Close

BaFin

Diretrizes de terceirização da Atlassian

Este quadro foi desenvolvido para auxiliar as instituições de serviços financeiros sob a supervisão da BaFin, a Autoridade Federal de Supervisão Financeira da Alemanha, a mapear como cada parágrafo do Capítulo V (Termos contratuais no caso de terceirização (substancial)) da Orientação sobre Terceirização para Provedores de Serviços na Nuvem (a “Orientação da BaFin”) corresponde à documentação do contrato do cliente da Atlassian.

Se você tem um contrato da Atlassian existente ou quer saber mais sobre como esses termos podem ser aplicados ao seu contrato, entre em contato com a gente.

Considerações e requisitos
Comentário da Atlassian

1.

Dependendo dos requisitos legais de supervisão, os seguintes termos e condições em particular devem ser incluídos no contrato de terceirização para terceirização substancial1 ou para terceirização não diferenciada de acordo com a KAGB:

 

2.

1. Escopo do desempenho

 

3.

O contrato deve incluir uma especificação e, se necessário, uma descrição do serviço a ser executado pelo provedor de serviços em nuvem. Elas devem ser estipuladas no que é chamado de acordo de nível de serviço. Neste contexto, os seguintes aspectos devem ser definidos:

 

4.

  • o item a ser terceirizado e sua implementação (ex. tipo de serviço e modelo de implementação, escopo dos serviços oferecidos, como a capacidade de computação ou o espaço de memória disponível, os requisitos de disponibilidade, os tempos de resposta),
  • A documentação que a gente oferece, incorporada por referência ao contrato do cliente da Atlassian para clientes qualificados, contém descrições claras dos Produtos Cloud Cobertos.

    5.

  • Serviços de suporte
  • Os clientes qualificados têm acesso à Oferta de Suporte da Atlassian, sujeita ao contrato do cliente da Atlassian.

    6.

  • responsabilidades, obrigações de cooperação e provisão (por exemplo, no caso de atualizações),
  • Essa questão é tratada em termos gerais no contrato do cliente Atlassian.

    7.

  • local de atuação (por exemplo, a localização dos data centers),
  • Certos Produtos Cloud Cobertos incluem a funcionalidade de residência de dados no produto, conforme descrito com mais detalhes aqui, o que permite que os administradores dos clientes fixem os dados do produto em escopo no local de sua preferência. Esta página descreve a infraestrutura de hospedagem na nuvem da Atlassian.

    A Atlassian tem o compromisso, por contrato, de (a) não causar degradação substancial à funcionalidade do produto durante o período de assinatura vigente e (b) notificar os clientes sobre todas as alterações nos locais de hospedagem de dados.

    8.

  • início e fim do contrato de terceirização,
  • O contrato do cliente Atlassian define a duração padrão do período de assinatura e de todos os períodos de notificação adequados. Além disso, ao fazer o pedido de um ou mais Produtos Cloud Cobertos, ele vai conter as datas de início e término do período de assinatura correspondente.

    9.

  • índices essenciais para a realização da análise contínua do nível de serviço,
  • Os termos de nível de serviço correspondentes, assim como as soluções para o não atendimento aos níveis de serviço, para os Produtos Cloud Cobertos são dispostos no Acordo de Nível de Serviço e nos Termos Específicos do Produto correspondentes.

    10.

  • indicadores para identificar um nível de serviço inaceitável.
  • A Atlassian publica atualizações de disponibilidade do serviço em https://status.atlassian.com/ e tem o compromisso, por contrato, a notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

    11.

    2. Direitos de informação e auditoria da empresa supervisionada

     

    12.

    Os direitos de informação e auditoria, assim como as possibilidades de controle da empresa supervisionada, não devem estar sujeitos a restrições contratuais. É preciso garantir que a empresa supervisionada receba as informações necessárias para realizar o controle e o monitoramento adequados dos riscos associados à terceirização.

    O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades supervisoras auditem os Produtos Cloud Cobertos com eficácia.

    13.

    Para proteger os direitos de informação e auditoria, os seguintes termos, em particular, devem ser firmados em contrato:

  • concessão de acesso total a informações e dados, bem como acesso às instalações comerciais do provedor de serviços em nuvem, incluindo todos os data centers, equipamentos, sistemas e redes utilizados para prover os itens terceirizados; isto inclui os processos e controles relacionados,
  • possibilidades efetivas de controle e auditoria de toda a cadeia de terceirização.
  • Veja a linha 12, acima.

    14.

    Nenhuma restrição (indireta) de direitos. O exercício efetivo dos direitos de informação e auditoria não pode ser restringido por contrato. As autoridades de supervisão alemãs consideram a existência dessa restrição inadmissível de direitos de informação e auditoria no caso particular de acordos contratuais que concedam esses direitos apenas sob certas condições, o que inclui, em particular:

  • concordar com procedimentos de auditoria e informações incrementais, por exemplo, a obrigação de confiar primeiro nos relatórios de auditoria, certificados ou outras comprovações de conformidade com as normas reconhecidas pelo provedor de serviços em nuvem antes que a empresa supervisionada possa realizar as suas próprias atividades de auditoria;
  • restringir o desempenho dos direitos de informação e auditoria à apresentação de relatórios de auditoria, certificados ou outras comprovações de conformidade com as normas reconhecidas pelo provedor de serviços em nuvem;
  • vincular o acesso às informações à participação prévia em programas especiais de treinamento;
  • escrever uma cláusula de maneira que a realização de uma auditoria seja condicionada à sua razoabilidade comercial;
  • limitar a realização de auditorias em termos de tempo e pessoal; como regra geral, no entanto, é aceitável limitar o acesso ao horário comercial habitual mediante aviso prévio;
  • mencionar o uso exclusivo, por exemplo, de consoles de gestão para o exercício de direitos de informação e auditoria da empresa;
  • Veja a linha 12, acima.

    15.

    Exceções

    Dependendo dos requisitos vigentes da lei de supervisão, as empresas supervisionadas podem reivindicar exceções para deixar suas próprias atividades de auditoria mais eficientes. Essas exceções são auditorias agrupadas ou a utilização de documentação/certificados baseados em normas comuns ou em relatórios de auditoria de terceiros reconhecidos ou de relatórios de auditoria internos do provedor de serviços em nuvem.

    Esta é uma consideração do cliente. Consulte também a linha 12, acima, e a linha 20, abaixo.

    16.

    Auditorias agrupadas

    As empresas supervisionadas sujeitas ao cumprimento das seções 25a, 25b KWG podem se valer de exceções na Circular 09/2017 (BA) — Requisitos Mínimos para Gestão de Riscos — (MaRisk). De acordo com BT 2.1 Item 3 MaRisk, a função de auditoria interna da empresa supervisionada no caso de terceirização substancial pode renunciar às próprias atividades de auditoria, desde que o trabalho de auditoria realizado pelo provedor de serviços externo atenda aos requisitos da AT 4.4 e BT 2 MaRisk. A função de auditoria interna da empresa terceirizada supervisionada deve garantir, em intervalos regulares, que essas condições sejam atendidas. As conclusões da auditoria relativas à empresa supervisionada devem ser encaminhadas para a função de auditoria interna da empresa terceirizada supervisionada.

    Esta é uma consideração do cliente. Consulte também a linha 12, acima.

    17.

    A este respeito, a atividade de auditoria pode ser realizada pelo departamento de auditoria interna do provedor de serviços em nuvem, o departamento de auditoria interna de uma ou mais das empresas terceirizadas supervisionadas em nome das empresas terceirizadas supervisionadas (“auditorias agrupadas”), um terceiro nomeado pelo provedor de serviços em nuvem ou um terceiro nomeado pelas empresas terceirizadas supervisionadas.

    Esta é uma consideração do cliente. Consulte também a linha 12, acima.

    18.

    Para as outras empresas supervisionadas, pode ser permitido, em caráter individual, exercer certos direitos de informação e auditoria contra o provedor de serviços em nuvem em conjunto com outras empresas supervisionadas por meio de auditoria conjunta.

    Esta é uma consideração do cliente. Consulte também a linha 12, acima.

    19.

    Se uma empresa supervisionada fizer uso de alguma das exceções mencionadas acima, esse uso não pode resultar na restrição de seus direitos de informação e auditoria.

    Veja a linha 12, acima.

    20.

    Comprovações/certificados e relatórios de auditoria

    A empresa supervisionada, como regra geral, pode usar documentação/certificados com base em padrões comuns (por exemplo, a norma internacional de segurança ISO/IEC 2700X da Organização Internacional de Normalização, o Catálogo de Controles de Conformidade de Computação em Nuvem (Catálogo C 5) do BSI), os relatórios de auditoria de terceiros reconhecidos ou os relatórios de auditoria interna do provedor de serviços em nuvem. A empresa supervisionada deve levar em consideração o escopo, a profundidade dos detalhes, a atualização e a adequação do certificador ou auditor dessa documentação/desses certificados e relatórios de auditoria.

    A Atlassian passa com frequência por exames independentes dos controles de segurança, privacidade e conformidade internos. Durante a vigência do contrato da Atlassian com você, a gente vai cumprir pelo menos os padrões listados no Trust Center, que inclui as certificações ISO/IEC 27001 e ISO/IEC 27018, além de relatórios de auditoria SOC 2 Tipo II e SOC 3: https://www.atlassian.com/trust/compliance

    21.

    No entanto, a empresa supervisionada não deve confiar apenas neles ao exercer sua atividade de auditoria. Se o departamento de auditoria interna utilizar essa documentação/esses certificados na sua atividade, ele deve ter a capacidade de examinar as evidências subjacentes.

    Esta é uma consideração do cliente. Consulte também a linha 12, acima.

    22.

    3. Direitos de informação e auditoria das autoridades de supervisão

     

    23.

    Os direitos de informação e auditoria e as possibilidades de controle das autoridades de supervisão não devem estar sujeitos a restrições contratuais. As autoridades supervisoras devem ser capazes de monitorar os provedores de serviços na nuvem em conformidade com as provisões da legislação vigente para a empresa supervisionada. As autoridades de supervisão devem poder exercer os direitos de informação e auditoria, bem como as possibilidades de controle de maneira adequada, e sem restrições, no que diz respeito ao item que está sendo terceirizado; este ponto também é válido para as pessoas que as autoridades de supervisão utilizam para realizar as auditorias.

    O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades supervisoras auditem os Produtos Cloud Cobertos com eficácia.

    24.

    Para proteger esses direitos, os seguintes termos, em particular, devem ser estabelecidos em contrato:

  • obrigação do provedor de serviços em nuvem de cooperar com as autoridades de supervisão sem restrições,
  • concessão de acesso total a informações e dados, bem como acesso às instalações comerciais do provedor de serviços em nuvem, incluindo todos os data centers, equipamentos, sistemas e redes utilizados para prover os itens terceirizados, o que inclui os processos e controles relacionados, bem como a possibilidade de realizar auditorias locais do provedor de serviços em nuvem (e, quando for o caso, da empresa de terceirização em cadeia),
  • possibilidades efetivas de controle e auditoria de toda a cadeia de terceirização.
  • Veja a linha 23, acima.

    25.

    Nenhuma restrição (indireta) de direitos

    Essa restrição inadmissível de direitos de informação e auditoria, assim como as possibilidades de controle das autoridades de supervisão alemãs, tem a existência considerada no caso particular de disposições que concedem esses direitos apenas em determinadas condições. As declarações acima sobre a restrição dos direitos das empresas supervisionadas servem de referência para evitar repetições.

    Veja a linha 23, acima.

    26.

    4. Direitos de emissão de instruções

     

    27.

    Os direitos das empresas supervisionadas de emitir instruções devem ser acordados. Os direitos de emissão de instruções existem para garantir que todas as instruções necessárias para executar o serviço acordado possam ser emitidas, ou seja, a possibilidade de influenciar e controlar o item terceirizado é necessária. A implementação técnica pode ter organização individual com base nas circunstâncias específicas da empresa.

    Os clientes da Atlassian podem emitir instruções (inclusive com relação a certificações de terceiros e relatórios de auditoria) para a gente em relação aos Produtos Cloud Cobertos por meio de seus canais de suporte ao cliente.

    28.

    Se a empresa supervisionada usar comprovações/certificações ou relatórios de auditoria (cf. V.2), ela também deve ter a possibilidade de influenciar o escopo de comprovações/certificações ou dos relatórios de auditoria para que ele possa ser expandido para incluir sistemas e controles relevantes. Deve haver uma proporção razoável entre a quantidade e a frequência em que essas instruções são emitidas.

    Veja a linha 27, acima.

    29.

    Além disso, a empresa supervisionada deve estar sempre autorizada a emitir instruções ao provedor de serviços em nuvem para correção, eliminação e bloqueio de dados, e o provedor de serviços em nuvem deve ser autorizado a recolher, processar e utilizar os dados apenas no contexto das instruções emitidas pela empresa supervisionada. Este ponto também deve abranger a possibilidade de emitir instruções a qualquer momento para que os dados processados pelo provedor de serviços em nuvem sejam transferidos de volta para a empresa supervisionada de imediato e sem restrições.

    A Atlassian oferece um Adendo de Processamento de Dados com compromissos detalhados sobre o processamento e a segurança dos dados pessoais do cliente. Você pode saber mais sobre o programa de conformidade com o GDPR aqui:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    Além disso, a gente oferece a todos os clientes a funcionalidade no produto para exportar seus dados a qualquer momento durante a vigência do contrato sem assistência da Atlassian.

    30.

    Se o acordo explícito sobre os direitos de emissão de instruções da empresa supervisionada puder ser dispensado, o serviço a ser prestado pela empresa terceirizada deve ser especificado com clareza suficiente no contrato de terceirização.

    Veja a linha 27, acima.

    31.

    5. Segurança/proteção de dados (referência ao local do armazenamento de dados)

     

    32.

    Devem ser acordadas disposições que garantam a conformidade com as regulamentações de proteção de dados e outros requisitos de segurança.

    Dada a natureza de um para muitos dos Produtos Cloud Cobertos, a Atlassian oferece a mesma segurança robusta para todos os clientes. Essas práticas de segurança são descritas em detalhes no Trust Center: https://www.atlassian.com/trust/

    A Atlassian tem o compromisso de cumprir as práticas de segurança estabelecidas no Trust Center e de não gerar diminuição relevante da segurança geral dos Produtos Cloud Cobertos durante o período de sua assinatura.

    Consulte também as linhas 27 e 29 acima.

    33.

    A localização do armazenamento de dados deve ser conhecida pela empresa supervisionada. Esse conhecimento deve incluir a localização específica dos data centers. Como regra geral, informar o nome do local (por exemplo, a cidade) é suficiente para essa finalidade. No entanto, se a empresa supervisionada precisar do endereço exato do data center com base em considerações de gerenciamento de risco, essa informação deve ser dada pelo provedor de serviços em nuvem.

    Veja a linha 7, acima.

    34.

    Além disso, a redundância dos dados e dos sistemas deve ser garantida para que, em caso de falha de um data center, seja assegurada a manutenção dos serviços.

    A Atlassian mantém planos de continuidade de negócios e planos de recuperação de desastres, conforme descrito no Trust Center. Esses planos são revisados e testados todos os anos, no mínimo.

    35.

    A segurança dos dados e sistemas também deve ser assegurada dentro da cadeia de terceirização.

    Veja a linha 32, acima.

    36.

    A empresa supervisionada deve ter a possibilidade de acessar com rapidez em todos os momentos seus dados armazenados com o provedor de serviços em nuvem e de retransferi-los, se necessário. A este respeito, é necessário assegurar que a forma selecionada de retransferência não restrinja ou exclua a utilização dos dados. Por essa razão, os formatos de dados padrão independentes de plataforma devem ser acordados. A compatibilidade dos diferentes sistemas deve ser levada em consideração.

    Veja a linha 29, acima.

    37.

    6. Disposições de rescisão

     

    38.

    Os direitos de rescisão e os períodos adequados para o aviso de rescisão devem ser acordados. Em particular, deve ser acordado um direito especial de rescisão que preveja a rescisão por justa causa, caso a autoridade supervisora solicite a rescisão do contrato.

    A Atlassian oferece aos clientes um amplo direito de rescisão por conveniência, o que lhes permitiria rescindir em qualquer circunstância.

    39.

    É necessário garantir que, em caso de rescisão, os itens terceirizados para o provedor de serviços em nuvem continuem a ser entregues até que o item terceirizado tenha sido transferido em sua totalidade para outro provedor de serviços em nuvem ou para a empresa supervisionada. A este respeito, tem de ser garantido, em particular, que o provedor de serviços em nuvem vai prover ajuda razoável para a empresa supervisionada na transferência dos itens terceirizados para outro provedor de serviços em nuvem ou para a própria empresa supervisionada.

    Se exigido por alguma instituição, ela pode estender seu prazo de assinatura por um curto período para permitir sua transição para outro provedor de serviços.

    40.

    O tipo, a forma e a qualidade da transferência do item terceirizado e dos dados devem ser definidos. Se os formatos de dados forem adaptados às necessidades individuais da empresa supervisionada, o provedor de serviços em nuvem deve prover a documentação dessas adaptações na rescisão.

    Essas informações podem ser acessadas nesta Documentação.

    41.

    Deve ser acordado que, após a transferência dos dados de volta para a empresa supervisionada, seus dados passem por exclusão completa e irrevogável do lado do provedor de serviços em nuvem.

    Essa consideração é abordada no Adendo de Processamento de Dados.

    42.

    Para garantir que as áreas terceirizadas sejam mantidas em caso de rescisão, planejada ou não, do contrato, a empresa supervisionada deve ter uma estratégia de saída e avaliar sua viabilidade.

    Esta é uma consideração do cliente.

    43.

    7. Terceirização em cadeia

     

    44.

    Devem ser acordadas disposições sobre a possibilidade e as modalidades de terceirização em cadeia que garantam que os requisitos da lei de supervisão continuem a ser cumpridos. Restrições resultantes, por exemplo, em apenas as obrigações de maior semelhança serem assumidas não são permitidas. Deve ser garantido, em especial, que os direitos de informação e auditoria, bem como as possibilidades de controle da empresa terceirizada supervisionada, bem como das autoridades de supervisão, também sejam válidos para os subcontratantes no caso da terceirização em cadeia.

    Para oferecer produtos globais com interrupções mínimas, a Atlassian pode subterceirizar certas funções críticas para provedores de serviços de alta qualidade (por exemplo, provedores de hospedagem de dados). Com relação às subterceirizações essenciais, a Atlassian tem o compromisso de garantir que tenha contratos apropriados com esses subcontratantes, que concedam direitos adequados de auditoria, acesso e informação às instituições e suas autoridades supervisoras, com exigência de que esses subcontratantes cumpram todas as leis vigentes. Consulte também a linha 12, acima.

    45.

    Com relação à terceirização em cadeia, reservas de consentimento da empresa terceirizada ou condições específicas a serem atendidas para que a terceirização em cadeia seja possível devem ser previstas no contrato de terceirização. Devem ser definidos quais itens terceirizados e/ou partes deles podem ser terceirizados em cadeia e quais não podem.

    Veja a linha 44, acima.

    46.

    A empresa supervisionada deve ser informada com antecedência da terceirização em cadeia dos itens terceirizados e/ou partes deles por escrito. Os subcontratados e os itens e/ou partes deles terceirizados em cadeia devem ser conhecidos pela empresa supervisionada.

    A Atlassian vai avisar sobre quaisquer alterações ou novas subterceirizações de funções críticas ou importantes e vai disponibilizar as informações sobre essas subterceirizações. Se a instituição tiver dúvidas sobre essas subterceirizações, a gente permite que a instituição rescinda seu contrato com a Atlassian.

    47.

    No caso de uma nova terceirização em cadeia, é preciso levar em consideração que ela pode afetar a situação de risco da terceirização e, portanto, a empresa terceirizada. Assim, a análise de risco deve, no mínimo, ser revisada ou repetida no caso de uma nova terceirização em cadeia. O mesmo vale quando defeitos substanciais, bem como alterações substanciais, no serviço de nuvem disponibilizado por subcontratados são conhecidos.

    Esta é uma consideração do cliente.

    48.

    A empresa deve realizar a revisão e o monitoramento contínuos do desempenho de todo o serviço, não importa se o serviço em nuvem é prestado pelo provedor de serviços na nuvem ou por seus subcontratados.

    Esta é uma consideração do cliente.

    49.

    8. Obrigações de informação

     

    50.

    Devem ser acordadas disposições que garantam que o provedor de serviços em nuvem informe a empresa supervisionada sobre desenvolvimentos que possam causar efeitos adversos ao desempenho ordenado dos itens terceirizados. Essas disposições incluem coisas como relatar todas as interrupções na prestação do serviço de nuvem. Essas informações são necessárias para garantir que a empresa possa realizar o monitoramento adequado do item terceirizado.

    A Atlassian publica atualizações de disponibilidade do serviço em https://status.atlassian.com/ e tem o compromisso, por contrato, a notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

    51.

    O provedor de nuvem deve informar a empresa supervisionada sem demora sobre quaisquer circunstâncias que possam representar um risco para a segurança dos dados da empresa supervisionada a serem processados pelo provedor de serviços em nuvem, por exemplo, como resultado de atos de terceiros (por exemplo, embargo ou confisco), processos de insolvência ou composição ou outros eventos.

    Além dos compromissos mencionados na linha 50, acima, a Atlassian estabelece o compromisso de oferecer aos clientes avisos sobre incidentes de segurança no Adendo de Processamento de Dados.

    52.

    Deve ser garantido que a empresa supervisionada receba as informações necessárias do provedor de serviços em nuvem com antecedência no caso de alterações relevantes no serviço em nuvem a ser prestado pelo provedor de serviços em nuvem. As descrições dos serviços e todas as alterações feitas a eles devem ser informadas e/ou notificadas à empresa supervisionada por escrito. Deve ser assegurado que a empresa supervisionada receba as informações necessárias, na medida do permitido pela lei, sempre que solicitações/pedidos de entrega de dados da empresa supervisionada sejam realizados por terceiros.

    A Atlassian publica o Roteiro de produtos da nuvem, que oferece aos clientes avisos de alterações relevantes nos Produtos Cloud Cobertos.

    Além disso, a gente só informa dados de clientes a terceiros de acordo com as Diretrizes para Solicitações Legais.

    53.

    9. Aviso da lei vigente

     

    54.

    Quando alguma cláusula de lei vigente é acordada e a lei alemã não é acordada como legislação vigente, a lei de um país da União Europeia ou do Espaço Econômico Europeu deve, em qualquer caso, ser acordada como a lei que rege o contrato.

    A legislação padrão que rege o Contrato do Cliente da Atlassian é a legislação da Califórnia. Entre em contato com a equipe de vendas Enterprise para receber mais informações.

    1O termo “terceirização substancial”, conforme usado nas Orientações da BaFin, é equivalente ao termo “terceirização essencial ou significativa”, conforme usado nas Diretrizes da EBA.