne puisse pas exécuter de formules.

Application stricte du workflow

Le validateur de workflow Checklist Complete bloque les transitions vers un statut cible à moins que chaque élément de la checklist ne soit coché. Les demandes sans checklist passent le validateur (afin que les anciens tickets ne soient pas bloqués). Combiné au verrouillage d’état, cela vous offre à la fois une barrière avant la fermeture et un gel après la fermeture.

Notifications natives & Automatisation

  • Les notifications pour les observateurs / assignés se déclenchent nativement lors de l’achèvement d’un élément (activable par l’administrateur), afin que la boucle de collaboration ne soit pas silencieuse.
  • Chaque action de cocher / décocher écrit dans la propriété de la demande enterprise-checklist-event, que toute règle Jira Automation peut consommer via le déclencheur Issue property changed — pour le routage des preuves vers des outils de ticketing, de GRC ou de chat.

Correspondance avec les cadres de référence courants

Cadre de référenceDomaine de contrôleComment l’application aide
SOC 2CC7.2 / CC8.1 — gestion des changements et surveillancePiste d’audit automatisée de chaque mutation de checklist ; verrouillage de l’état sur Done ; export de preuves au format CSV.
SOXContrôles des changements ITGCValidateur Checklist Complete sur les transitions impactant la production ; export d’audit en masse par projet.
HIPAA§164.308(a)(1) mesures de protection administrativesModèle de démarrage Cloud Infrastructure ePHI Baseline ; activation par projet ; autorisations de modification restreintes héritées de Jira.
ITILGestion des changements et des incidentsModèles de démarrage Incident Management et Production Deployment avec typage Read-Do pour les procédures séquentielles.
ISO 27001A.12.1.2 gestion des changementsLa synchronisation de modèle en ajout seul (append-only) préserve les modifications locales ; export CSV lisible par les auditeurs.

RGPD & Résidence des données

  • Frontières de données Forge. Toutes les données des checklists résident dans le stockage Forge d’Atlassian, héritant ainsi des engagements d’Atlassian en matière de résidence des données.
  • API de signalement des données personnelles. Une tâche planifiée hebdomadaire signale les identifiants de compte Atlassian suivis à l’API Personal Data Reporting d’Atlassian.
  • Droit à l’oubli. Lorsqu’Atlassian signale qu’un compte est fermé, tous les enregistrements de checklist faisant référence à ce compte sont anonymisés — l’identifiant du compte est remplacé par une valeur sentinelle, tout en préservant l’intégrité du journal d’audit.

Accessibilité

  • Conforme aux normes WCAG 2.1 Niveau AA.
  • Toutes les interactions — cocher, décocher, modifier, réorganiser, supprimer, appliquer un modèle — sont entièrement navigables au clavier et compatibles avec les lecteurs d’écran.

Sécurité

  • Validation des entrées à chaque point d’entrée (interface utilisateur, REST, chemins d’automatisation).
  • Nettoyage du Markdown lors du rendu pour prévenir les attaques XSS dans le texte des éléments.
  • Protection contre l’injection de formules CSV telle que décrite ci-dessus.
  • Aucune donnée personnelle (PII) dans les journaux d’application. Les identifiants de compte et les noms d’affichage n’apparaissent jamais dans les journaux opérationnels.
  • Sécurité de la concurrence. Les modifications simultanées sur la même checklist sont protégées par un contrôle de concurrence optimiste, de sorte que les écritures conflictuelles ne causent jamais de perte de données silencieuse.

Internationalisation

L’application est actuellement disponible en anglais. L’interface utilisateur est entièrement externalisée en vue de sa localisation.