Linee guida dell'ABE

Paragrafo 74

I diritti e gli obblighi dell'ente, dell'istituto di pagamento e del fornitore di servizi devono essere chiaramente distribuiti e specificati in un accordo scritto.

Generalmente disciplinati dal contratto con il cliente Atlassian.

Paragrafo 75

L'accordo di esternalizzazione per funzioni essenziali o importanti dovrebbe contenere almeno:

(a) una descrizione chiara della funzione esternalizzata da fornire;

La nostra Documentazione, inclusa come riferimento nel contratto con il cliente Atlassian per i clienti idonei, contiene descrizioni chiare dei Prodotti Cloud interessati.

(b) la data di inizio e la data di fine, se applicabile, del contratto e i termini di preavviso per il fornitore di servizi e l'ente o l'istituto di pagamento;

Il contratto con il cliente Atlassian stabilisce la durata predefinita di un periodo di abbonamento e tutti i termini di preavviso applicabili. Inoltre, quando effettui un ordine per uno o più Prodotti Cloud interessati, questo conterrà la data di inizio e di fine del periodo di abbonamento corrispondente.

(c) la legge che disciplina l'accordo;

La legge predefinita che disciplina il contratto con il cliente Atlassian è la legge della California. Contatta il nostro team per le vendite Enterprise per maggiori dettagli.

(d) gli obblighi finanziari delle parti coinvolte;

I prezzi per ciascuno dei Prodotti Cloud interessati sono disponibili su www.atlassian.com

(e) se è consentita la sub-esternalizzazione di una funzione essenziale o importante oppure di parti materiali della stessa e, in caso affermativo, le condizioni specificate nella Sezione 13.1 (Sub-esternalizzazione di funzioni essenziali e importanti) a cui è soggetta la sub-esternalizzazione;

Fai riferimento ai commenti sulla Sezione 13.1 alle righe 21-36.

(f) il luogo o i luoghi (ad es. regioni o paesi) in cui verrà fornita la funzione essenziale o importante e/o dove saranno conservati e trattati i dati pertinenti, incluso l'eventuale luogo di archiviazione e le condizioni da soddisfare, nonché l'obbligo di informare l'ente o l'istituto di pagamento se il fornitore di servizi propone di modificare il luogo o i luoghi;

Determinati Prodotti Cloud interessati includono funzionalità di residenza dei dati all'interno del prodotto, come descritto in dettaglio qui, che consentono agli amministratori dei clienti di conservare i dati di prodotto inclusi nell'ambito in una posizione di loro scelta. Questa pagina descrive la nostra infrastruttura di hosting del cloud.

Ci impegniamo contrattualmente a (a) non ridurre sostanzialmente la qualità delle funzionalità dei prodotti durante il periodo di abbonamento applicabile e a (b) informare i clienti di eventuali modifiche alle nostre sedi di hosting dei dati.

(g) ove opportuno, le disposizioni relative all'accessibilità, alla disponibilità, all'integrità, alla riservatezza e alla sicurezza dei dati pertinenti, come specificato nella Sezione 13.2 (Sicurezza dei dati e dei sistemi);

Fai riferimento ai commenti sulla Sezione 13.2 alle righe 36-39.

(h) il diritto dell'ente o dell'istituto di pagamento di monitorare le prestazioni del fornitore di servizi su base continuativa;

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

(i) i livelli di servizio concordati, che dovrebbero comprendere precisi obiettivi prestazionali quantitativi e qualitativi per la funzione esternalizzata per consentire un monitoraggio tempestivo, in modo tale da poter adottare senza indebito ritardo le opportune azioni correttive qualora i livelli di servizio concordati non vengano soddisfatti;

I termini dei livelli di servizio corrispondenti, nonché i rimedi per il mancato rispetto dei livelli di servizio, per i Prodotti Cloud interessati sono illustrati nel nostro Accordo sui livelli di servizio e nei Termini specifici di prodotto corrispondenti.

(j) gli obblighi di segnalazione del fornitore di servizi all'ente o all'istituto di pagamento, compresa la comunicazione da parte del fornitore di servizi di qualsiasi sviluppo che possa avere un impatto significativo sulla capacità del fornitore di servizi di svolgere efficacemente la funzione essenziale o importante in conformità ai livelli di servizio concordati e nel rispetto delle leggi e dei requisiti normativi applicabili e, ove opportuno, gli obblighi di inviare report sulla funzione di audit interno del fornitore di servizi;

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

(k) se il fornitore di servizi debba stipulare un'assicurazione obbligatoria contro determinati rischi e, ove opportuno, il livello di copertura assicurativa richiesto;

Atlassian mantiene coperture assicurative per una serie di rischi identificati, nel rispetto delle Leggi applicabili alla nostra azienda.

(l) i requisiti per l'attuazione e il collaudo dei piani di emergenza aziendale;

Manteniamo piani di continuità aziendale e ripristino di emergenza, come descritto nel nostro Trust Center. Questi piani vengono controllati e testati almeno una volta all'anno.

(m) le disposizioni che garantiscono che i dati di proprietà dell'ente o dell'istituto di pagamento sono accessibili in caso di insolvenza, risoluzione o cessazione delle operazioni aziendali del fornitore di servizi;

Consentiamo al cliente di accedere ai suoi dati e di poterli esportare per tutta la durata del nostro contratto.

Nessuno di questi impegni viene meno in caso di insolvenza da parte di Atlassian. Atlassian non ha inoltre il diritto di recedere per insolvenza, ma il cliente può richiedere il recesso libero in questo scenario.

Nell'improbabile eventualità di insolvenza da parte di Atlassian, il cliente può fare riferimento a questi impegni quando tratta con l'amministratore delle procedure di insolvenza designato.

(n) l'obbligo del fornitore di servizi di cooperare con le autorità competenti e le autorità di risoluzione dell'ente o dell'istituto di pagamento, comprese le altre persone da essi designate;

Atlassian collaborerà con le autorità competenti e le autorità di risoluzione dell'istituto nell'esercizio dei loro diritti di audit, informazione e accesso.

(o) per gli enti, un riferimento chiaro ai poteri dell'autorità nazionale di risoluzione, specialmente agli Articoli 68 e 71 della Direttiva 2014/59/UE (BRRD), e in particolare una descrizione degli "obblighi sostanziali" del contratto ai sensi dell'Articolo 68 di tale Direttiva;

Atlassian comprende che gli istituti e qualsiasi entità di risoluzione devono essere in grado di svolgere le proprie attività durante la risoluzione. Per fornire supporto attraverso la risoluzione, ci impegniamo a continuare a fornire i Prodotti Cloud interessati durante la risoluzione, come richiesto dalla direttiva BRRD.

(p) il diritto illimitato degli enti, degli istituti di pagamento e delle autorità competenti di analizzare e controllare il fornitore di servizi in riferimento, in particolare, alla funzione esternalizzata essenziale o importante, come specificato nella Sezione 13.3 (Diritti di accesso, informazione e audit);

Fai riferimento ai commenti sulla Sezione 13.3 alle righe 40-53.

(q) i diritti di cessazione, come specificato nella Sezione 13.4 (Diritti di cessazione).

Fai riferimento ai commenti sulla Sezione 13.4 alla riga 56.

Paragrafo 76

L'accordo di esternalizzazione dovrebbe specificare se è consentita o meno la sub-esternalizzazione di funzioni essenziali o importanti, o di parti materiali di esse

Allo scopo di fornire prodotti globali riducendo al minimo le interruzioni, potremmo sub-esternalizzare alcune funzioni essenziali o importanti a fornitori di servizi di alta qualità (ad es., fornitori di hosting di dati).

Paragrafo 77

Se è consentita la sub-esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero stabilire se la parte della funzione da sub-esternalizzare sia, in quanto tale, essenziale o importante (ossia una parte materiale della funzione essenziale o importante) e, in caso affermativo, indicarlo nel registro

Questa è una considerazione del cliente.

Paragrafo 78

Se è consentita la sub-esternalizzazione di funzioni essenziali o importanti, l'accordo scritto dovrebbe:

(a) specificare i tipi di attività che sono esclusi dalla sub-esternalizzazione;

Vedi la riga 22 sopra.

(b) specificare le condizioni da rispettare in caso di sub-esternalizzazione;

Atlassian comunicherà eventuali modifiche alle sub-esternalizzazioni o nuove sub-esternalizzazioni di funzioni essenziali o importanti e fornirà informazioni su tali sub-esternalizzazioni. L'istituto che nutra delle preoccupazioni su tali sub-esternalizzazioni può cessare il suo contratto con noi.

(c) specificare che il fornitore di servizi è tenuto a supervisionare i servizi che ha subappaltato per garantire che tutti gli obblighi contrattuali tra il fornitore di servizi e l'ente o l'istituto di pagamento siano sempre soddisfatti;

Atlassian rimane responsabile delle sue prestazioni complessive, ai sensi del contratto con il cliente Atlassian, anche per le funzioni sub-esternalizzate. Inoltre, per quanto riguarda la sub-esternalizzazione di funzioni essenziali o importanti, Atlassian si impegna a stipulare contratti appropriati con i subappaltatori, che concedono adeguati diritti di audit, accesso e informazione agli istituti e alle relative autorità competenti e di risoluzione e richiedono a questi di rispettare tutte le leggi applicabili.

(d) richiedere al fornitore di servizi di ottenere la previa autorizzazione scritta specifica o generale dall'ente o dall'istituto di pagamento prima di sub-esternalizzare i dati;

Nell'ambito della nostra conformità al GDPR, nel nostro DPA, ci impegniamo a non coinvolgere i subappaltatori nel trattamento dei dati personali del cliente senza il previo consenso scritto dello stesso.

(e) includere l'obbligo per il fornitore di servizi di informare l'ente o l'istituto di pagamento di eventuali sub-esternalizzazioni programmate o di modifiche sostanziali alle stesse, in particolare qualora ciò possa influire sulla capacità del fornitore di servizi di adempiere alle proprie responsabilità ai sensi dell'accordo di esternalizzazione. Ciò include modifiche significative programmate dei subappaltatori e modifiche al periodo di notifica; in particolare, il periodo di notifica da fissare dovrebbe consentire all'istituto di esternalizzazione o all'istituto di pagamento di effettuare almeno una valutazione del rischio delle modifiche proposte e di potersi opporre a esse prima che la sub-esternalizzazione programmata o le modifiche sostanziali della stessa vengano messe in atto;

Vedi la riga 26 sopra.

(f) garantire, ove opportuno, che l'ente o l'istituto di pagamento abbiano il diritto di opporsi alla sub-esternalizzazione prevista o a modifiche sostanziali della stessa, o che venga richiesta l'approvazione esplicita;

Vedi la riga 26 sopra.

(g) garantire che l'ente o l'istituto di pagamento abbiano il diritto contrattuale di cessare il contratto in caso di sub-esternalizzazione indebita, ad es. quando la sub-esternalizzazione aumenta in misura rilevante i rischi per l'ente o l'istituto di pagamento o quando il fornitore di servizi ricorre alla sub-esternalizzazione senza comunicarlo all'ente o all'istituto di pagamento.

Vedi la riga 26 sopra.

Paragrafo 79

Gli enti e gli istituti di pagamento dovrebbero acconsentire alla sub-esternalizzazione solo se il subappaltatore si impegna a:

(a) rispettare tutte le leggi, i requisiti normativi e gli obblighi contrattuali applicabili; e

Vedi la riga 27 sopra.

(b) concedere all'ente, all'istituto di pagamento e all'autorità competente gli stessi diritti contrattuali di accesso e audit riconosciuti per il fornitore di servizi.

Vedi la riga 27 sopra.

Paragrafo 80

Gli enti e gli istituti di pagamento dovrebbero assicurare che il fornitore di servizi supervisioni adeguatamente i fornitori di sottoservizi, in conformità alla policy definita dall'ente o dall'istituto di pagamento. Se la sub-esternalizzazione proposta potrebbe avere effetti negativi rilevanti sull'accordo di esternalizzazione di una funzione essenziale o importante o comporterebbe un aumento sostanziale del rischio, anche nel caso in cui le condizioni di cui al paragrafo 79 non fossero soddisfatte, l'ente o l'istituto di pagamento dovrebbe esercitare il diritto di opporsi alla sub-esternalizzazione, se tale diritto è stato concesso, e/o cessare il contratto.

Vedi le righe 26 e 27 sopra.

Paragrafo 81

Gli enti e gli istituti di pagamento dovrebbero garantire che i fornitori di servizi, ove opportuno, rispettino gli standard di sicurezza IT appropriati

Atlassian viene sottoposta regolarmente a un'analisi indipendente dei controlli di sicurezza, privacy e conformità. Nel corso della durata del contratto che abbiamo stipulato con te, rispetteremo come requisito minimo gli standard indicati nel nostro Trust Center, tra cui le certificazioni ISO/IEC 27001 e ISO/IEC 27018 e i report di audit SOC 2 Type II e SOC 3:
https://www.atlassian.com/trust/compliance

Paragrafo 82

Ove opportuno (ad esempio nel contesto dell'esternalizzazione del cloud o di altre TIC), gli enti e gli istituti di pagamento dovrebbero definire i requisiti di sicurezza dei dati e dei sistemi nell'ambito dell'accordo di esternalizzazione e dovrebbero monitorare la conformità a tali requisiti su base continuativa.

Considerata la natura uno-a-molti dei nostri Prodotti Cloud interessati, offriamo la stessa solida sicurezza a tutti i nostri clienti. Queste pratiche di sicurezza sono descritte in dettaglio nel nostro Trust Center:
https://www.atlassian.com/trust/

Ci impegniamo a rispettare le pratiche di sicurezza del nostro Trust Center e a non ridurre sostanzialmente la sicurezza complessiva dei nostri Prodotti Cloud interessati durante il periodo di abbonamento.

Paragrafo 83

In caso di esternalizzazione a fornitori di servizi cloud e di altri accordi di esternalizzazione che comportano il trattamento o il trasferimento di dati personali o riservati, gli enti e gli istituti di pagamento dovrebbero adottare un approccio basato sul rischio per l'archiviazione dei dati e i luoghi del loro trattamento (ad es. paese o regione) e per le considerazioni sulla sicurezza delle informazioni.

Questa è una considerazione del cliente.

Paragrafo 84

Fatti salvi i requisiti di cui al Regolamento (UE) 2016/679, gli enti e gli istituti di pagamento, in caso di esternalizzazione (in particolare a paesi terzi), dovrebbero tener conto delle differenze tra le disposizioni nazionali in materia di protezione dei dati. Gli enti e gli istituti di pagamento dovrebbero garantire che l'accordo di esternalizzazione includa l'obbligo che il fornitore di servizi protegga le informazioni riservate, personali o altrimenti sensibili e rispetti tutti i requisiti legali in materia di protezione dei dati che si applicano all'ente o all'istituto di pagamento (ad es., la protezione dei dati personali e il rispetto del segreto bancario o di obblighi di riservatezza legale simili in relazione alle informazioni dei clienti, ove applicabili).

Nella nostra Appendice sul trattamento dei dati sono indicati gli impegni specifici in merito al trattamento e alla sicurezza dei dati personali dei clienti. Ulteriori informazioni sul nostro programma di conformità al GDPR sono disponibili qui:

https://www.atlassian.com/trust/compliance/resources/gdpr

Paragrafo 85

Gli enti e gli istituti di pagamento dovrebbero garantire, nell'ambito dell'accordo scritto di esternalizzazione, che la funzione di audit interno sia in grado di controllare la funzione esternalizzata utilizzando un approccio basato sul rischio.

Atlassian fornisce agli enti appositi meccanismi contrattuali per controllare i Prodotti Cloud interessati su base continuativa.

Paragrafo 86

Indipendentemente dall'essenzialità o dall'importanza della funzione esternalizzata, gli accordi scritti di esternalizzazione tra enti e fornitori di servizi dovrebbero fare riferimento ai poteri di raccolta delle informazioni e di indagine delle autorità competenti e delle autorità di risoluzione di cui all'Articolo 63(1)(a) della Direttiva 2014/59/UE e all'Articolo 65(3) della Direttiva 2013/36/UE in relazione ai fornitori di servizi che si trovano in uno Stato membro e dovrebbero inoltre garantire tali diritti in relazione ai fornitori di servizi che si trovano in paesi terzi.

Atlassian riconosce i poteri di raccolta delle informazioni e di indagine delle autorità competenti e delle autorità di risoluzione ai sensi della legislazione UE pertinente e applicabile.

Paragrafo 87

In merito all'esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero garantire, nell'ambito dell'accordo scritto di esternalizzazione, che il fornitore di servizi conceda a loro e alle rispettive autorità competenti, comprese le autorità di risoluzione, e a qualsiasi altra persona da essi designata o autorità competente, quanto segue:

(a) l'accesso completo a tutti i locali commerciali pertinenti (ad es., sedi centrali e centri operativi), nonché all'intera gamma di dispositivi, sistemi, reti, informazioni e dati pertinenti utilizzati per fornire la funzione esternalizzata, comprese le relative informazioni finanziarie, il personale e i revisori esterni del fornitore di servizi ("diritti di accesso e informazione"); e

(b) i diritti illimitati di ispezione e audit relativi all'accordo di esternalizzazione ("diritti di audit"), per consentire loro di monitorare l'accordo di esternalizzazione e garantire la conformità a tutti i requisiti normativi e contrattuali applicabili.

Per tutti gli enti che utilizzano i Prodotti Cloud interessati, Atlassian fornisce agli enti, alle loro autorità competenti e alle persone da essi designate i diritti di audit, informazioni e accesso necessari.

Paragrafo 88

Per l'esternalizzazione di funzioni che non sono essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero garantire i diritti di accesso e di audit di cui al paragrafo 87(a) e (b) e alla Sezione 13.3, secondo un approccio basato sul rischio, considerando la natura della funzione esternalizzata e i relativi rischi operativi e reputazionali, la sua scalabilità, l'impatto potenziale sullo svolgimento continuativo delle proprie attività e il periodo contrattuale. Gli enti e gli istituti di pagamento dovrebbero tener conto del fatto che le funzioni possono diventare essenziali o importanti nel tempo.

Vedi la riga 44 sopra.

Paragrafo 89

Gli enti e gli istituti di pagamento dovrebbero garantire che l'accordo di esternalizzazione o qualsiasi altro accordo contrattuale non ostacoli o limiti l'esercizio effettivo dei diritti di accesso e di audit da parte loro, delle autorità competenti o di terze parti da essi designate per l'esercizio di tali diritti.

Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità competenti di controllare in modo efficace i Prodotti Cloud interessati.

Paragrafo 90

Gli enti e gli istituti di pagamento dovrebbero esercitare i propri diritti di accesso e di audit, determinare la frequenza e i settori da sottoporre all'audit secondo un approccio basato sul rischio e aderire agli standard di audit nazionali e internazionali pertinenti comunemente accettati.

Abbiamo sviluppato un programma di audit coerente con questa considerazione.

Paragrafo 91

Fatta salva la loro responsabilità finale in merito agli accordi di esternalizzazione, gli enti e gli istituti di pagamento possono utilizzare:

(a) audit collettivi organizzati congiuntamente con altri clienti dello stesso fornitore di servizi ed eseguiti da loro e da questi clienti o da terze parti da essi designate per utilizzare le risorse di audit in modo più efficiente e ridurre l'onere organizzativo sia per i clienti che per il fornitore di servizi;

(b) certificazioni di terze parti e report di audit interno o di terze parti, messi a disposizione dal fornitore di servizi.

Il nostro programma di audit consente agli enti di controllare i Prodotti Cloud interessati utilizzando audit collettivi e/o certificazioni di terze parti.

Paragrafo 92

Per l'esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero valutare se le certificazioni e i report di terze parti di cui al paragrafo 91(b) siano adeguati e sufficienti per ottemperare ai loro obblighi normativi e non dovrebbero basarsi unicamente su questi report nel tempo.

Questa è una considerazione del cliente.

Paragrafo 93

Gli enti e gli istituti di pagamento dovrebbero utilizzare il metodo di cui al paragrafo 91(b) solo se:

(a) sono soddisfatti del piano di audit per la funzione esternalizzata;

(b) garantiscono che l'ambito della certificazione o del report di audit copre i sistemi (ad es. processi, applicazioni, infrastrutture, centri dati ecc.) e i controlli chiave individuati dall'ente o dall'istituto di pagamento e la conformità ai requisiti normativi pertinenti;

(c) valutano attentamente il contenuto delle certificazioni o dei report di audit su base continuativa e verificano che tali report o certificazioni non siano obsoleti;

(d) garantiscono che i sistemi e i controlli chiave siano contemplati nelle versioni future della certificazione o del report di audit;

(e) sono soddisfatti di chi si occupa della certificazione o dell'audit (ad es. per quanto riguarda la rotazione della società di certificazione o di audit, le qualifiche, la competenza e la riesecuzione/verifica delle prove contenute nel file di audit sottostante);

(f) sono certi che le certificazioni siano rilasciate e che gli audit vengano eseguiti sulla base di standard professionali pertinenti ampiamente riconosciuti e che includano un test dell'efficacia operativa dei controlli chiave in atto;

(g) hanno il diritto contrattuale di richiedere l'estensione dell'ambito delle certificazioni o dei report di audit ad altri sistemi e controlli pertinenti; il numero e la frequenza di tali richieste di modifica dell'ambito dovrebbero essere ragionevoli e legittimi dal punto di vista della gestione del rischio; e

(h) conservano il diritto contrattuale di eseguire a propria discrezione audit individuali in relazione all'esternalizzazione di funzioni essenziali o importanti.

I commi da (a) a (f) sono considerazioni del cliente. Per quanto riguarda il comma (g), forniamo agli enti un meccanismo contrattuale per richiedere modifiche ai nostri controlli e processi di audit. Il comma (h) è indicato nella riga 44 sopra.

Paragrafo 94

In conformità alle Linee guida dell'ABE sulla valutazione del rischio delle TIC ai sensi dello SREP, gli enti dovrebbero, ove opportuno, garantire di essere in grado di effettuare test di penetrazione della sicurezza per valutare l'efficacia delle misure e dei processi di sicurezza interna delle TIC e di quella informatica attuati. Considerando il Titolo I, gli istituti di pagamento dovrebbero inoltre disporre di meccanismi di controllo delle TIC interni, come il controllo della sicurezza delle TIC e le misure di mitigazione.

Atlassian offre ai clienti il diritto di effettuare test di penetrazione in qualsiasi momento senza la previa approvazione di Atlassian: https://www.atlassian.com/trust/security/security-testing

Paragrafo 95

Prima di una visita in loco programmata, gli enti, gli istituti di pagamento, le autorità competenti e i revisori o le terze parti che agiscono per conto dell'ente, dell'istituto di pagamento o delle autorità competenti dovrebbero fornire un preavviso ragionevole al fornitore di servizi, a meno che ciò non sia possibile a causa di un'emergenza o di una situazione di crisi o nel caso in cui farlo porterebbe a una situazione in cui l'audit non sarebbe più efficace.

Il nostro programma di audit è stato progettato su misura per questa considerazione.

Paragrafo 96

Quando vengono eseguiti audit in ambienti multi-client, è necessario prestare attenzione per garantire che i rischi per l'ambiente di un altro cliente (ad es. l'impatto sui livelli di servizio, la disponibilità dei dati o aspetti relativi alla riservatezza) vengano evitati o mitigati.

È estremamente importante per Atlassian e per i suoi clienti che ciò che facciamo con un cliente non comporti un rischio per altri clienti. Questo discorso è valido nei casi in cui viene eseguito un audit, ma anche quando un altro cliente esegue un audit. Quando un ente esegue un audit, collaboreremo con quest'ultimo per ridurre al minimo le interruzioni per gli altri nostri clienti. Allo stesso modo, lavoreremo con un altro cliente che esegue un audit per ridurre al minimo le interruzioni per l'ente. In particolare, ci assicureremo di rispettare in ogni momento i nostri impegni in materia di sicurezza.

Paragrafo 97

Qualora l'accordo di esternalizzazione comporti un elevato livello di complessità tecnica, ad esempio nel caso dell'esternalizzazione del cloud, l'ente o l'istituto di pagamento dovrebbero verificare che chiunque esegui l'audit, a prescindere che si tratti di revisori interni, di un insieme di revisori o di revisori esterni che agiscono per loro conto, possieda competenze e conoscenze adeguate e pertinenti per eseguire audit e/o valutazioni pertinenti in modo efficace. Lo stesso discorso si applica al personale dell'ente o dell'istituto di pagamento che controlla le certificazioni di terze parti o gli audit che vengono eseguiti dai fornitori di servizi.

Questa è una responsabilità del cliente.

Paragrafo 98

L'accordo di esternalizzazione dovrebbe concedere espressamente all'ente o all'istituto di pagamento la possibilità di cessare l'accordo, in conformità alla legge applicabile, anche nelle seguenti situazioni:

(a) qualora il fornitore delle funzioni esternalizzate violi la legge, le normative o le disposizioni contrattuali applicabili;

(b) qualora vengano individuati impedimenti in grado di alterare lo svolgimento della funzione esternalizzata;

(c) in caso di modifiche sostanziali che riguardano l'accordo di esternalizzazione o il fornitore di servizi (ad es. sub-esternalizzazione o modifiche di subappaltatori);

(d) in presenza di carenze relative alla gestione e alla sicurezza di dati o informazioni riservati, personali o altrimenti sensibili; e

(e) quando le istruzioni sono impartite dall'autorità competente dell'ente o dell'istituto di pagamento, ad esempio nel caso in cui l'autorità competente, a causa dell'accordo di esternalizzazione, non sia più in grado di supervisionare efficacemente l'ente o l'istituto di pagamento.

Forniamo ai clienti un ampio diritto di recesso libero, che consente loro di cessare il contratto in una qualsiasi delle circostanze elencate nella Sezione 13.4 delle Linee guida dell'ABE.

Paragrafo 99

L'accordo scritto di esternalizzazione dovrebbe:

(a) indicare chiaramente gli obblighi del fornitore di servizi esistente, in caso di trasferimento della funzione esternalizzata a un altro fornitore di servizi o di ritorno all'ente o all'istituto di pagamento, incluso il trattamento dei dati;

Forniamo a tutti i clienti funzionalità interne al prodotto per esportare i loro dati in qualsiasi momento nel corso della durata del contratto senza la nostra assistenza.

(b) fissare un periodo di transizione adeguato durante il quale il fornitore di servizi, dopo la cessazione dell'accordo di esternalizzazione, continuerà a fornire la funzione esternalizzata per ridurre il rischio di interruzioni; e

Se richiesto da un ente, è possibile prorogare la durata dell'abbonamento per un breve periodo per consentirne la transizione verso un altro fornitore di servizi.

(c) includere l'obbligo per il fornitore di servizi di supportare l'ente o l'istituto di pagamento nel trasferimento ordinato della funzione in caso di cessazione del contratto di esternalizzazione.

Vedi le righe 58 e 59 sopra.