BaFin

계약에는 클라우드 서비스 공급자가 이행할 서비스의 내역 및 필요한 경우 설명이 포함되어야 합니다. 해당 내용은 서비스 수준 계약에 명시되어 있어야 합니다. 이와 관련하여 다음 측면도 정의해야 합니다.

자격을 갖춘 고객을 위한 Atlassian 고객 계약에 참조로 통합된 설명서에는 보장하는 Cloud 제품에 대한 명확한 설명이 포함되어 있습니다.

자격을 갖춘 고객은 Atlassian 고객 계약에 따라 Atlassian 지원 서비스를 이용할 수 있습니다.

일반적으로 고객 계약에 명시되어 있습니다.

보장되는 특정 Cloud 제품에는 여기에 자세히 설명된 대로 제품 내 데이터 보존 기능이 포함되어 있습니다. 이에 따라 고객의 관리자는 범위 내 제품 데이터를 원하는 위치에 고정할 수 있습니다. 이 페이지는 Atlassian의 클라우드 호스팅 인프라에 대해 설명합니다.

Atlassian은 계약에 따라 (a) 해당 구독 기간 동안 제품 기능을 크게 저하시키지 않으며 (b) 데이터 호스팅 위치의 변경 사항을 고객에게 알립니다.

Atlassian 고객 계약에는 구독 기간의 기본 기간과 적용 가능한 모든 통지 기간이 명시됩니다. 또한 하나 이상의 보장되는 Cloud 제품을 주문할 때 해당 구독 기간의 시작 날짜 및 종료 날짜를 포함합니다.

보장되는 Cloud 제품에 대한 해당하는 서비스 수준 약관과 서비스 수준을 충족하지 않는 경우의 해결 방법은 서비스 수준 계약 및 해당 제품별 약관에 있습니다.

Atlassian은 https://status.atlassian.com/에 서비스 가용성 업데이트 항목을 게시하고, 계약에 따라 보장되는 Cloud 제품의 가용성에 중대한 영향을 미치는 이벤트를 고객에게 알립니다.

감독 대상 회사의 정보 및 감사 권리와 제어 가능성은 계약상의 제한을 받아서는 안 됩니다. 감독 대상 회사가 아웃소싱과 관련한 위험을 적절히 관리하고 모니터링하는 데 필요한 정보를 받을 수 있도록 보장해야 합니다.

Atlassian의 감사 프로그램은 자격을 갖춘 고객 및 해당 감독 당국이 보장되는 Cloud 제품을 효과적으로 감사할 수 있도록 지원합니다.

위의 12행을 참조하세요.

위의 12행을 참조하세요.

면책

감독 법률에 따른 적용 가능한 요구 사항에 따라, 감독 대상 회사는 더욱 효율적인 자체 감사 활동을 하기 위해 면책을 요구할 수 있습니다. 해당 면책은 합동 감사 또는 공통 표준에 기반한 문서/인증서의 사용 또는 공인된 타사의 감사 보고서 또는 클라우드 서비스 공급자의 내부 감사 보고서입니다.

이것은 고객의 고려 사항입니다. 위 12행 및 아래 20행도 참조하세요.

합동 감사

25a항, 25b항 KWG를 준수해햐 하는 감독 대상 회사는 Circular 09/2017(BA)('MaRisk' - 위험 관리를 위한 최소 요구 사항)의 면책을 이용할 수 있습니다. MaRisk의 BT 2.1 항목 3에 따라 중요한 아웃소싱의 경우 외부 서비스 공급자가 수행하는 감사 작업이 MaRisk의 AT 4.4 및 BT 2 요구 사항을 충족하면 감독 대상 회사의 내부 감사 기능은 자체 감사 활동을 생략할 수 있습니다. 감독 대상 아웃소싱 회사의 내부 감사 기능은 정기적으로 이러한 조건을 충족해야 합니다. 감독 대상 회사에 관한 감사 결과는 감독 대상 아웃소싱 회사의 내부 감사 기능으로 전달됩니다.

이것은 고객의 고려 사항입니다. 위의 12행도 참조하세요.

이와 관련하여 감사 활동은 클라우드 서비스 공급자의 내부 감사 부서, 감독 대상 아웃소싱 회사를 대신하여 감독 대상 아웃소싱 회사의 하나 이상의 내부 감사 부서(“합동 감사”), 클라우드 서비스 공급자가 지정한 제3자 또는 감독 대상 아웃소싱 회사가 지정한 제3자가 수행할 수 있습니다.

이것은 고객의 고려 사항입니다. 위의 12행도 참조하세요.

다른 감독 대상 회사의 경우 개별 사례에서 합동 감사를 통해 다른 감독 대상 회사와 공동으로 클라우드 서비스 공급자에 대해 특정 정보 및 감사 권리를 행사하는 것이 허용될 수 있습니다.

이것은 고객의 고려 사항입니다. 위의 12행도 참조하세요.

감독 대상 회사가 앞서 언급한 면책 중 하나를 이용할 경우 정보 및 감사 권리을 제한할 수 없습니다.

위의 12행을 참조하세요.

증명/인증서 및 감사 보고서

감독 대상 회사는 일반적으로 공통 표준(예: 국제표준화기구 국제 보안 표준 ISO/IEC 2700X, BSI의 클라우드 컴퓨팅 컴플라이언스 컨트롤 카탈로그(C5 카탈로그), 공인된 타사의 감사 보고서 또는 클라우드 서비스 공급자의 내부 감사 보고서)를 기반으로 문서/인증서를 사용할 수 있습니다. 이와 관련하여 감독 대상 회사는 해당 문서/인증서 및 감사 보고서의 인증자 또는 감사자의 범위, 세부 사항의 깊이, 최신성 및 적합성을 고려해야 합니다.

Atlassian은 정기적으로 보안, 개인정보 보호 및 컴플라이언스 컨트롤에 대한 독립적인 검사를 수행합니다. 계약 기간 동안 Atlassian은 ISO/IEC 27001 및 ISO/IEC 27018 인증과 SOC 2 Type II 및 SOC 3 감사 보고서를 포함하여 Trust Center에 명시된 표준을 준수합니다. https://www.atlassian.com/trust/compliance

그러나 감독 대상 회사는 감사 활동을 수행할 때 여기에만 의존해서는 안 됩니다. 내부 감사 부서가 활동에 이러한 문서/인증서를 사용하는 경우 그 기초가 되는 증거를 조사할 수 있어야 합니다.

이것은 고객의 고려 사항입니다. 위의 12행도 참조하세요.

정보 및 감사 권리와 감독 당국의 제어 가능성은 계약상의 제한을 받아서는 안 됩니다. 감독 당국은 해당 법률이 감독 대상 회사에 대해 규정하는 대로 클라우드 서비스 공급자를 정확히 모니터링할 수 있어야 합니다. 감독 당국은 아웃소싱되는 항목과 관련하여 제한 없이 정보 및 감사 권리와 제어 가능성을 행사할 수 있어야 합니다. 이는 감독 당국이 감사를 수행할 때 이용하도록 허용한 인력에도 적용됩니다.

Atlassian의 감사 프로그램은 자격을 갖춘 고객 및 해당 감독 당국이 보장되는 Cloud 제품을 효과적으로 감사할 수 있도록 지원합니다.

위의 23행을 참조하세요.

권리의 (간접적) 제한 없음

특정 조건에서만 이런 권리를 부여하는 계약의 경우 독일 감동 당국은 정보 및 감사 권리의 허용 불가능한 제한과 제어 가능성이 존재한다고 간주합니다. 반복을 피하기 위해 감독 대상 회사의 권리 제한에 관한 위의 진술을 참조합니다.

위의 23행을 참조하세요.

4. 지시를 내릴 권리

감독 대상 회사가 지시를 내릴 권리를 합의해야 합니다. 지시를 내릴 권리는 합의된 서비스를 수행하는 데 필요한 모든 필수 지침을 내릴 수 있도록 보장합니다(예: 아웃소싱 항목에 영향을 미치고 해당 항목을 규제할 가능성). 기술 구현은 회사의 특정 상황에 따라 개별적으로 구성할 수 있습니다.

Atlassian 고객은 고객 지원 채널을 통해 보장되는 Cloud 제품에 관해 지시(타사 인증 및 감사 보고서 포함)를 내릴 수 있습니다.

감독 대상 회사가 증명/인증 또는 감사 보고서를 사용하는 경우(참고: V.2), 관련 시스템 및 컨트롤을 포함하도록 범위를 확장하려면 증명/인증 또는 감사 보고서의 범위에 영향을 미칠 가능성이 있어야 합니다. 지시를 내리는 횟수와 빈도는 합리적인 수준이어야 합니다.

위의 27행을 참조하세요.

또한, 감독 대상 회사는 클라우드 서비스 공급자에게 데이터 수정, 삭제 및 차단에 대한 지시를 항상 내릴 수 있는 권한을 부여받아야 하며, 클라우드 서비스 공급자는 감독 대상 회사가 내리는 지시와 관련한 상황에서만 데이터를 수집, 처리, 사용할 수 있어야 합니다. 여기에는 클라우드 서비스 공급자가 처리한 데이터를 감독 대상 회사로 즉시, 제한 없이 다시 이전하도록 언제든지 지시를 내릴 가능성도 포함되어야 합니다.

Atlassian은 고객 개인 데이터의 처리 및 보안에 관한 세부 책임이 명시되어 있는 데이터 처리 부록을 제공합니다. GDPR 컴플라이언스 프로그램에 대해 다음에서 자세히 알아볼 수 있습니다.

https://www.atlassian.com/trust/compliance/resources/gdpr

또한 Atlassian은 모든 고객이 Atlassian의 도움 없이 계약 기간 중 언제든지 데이터를 내보낼 수 있는 제품 내 기능을 제공합니다.

감독 대상 회사가 지시를 내릴 권리에 대한 명시적인 합의를 포기할 수 있는 경우 아웃소싱 회사가 제공하는 서비스는 아웃소싱 계약에 명확하게 명시되어야 합니다.

위의 27행을 참조하세요.

데이터 보호 규정 및 기타 보안 요구 사항을 준수하는지 확인하는 조항을 합의해야 합니다.

보장되는 Cloud 제품을 제공하는 한 회사와 여러 고객의 특성을 고려하여 Atlassian은 모든 고객에게 동일하게 강력한 보안을 제공합니다. 이러한 보안 관행은 Trust Center(https://www.atlassian.com/trust/)에 자세히 설명되어 있습니다.

Atlassian은 Trust Center의 보안 관행을 준수하고, 구독 기간 동안 보장되는 Cloud 제품의 전반적인 보안을 크게 저하하지 않기로 약속합니다.

위의 27행 및 29행도 참조하세요.

데이터 스토리지 위치는 감독 대상 회사에 알려야 합니다. 여기에는 데이터 센터의 특정 위치가 포함되어야 합니다. 일반적으로 위치 이름(예: 군 또는 도시)을 제공하면 이러한 목적을 충분히 달성할 수 있습니다. 그러나 감독 대상 회사가 위험 관리를 고려하여 데이터 센터의 정확한 주소를 필요로 하는 경우 클라우드 서비스 공급자는 해당 주소를 제공해야 합니다.

위의 7행을 참조하세요.

또한 한 데이터 센터에 장애가 발생하는 경우 서비스를 유지하도록 데이터 및 시스템의 중복성을 보장해야 합니다.

Atlassian은 Trust Center에 설명된 대로 비즈니스 연속성 계획과 재해 복구 계획을 유지합니다. 해당 계획은 최소 1년에 한 번 검토하고 테스트합니다.

데이터 및 시스템의 보안도 아웃소싱 체인 내에서 보장되어야 합니다.

위의 32행을 참조하세요.

감독 대상 회사는 클라우드 서비스 공급자에 저장된 데이터에 항상 빠르게 액세스하고 필요한 경우 데이터를 다시 이전할 수 있어야 합니다. 이와 관련하여 선택한 재이전 형태가 데이터 사용을 제한하거나 배제하지 않도록 보장해야 합니다. 따라서 플랫폼과 독립적인 표준 데이터 형식을 합의해야 합니다. 여러 시스템의 호환성을 고려해야 합니다.

위의 29행을 참조하세요.

종료 권리와 적절한 종료 통지 기간을 합의해야 합니다. 특히 감독 당국이 계약 종료를 요구하는 경우 정당한 사유로 종료를 허용하는 특별 종료 권리를 합의해야 합니다.

Atlassian은 편의를 위해 고객에게 광범위한 종료 권리를 제공하며, 고객은 어떤 상황에서나 계약을 종료할 수 있습니다.

종료 시 아웃소싱된 항목이 다른 클라우드 서비스 공급자 또는 감독 대상 회사로 완전히 이전될 때까지 클라우드 서비스 공급자가 계속 해당 항목을 제공해야 합니다. 이와 관련하여 클라우드 서비스 공급자는 특히 감독 대상 회사가 아웃소싱된 항목을 다른 클라우드 서비스 공급자 또는 감독 대상 회사로 직접 이전할 때 합리적으로 지원할 것임을 보장해야 합니다.

기관에서 요구하는 경우 다른 서비스 공급자로 전환할 수 있도록 구독 기간을 단기간 연장할 수 있습니다.

아웃소싱된 항목 및 데이터의 이전 유형, 형식 및 품질을 정의해야 합니다. 데이터 형식이 감독 대상 회사의 개별 요구 사항에 맞게 조정된 경우 클라우드 서비스 공급자는 종료 시 이에 따라 조정된 문서를 제공해야 합니다.

관련 정보는 Atlassian의 설명서에서 확인할 수 있습니다.

감독 대상 회사에 데이터를 다시 이전한 후 클라우드 서비스 공급자 측에서 데이터를 완전하고 취소 불가능한 방식으로 삭제하다는 데 합의해야 합니다.

이러한 고려 사항은 데이터 처리 부록에서 확인할 수 있습니다.

계획되거나 계획되지 않은 계약 종료가 발생하는 경우 아웃소싱 영역이 유지되도록 하려면 감독 대상 회사는 비상 전략을 수립하고 타당성을 검토해야 합니다.

이것은 고객의 고려 사항입니다.

감독법의 요건이 계속 충족되도록 보장하는 체인 아웃소싱의 가능성 및 세부 원칙에 관한 조항을 합의해야 합니다. 예를 들어 근본적으로 유사한 의무로만 가정되는 제한은 허용되지 않습니다. 체인 아웃소싱의 경우 특히 정보 및 감사 권리와 감독 대상 아웃소싱 회사 및 감독 당국의 제어 가능성이 하청업체에도 적용되도록 해야 합니다.

중단을 최소화하여 글로벌 제품을 제공하기 위해 Atlassian은 중대한 특정 기능을 고품질 서비스 공급자(예: 데이터 호스팅 공급자)에게 하위 아웃소싱할 수 있습니다. 중대한 하위 아웃소싱과 관련하여 Atlassian은 해당 하위 아웃소싱 업체와 적절한 계약을 체결하여 기관, 감독 당국에 적절한 감사, 액세스 및 정보 권한을 부여하고 이러한 하위 아웃소싱 업체에 모든 관련 법률을 준수할 것을 요구합니다. 위의 12행도 참조하세요.

체인 아웃소싱의 관점에서 아웃소싱 회사의 동의 조건 또는 체인 아웃소싱이 가능하기 위해 충족해야 할 특정 조건이 아웃소싱 계약에 명시되어야 합니다. 아웃소싱된 항목 및/또는 그 일부 중 체인 아웃소싱이 가능한 항목과 불가능한 항목을 정의해야 합니다.

위의 44행을 참조하세요.

감독 대상 회사에게 아웃소싱 항목 및/또는 그 일부를 체인 아웃소싱하기 전에 텍스트 형식으로 통보해야 합니다. 하청업체 및 체인 아웃소싱된 항목 및/또는 그 일부를 감독 대상 회사에 알려야 합니다.

Atlassian은 중대하거나 중요한 기능의 변경 또는 새로운 하위 아웃소싱에 대한 알림을 제공하고 이러한 하위 아웃소싱 관련 정보를 제공합니다. 기관이 이러한 하위 아웃소싱에 대해 우려하는 경우 Atlassian은 해당 기관이 계약을 종료할 수 있도록 허용합니다.

새로운 체인 아웃소싱의 경우 아웃소싱의 위험 상황에 영향을 미치고 결과적으로 아웃소싱 회사에 영향을 미칠 수 있음을 명심해야 합니다. 따라서 새로운 체인 아웃소싱이 발생할 경우 최소한 위험 분석을 검토하거나 반복해야 합니다. 이것은 하청업체가 제공하는 클라우드 서비스의 중대한 변경뿐만 아니라 심각한 결함이 알려지는 경우에도 적용됩니다.

이것은 고객의 고려 사항입니다.

회사는 클라우드 서비스를 클라우드 서비스 공급자가 제공하든 하청업체가 제공하든 관계없이 전체 서비스의 성능을 지속적으로 검토하고 모니터링해야 합니다.

이것은 고객의 고려 사항입니다.

클라우드 서비스 공급자가 아웃소싱된 항목의 질서 있는 성능에 악영향을 미칠 수 있는 개발에 대해 감독 대상 회사에 알릴 수 있도록 보장하는 조항을 합의해야 합니다. 여기에는 클라우드 서비스 제공의 중단을 보고하는 것과 같은 사항이 포함됩니다. 회사가 아웃소싱 항목을 적절히 모니터링할 수 있도록 하는 것이 목적입니다.

Atlassian은 https://status.atlassian.com/에 서비스 가용성 업데이트 항목을 게시하고, 계약에 따라 보장되는 Cloud 제품의 가용성에 중대한 영향을 미치는 이벤트를 고객에게 알립니다.

클라우드 공급자는 제3자의 행위(예: 압류 또는 몰수), 파산 또는 조정 절차, 기타 사건의 결과 등 클라우드 서비스 공급자가 처리할 감독 대상 회사의 데이터 보안에 위험을 초래할 수 있는 상황을 감독 대상 회사에 지체 없이 알려야 합니다.

위의 50행에 명시된 책임 외에도 Atlassian은 데이터 처리 부록에 나와 있는 보안 인시던트에 대해 고객에게 통지합니다.

클라우드 서비스 공급자가 제공할 클라우드 서비스에 변경이 발생하는 경우 클라우드 서비스 공급자는 감독 대상 회사에 미리 적절하게 통보해야 합니다. 서비스 설명 및 이에 대한 변경 사항은 감독 대상 회사에 텍스트 형식으로 제공 및/또는 통보해야 합니다. 감독 대상 회사의 데이터 인도에 대한 요청/요구가 제3자에 의해 이루어지는 경우 법률이 허용하는 범위 내에서 감독 대상 회사에 적절한 정보가 제공되어야 합니다.

Atlassian은 Cloud 제품 로드맵을 게시하여 보장되는 Cloud 제품의 중대한 변경 사항을 고객에게 통지합니다.

또한 법 집행 요청에 대한 가이드라인에 따라서만 타사에 고객 데이터를 제공합니다.

법률 조항의 선택이 합의되고 독일 법률이 준거법으로 합의되지 않은 경우, 유럽연합 또는 유럽 경제 지역 국가의 법률은 어떠한 경우에도 계약을 지배하는 법률로 합의되어야 합니다.

Atlassian 고객 계약의 기본 준거법은 캘리포니아 법입니다. 자세한 내용은 엔터프라이즈 영업팀에 문의하세요.