EBA-richtlijnen
Indelingsgrafiek
De onderstaande grafiek toont elke paragraaf in Sectie 13 (Contractuele fase) van de Richtlijnen inzake outsourcingregelingen van de Europese Bankautoriteit (de 'EBA-richtlijnen'). Om je interne beoordeling te ondersteunen, hebben we beschreven hoe we elk van de overwegingen in de EBA-richtlijnen aanpakken. Het financiële dienstenaanbod van Atlassian omvat in aanmerking komende klanten die de Enterprise-edities van de Gedekte Cloud-producten kopen.
Laatst bijgewerkt in december 2021, [klik hier om de pdf te downloaden]
| Referentie EBA-richtlijnen | Overweging | Atlassian-opmerkingen |
---|---|---|---|
1. | Referentie EBA-richtlijnen 13. Contractuele fase | ||
2. | Referentie EBA-richtlijnen § 74 | Overweging De rechten en plichten van de instelling, de betalingsinstelling en de serviceprovider moeten duidelijk worden toegewezen en vastgelegd in een schriftelijke overeenkomst. | Atlassian-opmerkingen Over het algemeen behandeld in het Atlassian-klantencontract. |
3. | Referentie EBA-richtlijnen § 75 | Overweging De outsourcingsovereenkomst voor kritieke of belangrijke functies moet ten minste het volgende bevatten: | Atlassian Commentary
|
4. | EBA Guidelines Reference
| Overweging
(a) een duidelijke beschrijving van de te verstrekken uitbestede functie; | Atlassian-opmerkingen Onze documentatie, die door middel van verwijzing is opgenomen in het Atlassian-klantencontract voor in aanmerking komende klanten, bevat duidelijke beschrijvingen van de Gedekte Cloud-producten. |
5. | EBA Guidelines Reference
| Overweging
(b) de begin- en einddatum, indien van toepassing, van de overeenkomst en de opzegtermijnen voor de serviceprovider en de instelling of betalingsinstelling; | Atlassian-opmerkingen Het Atlassian-klantencontract bevat de standaardduur van een abonnementstermijn en alle toepasselijke opzegtermijnen. Wanneer je een bestelling plaatst voor een of meer Gedekte Cloud-producten, bevat deze bovendien de begin- en einddatum van je overeenkomstige abonnementstermijn. |
6. | EBA Guidelines Reference
| Overweging
(c) het toepasselijke recht van de overeenkomst; | Atlassian-opmerkingen Het standaardrecht van het Atlassian-klantencontract is het Californische recht. Neem voor meer informatie contact op met ons Enterprise-salesteam. |
7. | EBA Guidelines Reference
| Overweging
(d) de financiële verplichtingen van de partijen; | Atlassian-opmerkingen De prijzen voor elk van de Gedekte Cloud-producten worden gepubliceerd op www.atlassian.com |
8. | EBA Guidelines Reference
| Overweging
(e) of sub-outsourcing van een kritieke of belangrijke functie, of materiële delen daarvan, is toegestaan en, zo ja, de voorwaarden gespecificeerd in paragraaf 13.1 (Sub-outsourcing van kritieke en belangrijke functies) waaraan de sub-outsourcing onderworpen is; | Atlassian-opmerkingen Raadpleeg de opmerkingen over Sectie 13.1 in de rijen 21 tot en met 36. |
9. | EBA Guidelines Reference
| Overweging
(f) de locatie (s) (d.w.z. regio's of landen) waar de kritieke of belangrijke functie zal worden geleverd en/of waar relevante gegevens zullen worden bewaard en verwerkt, met inbegrip van de mogelijke opslaglocatie, en de voorwaarden waaraan moet worden voldaan, met inbegrip van een verplichting om de instelling of betalingsinstelling in kennis te stellen indien de dienstverlener voorstelt de locatie(s) wijzigen; | Atlassian-opmerkingen Bepaalde Gedekte Cloud-producten bevatten functionaliteiten voor het bewaren van gegevens in het product, zoals hier verder beschreven, waarmee beheerders van onze klanten productgegevens binnen de scope kunnen vastzetten op een locatie naar keuze. Op deze pagina is onze cloudhostinginfrastructuur beschreven. |
10. | EBA Guidelines Reference
| Overweging
(g) indien relevant, bepalingen met betrekking tot de toegankelijkheid, beschikbaarheid, integriteit, privacy en veiligheid van relevante gegevens, zoals gespecificeerd in sectie 13.2 (Beveiliging van gegevens en systemen); | Atlassian-opmerkingen Raadpleeg de opmerkingen over sectie 13.2 in de rijen 36 tot en met 39. |
11. | EBA Guidelines Reference
| Overweging
(h) het recht van de instelling of betalingsinstelling om doorlopend toezicht te houden op de prestaties van de serviceprovider; | Atlassian-opmerkingen We publiceren updates over de beschikbaarheid van services op status.atlassian.com en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten. |
12. | EBA Guidelines Reference
| Overweging
(i) de overeengekomen serviceniveaus, die nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen voor de uitbestede functie moeten bevatten, zodat tijdig toezicht kan worden gehouden en zonder onnodige vertraging passende corrigerende maatregelen kunnen worden genomen indien de overeengekomen serviceniveaus niet worden gehaald; | Atlassian-opmerkingen De bijbehorende serviceniveauvoorwaarden, evenals de rechtsmiddelen voor het niet voldoen aan serviceniveaus, voor de Gedekte Cloud-producten zijn opgenomen in onze Service Level Agreement en de bijbehorende productspecifieke voorwaarden. |
13. | EBA Guidelines Reference
| Overweging
(j) de rapportageverplichtingen van de serviceprovider aan de instelling of betalingsinstelling, met inbegrip van de communicatie door de serviceprovider van elke ontwikkeling die een wezenlijke invloed kan hebben op het vermogen van de serviceprovider om de kritieke of belangrijke functie daadwerkelijk te vervullen overeenkomstig de overeengekomen serviceniveaus en in overeenstemming met de toepasselijke wet- en regelgeving en, in voorkomend geval, de verplichtingen om rapporten over de interne auditfunctie van de serviceprovider in te dienen; | Atlassian-opmerkingen We publiceren updates over de beschikbaarheid van services op status.atlassian.com en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten. |
14. | EBA Guidelines Reference
| Overweging
(k) of de serviceprovider een verplichte verzekering moet afsluiten tegen bepaalde risico's en, indien van toepassing, het vereiste niveau van verzekeringsdekking; | Atlassian-opmerkingen Atlassian onderhoudt verzekeringsdekkingen tegen een aantal geïdentificeerde risico's en zoals vereist door wetten die van toepassing zijn op ons bedrijf. |
15. | EBA Guidelines Reference
| Overweging
(l) de vereisten voor de uitvoering en het testen van rampenplannen voor bedrijven; | Atlassian-opmerkingen We handhaven bedrijfscontinuïteitsplannen en plannen voor disaster recovery, zoals beschreven in ons Trust Center. Deze plannen worden minimaal eens per jaar herzien en getest. |
16. | EBA Guidelines Reference
| Overweging
(m) bepalingen die waarborgen dat de gegevens die eigendom zijn van de instelling of betalingsinstelling, toegankelijk zijn in geval van insolventie, afwikkeling of beëindiging van de bedrijfsactiviteiten van de serviceprovider; | Atlassian-opmerkingen We staan de klant toe gegevens gedurende de duur van ons contract te raadplegen en exporteren. |
17. | EBA Guidelines Reference
| Overweging
(n) de verplichting van de serviceprovider om samen te werken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de instelling of betalingsinstelling, met inbegrip van andere door hen aangewezen personen; | Atlassian-opmerkingen Atlassian zal samenwerken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de instelling bij de uitoefening van hun audit-, informatie- en toegangsrechten. |
18. | EBA Guidelines Reference
| Overweging
(o) voor instellingen, een duidelijke verwijzing naar de bevoegdheden van de nationale afwikkelingsautoriteit, met name naar de artikelen 68 en 71 van Richtlijn 2014/59/EU (BRRD), en met name een beschrijving van de 'materiële verplichtingen' van het contract in de zin van artikel 68 van die richtlijn; | Atlassian-opmerkingen Atlassian begrijpt dat instellingen en elke afwikkelingsentiteit tijdens de afwikkeling zaken moeten kunnen doen. Om ondersteuning te bieden via oplossingen verbinden we ons ertoe om de Gedekte Cloud-producten te blijven leveren tijdens de oplossing zoals vereist door de BRRD. |
19. | EBA Guidelines Reference
| Overweging
(p) het onbeperkte recht van instellingen, betalingsinstellingen en bevoegde autoriteiten om de serviceprovider te inspecteren en controleren met betrekking tot met name de kritieke of belangrijke uitbestede functie, zoals gespecificeerd in sectie 13.3 (Toegangs-, informatie- en auditrechten); en | Atlassian-opmerkingen Raadpleeg de opmerkingen over sectie 13.2 in de rijen 40 tot en met 53. |
20. | EBA Guidelines Reference
| Overweging
(q) beëindigingsrechten, zoals gespecificeerd in sectie 13.4 (Beëindigingsrechten). | Atlassian-opmerkingen Raadpleeg de opmerkingen over sectie 13.4 in rij 56. |
21. | Referentie EBA-richtlijnen 13.1 Sub-outsourcing van kritieke of belangrijke functies | ||
22. | Referentie EBA-richtlijnen § 76 | Overweging In de outsourcingsovereenkomst moet worden gespecificeerd of sub-outsourcing van kritieke of belangrijke functies, of materiële delen daarvan, al dan niet is toegestaan | Atlassian-opmerkingen Om wereldwijde producten met minimale onderbrekingen te kunnen leveren, kunnen we bepaalde kritieke of belangrijke functies sub-outsourcen naar hoogwaardige serviceproviders (bijv. datahostingproviders). |
23. | Referentie EBA-richtlijnen § 77 | Overweging Als sub-outsourcing van kritieke of belangrijke functies is toegestaan, moeten instellingen en betalingsinstellingen bepalen of het deel van de functie dat moet worden uitbesteed als zodanig kritisch of belangrijk is (d.w.z. een wezenlijk onderdeel van de kritieke of belangrijke functie) en, zo ja, dit in het register opnemen | Atlassian-opmerkingen Dit is een overweging van de klant. |
24. | Referentie EBA-richtlijnen § 78 | Overweging Als sub-outsourcing van kritieke of belangrijke functies is toegestaan, moet de schriftelijke overeenkomst: | Atlassian Commentary
|
25. | EBA Guidelines Reference
| Overweging
(a) alle soorten activiteiten specificeren die zijn uitgesloten van sub-outsourcing; | Atlassian-opmerkingen Zie rij 22 hierboven. |
26. | EBA Guidelines Reference
| Overweging
(b) de voorwaarden specificeren waaraan moet worden voldaan in het geval van sub-outsourcing; | Atlassian-opmerkingen Atlassian zal kennisgeven van eventuele wijzigingen aan, of van nieuwe, sub-outsourcing van kritieke of belangrijke functies en informatie verstrekken over dergelijke sub-outsourcing. Als er bij de instelling bedenkingen bestaan over dergelijke sub-outsourcing, zullen we de instelling toestaan haar contract met ons te beëindigen. |
27. | EBA Guidelines Reference
| Overweging
(c) specificeren dat de serviceprovider verplicht is toezicht te houden op de diensten die hij heeft uitbesteed om ervoor te zorgen dat voortdurend aan alle contractuele verplichtingen tussen de serviceprovider en de instelling of betalingsinstelling wordt voldaan; | Atlassian-opmerkingen Atlassian blijft verantwoordelijk voor zijn algehele prestaties in het kader van het Atlassian-klantencontract, inclusief voor alle functies die worden uitbesteed. Daarnaast verbindt Atlassian zich met betrekking tot sub-outsourcing er ook toe ervoor te zorgen dat het passende contracten heeft met dergelijke sub-outsourcers, die passende audit-, toegangs- en informatierechten verlenen aan instellingen en hun toezichthoudende autoriteiten, en die dergelijke sub-outsourcers verplichten alle toepasselijke wetgeving na te leven. |
28. | EBA Guidelines Reference
| Overweging
(d) eisen dat de serviceprovider voorafgaande specifieke of algemene schriftelijke toestemming van de instelling of betalingsinstelling verkrijgt voordat gegevens worden uitbesteed; | Atlassian-opmerkingen Als onderdeel van onze naleving van de AVG verbinden we ons er in onze DPA toe geen subverwerkers in te schakelen om persoonlijke gegevens van klanten te verwerken zonder voorafgaande schriftelijke toestemming van een klant. |
29. | EBA Guidelines Reference
| Overweging
(e) een verplichting van de serviceprovider bevatten om de instelling of betalingsinstelling op de hoogte te stellen van geplande sub-outsourcing of wezenlijke wijzigingen daarvan, met name wanneer dit van invloed kan zijn op het vermogen van de serviceprovider om zijn verantwoordelijkheden uit hoofde van de outsourcingsovereenkomst na te komen. Dit omvat geplande belangrijke wijzigingen van onderaannemers en wijzigingen in de kennisgevingsperiode; in het bijzonder moet de vast te stellen kennisgevingsperiode de outsourcingsinstelling of betalingsinstelling in gelegenheid geven ten minste een risicobeoordeling van de voorgestelde wijzigingen uit te voeren en bezwaar te maken tegen wijzigingen voordat de geplande sub-outsourcing of materiële wijzigingen daarvan in werking treden; | Atlassian-opmerkingen Zie rij 26 hierboven. |
30. | EBA Guidelines Reference
| Overweging
(f) er in voorkomend geval voor zorgen dat de instelling of betalingsinstelling het recht heeft bezwaar te maken tegen voorgenomen sub-outsourcing of materiële wijzigingen daarvan, of dat uitdrukkelijke goedkeuring vereist is; | Atlassian-opmerkingen Zie rij 26 hierboven. |
31. | EBA Guidelines Reference
| Overweging
(g) ervoor zorgen dat de instelling of betalingsinstelling het contractuele recht heeft om de overeenkomst te beëindigen in geval van ongerechtvaardigde uitbesteding, bijv. wanneer de sub-outsourcing de risico's voor de instelling of betalingsinstelling wezenlijk vergroot of wanneer de serviceprovider uitbesteedt zonder de instelling of betalingsinstelling hiervan in kennis te stellen. | Atlassian-opmerkingen Zie rij 26 hierboven. |
32. | Referentie EBA-richtlijnen § 79 | Overweging Instellingen en betalingsinstellingen mogen alleen instemmen met sub-outsourcing als de onderaannemer zich ertoe verbindt: | Atlassian Commentary
|
33. | EBA Guidelines Reference
| Overweging
(a) te voldoen aan alle toepasselijke wetten, wettelijke vereisten en contractuele verplichtingen; en | Atlassian-opmerkingen Zie rij 27 hierboven. |
34. | EBA Guidelines Reference
| Overweging
(b) de instelling, betalingsinstelling en bevoegde autoriteit dezelfde contractuele rechten op toegang en controle te verlenen als die welke door de serviceprovider worden verleend. | Atlassian-opmerkingen Zie rij 27 hierboven. |
35. | Referentie EBA-richtlijnen § 80 | Overweging Instellingen en betalingsinstellingen moeten ervoor zorgen dat de dienstverlener op passende wijze toezicht houdt op de sub-serviceproviders, overeenkomstig het door de instelling of betalingsinstelling vastgestelde beleid. Indien de voorgestelde sub-outsourcing wezenlijke nadelige gevolgen zou kunnen hebben voor de outsourcingsregeling van een kritieke of belangrijke functie of zou leiden tot wezenlijk grotere risico's, ook wanneer niet aan de voorwaarden van paragraaf 79 zou zijn voldaan, dient de instelling of betalingsinstelling haar recht uit te oefenen om bezwaar te maken tegen de sub-outsourcing indien een dergelijk recht is overeengekomen, en/of het contract te beëindigen. | Atlassian-opmerkingen Zie de rijen 26 en 27 hierboven. |
36. | Referentie EBA-richtlijnen 13.2 Beveiliging van gegevens en systemen | ||
37. | Referentie EBA-richtlijnen § 81 | Overweging Instellingen en betalingsinstellingen moeten ervoor zorgen dat serviceproviders, waar relevant, voldoen aan passende IT-beveiligingsnormen | Atlassian-opmerkingen Bij Atlassian wordt regelmatig onafhankelijk onderzoek verricht naar onze beveiligings-, privacy- en compliancecontroles. Tijdens de looptijd van ons contract met jou zullen we minimaal voldoen aan de normen die worden vermeld in ons Trust Center, waaronder ISO/IEC 27001- en ISO/IEC 27018-certificeringen, en SOC 2 Type II- en SOC 3-auditrapporten: |
38. | Referentie EBA-richtlijnen § 82 | Overweging Waar relevant (bijvoorbeeld in het kader van cloud- of andere ICT-outsourcing), moeten instellingen en betalingsinstellingen gegevens- en systeembeveiligingsvereisten definiëren in de outsourcingovereenkomst en voortdurend toezicht houden op de naleving van deze vereisten. | Atlassian-opmerkingen Gezien het een-op-veel-karakter van onze Gedekte Cloud-producten, leveren we dezelfde robuuste beveiliging aan al onze klanten. Deze beveiligingspraktijken worden in detail beschreven in ons Trust Center: |
39. | Referentie EBA-richtlijnen § 83 | Overweging In het geval van outsourcing aan cloudserviceproviders en andere outsourcingregelingen die verwerking of overdracht van persoonlijke of vertrouwelijke gegevens verzorgen, moeten instellingen en betalingsinstellingen een risicogebaseerde benadering hanteren voor gegevensopslag en gegevensverwerkingslocatie(s) (d.w.z. land of regio) en overwegingen inzake informatiebeveiliging naleven. | Atlassian-opmerkingen Dit is een overweging van de klant. |
40. | Referentie EBA-richtlijnen § 84 | Overweging Onverminderd de vereisten van Verordening (EU) 2016/679 moeten instellingen en betalingsinstellingen bij outsourcing (met name aan derde landen) rekening houden met verschillen in nationale bepalingen inzake de bescherming van gegevens. Instellingen en betalingsinstellingen moeten ervoor zorgen dat de outsourcingsovereenkomst de verplichting bevat dat de serviceprovider vertrouwelijke, persoonlijke of anderszins gevoelige informatie beschermt en voldoet aan alle wettelijke vereisten met betrekking tot de bescherming van gegevens die van toepassing zijn op de instelling of betalingsinstelling (bijv. de bescherming van persoonsgegevens, en dat bankgeheim of soortgelijke wettelijke vertrouwelijkheidsplichten met betrekking tot de informatie van cliënten, indien van toepassing, in acht worden genomen). | Atlassian-opmerkingen We bieden een Addendum voor gegevensverwerking dat gedetailleerde toezeggingen bevat met betrekking tot de verwerking en beveiliging van persoonlijke gegevens van klanten. Meer informatie over ons AVG-complianceprogramma vind je hier: |
41. | Referentie EBA-richtlijnen 13.3 Toegangs-, informatie- en auditrechten | ||
42. | Referentie EBA-richtlijnen § 85 | Overweging Instellingen en betalingsinstellingen moeten er in het kader van de schriftelijke outsourcingsregeling voor zorgen dat de interne-auditfunctie de uitbestede functie kan beoordelen op basis van een risicogebaseerde benadering. | Atlassian-opmerkingen Atlassian biedt instellingen contractuele mechanismen om de Gedekte Cloud-producten doorlopend te beoordelen. |
43. | Referentie EBA-richtlijnen § 86 | Overweging Ongeacht het kritieke karakter of belang van de uitbestede functie, moeten de schriftelijke outsourcingsregelingen tussen instellingen en serviceproviders verwijzen naar de bevoegdheden voor het verzamelen van informatie en voor onderzoek van bevoegde autoriteiten en afwikkelingsautoriteiten uit hoofde van artikel 63(1)(a) van Richtlijn 2014/59/EU en artikel 65(3) van Richtlijn 2013/36/EU met betrekking tot serviceproviders die in een lidstaat zijn gevestigd, en moeten zij deze rechten ook waarborgen met betrekking tot serviceproviders die in derde landen zijn gevestigd. | Atlassian-opmerkingen Atlassian erkent de bevoegdheden voor het verzamelen en onderzoeken van informatie van bevoegde autoriteiten en afwikkelingsautoriteiten uit hoofde van de relevante en toepasselijke EU-wetgeving. |
44. | Referentie EBA-richtlijnen § 87 | Overweging Met betrekking tot de uitbesteding van kritieke of belangrijke functies moeten instellingen en betalingsinstellingen er in het kader van de schriftelijke outsourcingsovereenkomst voor zorgen dat de serviceprovider hen en hun bevoegde autoriteiten, met inbegrip van afwikkelingsautoriteiten en elke andere door hen of de bevoegde autoriteiten aangestelde persoon, het volgende verleent: (a) volledige toegang tot alle relevante bedrijfspanden (bijv. hoofdkantoren en activiteitencentra), met inbegrip van het volledige scala aan relevante apparaten, systemen, netwerken, informatie en gegevens die worden gebruikt voor het leveren van de uitbestede functie, met inbegrip van gerelateerde financiële informatie, personeel en auditors van de serviceprovider ('toegangs- en informatierechten'); en (b) onbeperkte inspectie- en auditrechten in verband met de outsourcingsregeling ('auditrechten'), om hen in staat te stellen toezicht te houden op de outsourcingsregeling en om ervoor te zorgen dat alle toepasselijke wettelijke en contractuele vereisten worden nageleefd. | Atlassian-opmerkingen Voor alle instellingen die de Gedekte Cloud-producten gebruiken, biedt Atlassian de vereiste audit-, informatie- en toegangsrechten aan instellingen, hun bevoegde autoriteiten en hun aangewezen personen. |
45. | Referentie EBA-richtlijnen § 88 | Overweging Voor de outsourcing van functies die niet kritisch of belangrijk zijn, moeten instellingen en betalingsinstellingen zorgen voor de toegangs- en auditrechten zoals uiteengezet in paragraaf 87(a) en (b), en sectie 13.3, volgens een risicogebaseerde benadering, waarbij rekening wordt gehouden met de aard van de uitbestede functie en de daarmee samenhangende operationele en reputatierisico's, de schaalbaarheid ervan, de potentiële impact op de continue uitvoering van activiteiten en de contractperiode. Instellingen en betalingsinstellingen moeten er rekening mee houden dat functies na verloop van tijd kritisch of belangrijk kunnen worden. | Atlassian-opmerkingen Zie rij 44 hierboven. |
46. | Referentie EBA-richtlijnen § 89 | Overweging Instellingen en betalingsinstellingen moeten ervoor zorgen dat de outsourcingsovereenkomst of enige andere contractuele regeling de daadwerkelijke uitoefening van de toegangs- en auditrechten door hen, de bevoegde autoriteiten of derden die door hen zijn aangewezen om deze rechten uit te oefenen, niet belemmert of beperkt. | Atlassian-opmerkingen Ons auditprogramma is ontworpen om gekwalificeerde klanten en hun competente autoriteiten in staat te stellen de Gedekte Cloud-producten effectief te controleren. |
47. | Referentie EBA-richtlijnen § 90 | Overweging Instellingen en betalingsinstellingen moeten hun toegangs- en auditrechten uitoefenen, de auditfrequentie en de te controleren gebieden bepalen op basis van een risicogebaseerde aanpak en zich houden aan relevante, algemeen aanvaarde, nationale en internationale auditnormen. | Atlassian-opmerkingen We hebben een auditprogramma ontwikkeld dat in overeenstemming is met deze overweging. |
48. | Referentie EBA-richtlijnen § 91 | Overweging Onverminderd hun eindverantwoordelijkheid met betrekking tot outsourcingsregelingen, kunnen instellingen en betalingsinstellingen gebruik maken van: (a) gepoolde audits die samen met andere cliënten van dezelfde dienstverlener zijn georganiseerd en die door hen en deze cliënten of door een door hen aangewezen externe partij worden uitgevoerd, om de auditmiddelen efficiënter te gebruiken en de organisatorische last voor de cliënten en de serviceprovider te verminderen; (b) certificeringen van derden en externe of interne auditrapporten, beschikbaar gesteld door de serviceprovider. | Atlassian-opmerkingen Ons auditprogramma stelt instellingen in staat om de Gedekte Cloud-producten te beoordelen met behulp van gepoolde audits en/of certificeringen van externe partijen. |
49. | Referentie EBA-richtlijnen § 92 | Overweging Met het oog op de uitbesteding van kritieke of belangrijke functies moeten instellingen en betalingsinstellingen beoordelen of certificeringen en rapporten van externe partijen zoals bedoeld in paragraaf 91(b), toereikend en voldoende zijn om aan hun wettelijke verplichtingen te voldoen, en dienen zij zich in de loop van de tijd niet uitsluitend op deze rapporten te baseren. | Atlassian-opmerkingen Dit is een overweging van de klant. |
50. | Referentie EBA-richtlijnen § 93 | Overweging Instellingen en betalingsinstellingen mogen de in paragraaf 91(b) bedoelde methode alleen gebruiken als zij: (a) tevreden zijn met het auditplan voor de uitbestede functie; (b) ervoor zorgen dat de scope van het certificerings- of auditverslag betrekking heeft op de systemen (d.w.z. processen, toepassingen, infrastructuur, datacenters, enz.) en belangrijke controles die door de instelling of betalingsinstelling zijn vastgesteld en de naleving van relevante wettelijke vereisten; (c) voortdurend de inhoud van de certificeringen of auditverslagen grondig beoordelen en nagaan of de rapporten of certificeringen niet achterhaald zijn; (d) ervoor zorgen dat belangrijke systemen en controles worden verwerkt in toekomstige versies van het certificerings- of auditrapport; (e) tevreden zijn met de bekwaamheid van de certificerings- of auditpartij (bijv. met betrekking tot de roulatie van het certificerings- of auditbedrijf, kwalificaties, deskundigheid, hernieuwde controle/verificatie van het bewijsmateriaal in het onderliggende auditdossier); (f) ervan overtuigd zijn dat de certificeringen worden afgegeven en dat de audits worden uitgevoerd aan de hand van algemeen erkende relevante professionele normen en een test bevatten van de operationele effectiviteit van de belangrijkste doorgevoerde controles; (g) het contractuele recht hebben om uitbreiding van de scope van de certificeringen of auditverslagen naar andere relevante systemen en controles te verzoeken; het aantal en de frequentie van dergelijke verzoeken om wijziging van het scope moeten vanuit het oogpunt van risicobeheer redelijk en legitiem zijn; en (h) het contractuele recht behouden om naar eigen goeddunken individuele audits uit te voeren met betrekking tot de uitbesteding van kritieke of belangrijke functies. | Atlassian-opmerkingen De subparagrafen (a) tot en met (f) zijn klantoverwegingen. Met betrekking tot subparagraaf (g) bieden we instellingen een contractueel mechanisme om wijzigingen in onze auditcontroles en -processen aan te vragen. Subparagraaf (h) wordt behandeld in rij 44 hierboven. |
51. | Referentie EBA-richtlijnen § 94 | Overweging Overeenkomstig de EBA-richtlijnen inzake ICT-risicobeoordeling in het kader van het SREP moeten de instellingen er waar nodig voor zorgen dat zij in staat zijn veiligheidspenetratietests uit te voeren om de doeltreffendheid van de geïmplementeerde ICT-beveiligingsmaatregelen en -processen te beoordelen. Gelet op Titel I moeten betalingsinstellingen ook beschikken over interne ICT-controlemechanismen, waaronder ICT-beveiligingscontrole en mitigatiemaatregelen. | Atlassian-opmerkingen Atlassian biedt klanten het recht om op elk moment penetratietests uit te voeren zonder voorafgaande goedkeuring van Atlassian: https://www.atlassian.com/trust/security/security-testing |
52. | Referentie EBA-richtlijnen § 95 | Overweging Vóór een gepland bezoek ter plaatse dienen instellingen, betalingsinstellingen, bevoegde autoriteiten en auditors of derden die namens de instelling, betalingsinstelling of bevoegde autoriteiten optreden, de serviceprovider hiervan op redelijke wijze in kennis te stellen, tenzij dit niet mogelijk is vanwege een noodsituatie of crisissituatie of wanneer dit zou leiden tot een situatie waarin de audit niet langer effectief is. | Atlassian-opmerkingen Ons auditprogramma is op maat gemaakt voor deze overweging. |
53. | Referentie EBA-richtlijnen § 96 | Overweging Bij het uitvoeren van audits in omgevingen met meerdere klanten moet ervoor worden gezorgd dat risico's voor de omgeving van een andere klant (bijv. impact op serviceniveaus, beschikbaarheid van gegevens, vertrouwelijkheidsaspecten) worden vermeden of beperkt. | Atlassian-opmerkingen Het is voor Atlassian en onze klanten erg belangrijk dat wat we bij een klant doen, geen andere klanten in gevaar brengt. Dit is van toepassing wanneer je een audit uitvoert. Het is ook van toepassing wanneer een andere klant een audit uitvoert. Wanneer een instelling een audit uitvoert, werken we met hen samen om onze andere klanten zo min mogelijk te verstoren. Net zoals we zullen samenwerken met een andere auditklant om de verstoring van de instelling tot een minimum te beperken. We zullen er met name op letten dat we te allen tijde onze veiligheidsverplichtingen nakomen. |
54. | Referentie EBA-richtlijnen § 97 | Overweging Wanneer de outsourcingsregeling een hoge mate van technische complexiteit met zich meebrengt, bijvoorbeeld in het geval van cloudoutsourcing, moet de instelling of betalingsinstelling nagaan of degene die de audit uitvoert (of het nu gaat om haar interne auditors, de pool van accountants of externe accountants die namens haar optreedt) beschikt over passende en relevante vaardigheden en kennis om relevante audits en/of beoordelingen effectief uit te voeren. Hetzelfde geldt voor alle personeelsleden van de instelling of betalingsinstelling die door serviceproviders uitgevoerde certificeringen of audits van derden beoordelen. | Atlassian-opmerkingen Dit is een verantwoordelijkheid van de klant. |
55. | Referentie EBA-richtlijnen 13.4 Beëindigingsrechten | ||
56. | Referentie EBA-richtlijnen § 98 | Overweging De outsourcingsregeling moet de instelling of betalingsinstelling uitdrukkelijk de mogelijkheid bieden om de overeenkomst te beëindigen, overeenkomstig het toepasselijke recht, onder meer in de volgende situaties: (a) wanneer de provider van de uitbestede functies de toepasselijke wet- en regelgeving of contractuele bepalingen schendt; (b) wanneer belemmeringen worden vastgesteld die de prestaties van de uitbestede functie kunnen veranderen; (c) wanneer er wezenlijke wijzigingen zijn die van invloed zijn op de outsourcingsregeling of de serviceprovider (bijv. sub-outsourcing of wijzigingen van onderaannemers); (d) wanneer er sprake is van zwakke punten met betrekking tot het beheer en de beveiliging van vertrouwelijke, persoonlijke of anderszins gevoelige gegevens of informatie; en (e) wanneer er instructies worden gegeven door de bevoegde autoriteit van de instelling of betalingsinstelling, bijvoorbeeld in het geval dat de bevoegde autoriteit, op grond van de outsourcingsregeling, niet langer in staat is daadwerkelijk toezicht te houden op de instelling of betalingsinstelling. | Atlassian-opmerkingen We bieden klanten voor het gemak een ruim beëindigingsrecht, waardoor ze kunnen beëindigen in elk van de gevallen die worden vermeld in sectie 13.4 van de EBA-richtlijnen. |
57. | Referentie EBA-richtlijnen § 99 | Overweging De schriftelijke outsourcingsregeling moet: | Atlassian Commentary
|
58. | EBA Guidelines Reference
| Overweging
(a) de verplichtingen van de bestaande serviceprovider duidelijk uiteenzetten ingeval van een overdracht van de uitbestede functie aan een andere serviceprovider of terug naar de instelling of betalingsinstelling, met inbegrip van de verwerking van gegevens; | Atlassian-opmerkingen We bieden alle klanten een in de producten inbegrepen functionaliteit om hun gegevens op elk moment tijdens de looptijd van hun contract zonder onze hulp te exporteren. |
59. | EBA Guidelines Reference
| Overweging
(b) een passende overgangsperiode vermelden, gedurende welke de serviceprovider na beëindiging van de outsourcingsovereenkomst de uitbestede functie blijft leveren om het risico op verstoringen te beperken; en | Atlassian-opmerkingen Indien een instelling dit vereist, kan ze haar abonnementstermijn voor een korte periode verlengen om de transitie naar een andere serviceprovider mogelijk te maken. |
60. | EBA Guidelines Reference
| Overweging
(c) aangeven dat de serviceprovider verplicht is de instelling of betalingsinstelling te ondersteunen bij de ordelijke overdracht van de functie ingeval van beëindiging van de outsourcingsovereenkomst. | Atlassian-opmerkingen Zie de rijen 58 en 59 hierboven. |