Directrices de la ABE

Apdo. 74

Los derechos y obligaciones de la entidad, la entidad de pago y el proveedor de servicios deben asignarse y establecerse claramente en un acuerdo por escrito.

En general, esto suele especificarse en el contrato de cliente de Atlassian.

Apdo. 75

El acuerdo de externalización para funciones críticas o importantes debe establecer, como mínimo:

(a) Una descripción clara de la función externalizada que va a prestarse.

Nuestra documentación, que se incluye como referencia con el contrato de cliente de Atlassian para los clientes que cumplen los requisitos, contiene descripciones claras de los productos de Cloud cubiertos.

(b) La fecha de inicio y de finalización, si procede, del acuerdo y los plazos de notificación para el proveedor de servicios y para la entidad o la entidad de pago.

El contrato de cliente de Atlassian establece la duración predeterminada de un periodo de suscripción y todos los plazos de notificación aplicables. Además, al hacer un pedido de uno o más productos de Cloud cubiertos, se incluirá la fecha de inicio y finalización del periodo de suscripción correspondiente.

(c) La legislación aplicable al acuerdo.

La legislación aplicable predeterminada para el contrato de cliente de Atlassian es la ley de California. Contacta con nuestro equipo de ventas Enterprise si quieres más información.

(d) Las obligaciones financieras de las partes.

Los precios de cada uno de los productos de Cloud cubiertos están publicados en www.atlassian.com.

(e) Si se permite la externalización de una función crítica o importante, o de partes significativas de ella. De ser así, también deben especificarse las condiciones de la sección 13.1 (Externalización de funciones críticas e importantes) a las que está sujeta la externalización.

Consulta los comentarios de la sección 13.1 en las filas 21 a 36.

(f) Las ubicaciones (es decir, regiones o países) en los que se prestará la función crítica o importante o en los que se conservarán y tratarán los datos pertinentes, incluidas la posible ubicación de almacenamiento y las condiciones que deben cumplirse, como la obligación de informar a la entidad o la entidad de pago en caso de que el proveedor de servicios quiera cambiar dichas ubicaciones.

Algunos productos de Cloud cubiertos incluyen una función de residencia de datos en el producto. Esta función se describe con más detalle aquí y permite a los administradores de nuestros clientes vincular los datos del producto en cuestión a la ubicación que elijan. En esta página se detalla nuestra infraestructura de alojamiento en la nube.

Nos comprometemos por contrato a lo siguiente: (a) no degradar sustancialmente las funciones del producto durante el periodo de suscripción aplicable y (b) notificar a los clientes cualquier cambio en nuestras ubicaciones de alojamiento de datos.

(g) Cuando proceda, las disposiciones relativas a la accesibilidad, disponibilidad, integridad, privacidad y seguridad de los datos pertinentes, tal como se especifica en la sección 13.2 (Seguridad de los datos y sistemas).

Consulta los comentarios de la sección 13.2 en las filas 36 a 39.

(h) El derecho de la entidad o la entidad de pago a supervisar el rendimiento del proveedor de servicios de forma continua.

Publicamos novedades en cuanto a la disponibilidad de los servicios en status.atlassian.com y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

(i) Los niveles de servicio acordados, que deben incluir objetivos de rendimiento cuantitativos y cualitativos precisos para la función externalizada a fin de posibilitar una supervisión oportuna, de modo que se puedan adoptar las medidas correctivas adecuadas sin demoras indebidas si no se cumplen los niveles de servicio acordados.

Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes.

(j) Las obligaciones de información del proveedor de servicios a la entidad o la entidad de pago. Esto incluye la obligación por parte del proveedor de servicios de informar de cualquier circunstancia que pueda repercutir de forma significativa en su capacidad para prestar con eficacia la función crítica o importante de acuerdo con los niveles de servicio acordados y de conformidad con la legislación y los requisitos reglamentarios aplicables, como la obligación de presentar informes de la función de auditoría interna del proveedor de servicios.

Publicamos novedades en cuanto a la disponibilidad de los servicios en status.atlassian.com y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

(k) Si el proveedor de servicios debe contratar un seguro obligatorio frente a ciertos riesgos y, en su caso, el nivel de cobertura requerido.

Atlassian cuenta con coberturas de seguro contra una serie de riesgos identificados de acuerdo con la legislación aplicable a nuestro negocio.

(l) Los requisitos para poner en práctica y poner a prueba planes de contingencia empresarial.

Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center. Estos planes se revisan y prueban al menos una vez al año.

(m) Las disposiciones que garantizan que se pueda acceder a los datos que sean propiedad de la entidad o la entidad de pago en caso de insolvencia, resolución o cese de las operaciones comerciales del proveedor de servicios.

Permitimos a los clientes acceder a sus datos y exportarlos durante la vigencia del contrato.

En caso de insolvencia de Atlassian, ninguno de estos compromisos deja de aplicarse ni tenemos derecho a rescindir el contrato, aunque los clientes sí tienen la opción de hacerlo.

En el improbable caso de insolvencia de Atlassian, los clientes pueden consultar estos compromisos con el administrador concursal designado.

(n) La obligación del proveedor de servicios de cooperar con las autoridades competentes y las autoridades de resolución de la entidad o entidad de pago, incluidas otras personas designadas por estas.

Atlassian colaborará con las autoridades competentes de la entidad y las autoridades de resolución en el ejercicio de sus derechos de auditoría, información y acceso.

(o) En el caso de las entidades, una referencia clara a las competencias de la autoridad de resolución nacional, especialmente a los artículos 68 y 71 de la Directiva 2014/59/UE (BRRD) y, en particular, una descripción de las "obligaciones sustantivas" del contrato en el sentido del artículo 68 de dicha Directiva.

Atlassian entiende que las entidades y cualquier entidad de resolución deben poder desarrollar su actividad durante la resolución. Para ofrecer soporte durante la resolución, nos comprometemos a seguir proporcionando los productos de Cloud cubiertos tal como exige la BRRD.

(p) El derecho sin restricciones de las entidades, entidades de pago y autoridades competentes a inspeccionar y auditar al proveedor de servicios por lo que respecta, en particular, a la función crítica o importante externalizada, tal como se especifica en la sección 13.3 (Derechos de acceso, información y auditoría).

Consulta los comentarios de la sección 13.3 en las filas 40 a 53.

(q) Los derechos de rescisión, tal como se especifica en la sección 13.4 (Derechos de rescisión).

Consulta los comentarios de la sección 13.4 en la fila 56.

Apdo. 76

El acuerdo de externalización debe especificar si se permite o no la externalización de funciones críticas o importantes, o partes significativas de ellas.

Para ofrecer productos globales con interrupciones mínimas, podemos externalizar ciertas funciones críticas o importantes a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos).

Apdo. 77

Si se permite la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben determinar si la parte de la función que se va a externalizar es, como tal, crítica o importante (es decir, una parte significativa de la función crítica o importante) y, de ser así, especificarlo en el registro.

Esta es una consideración del cliente.

Apdo. 78

Si se permite la externalización de funciones críticas o importantes, el acuerdo escrito debe:

(a) Especificar cualquier tipo de actividad que esté excluido de la externalización.

Consulta la fila 22 más arriba.

(b) Especificar las condiciones que deben cumplirse en caso de externalización.

Atlassian notificará cualquier cambio en las externalizaciones de funciones críticas o importantes (o si hay externalizaciones nuevas) y proporcionará información sobre dichas externalizaciones. Si la entidad tiene alguna inquietud sobre estas externalizaciones, podrá rescindir su contrato con nosotros.

(c) Especificar que el proveedor de servicios está obligado a supervisar los servicios que haya externalizado para garantizar el cumplimiento en todo momento de todas las obligaciones contractuales entre el proveedor de servicios y la entidad o la entidad de pago.

Atlassian asume la responsabilidad de su rendimiento general en virtud del contrato de cliente de Atlassian, incluidas las funciones externalizadas. Además, con respecto a las externalizaciones críticas o importantes, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas para otorgar los derechos de auditoría, acceso e información adecuados a las entidades, las autoridades competentes y de resolución y exigir que dichos subcontratistas cumplan con la legislación aplicable.

(d) Especificar la obligación del proveedor de servicios de obtener una autorización previa por escrito, específica o general, de la entidad o la entidad de pago antes de externalizar el tratamiento de datos.

Como parte del cumplimiento del RGPD por parte de Atlassian, en nuestro Anexo sobre el tratamiento de datos (DPA) nos comprometemos a no contratar a ningún encargado del tratamiento de los datos personales subcontratado para procesar los datos personales de los clientes sin su consentimiento previo por escrito.

(e) Incluir la obligación de que el proveedor de servicios informe a la entidad o la entidad de pago de cualquier externalización prevista o de cualquier cambio sustancial de esta, en particular si ello puede afectar a la capacidad del proveedor de servicios de cumplir con sus responsabilidades en virtud del acuerdo de externalización. Esto incluye los cambios significativos previstos de los subcontratistas y del periodo de notificación; en concreto, el periodo de notificación que se establezca debe permitir que la entidad o la entidad de pago que externaliza lleve a cabo, como mínimo, una evaluación del riesgo de los cambios propuestos y pueda oponerse a ellos antes de que se hagan efectivos la externalización o los cambios significativos en la externalización.

Consulta la fila 26 más arriba.

(f) Garantizar, cuando proceda, que la entidad o la entidad de pago tenga derecho a oponerse a la externalización prevista o a los cambios significativos en la externalización, o que sea necesaria una autorización explícita.

Consulta la fila 26 más arriba.

(g) Garantizar que la entidad o la entidad de pago tenga el derecho contractual de rescindir el acuerdo en caso de externalización indebida, por ejemplo, si la externalización aumenta considerablemente los riesgos para la entidad o la entidad de pago o si el proveedor de servicios externaliza sin notificarlo a la entidad o la entidad de pago.

Consulta la fila 26 más arriba.

Apdo. 79

Las entidades y las entidades de pago deben aceptar la externalización solo si el subcontratista se compromete a:

(a) Cumplir todas las leyes, requisitos regulatorios y obligaciones contractuales aplicables.

Consulta la fila 27 más arriba.

(b) Conceder a la entidad, la entidad de pago y la autoridad competente los mismos derechos contractuales de acceso y auditoría que los concedidos por el proveedor de servicios.

Consulta la fila 27 más arriba.

Apdo. 80

Las entidades y entidades de pago deben garantizar que el proveedor de servicios supervise adecuadamente a los subcontratistas, en línea con la política definida por la entidad o la entidad de pago. Si la externalización propuesta pudiera tener efectos adversos significativos sobre el acuerdo de externalización de una función crítica o importante o conllevara un aumento considerable del riesgo, incluso en el caso de que no se cumplieran las condiciones del apartado 79, la entidad o la entidad de pago debería ejercer su derecho a oponerse a la externalización, si se ha acordado tal derecho, o a rescindir el contrato.

Consulta las filas 26 y 27 más arriba.

Apdo. 81

Las entidades y las entidades de pago deben asegurarse de que los proveedores de servicios, cuando proceda, cumplen los estándares de seguridad informática adecuados.

Atlassian se somete periódicamente a una evaluación independiente de nuestros controles de seguridad, privacidad y cumplimiento. Durante la vigencia de nuestro contrato contigo, cumpliremos al menos con los estándares indicados en nuestro Trust Center, que incluyen las certificaciones ISO/IEC 27001 e ISO/IEC 27018 y los informes de auditoría SOC 2 Tipo II y SOC 3:
https://www.atlassian.com/trust/compliance.

Apdo. 82

Cuando proceda (por ejemplo, en el contexto de servicios en la nube u otra externalización TIC), las entidades y las entidades de pago deberán definir los requisitos de seguridad de los datos y sistemas en el acuerdo de externalización y supervisar de forma continua el cumplimiento de estos requisitos.

Dada la naturaleza de uno a varios de nuestros productos de Cloud cubiertos, ofrecemos la misma seguridad robusta para todos nuestros clientes. Estas prácticas de seguridad se describen detalladamente en nuestro Trust Center:
https://www.atlassian.com/trust/

Nos comprometemos a cumplir con las prácticas de seguridad de nuestro Trust Center y a no reducir sustancialmente la seguridad general de nuestros productos de Cloud cubiertos durante el período de suscripción.

Apdo. 83

En el caso de la externalización a proveedores de servicios en la nube y otros acuerdos de externalización que impliquen el tratamiento o la transferencia de datos personales o confidenciales, las entidades y las entidades de pago deben adoptar un enfoque basado en el riesgo en relación con las ubicaciones de almacenamiento y tratamiento de los datos (es decir, país o región) y con las consideraciones relativas a la seguridad de la información.

Esta es una consideración del cliente.

Apdo. 84

Sin perjuicio de los requisitos establecidos en el Reglamento (UE) 2016/679, las entidades y las entidades de pago, al externalizar (en particular a terceros países), deben tener en cuenta las diferencias en las disposiciones nacionales en materia de protección de datos. Las entidades y las entidades de pago deben asegurarse de que el acuerdo de externalización incluya la obligación de que el proveedor de servicios proteja la información confidencial, personal o cualquier otro tipo de información delicada y cumpla todos los requisitos legales en materia de protección de datos aplicables a la entidad o a la entidad pago (por ejemplo, cuando proceda, que se cumplan las normas sobre la protección de datos personales y el secreto bancario u obligaciones de confidencialidad similares que establezca la ley con respecto a la información de los clientes).

Ofrecemos un Anexo sobre el tratamiento de datos en el que detallamos nuestros compromisos con respecto al tratamiento y la seguridad de los datos personales de los clientes. Puedes obtener más información sobre nuestro programa de cumplimiento con el RGPD aquí:

https://www.atlassian.com/trust/compliance/resources/gdpr

Apdo. 85

Las entidades y las entidades de pago deben asegurarse en el acuerdo de externalización escrito que la función de auditoría interna pueda revisar la función externalizada aplicando un enfoque basado en el riesgo.

Atlassian proporciona mecanismos contractuales a las entidades para revisar los productos de Cloud cubiertos de forma continua.

Apdo. 86

Independientemente de lo crítica o importante que sea la función externalizada, los acuerdos de externalización entre las entidades y los proveedores de servicios deben referirse a las facultades de recopilación de información e investigación de las autoridades competentes y de las autoridades de resolución con arreglo al artículo 63, apartado 1, letra a), de la Directiva 2014/59 /UE y al artículo 65, apartado 3, de la Directiva 2013/36/UE en lo que respecta a los proveedores de servicios ubicados en un Estado miembro, y deben garantizar esos derechos también a los proveedores de servicios ubicados en terceros países.

Atlassian reconoce las facultades de recopilación de información e investigación de las autoridades competentes y las autoridades de resolución en virtud de la legislación pertinente y aplicable de la UE.

Apdo. 87

En lo que respecta a la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben asegurarse, en el acuerdo de externalización escrito, que el proveedor de servicios les conceda a ellas y a sus autoridades competentes, incluidas las autoridades de resolución, y a cualquier otra persona designada por ellas o las autoridades competentes, lo siguiente:

(a) Acceso total a todas las instalaciones comerciales pertinentes (por ejemplo, oficinas centrales y centros de operaciones), incluida toda la gama de dispositivos, sistemas, redes, información y datos pertinentes utilizados para proporcionar la función externalizada, así como la información financiera relacionada, el personal y los auditores externos del proveedor de servicios ("derechos de acceso e información").

(b) Derechos sin restricción de inspección y auditoría en relación con el acuerdo de externalización ("derechos de auditoría") para que puedan supervisar el acuerdo de externalización y garantizar el cumplimiento de todos los requisitos regulatorios y contractuales aplicables.

Atlassian proporciona derechos de auditoría, información y acceso necesarios a todas las entidades que utilizan los productos de Cloud cubiertos, sus autoridades competentes y las personas que designen.

Apdo. 88

En el caso de la externalización de funciones que no son esenciales o importantes, las entidades y las entidades de pago deben garantizar los derechos de acceso y auditoría establecidos en el apartado 87(a), 87(b) y en la sección 13.3 mediante un enfoque basado en el riesgo, teniendo en cuenta la naturaleza de la función externalizada y los riesgos operacionales y de reputación asociados, su escalabilidad, el posible impacto en el desempeño continuo de sus actividades y el periodo contractual. Las entidades y las entidades de pago deben tener en cuenta que las funciones pueden convertirse en críticas o importantes con el transcurso del tiempo.

Consulta la fila 44 más arriba.

Apdo. 89

Las entidades y las entidades de pago deben asegurarse de que el acuerdo de externalización o cualquier otro acuerdo contractual no impida ni limite el ejercicio efectivo de los derechos de acceso y auditoría por su parte, las autoridades competentes o los terceros que hayan designado para ejercer estos derechos.

Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar de manera eficaz los productos de Cloud cubiertos.

Apdo. 90

Las entidades y las entidades de pago deben ejercer sus derechos de acceso y auditoría, determinar la frecuencia de las auditorías y las áreas que se auditarán mediante un enfoque basado en el riesgo y ajustarse a las normas de auditoría nacionales e internacionales pertinentes y comúnmente aceptadas.

Hemos desarrollado un programa de auditoría acorde con esta consideración.

Apdo. 91

Sin perjuicio de su responsabilidad última en relación con los acuerdos de externalización, las entidades y las entidades de pago podrán utilizar:

(a) Auditorías conjuntas organizadas con otros clientes del mismo proveedor de servicios, realizadas por ellos y por dichos clientes o por un tercero designado por ellos, con el fin de utilizar los recursos de auditoría de forma más eficiente y reducir la carga organizativa que suponen, tanto para los clientes como para el proveedor de servicios.

(b) Certificaciones de terceros e informes de auditoría internos o externos facilitados por el proveedor de servicios.

Nuestro programa de auditoría permite a las entidades revisar los productos de Cloud cubiertos mediante auditorías conjuntas o certificaciones de terceros.

Apdo. 92

Para la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben evaluar si las certificaciones e informes de terceros a los que se hace referencia en el apartado 91(b) son adecuados y suficientes para cumplir con sus obligaciones reglamentarias, pero no deben basarse únicamente en dichos informes a lo largo del tiempo.

Esta es una consideración del cliente.

Apdo. 93

Las entidades y las entidades de pago deberán utilizar el método mencionado en el apartado 91(b) únicamente cuando:

(a) Estén satisfechas con el plan de auditoría de la función externalizada.

(b) Se aseguren de que el alcance de la certificación o el informe de auditoría incluye los sistemas (es decir, los procesos, aplicaciones, infraestructura, centros de datos, etc.) y los controles clave identificados por la entidad o la entidad de pago y el cumplimiento de los requisitos legales pertinentes.

(c) Evalúen minuciosamente el contenido de las certificaciones o los informes de auditoría de forma continua y verifiquen que no estén obsoletos.

(d) Se aseguren que los sistemas y controles clave estén incluidos en futuras versiones de la certificación o informe de auditoría.

(e) Estén satisfechas con la aptitud de la parte certificadora o auditora (por ejemplo, con respecto a la rotación de la empresa certificadora o auditora, sus cualificaciones, experiencia o repetición/verificación de las pruebas del expediente de auditoría subyacente).

(f) Estén de acuerdo con que las certificaciones se expidan y las auditorías se lleven a cabo siguiendo los estándares profesionales pertinentes generalmente aceptados e incluyan una prueba de la eficacia operativa de los controles clave establecidos.

(g) Dispongan del derecho contractual de solicitar una ampliación del alcance de las certificaciones o los informes de auditoría para que incluyan otros sistemas y controles pertinentes; el número y la frecuencia de dichas solicitudes de modificación del alcance deben ser razonables y lícitos desde el punto de vista de la gestión de riesgos.

(h) Conserven el derecho contractual de realizar auditorías individuales a su discreción con respecto a la externalización de funciones críticas o importantes.

Los subapartados de (a) a (f) son consideraciones del cliente. Con respecto al subapartado (g), proporcionamos a las entidades un mecanismo contractual para solicitar modificaciones en nuestros controles y procesos de auditoría. El apartado (h) se trata en la fila 44 de más arriba.

Apdo. 94

De conformidad con las Directrices de la ABE sobre la evaluación de riesgos de las TIC en el marco del proceso de revisión y evaluación supervisora (PRES), las entidades deben asegurarse, cuando proceda, de que pueden llevar a cabo pruebas de penetración de seguridad para evaluar la eficacia de las medidas y procesos implementados de ciberseguridad y seguridad tecnológica interna de las TIC. Teniendo en cuenta el título I, las entidades de pago también deben disponer de mecanismos internos de control de las TIC, incluidas medidas de mitigación y control de la seguridad de las TIC.

Atlassian ofrece a los clientes el derecho de realizar pruebas de penetración en cualquier momento sin la aprobación previa de Atlassian: https://www.atlassian.com/trust/security/security-testing.

Apdo. 95

Antes de realizar una visita in situ planificada, las entidades, las entidades de pago, las autoridades competentes y los auditores o terceros que actúen en nombre de la entidad, la entidad de pago o las autoridades competentes deben avisar al proveedor de servicios con una antelación razonable, a menos que no sea posible debido a una emergencia o situación de crisis o porque provocaría una situación en la que la auditoría dejaría de ser eficaz.

Nuestro programa de auditoría está diseñado teniendo esto en cuenta.

Apdo. 96

Al realizar auditorías en entornos de varios clientes, se deben tomar precauciones para evitar o mitigar los riesgos para el entorno de otro cliente (por ejemplo, que los niveles de servicio, la disponibilidad de datos o aspectos relacionados con la confidencialidad no se vean afectados).

Es sumamente importante para Atlassian y para nuestros clientes que lo que hagamos con un cliente no ponga en riesgo a otro. Esto es aplicable tanto cuando haces una auditoría como cuando la hace otro cliente. Cuando una entidad hace una auditoría, colaboramos con ella para minimizar las molestias al resto de nuestros clientes. Del mismo modo, colaboramos con cualquier cliente que esté haciendo una auditoría para evitar problemas a dicha entidad. En concreto, aplicamos el máximo cuidado para cumplir con nuestros compromisos de seguridad en todo momento.

Apdo. 97

Cuando el acuerdo de externalización conlleve un alto nivel de complejidad técnica, por ejemplo, en el caso de la externalización de servicios en la nube, la entidad o la entidad de pago debe verificar que quien realiza la auditoría (ya sean auditores internos, los auditores de la auditoría conjunta o auditores externos que actúan en su nombre) tiene las habilidades y los conocimientos adecuados y pertinentes para llevar a cabo de manera efectiva las auditorías o las evaluaciones correspondientes. Esto es igualmente aplicable a todo el personal de la entidad o la entidad de pago que revise las certificaciones o auditorías de terceros realizadas por proveedores de servicios.

Se trata de una responsabilidad del cliente.

Apdo. 98

El acuerdo de externalización debe permitir expresamente a la entidad o a la entidad de pago rescindir el acuerdo, de conformidad con la legislación aplicable, incluyendo las situaciones siguientes:

(a) Cuando el proveedor de las funciones externalizadas infrinja las disposiciones legales, regulatorias o contractuales aplicables.

(b) Cuando se detecten impedimentos que puedan alterar el desempeño de la función externalizada.

(c) Cuando haya cambios significativos que afecten al acuerdo de externalización o al proveedor de servicios (por ejemplo, cambios en la externalización o los subcontratistas).

(d) Cuando existan deficiencias en cuanto a la gestión y seguridad de datos o información confidenciales, personales o delicados.

(e) Cuando la autoridad competente de la entidad o la entidad de pago así lo establezca, por ejemplo, en caso de que la autoridad competente, como consecuencia del acuerdo de externalización, ya no esté en condiciones de supervisar eficazmente a la entidad o la entidad de pago.

Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia descrita en la sección 13.4 de las Directrices de la ABE.

Apdo. 99

El acuerdo de externalización debe:

(a) Estipular claramente las obligaciones del proveedor de servicios existente, en caso de transferencia de la función externalizada a otro proveedor de servicios o de que la recupere la entidad o la entidad de pago, incluido el tratamiento de datos.

Ofrecemos a todos los clientes una función integrada en el producto para que, durante la vigencia de su contrato, puedan exportar sus datos en cualquier momento y sin necesidad de asistencia por nuestra parte.

(b) Establecer un periodo de transición adecuado durante el cual el proveedor de servicios, tras la rescisión del acuerdo de externalización, seguirá proporcionando la función externalizada para reducir el riesgo de interrupciones.

Si una entidad lo requiere, puede ampliar su periodo de suscripción por un breve periodo de tiempo para permitir la transición a otro proveedor de servicios.

(c) Incluir la obligación de que el proveedor de servicios ofrezca soporte a la entidad o la entidad de pago en la transferencia ordenada de la función en caso de rescisión del acuerdo de externalización.

Consulta las filas 58 y 59 de más arriba.