Close

BaFin

Рекомендации Atlassian по аутсорсингу

Эта таблица составлена для того, чтобы помочь финансовым учреждениям, находящимся под надзором Федерального управления финансового надзора Германии (BaFin), понять, каким образом каждый параграф Раздела V («Условия договора в случае [существенного] аутсорсинга») Руководства по аутсорсингу поставщикам облачных услуг («Руководство BaFin») соотносится с документацией по договору между Atlassian и заказчиком.

Если у вас есть действующий договор с Atlassian или вы хотите узнать больше о том, как эти условия могут применяться к договору, свяжитесь с нами.

Рассматриваемые вопросы и требования
Комментарий Atlassian

1.

С учетом требований надзорного законодательства в соглашение об аутсорсинге, в частности, необходимо включить следующие условия и положения в случае существенного1 или недифференцированного аутсорсинга в соответствии с кодексом KAGB.

 

2.

1. Объем исполнения

 

3.

В соглашении необходимо перечислить технические требования и при необходимости привести описание для услуги, которую должен предоставить поставщик облачных услуг. Это должно быть оговорено в рамках так называемого «соглашения об уровне обслуживания». В этом отношении следует определить следующие аспекты:

 

4.

  • предмет аутсорсинга и его реализация (например, тип услуги и модель развертывания, объем предлагаемых услуг, например вычислительная мощность или предоставляемый объем памяти, требования к доступности, время отклика);
  • Наша документация, включенная в качестве справочных материалов в договор с Atlassian для соответствующих требованиям клиентов, содержит четкое описание затрагиваемых облачных продуктов.

    5.

  • сервисы поддержки;
  • Соответствующие требованиям клиенты имеют доступ к вариантам поддержки Atlassian, которые регулируются договором между Atlassian и клиентом.

    6.

  • ответственность, а также обязанности по сотрудничеству и подготовке (например, в случае обновлений);
  • Как правило, такие аспекты оговариваются в договоре между Atlassian и клиентом.

    7.

  • место исполнения (например, расположение центров обработки данных);
  • В некоторых затрагиваемых облачных продуктах предусмотрена функция размещения данных внутри продукта (сведения об этом см. ниже), что позволяет администраторам наших клиентов хранить соответствующие данные, связанные с продуктами, в выбранном ими месте. Инфраструктура размещения в облаке описана на этой странице.

    По договору мы обязуемся (а) не допускать существенного ухудшения функциональности продукта в течение применимого срока подписки и (б) уведомлять клиентов о любых изменениях в местах размещения данных.

    8.

  • начало и окончание действия соглашения об аутсорсинге;
  • В договоре между Atlassian и клиентом указана продолжительность срока подписки по умолчанию и все применимые сроки уведомления. Кроме того, когда вы размещаете заказ на один или несколько затрагиваемых облачных продуктов, в нем можно просмотреть дату начала и окончания соответствующего срока подписки.

    9.

  • ключевые коэффициенты для проведения регулярной проверки уровня обслуживания;
  • Условия уровня обслуживания, а также меры обеспечения в случае его несоблюдения для затрагиваемых облачных продуктов предусмотрены в нашем соглашении об уровне обслуживания и соответствующих условиях для конкретных продуктов.

    10.

  • показатели для определения неприемлемого уровня обслуживания.
  • Мы публикуем обновления о доступности услуг по адресу https://status.atlassian.com/ и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов.

    11.

    2. Права поднадзорной компании на информацию и аудит

     

    12.

    Права на информацию и аудит, а также возможности контроля для поднадзорной компании не должны подпадать под договорные ограничения. Необходимо обеспечить для поднадзорной компании возможность получать требуемую информацию, чтобы она могла осуществлять надлежащий контроль и мониторинг рисков, связанных с аутсорсингом.

    Наша программа аудита позволяет клиентам, соответствующим требованиям, и их надзорным органам эффективно проводить проверки затрагиваемых облачных продуктов.

    13.

    Для защиты прав на информацию и аудит в договоре, в частности, должны быть согласованы следующие условия:

  • полный доступ к информации и данным, а также к офисным помещениям поставщика облачных услуг, включая все центры обработки данных, оборудование, системы, сети, используемые для предоставления предметов аутсорсинга, а также связанные процессы и средства управления;
  • эффективные возможности контроля и аудита всей цепочки аутсорсинга.
  • См. строку 12 выше.

    14.

    Отсутствие ограничений прав, в том числе косвенных Договор не должен ограничивать возможность эффективного использования прав на информацию и аудит. Надзорные органы Германии считают таким недопустимым ограничением прав на информацию и аудит, в частности, договорные соглашения, предоставляющие данные права только при определенных условиях. В том числе:

  • согласие на поэтапные процедуры предоставления информации и аудита, например, обязательство сначала полагаться на аудиторские отчеты, сертификаты или другие доказательства соответствия признанным стандартам от поставщика облачных услуг, прежде чем поднадзорная компания сможет выполнять собственную аудиторскую деятельность;
  • ограничение использования прав на информацию и аудит только предоставлением аудиторских отчетов, сертификатов или других доказательств соответствия признанным стандартам от поставщика облачных услуг;
  • увязка доступа к информации с предварительным прохождением специальных учебных программ;
  • формулировка положения, при которой проведение аудита ставится в зависимость от его коммерческой целесообразности;
  • ограничение выполнения аудиторских проверок с точки зрения сроков и персонала (однако, как правило, допустимо ограничивать доступ обычными рабочими часами по предварительному уведомлению);
  • упоминание исключительного использования средств, таких как консоли управления, в целях реализации прав компании на информацию и аудит.
  • См. строку 12 выше.

    15.

    Послабления

    В зависимости от применимых требований надзорного законодательства поднадзорные компании могут затребовать послабления, чтобы повысить эффективность своей аудиторской деятельности. Такие послабления представляют собой групповые аудиты или использование документов/сертификатов, основанных на общих стандартах, аудиторских отчетов признанных третьих сторон или отчетов о внутреннем аудите от поставщика облачных услуг.

    Этот вопрос рассматривается клиентом. См. также строку 12 выше и строку 20 ниже.

    16.

    Групповые аудиты

    Поднадзорные компании, на которые распространяется необходимость соблюдения разделов KWG 25a и 25b, могут воспользоваться послаблениями из Циркуляра 09/2017 (BA) «Минимальные требования к управлению рисками — (MaRisk)». В соответствии с пунктом 3 раздела BT 2.1 MaRisk в случае существенного аутсорсинга внутреннее аудиторское подразделение поднадзорной компании может не выполнять аудиторскую деятельность собственными силами при условии, что аудиторская деятельность внешнего поставщика услуг соответствует требованиям разделов AT 4.4 и BT 2 MaRisk. Внутреннее аудиторское подразделение поднадзорной аутсорсинговой компании должно регулярно подтверждать соблюдение этих условий. Результаты аудита в отношении поднадзорной компании должны передаваться внутреннему аудиторскому подразделению поднадзорной аутсорсинговой компании.

    Этот вопрос рассматривается клиентом. См. также строку 12 выше.

    17.

    В связи с этим аудиторская деятельность может осуществляться внутренним аудиторским отделом поставщика облачных услуг, внутренними аудиторскими отделами одной или нескольких поднадзорных аутсорсинговых компаний, от их имени («групповые аудиты»), третьей стороной, назначенной поставщиком облачных услуг, или третьей стороной, назначенной поднадзорными аутсорсинговыми компаниями.

    Этот вопрос рассматривается клиентом. См. также строку 12 выше.

    18.

    Для других поднадзорных компаний в отдельных случаях может быть допустимо использовать некоторые из своих прав на информацию и аудит в отношении поставщика облачных услуг совместно с другими поднадзорными компаниями путем группового аудита.

    Этот вопрос рассматривается клиентом. См. также строку 12 выше.

    19.

    Если поднадзорная компания воспользуется одним из вышеупомянутых послаблений, это не должно приводить к ограничению ее прав на информацию и аудит.

    См. строку 12 выше.

    20.

    Доказательства/сертификаты и аудиторские отчеты

    Поднадзорная компания, как правило, может использовать документы/сертификаты на основе общих стандартов (например, международный стандарт безопасности ISO/IEC 2700X Международной организации по стандартизации, Каталог контроля соответствия облачных вычислений [каталог C 5] BSI), аудиторские отчеты признанных третьих сторон или отчеты о внутреннем аудите поставщика облачных услуг. В этой связи поднадзорная компания должна учитывать область действия, подробность, актуальность и пригодность удостоверителя или аудитора таких документов/сертификатов и аудиторских отчетов.

    Atlassian регулярно проходит независимую проверку безопасности, конфиденциальности и соответствия требованиям. В течение срока действия нашего с вами договора мы будем соблюдать, по крайней мере, требования стандартов, перечисленных в нашем Центре безопасности, включая сертификаты ISO/IEC 27001 и ISO/IEC 27018, а также требования аудиторских отчетов SOC 2 типа II и SOC 3: https://www.atlassian.com/trust/compliance.

    21.

    Однако поднадзорная компания не должна полагаться исключительно на них при осуществлении своей аудиторской деятельности. В случаях, когда внутренний аудиторский отдел использует такие документы/сертификаты в своей деятельности, он должен иметь возможность изучить доказательства, лежащие в их основе.

    Этот вопрос рассматривается клиентом. См. также строку 12 выше.

    22.

    3. Право надзорных органов на информацию и аудит

     

    23.

    Права на информацию и аудит, а также возможности контроля надзорных органов не должны подпадать под договорные ограничения. Надзорные органы должны иметь возможность отслеживать деятельность поставщиков облачных услуг в той степени, в которой это предусмотрено применимым законодательством для поднадзорной компании. Необходимо, чтобы надзорные органы могли использовать свои права на информацию и аудит, а также возможности контроля надлежащим образом и без ограничений в отношении предмета аутсорсинга, что также относится к лицам, которых надзорные органы задействуют при проведении аудита.

    Наша программа аудита позволяет клиентам, соответствующим требованиям, и их надзорным органам эффективно проводить проверки затрагиваемых облачных продуктов.

    24.

    Для защиты этих прав в договоре, в частности, должны быть согласованы следующие условия:

  • обязанность поставщика облачных услуг сотрудничать с надзорными органами без ограничений;
  • полный доступ к информации и данным, а также к офисным помещениям поставщика облачных услуг, включая все центры обработки данных, оборудование, системы, сети, используемые для предоставления предметов аутсорсинга, и связанные с ними процессы и средства управления, а также возможности локального аудита поставщика облачных услуг (и компании, выполняющей дальнейший аутсорсинг, если это уместно);
  • эффективные возможности контроля и аудита всей цепочки аутсорсинга.
  • См. строку 23 выше.

    25.

    Отсутствие ограничений прав, в том числе косвенных

    Таким недопустимым ограничением прав на информацию и аудит, а также возможностей контроля со стороны надзорных органов Германии считаются, в частности, договорные соглашения, предоставляющие данные права только при определенных условиях. Во избежание повторения мы ссылаемся на приведенные выше заявления об ограничении прав поднадзорных компаний.

    См. строку 23 выше.

    26.

    4. Права на выдачу инструкций

     

    27.

    Требуется согласовать права поднадзорных компаний на выдачу инструкций. Эти права необходимы, чтобы гарантировать выдачу всех инструкций, необходимых для выполнения согласованной услуги, то есть возможность влиять и воздействовать на предмет аутсорсинга. Техническая реализация может быть организована в индивидуальном порядке с учетом конкретных условий компании.

    Клиенты могут выдавать нам инструкции (включая сведения в отношении сторонних сертификатов и аудиторских отчетов) по затрагиваемым облачным продуктам через каналы поддержки клиентов.

    28.

    Если поднадзорная компания использует доказательства/сертификаты или аудиторские отчеты (см. п. 2), она также должна иметь возможность влиять на объем, охватываемый доказательствами/сертификатами или аудиторскими отчетами, с тем чтобы их можно было дополнить соответствующими системами и средствами контроля. Частота и количество таких инструкций должны находиться в разумных пределах.

    См. строку 27 выше.

    29.

    Кроме того, поднадзорная компания должна иметь право в любое время выдавать поставщику облачных услуг инструкции по исправлению, удалению и блокировке данных, а поставщик облачных услуг должен иметь возможность собирать, обрабатывать и использовать данные только в контексте инструкций, выданных поднадзорной компанией. Условия должны включать возможность в любое время выдать инструкцию на передачу данных, обрабатываемых поставщиком облачных услуг, поднадзорной компании без задержек и ограничений.

    Мы предоставляем Приложение об обработке данных, в котором содержатся подробные обязательства в отношении обработки и обеспечения безопасности персональных данных клиентов. Подробнее о нашей программе соответствия требованиям GDPR можно узнать здесь:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    Кроме того, встроенные функции наших продуктов позволяют экспортировать данные клиентов в любое время в течение срока действия договора без нашей помощи.

    30.

    Если в явном соглашении о правах поднадзорной компании на выдачу инструкций может быть отказано, услуга аутсорсинговой компании должна быть достаточно ясно прописана в соглашении об аутсорсинге.

    См. строку 27 выше.

    31.

    5. Безопасность/защита данных (указание места хранения данных)

     

    32.

    Необходимо согласовать положения, обеспечивающие соблюдение правил защиты данных и других требований безопасности.

    Поскольку затрагиваемые облачные продукты основаны на модели «один ко многим», мы предоставляем одинаково надежные средства безопасности всем клиентам. Наши методы подробно описаны в Центре безопасности, который доступен по ссылке https://www.atlassian.com/trust/.

    Мы обязуемся соблюдать правила, указанные в нашем Центре безопасности, и не допускать существенного снижения общей безопасности затрагиваемых облачных продуктов в течение срока действия вашей подписки.

    См. также строки 27 и 29 выше.

    33.

    Необходимо, чтобы информация о месте хранения данных была доступна поднадзорной компании и включала конкретное местоположение центров обработки данных. Как правило, для этой цели достаточно указать название места (например, город). Однако в том случае, если поднадзорной компании требуется точный адрес центра обработки данных с учетом вопросов управления рисками, поставщик облачных услуг должен предоставить такой адрес.

    См. строку 7 выше.

    34.

    Кроме того, необходимо обеспечить избыточность данных и систем, чтобы услуги оставались доступными в случае отказа одного центра обработки данных.

    Мы поддерживаем планы непрерывной работы и аварийного восстановления, как описано в нашем Центре безопасности. Мы пересматриваем и тестируем их не реже одного раза в год.

    35.

    Необходимо также обеспечить безопасность данных и систем в цепочке аутсорсинга.

    См. строку 32 выше.

    36.

    Поднадзорная компания должна всегда иметь быстрый доступ к своим данным, хранящимся у поставщика облачных услуг, а также возможность их повторной передачи при необходимости. В связи с этим нужно, чтобы выбранная форма повторной передачи не ограничивала и не исключала использование данных. Поэтому следует согласовать стандартные форматы данных, не зависящие от платформы. При этом нужно учитывать совместимость различных систем.

    См. строку 29 выше.

    37.

    6. Положения о расторжении соглашения

     

    38.

    Необходимо согласовать права на расторжение соглашения и соответствующие сроки уведомления о его расторжении. В частности, следует согласовать особое право, в рамках которого требование надзорного органа расценивается как достаточное основание для расторжения соглашения.

    Мы предоставляем клиентам широкие и удобные права, которые позволяют расторгнуть соглашение при любых обстоятельствах.

    39.

    Необходимо, чтобы в случае расторжения соглашения предметы аутсорсинга продолжали предоставляться поставщиком облачных услуг до тех пор, пока предмет аутсорсинга не перейдет полностью к другому поставщику облачных услуг или поднадзорной компании. В частности, необходимо гарантировать, что поставщик облачных услуг предоставит в разумных объемах помощь поднадзорной компании в передаче предметов аутсорсинга другому поставщику облачных услуг или непосредственно поднадзорной компании.

    Если это необходимо учреждению, срок подписки можно продлить на короткий период, чтобы обеспечить переход к другому поставщику услуг.

    40.

    Необходимо определить тип, форму и качество передачи предмета аутсорсинга и данных. Если форматы данных адаптированы к индивидуальным потребностям поднадзорной компании, поставщик облачных услуг должен предоставить документацию по соответствующим изменениям при расторжении соглашения.

    Эта информация доступна в нашей документации.

    41.

    Следует согласовать полное и безвозвратное удаление данных на стороне поставщика облачных услуг после их повторной передачи поднадзорной компании.

    Этот вопрос рассматривается в нашем Приложении об обработке данных.

    42.

    Чтобы обеспечить надлежащее состояние предметов аутсорсинга в случае планового или внепланового расторжения соглашения, поднадзорной компании необходимо подготовить стратегию выхода и оценить ее осуществимость.

    Этот вопрос рассматривается клиентом.

    43.

    7. Многоуровневый аутсорсинг

     

    44.

    Необходимо согласовать положения о возможности и условиях многоуровневого аутсорсинга, обеспечивающие дальнейшее выполнение требований надзорного законодательства. Недопустимы ограничения, приводящие, например, к принятию на себя только по существу аналогичных обязательств. В частности, необходимо, чтобы в случае многоуровневого аутсорсинга права на информацию и аудит, а также возможности контроля поднадзорной аутсорсинговой компании и надзорных органов распространялись и на субподрядчиков.

    Чтобы предоставлять продукты на международном уровне с минимальными перебоями, мы можем передавать некоторые критически важные функции на аутсорсинг поставщикам высококачественных услуг (например, поставщикам хостинга данных). Что касается критически важного многоуровневого аутсорсинга, Atlassian обязуется заключать со своими субподрядчиками договоры, которые предоставляют учреждениям и их надзорным органам надлежащие права на аудит, доступ и информацию, а также требуют от таких субподрядчиков соблюдения всех применимых законов. См. также строку 12 выше.

    45.

    В отношении многоуровневого аутсорсинга необходимо предусмотреть в соглашении об аутсорсинге оговорки о согласии аутсорсинговой компании или конкретные условия, которые должны выполняться при осуществлении многоуровневого аутсорсинга. Следует определить, какие предметы аутсорсинга и (или) их части разрешено передавать на многоуровневый аутсорсинг.

    См. строку 44 выше.

    46.

    Поднадзорную компанию необходимо заранее уведомить о многоуровневом аутсорсинге предметов аутсорсинга и (или) их частей в текстовом виде. Субподрядчики и предметы многоуровневого аутсорсинга и (или) их части должны быть известны поднадзорной компании.

    Atlassian уведомляет о любых изменениях по части многоуровневого аутсорсинга и о возникновении новых уровней аутсорсинга для критически необходимых или важных функций, а также предоставляет информацию о таком аутсорсинге. Если у учреждения есть опасения по поводу такого аутсорсинга, мы предоставляем возможность расторгнуть соглашение с нами.

    47.

    При возникновении новых уровней аутсорсинга необходимо иметь в виду, что это может повлиять на связанный с ним риск и, следовательно, на аутсорсинговую компанию. Поэтому в таком случае следует, по крайней мере, пересмотреть или повторить анализ рисков. Это также относится к ситуациям, в которых появляется информация о существенных дефектах или изменениях в облачных услугах, предоставляемых субподрядчиками.

    Этот вопрос рассматривается клиентом.

    48.

    Компания должна регулярно проверять и контролировать общую эффективность услуги, независимо от того, предоставляется она поставщиком облачных услуг или его субподрядчиками.

    Этот вопрос рассматривается клиентом.

    49.

    8. Обязанности в отношении информации

     

    50.

    Необходимо согласовать положения, гарантирующие, что поставщик облачных услуг будет информировать поднадзорную компанию о событиях, которые могут отрицательно повлиять на должную эффективность предметов аутсорсинга. Сюда входят, в том числе, сообщения о нарушениях доступности облачной услуги. Это необходимо, чтобы компания могла надлежащим образом отслеживать предмет аутсорсинга.

    Мы публикуем обновления о доступности услуг по адресу https://status.atlassian.com/ и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов.

    51.

    Поставщик облачных услуг должен незамедлительно информировать поднадзорную компанию о любых обстоятельствах, которые могут представлять риск для безопасности данных поднадзорной компании, обрабатываемых поставщиком облачных услуг, например, в результате действий третьих лиц (будь то арест, конфискация либо иной случай), производства по делу о несостоятельности, компромиссного соглашения или других событий.

    В дополнение к обязательствам, указанным в строке 50 выше, в нашем Дополнении об обработке данных мы обязуемся уведомлять клиентов об инцидентах безопасности.

    52.

    Необходимо, чтобы поставщик облачных услуг надлежащим образом заранее уведомлял поднадзорную компанию в случае соответствующих изменений в своих облачных услугах. Описания услуг и любых изменений в них должны быть предоставлены поднадзорной компании и (или) доведены до ее сведения в текстовом виде. Необходимо, чтобы поднадзорная компания надлежащим образом получала информацию в той мере, в которой это разрешено законом, когда третьи лица подают какие-либо запросы/требования о передаче ее данных.

    Мы публикуем свою дорожную карту развития облачных продуктов, из которой клиенты могут узнать о существенных изменениях в затрагиваемых облачных продуктах.

    Кроме того, мы предоставляем данные клиентов третьим лицам только в соответствии с нашим Руководством по обработке запросов правоохранительных органов.

    53.

    9. Уведомление о применимом законодательстве

     

    54.

    Если оговорка о выборе права согласована и немецкое законодательство не выбрано в качестве регулирующего, соглашение необходимо так или иначе заключать под регулированием законодательства страны Европейского Союза или Европейской экономической зоны.

    По умолчанию к договору между Atlassian и клиентом применяется законодательство штата Калифорния. Свяжитесь с нашей командой по продажам для корпоративных клиентов, чтобы получить более подробную информацию.

    1 Термин «существенный аутсорсинг», используемый в руководстве BaFin, эквивалентен термину «важный или значимый аутсорсинг», применяемому в руководстве EBA.