Diretrizes da EBA

Parágrafo 74

Os direitos e obrigações da instituição, da instituição de pagamento e do provedor de serviços devem ser atribuídos e definidos com clareza em contrato por escrito.

Essa questão é tratada em termos gerais no contrato do cliente Atlassian.

Parágrafo 75

O contrato de terceirização para funções essenciais ou importantes deve estabelecer pelo menos:

(a) uma descrição clara da função terceirizada a ser provida;

A documentação que a gente oferece, incorporada por referência ao contrato do cliente da Atlassian para clientes qualificados, contém descrições claras dos Produtos Cloud Cobertos.

(b) a data de início e a data de término, quando for o caso, do contrato e os períodos de notificação para o provedor de serviços e para a instituição ou instituição de pagamento;

O contrato do cliente Atlassian define a duração padrão do período de assinatura e de todos os períodos de notificação adequados. Além disso, ao fazer o pedido de um ou mais Produtos Cloud Cobertos, ele vai conter as datas de início e término do período de assinatura correspondente.

(c) a legislação que rege o contrato;

A legislação padrão que rege o Contrato do Cliente Atlassian é a legislação da Califórnia. Entre em contato com a equipe de vendas Enterprise para receber mais informações.

(d) as obrigações financeiras das partes;

Os preços de todos os Produtos Cloud Cobertos estão publicados em www.atlassian.com

(e) se a subterceirização de alguma função essencial ou importante, ou partes substanciais dela, é permitida e, em caso afirmativo, as condições especificadas na Seção 13.1 (Subterceirização de funções essenciais e importantes) às quais a subterceirização está sujeita;

Consulte os comentários da Seção 13.1, linhas 21 a 36.

(f) o(s) local(is), (ou seja, as regiões ou os países) em que a função essencial ou importante vai ser prestada e/ou em que os dados relevantes vão ser mantidos e tratados, incluindo o possível local de armazenamento, e as condições a cumprir, incluindo a obrigação de notificar a instituição ou instituição de pagamento caso o provedor de serviços pretenda alterar os locais;

Certos Produtos Cloud Cobertos incluem a funcionalidade de residência de dados no produto, conforme descrito com mais detalhes aqui, o que permite que os administradores dos clientes fixem os dados do produto em escopo no local de sua preferência. Esta página descreve a infraestrutura de hospedagem na nuvem da Atlassian.

A Atlassian tem o compromisso, por contrato, de (a) não causar degradação substancial à funcionalidade do produto durante o período de assinatura vigente e (b) notificar os clientes sobre todas as alterações nos locais de hospedagem de dados.

(g) quando for o caso, disposições relativas a acessibilidade, disponibilidade, integridade, privacidade e segurança dos dados relevantes, conforme especificado na Seção 13.2 (Segurança de dados e sistemas);

Consulte os comentários da Seção 13.2, linhas 36 a 39.

(h) o direito da instituição ou da instituição de pagamento de realizar o monitoramento contínuo do desempenho do provedor de serviços;

A Atlassian publica atualizações de disponibilidade do serviço em status.atlassian.com e tem o compromisso, por contrato, de notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

(i) os níveis de serviço acordados, que devem incluir metas de desempenho quantitativas e qualitativas precisas para a função terceirizada, a fim de permitir o monitoramento oportuno, de modo a que as medidas corretivas adequadas possam ser tomadas sem demora injustificada se os níveis de serviço acordados não forem cumpridos;

Os termos de nível de serviço correspondentes, assim como as soluções para o não atendimento dos níveis de serviço para os Produtos Cloud Cobertos são dispostos no Acordo de Nível de Serviço e nos Termos Específicos do Produto correspondentes.

(j) as obrigações de comunicação de informações do provedor de serviços à instituição ou instituição de pagamento, incluindo a comunicação pelo provedor de serviços de qualquer desenvolvimento que possa ter impacto significativo na capacidade do provedor de serviços para desempenhar com eficácia a função essencial ou importante conforme os níveis de serviço acordados e as disposições legislativas e regulamentares adequadas e, se for caso, as obrigações de apresentar relatórios sobre a função de auditoria interna do provedor de serviços;

A Atlassian publica atualizações de disponibilidade do serviço em status.atlassian.com e tem o compromisso, por contrato, de notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

(k) se o provedor de serviços deve assumir um seguro obrigatório contra certos riscos e, se for o caso, o nível de cobertura de seguro solicitado;

A Atlassian mantém coberturas de seguro contra diversos riscos identificados e conforme exigido pelas leis pertinentes à empresa.

(l) os requisitos para implementar e testar planos de contingência de negócios;

A Atlassian mantém planos de continuidade de negócios e planos de recuperação de desastres, conforme descrito no Trust Center. Esses planos são revisados e testados todos os anos, no mínimo.

(m) disposições que garantam que os dados pertencentes à instituição ou instituição de pagamento possam ser acessados em caso de insolvência, resolução ou interrupção das operações comerciais do provedor de serviços;

A gente permite que o cliente acesse e exporte seus dados durante toda a duração do contrato.

Nenhum desses compromissos deixa de ser cumprido no caso de insolvência da Atlassian. A Atlassian também não tem o direito de rescindir por insolvência da própria Atlassian — embora o cliente tenha a opção de rescindir por conveniência nesse cenário.

No caso improvável de insolvência da Atlassian, o cliente pode consultar esses compromissos ao lidar com o administrador da insolvência designado.

(n) a obrigação de o provedor de serviços cooperar com as autoridades competentes e com as autoridades de resolução da instituição ou da instituição de pagamento, incluindo outras pessoas por elas designadas;

A Atlassian vai cooperar com as autoridades competentes e com as autoridades de resolução da instituição no exercício de seus direitos de auditoria, informação e acesso.

(o) para as instituições, uma referência clara aos poderes da autoridade de resolução nacional, em especial aos artigos 68 e 71 da Diretiva 2014/59/UE (BRRD), e, em particular, uma descrição das “obrigações consideráveis” do contrato conforme o artigo 68 da Diretiva mencionada;

A Atlassian entende que as instituições e qualquer entidade de resolução devem ser capazes de manter o funcionamento dos negócios durante a resolução. Para oferecer apoio até a resolução, a gente tem o compromisso de continuar oferecendo os Produtos Cloud Cobertos durante a resolução, conforme exigido pelo BRRD.

(p) o direito irrestrito das instituições, instituições de pagamento e autoridades competentes de inspecionar e auditar o provedor de serviços no que diz respeito, em especial, à função subcontratada essencial ou importante, conforme especificado na Secção 13.3 (Direitos de acesso, informação e auditoria); e

Consulte os comentários da Seção 13.3, linhas 40 a 53.

(q) direitos de rescisão, conforme especificado na Seção 13.4 (Direitos de rescisão).

Consulte os comentários da Seção 13.4, linha 56.

Parágrafo 76

O contrato de terceirização deve especificar se a subterceirização de funções essenciais ou importantes, ou partes substanciais delas, é permitida

Para oferecer produtos globais com interrupções mínimas, a Atlassian pode subterceirizar certas funções essenciais ou importantes para provedores de serviços de alta qualidade (por exemplo, provedores de hospedagem de dados).

Parágrafo 77

Se for permitida a subterceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem determinar se a parte da função a ser subterceirizada é, em si, essencial ou importante (ou seja, uma parte considerável da função essencial ou importante) e, em caso afirmativo, incluir o fato no registro

Esta é uma consideração do cliente.

Parágrafo 78

Se a subterceirização de funções essenciais ou importantes é permitida, o contrato por escrito deve:

(a) especificar todos os tipos de atividades excluídas de subterceirização;

Veja a linha 22, acima.

(b) especificar as condições a serem cumpridas em caso de subterceirização;

A Atlassian vai avisar sobre quaisquer alterações ou novas subterceirizações de funções essenciais ou importantes e vai oferecer informações sobre essas subterceirizações. Se a instituição tiver dúvidas sobre essas subterceirizações, a gente permite que a instituição rescinda seu contrato com a Atlassian.

(c) especificar que o provedor de serviços é obrigado a supervisionar os serviços que subcontratou para garantir que todas as obrigações contratuais entre o provedor de serviços e a instituição ou a instituição de pagamento sejam sempre cumpridas;

A Atlassian permanece responsável por seu desempenho geral nos termos do contrato do cliente da Atlassian, inclusive por todas as funções subterceirizadas. Além disso, com relação às subterceirizações essenciais ou importantes, a Atlassian tem o compromisso de garantir que tenha contratos apropriados com esses subcontratantes, que concedam os devidos direitos de auditoria, acesso e informação às instituições e às suas autoridades competentes e de resolução, com exigência de que esses subcontratantes cumpram todas as leis vigentes.

(d) exigir que o provedor de serviços obtenha autorização prévia, específica ou geral, por escrito, da instituição ou instituição de pagamento antes da subterceirização de dados;

Como parte da conformidade da Atlassian com o GDPR, no DPA, a gente estabelece o compromisso de não contratar nenhum subprocessador para processar os Dados Pessoais do Cliente sem o consentimento prévio e por escrito do cliente.

(e) incluir a obrigação do provedor de serviços de comunicar à instituição ou à instituição de pagamento qualquer subterceirização planejada, ou alterações consideráveis dela, em especial quando essa ação possa afetar a capacidade do provedor de serviços de cumprir as suas responsabilidades nos termos do contrato de terceirização. Esse ponto inclui alterações significativas e planejadas dos subcontratantes e do período de notificação; em especial, o período de notificação a ser definido deve permitir que a instituição que realiza a terceirização ou a instituição de pagamento, pelo menos, realize uma avaliação dos riscos das alterações propostas e se oponha às alterações antes da entrada em vigor da subterceirização planejada ou das alterações consideráveis dela provenientes;

Veja a linha 26, acima.

(f) garantir, quando for caso, que a instituição ou instituição de pagamento tenha o direito de se opor à subterceirização pretendida, ou às alterações consideráveis a ela, ou estabelecer que a aprovação explícita seja necessária;

Veja a linha 26, acima.

(g) garantir que a instituição ou instituição de pagamento tenha o direito contratual de rescindir o contrato em caso de subterceirização indevida, por exemplo, caso a subterceirização gere aumento substancial dos riscos à instituição ou à instituição de pagamento ou caso o provedor de serviços subterceirize sem aviso prévio dado à instituição ou à instituição de pagamento.

Veja a linha 26, acima.

Parágrafo 79

As instituições e instituições de pagamento devem concordar com a subterceirização apenas se o subcontratante se comprometer a:

(a) cumprir todas as leis, requisitos regulamentares e obrigações contratuais apropriados; e

Veja a linha 27, acima.

(b) conceder à instituição, à instituição de pagamento e à autoridade competente os mesmos direitos contratuais de acesso e auditoria que os concedidos pelo provedor de serviços.

Veja a linha 27, acima.

Parágrafo 80

As instituições e as instituições de pagamento devem garantir que o provedor de serviços realize a supervisão adequada dos subprovedores de serviços, em conformidade com a política definida pela instituição ou instituição de pagamento. Caso a subterceirização proposta possa gerar efeitos adversos consideráveis ao contrato de terceirização de uma função essencial ou importante ou possa levar ao aumento significativo dos riscos, inclusive nos casos em que as condições do parágrafo 79 não seriam cumpridas, a instituição ou instituição de pagamento deve exercer o seu direito de se opor à subterceirização, se tal direito tiver sido acordado, e/ou de rescindir o contrato.

Ver linhas 26 e 27, acima.

Parágrafo 81

As instituições e as instituições de pagamento devem assegurar que os provedores de serviços, quando relevante, cumpram as normas de segurança de TI adequadas

A Atlassian passa com frequência por exames independentes dos controles de segurança, privacidade e conformidade internos. Durante a vigência do contrato da Atlassian com você, a gente vai cumprir pelo menos os padrões listados no Trust Center, que inclui as certificações ISO/IEC 27001 e ISO/IEC 27018, além de relatórios de auditoria SOC 2 Tipo II e SOC 3:
https://www.atlassian.com/trust/compliance

Parágrafo 82

Nos casos pertinentes (por exemplo, no contexto de terceirização da nuvem ou outra terceirização de TIC), as instituições e as instituições de pagamento devem definir os requisitos de segurança dos dados e do sistema no âmbito do contrato de terceirização, além de realizar o monitoramento contínuo da conformidade com esses requisitos.

Dada a natureza de um para muitos dos Produtos Cloud Cobertos, a Atlassian oferece a mesma segurança robusta para todos os clientes. Essas práticas de segurança são descritas em detalhes no Trust Center:
https://www.atlassian.com/trust/

A Atlassian tem o compromisso de cumprir as práticas de segurança estabelecidas no Trust Center e de não gerar diminuição relevante da segurança geral dos Produtos Cloud Cobertos durante o período de sua assinatura.

Parágrafo 83

No caso de terceirização para provedores de serviços em nuvem e de outros contratos de terceirização que envolvam o tratamento ou a transferência de dados pessoais ou confidenciais, as instituições e as instituições de pagamento devem adotar uma abordagem com base nos riscos para o armazenamento de dados e para o(s) local(is) do processamento de dados (ou seja, país ou região) e considerações de segurança da informação.

Esta é uma consideração do cliente.

Parágrafo 84

Sem prejuízo dos requisitos previstos no Regulamento (UE) 2016/679, as instituições e instituições de pagamento, ao terceirizar (em particular para países terceiros), devem levar em consideração as diferenças nas disposições nacionais relativas à proteção de dados. As instituições e as instituições de pagamento devem garantir que o contrato de terceirização inclua a obrigação do provedor de serviços de proteger as informações confidenciais, pessoais ou de natureza sigilosa e de cumprir todos os requisitos legais relativos à proteção de dados válidos para a instituição ou para a instituição de pagamento (por exemplo, que a proteção de dados pessoais e o sigilo bancário ou as obrigações legais similares de confidencialidade em relação às informações dos clientes, quando for o caso, sejam observados).

A Atlassian oferece um Adendo de Processamento de Dados com compromissos detalhados sobre o processamento e a segurança dos dados pessoais do cliente. Você pode saber mais sobre o programa de conformidade com o GDPR aqui:

https://www.atlassian.com/trust/compliance/resources/gdpr

Parágrafo 85

As instituições e as instituições de pagamento devem assegurar, no âmbito do contrato escrito de terceirização, que a função de auditoria interna seja capaz de analisar a função terceirizada por meio de uma abordagem baseada nos riscos.

A Atlassian oferece às instituições mecanismos contratuais para realizar a análise contínua dos Produtos Cloud Cobertos.

Parágrafo 86

Seja qual for a criticidade ou a importância da função terceirizada, os contratos escritos de terceirização entre instituições e provedores de serviços devem ser consoantes aos poderes de coleta de informações e de investigação das autoridades competentes e das autoridades de resolução nos termos do Artigo 63(1)(a) da Diretiva 2014/59/UE e do Artigo 65(3) da Diretiva 2013/36/UE quanto aos provedores de serviços localizados em um Estado-Membro e também devem garantir esses direitos no que diz respeito aos provedores de serviços localizados em outros países.

A Atlassian reconhece os poderes de coleta de informações e de investigação das autoridades competentes e das autoridades de resolução de acordo com a legislação da UE relevante e pertinente.

Parágrafo 87

Quanto à terceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem garantir, no âmbito do contrato escrito de terceirização, que o provedor de serviços conceda a elas, bem como às suas autoridades competentes, incluindo as autoridades de resolução, e a qualquer outra pessoa por elas designada ou às autoridades competentes, o seguinte:

(a) acesso total a todas as instalações comerciais relevantes (por exemplo, sedes e centros de operação), incluindo todo o conjunto de dispositivos, sistemas, redes, informações e dados relevantes usados para prover a função terceirizada, incluindo informações financeiras relacionadas, o pessoal e os auditores externos do provedor de serviços (“direitos de acesso e informação”); e

(b) direitos irrestritos de inspeção e de auditoria relativos ao contrato de terceirização (“direitos de auditoria”), para permitir que monitorem o contrato de terceirização e garantir o cumprimento de todos os requisitos regulamentares e contratuais pertinentes.

Para todas as instituições que usam os Produtos Cloud Cobertos, a Atlassian provê os direitos de auditoria, de informações e de acesso necessários às instituições, suas autoridades competentes e seus designados.

Parágrafo 88

Para a terceirização de funções que não são críticas ou importantes, as instituições e as instituições de pagamento devem assegurar os direitos de acesso e auditoria previstos no parágrafo 87(a) e (b) e na Seção 13.3, com base na abordagem baseada no risco, tendo em conta a natureza da função terceirizada e os riscos operacionais e para a reputação relacionados, sua escalabilidade, o impacto potencial no desempenho contínuo de suas atividades e o período contratual. As instituições e instituições de pagamento devem ter em conta que as funções podem passar a ser críticas ou importantes ao longo do tempo.

Veja a linha 44, acima.

Parágrafo 89

As instituições e as instituições de pagamento devem garantir que o contrato de terceirização ou qualquer outro acordo contratual não impeça ou limite o exercício efetivo dos direitos de acesso e de auditoria da parte delas, das autoridades competentes ou de terceiros por elas designados para exercer esses direitos.

O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades competentes auditem os Produtos Cloud Cobertos com eficácia.

Parágrafo 90

As instituições e as instituições de pagamento devem exercer os seus direitos de acesso e auditoria, determinar a frequência e as áreas a serem auditadas de acordo com uma abordagem baseada nos riscos e devem cumprir as normas de auditoria nacionais e internacionais relevantes e aceitas em âmbito geral.

A gente desenvolveu um programa de auditoria condizente com essa consideração.

Parágrafo 91

Sem prejuízo de sua responsabilidade final em relação aos contratos de terceirização, as instituições e as instituições de pagamento podem usar:

(a) auditorias agrupadas organizadas em conjunto com outros clientes do mesmo provedor de serviços e realizadas por eles e por esses clientes ou por um terceiro por eles designado, a fim de fazer o uso eficiente dos recursos de auditoria e diminuir a carga organizacional para os clientes e para o provedor de serviços;

(b) certificações de terceiros e relatórios de auditoria interna ou de terceiros, disponibilizados pelo provedor de serviços.

O programa de auditoria da Atlassian permite que as instituições analisem os Produtos Cloud Cobertos usando auditorias agrupadas e/ou certificações de terceiros.

Parágrafo 92

Para a terceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem avaliar se as certificações e os relatórios de terceiros conforme o parágrafo 91(b) são adequados e suficientes para cumprir as suas obrigações regulamentares e não devem confiar apenas nesses relatórios ao longo do tempo.

Esta é uma consideração do cliente.

Parágrafo 93

As instituições e instituições de pagamento devem utilizar o método estabelecido no parágrafo 91(b) apenas se:

(a) estiverem satisfeitas com o plano de auditoria para a função terceirizada;

(b) houver a certeza de que o escopo do relatório de certificação ou de auditoria inclua os sistemas (ou seja, processos, aplicativos, infraestruturas, data centers, etc.) e os controles essenciais identificados pela instituição ou pela instituição de pagamento, além da conformidade com os requisitos regulamentares relevantes;

(c) realizarem avaliações abrangentes e contínuas do conteúdo das certificações ou dos relatórios de auditoria e verificarem se os relatórios ou as certificações não estão obsoletos;

(d) assegurarem que os principais sistemas e controles constem em futuras versões do relatório de certificação ou de auditoria;

(e) estiverem satisfeitas com a aptidão da parte certificadora ou auditora (por exemplo, no que concerne à rotação da empresa certificadora ou auditora, às qualificações, aos conhecimentos especializados, à repetição do desempenho/verificação das evidências no arquivo de auditoria subjacente);

(f) estiverem convencidas de que as certificações foram emitidas e as auditorias foram realizadas em conformidade com normas profissionais relevantes reconhecidas com abrangência e de que elas incluem um teste da eficácia operacional dos principais controles em vigor;

(g) tiverem o direito contratual de solicitar a expansão do escopo das certificações ou dos relatórios de auditoria para outros sistemas e controles relevantes; o número e a frequência dessas solicitações de modificação de escopo devem ser razoáveis e legítimos no que tange à gestão de riscos; e

(h) mantiverem o direito contratual de realizar auditorias individuais a seu critério no que diz respeito à terceirização de funções essenciais ou importantes.

Os subparágrafos (a) até (f) são considerações do cliente. Com relação ao subparágrafo (g), a gente provê às instituições um mecanismo contratual para solicitar modificações nos controles e processos de auditoria da Atlassian. O subparágrafo (h) é tratado na linha 44, acima.

Parágrafo 94

Em conformidade com as Diretrizes da EBA sobre a avaliação dos riscos de TIC no âmbito do SREP, as instituições devem, sempre que necessário, garantir que são capazes de realizar testes de intrusão de segurança para avaliar a eficácia das medidas e dos processos internos de segurança cibernética de TIC implementados. Levando em conta o Título I, as instituições de pagamento devem também dispor de mecanismos internos de controle de TIC, incluindo medidas de mitigação e controle de segurança de TIC.

A Atlassian oferece aos clientes o direito de conduzir testes de intrusão a qualquer momento sem a aprovação prévia da Atlassian: https://www.atlassian.com/trust/security/security-testing

Parágrafo 95

Antes de uma visita planejada ao local, as instituições, as instituições de pagamento, as autoridades competentes e os auditores ou terceiros atuando em nome da instituição, da instituição de pagamento ou das autoridades competentes devem dar o aviso adequado ao provedor de serviços, a menos que essa notificação não seja possível por conta de alguma emergência ou situação de crise ou levaria a uma situação em que a auditoria deixaria de ser eficaz.

O programa de auditoria da Atlassian é personalizado com essa consideração em mente.

Parágrafo 96

Ao realizar auditorias em ambientes de diversos clientes, é preciso tomar cuidado para garantir que os riscos para o ambiente de outro cliente (por exemplo, impacto em níveis de serviço, disponibilidade de dados, aspectos de confidencialidade) sejam evitados ou mitigados.

É de fundamental importância para a Atlassian e seus clientes que as ações realizadas com um cliente não coloquem nenhum outro cliente em risco. Esse ponto deve ser seguido quando você realiza auditorias. Também deve ser seguido quando qualquer outro cliente realiza auditorias. Quando é a instituição que realiza a auditoria, a gente coopera com ela para minimizar os transtornos para outros clientes. Assim como a gente também vai trabalhar com outro cliente de auditoria para minimizar transtornos na instituição. Em particular, a gente vai ter o cuidado de sempre cumprir os compromissos de segurança que a gente estabeleceu.

Parágrafo 97

Nos casos em que o contrato de terceirização produza elevado nível de complexidade técnica, por exemplo, no caso de terceirização em nuvem, a instituição ou a instituição de pagamento deve verificar se quem está realizando a auditoria — sejam os seus auditores internos, o grupo de auditores ou auditores externos que atuam em seu nome — tem habilidades e conhecimentos suficientes e relevantes para realizar auditorias e/ou avaliações importantes com eficácia. O mesmo ponto é válido para qualquer funcionário da instituição ou instituição de pagamento que analise certificações de terceiros ou a auditorias realizadas por provedores de serviços.

Esta é uma responsabilidade do cliente.

Parágrafo 98

O contrato de terceirização deve permitir expressamente a possibilidade de a instituição ou instituição de pagamento rescindir o contrato, em conformidade com a legislação vigente, inclusive nas seguintes situações:

(a) quando o prestador das funções terceirizadas violar a lei, os regulamentos ou as disposições contratuais vigentes;

(b) quando forem identificados impedimentos capazes de alterar o desempenho da função terceirizada;

(c) quando houver mudanças consideráveis que afetem o contrato de terceirização ou o provedor de serviços (por exemplo. subterceirização ou alterações de subcontratados);

(d) quando houver deficiências em relação à gestão e à segurança de dados ou às informações confidenciais, pessoais ou de natureza sigilosa; e

(e) quando as instruções forem dadas pela autoridade competente da instituição ou da instituição de pagamento, por exemplo, no caso de a autoridade competente, devido ao contrato de terceirização, deixar de estar em condições de supervisionar com eficácia a instituição ou a instituição de pagamento.

A Atlassian oferece aos clientes um amplo direito de rescisão por conveniência, o que permitiria a elas a rescisão em todos os casos listados na Seção 13.4 das Diretrizes da EBA.

Parágrafo 99

O contrato de terceirização por escrito deve:

(a) estabelecer com clareza as obrigações do provedor de serviços existente, em caso de transferência da função terceirizada para outro provedor de serviços ou de volta para a instituição ou instituição de pagamento, incluindo o tratamento de dados;

A gente oferece a todos os clientes a funcionalidade no produto para exportar seus dados a qualquer momento durante a vigência do contrato sem assistência da Atlassian.

(b) definir um período de transição adequado, durante o qual o provedor de serviços, após o término do contrato de terceirização, vai continuar provendo a função terceirizada para reduzir o risco de transtornos; e

Se exigido por alguma instituição, ela pode estender seu prazo de assinatura por um curto período para permitir sua transição para outro provedor de serviços.

(c) incluir a obrigação do provedor de serviços de apoiar a instituição ou a instituição de pagamento na transferência ordenada da função em caso de rescisão do contrato de terceirização.

Ver linhas 58 e 59, acima.