Рекомендации EBA

Параграф 74

Права и обязанности учреждения, платежной организации и поставщика услуг должны быть четко распределены и изложены в письменном соглашении.

Как правило, такие аспекты рассматриваются в договоре между Atlassian и клиентом.

Параграф 75

В соглашении об аутсорсинге критически необходимых или важных функций должно быть указано по крайней мере следующее:

(a) четкое описание функции, подлежащей передаче на аутсорсинг;

Наша документация, включенная в качестве справочных материалов в договор с Atlassian для соответствующих требованиям клиентов, содержит четкое описание затрагиваемых облачных продуктов.

(b) дата начала и дата окончания (если это применимо) договора и периоды уведомления для поставщика услуг и учреждения или платежной организации;

В договоре между Atlassian и клиентом указана продолжительность срока подписки по умолчанию и все применимые сроки уведомления. Кроме того, когда вы размещаете заказ на один или несколько затрагиваемых облачных продуктов, в нем можно просмотреть дату начала и окончания соответствующего срока подписки.

(c) регулирующее законодательство в рамках договора;

По умолчанию к договору между Atlassian и клиентом применяется законодательство штата Калифорния. Свяжитесь с нашей командой по продажам для корпоративных клиентов, чтобы получить более подробную информацию.

(d) финансовые обязательства сторон;

Цены на каждый из затронутых облачных продуктов опубликованы на сайте www.atlassian.com

(e) разрешен ли дальнейший аутсорсинг критически необходимой или важной функции или ее существенных частей. Если это так, необходимо привести условия для такого аутсорсинга из раздела 13.1 («Дальнейший аутсорсинг критически необходимых и важных функций»);

См. комментарии к разделу 13.1 в строках с 21 по 36.

(f) места (т. е. регионы или страны), где будет предоставляться критически необходимая или важная функция и (или) где будут храниться и обрабатываться соответствующие данные, включая возможное место хранения, и условия, которые должны быть выполнены, включая требование уведомить учреждение или платежную организацию в том случае, если поставщик услуг предлагает изменить эти места;

В некоторых затрагиваемых облачных продуктах предусмотрена функция размещения данных внутри продукта (сведения об этом см. ниже), что позволяет администраторам наших клиентов хранить соответствующие данные, связанные с продуктами, в выбранном ими месте. Инфраструктура размещения в облаке описана на этой странице.

По договору мы обязуемся (a) не допускать существенного ухудшения функциональности продукта в течение применимого срока подписки и (b) уведомлять клиентов о любых изменениях в местах размещения данных.

(g) положения (если это уместно), касающиеся доступности, целостности, конфиденциальности и безопасности соответствующих данных, как указано в разделе 13.2 («Безопасность данных и систем»);

См. комментарии к разделу 13.2 в строках с 36 по 39.

(h) право учреждения или платежной организации отслеживать эффективность работы поставщика услуг на постоянной основе;

Мы публикуем обновления о доступности услуг по адресу status.atlassian.com и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов.

(i) согласованные уровни обслуживания, которые должны включать точные количественные и качественные показатели выполнения функции, переданной на аутсорсинг, с тем чтобы обеспечить своевременный контроль, позволяющий без неоправданных задержек принимать надлежащие корректирующие меры в случае несоблюдения согласованных уровней обслуживания;

Условия уровня обслуживания, а также меры обеспечения в случае его несоблюдения для затрагиваемых облачных продуктов предусмотрены в нашем соглашении об уровне обслуживания и соответствующих условиях для конкретных продуктов.

(j) обязательства поставщика услуг по представлению отчетности учреждению или платежной организации, включая уведомление со стороны поставщика услуг о любом событии, которое может существенно повлиять на его способность эффективно выполнять критически необходимую или важную функцию в соответствии с согласованными уровнями обслуживания или применимыми законами и нормативными требованиями, а также (если того требует ситуация) обязательствами поставщика услуг по представлению отчетов по внутренним аудитам;

Мы публикуем обновления о доступности услуг по адресу status.atlassian.com и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов.

(k) сведения о том, требуется ли поставщику услуг обязательное страхование от определенных рисков, а также (если это применимо) о запрашиваемом уровне страхового покрытия;

Atlassian поддерживает страховое покрытие в рамках ряда выявленных рисков с учетом требований законодательства, применимого к нашему бизнесу.

(l) требования к внедрению и тестированию планов действий в чрезвычайных ситуациях;

Мы поддерживаем планы непрерывной работы и аварийного восстановления, как описано в нашем Центре безопасности. Мы пересматриваем и тестируем их не реже одного раза в год.

(m) положения, обеспечивающие доступ к данным, принадлежащим учреждению или платежной организации, в случае неплатежеспособности, разрешения спора или прекращения деятельности поставщика услуг;

Мы предоставляем клиенту доступ к его данным и позволяем экспортировать их в течение всего срока действия нашего договора.

Ни одно из этих обязательств не отменяется в случае неплатежеспособности Atlassian. Кроме того, Atlassian не имеет права расторгнуть договор в связи с собственной неплатежеспособностью, хотя клиент может выбрать расторжение для удобства при таком сценарии.

В маловероятном случае неплатежеспособности Atlassian клиент может ссылаться на эти обязательства при обращении к назначенному арбитражному управляющему.

(n) обязанность поставщика услуг сотрудничать с компетентными органами и органами по разрешению споров учреждения или платежной организации, включая других назначенных ими лиц;

Atlassian будет сотрудничать с компетентными органами учреждения и органами по разрешению споров при реализации их прав на аудит, информацию и доступ.

(o) четкая ссылка (для учреждений) на полномочия национального органа по разрешению споров, главным образом на статьи 68 и 71 Директивы 2014/59/EU (BRRD), а также, в частности, на описание «материально-правовых обязательств» договора в контексте статьи 68 этой Директивы;

Atlassian понимает, что учреждения и любая организация, занимающаяся разрешением споров, должны иметь возможность продолжать деятельность во время разрешения споров. Чтобы обеспечить поддержку в ходе этого процесса, мы обязуемся продолжать предоставлять затрагиваемые облачные продукты во время разрешения споров, как того требует BRRD.

(p) право учреждений, платежных организаций и компетентных органов без ограничений выполнять проверку и аудит поставщика услуг в отношении, например, критически необходимой или важной функции, переданной на аутсорсинг, как указано в разделе 13.3 («Права на доступ, информацию и аудит»);

См. комментарии к разделу 13.3 в строках с 40 по 53.

(q) права на расторжение договора, как указано в разделе 13.4 («Права на расторжение договора»).

См. комментарии к разделу 13.4 в строке 56.

Параграф 76

В соглашении об аутсорсинге должно быть указано, допустим ли дальнейший аутсорсинг критически необходимых или важных функций или их существенных частей.

Чтобы предоставлять продукты на международном уровне с минимальными перебоями, мы можем передавать некоторые критически необходимые или важные функции на дальнейший аутсорсинг поставщикам высококачественных услуг (например, поставщикам хостинга данных).

Параграф 77

Если дальнейший аутсорсинг критически необходимых или важных функций разрешен, учреждениям и платежным организациям следует определить, относится ли часть передаваемой на дальнейший аутсорсинг функции к числу критически необходимых или важных (т. е. идет ли речь о существенной части критически необходимой или важной функции). Если это так, ее необходимо зарегистрировать в реестре.

Этот вопрос рассматривается клиентом.

Параграф 78

Если дальнейший аутсорсинг критически необходимых или важных функций разрешен, в письменном соглашении необходимо:

(a) указать виды деятельности, для которых не допускается дальнейший аутсорсинг;

См. строку 22 выше.

(b) указать условия, которые должны соблюдаться в случае дальнейшего аутсорсинга;

Atlassian уведомляет о любых изменениях по части дальнейшего аутсорсинга и о возникновении новых уровней аутсорсинга для критически необходимых или важных функций, а также предоставляет информацию о таком аутсорсинге. Если у учреждения есть опасения по поводу такого аутсорсинга, мы предоставляем возможность расторгнуть соглашение с нами.

(c) обозначить, что поставщик услуг обязан контролировать услуги, которые он передает на субподряд, для обеспечения бесперебойного выполнения всех договорных обязательств между поставщиком услуг и учреждением или платежной организацией;

По условиям договора с клиентом Atlassian по-прежнему отвечает за общую производительность, в том числе функций, переданных на дальнейший аутсорсинг. Что касается дальнейшего аутсорсинга критически необходимых или важных функций, Atlassian обязуется заключать со своими субподрядчиками договоры, которые предоставляют учреждениям и их компетентным органам и органам по разрешению споров надлежащие права на аудит, доступ и информацию, а также требуют от таких субподрядчиков соблюдения всех применимых законов.

(d) потребовать от поставщика услуг получения предварительного специального или общего письменного разрешения от учреждения или платежной организации до передачи данных на дальнейший аутсорсинг;

В рамках соблюдения требований GDPR в нашем Приложении об обработке данных мы обязуемся не привлекать субобработчиков к обработке персональных данных клиентов без предварительного письменного согласия клиента.

(e) включить обязательство поставщика услуг информировать учреждение или платежную организацию о любом планируемом дальнейшем аутсорсинге или о существенных изменениях в нем, включая такие ситуации, в которых это может повлиять на способность поставщика услуг выполнять свои обязанности по соглашению об аутсорсинге. Сюда входят планируемые существенные изменения по части субподрядчиков и периода уведомления; в частности, устанавливаемый период уведомления должен позволять учреждению или платежной организации, получающей аутсорсинг, как минимум провести оценку рисков предлагаемых изменений и возразить против них до вступления запланированного дальнейшего аутсорсинга или его существенных изменений в силу;

См. строку 26 выше.

(f) предоставить (в уместном случае) учреждению или платежной организации право возражать против предполагаемого дальнейшего аутсорсинга или его существенных изменений либо договориться о том, что для таких случаев требуется явное разрешение;

См. строку 26 выше.

(g) обеспечить для учреждения или платежной организации договорное право расторгнуть соглашение в случае неоправданного дальнейшего аутсорсинга, например, когда он существенно увеличивает риски для учреждения или платежной организации или когда поставщик услуг передает функцию на дальнейший аутсорсинг, не уведомив учреждение или платежную организацию.

См. строку 26 выше.

Параграф 79

Учреждения и платежные организации должны соглашаться на дальнейший аутсорсинг только в том случае, если субподрядчик обязуется:

(a) соблюдать все применимые законы, нормативные требования и договорные обязательства;

См. строку 27 выше.

(b) предоставлять учреждению, платежной организации и компетентному органу те же договорные права на доступ и аудит, что и поставщик услуг.

См. строку 27 выше.

Параграф 80

Учреждения и платежные организации должны обеспечить надлежащий контроль субподрядчиков поставщиком услуг в соответствии с политикой, определенной учреждением или платежной организацией. Если предлагаемый дальнейший аутсорсинг может оказать существенное отрицательное влияние на механизм аутсорсинга критически необходимой или важной функции либо привести к существенному увеличению риска, в том числе к ситуации, когда не будут выполняться условия параграфа 79, учреждению или платежной организации следует воспользоваться правом возражать против дальнейшего аутсорсинга, если такое право было согласовано, и (или) расторгнуть договор.

См. строки 26 и 27 выше.

Параграф 81

Учреждения и платежные организации должны обеспечить (в уместном случае) соблюдение поставщиками услуг соответствующих стандартов информационной безопасности.

Atlassian регулярно проходит независимую проверку в отношении средств обеспечения безопасности, конфиденциальности и соответствия требованиям. В течение срока действия нашего с вами договора мы будем соблюдать, по крайней мере, требования стандартов, перечисленных в нашем Центре безопасности, включая сертификаты ISO/IEC 27001 и ISO/IEC 27018, а также требования аудиторских отчетов SOC 2 типа II и SOC 3:
https://www.atlassian.com/trust/compliance.

Параграф 82

Там, где это уместно (например, в контексте облачного или иного аутсорсинга ИКТ), учреждения и платежные организации должны определить требования к безопасности данных и систем в рамках соглашения об аутсорсинге и контролировать соблюдение этих требований на постоянной основе.

Поскольку затрагиваемые облачные продукты основаны на модели «один ко многим», мы предоставляем одинаково надежные средства безопасности всем клиентам. Наши методы подробно описаны в Центре безопасности, который доступен по ссылке
https://www.atlassian.com/trust/.

Мы обязуемся соблюдать правила, указанные в нашем Центре безопасности, и не допускать существенного снижения общей безопасности затрагиваемых облачных продуктов в течение срока действия вашей подписки.

Параграф 83

В случае аутсорсинга с привлечением поставщиков облачных услуг и других соглашений об аутсорсинге, связанных с обработкой или передачей личных или конфиденциальных данных, учреждениям и платежным организациям следует оценивать риски по месту хранения и обработки данных (т. е. стране или региону), а также по вопросам информационной безопасности.

Этот вопрос рассматривается клиентом.

Параграф 84

Чтобы не нарушить требования Регламента (ЕС) 2016/679, учреждения и платежные организации при аутсорсинге (в частности, в третьи страны) должны учитывать различия в национальных положениях, касающихся защиты данных. Учреждения и платежные организации должны удостовериться в том, что соглашение об аутсорсинге включает обязательство поставщика услуг защищать конфиденциальную, личную или иную закрытую информацию и соблюдать все правовые требования в отношении защиты данных, которые применяются к учреждению или платежной организации (например, защита персональных данных и соблюдение банковской тайны или аналогичных юридических обязательств по конфиденциальности в отношении информации клиентов, если это применимо).

Мы предоставляем Приложение об обработке данных, которое содержит подробные обязательства в отношении обработки и безопасности персональных данных клиентов. Подробнее о нашей программе соответствия GDPR можно узнать здесь:

https://www.atlassian.com/trust/compliance/resources/gdpr

Параграф 85

В рамках письменного соглашения об аутсорсинге учреждения и платежные организации должны обеспечить для внутреннего аудиторского подразделения возможность проверять функцию, передаваемую на аутсорсинг, с учетом рисков.

Atlassian предоставляет учреждениям договорные механизмы для проверки затрагиваемых облачных продуктов на постоянной основе.

Параграф 86

Вне зависимости от критической необходимости или важности передаваемой на аутсорсинг функции письменные соглашения об аутсорсинге между учреждениями и поставщиками услуг должны указывать полномочия компетентных органов и органов по разрешению споров в отношении сбора информации и проведения расследований в соответствии со статьей 63 (1) (a) Директивы 2014/59/EU и статьей 65 (3) Директивы 2013/36/EU в отношении поставщиков услуг, расположенных в государстве-члене, а также обеспечивать эти права в отношении поставщиков услуг, расположенных в третьих странах.

Atlassian признает полномочия компетентных органов и органов по разрешению споров в отношении сбора информации и проведения расследований согласно соответствующему и применимому законодательству ЕС.

Параграф 87

Что касается аутсорсинга критически необходимых или важных функций, учреждения и платежные организации должны предусмотреть в рамках письменного соглашения об аутсорсинге такие условия, чтобы поставщик услуг предоставлял им и их компетентным органам, включая органы по разрешению споров, а также назначенным ими либо компетентными органами лицам следующее:

(a) полный доступ ко всем соответствующим служебным помещениям (например, головным офисам и операционным центрам), включая весь набор соответствующих устройств, систем, сетей, информации и данных, используемых для выполнения функции, передаваемой на аутсорсинг, включая соответствующую финансовую информацию, персонал и внешних аудиторов («права на доступ и информацию»);

(b) неограниченные права на проверку и аудит, связанные с соглашением об аутсорсинге («права на аудит»), а также позволяющие контролировать такое соглашение и обеспечивать соблюдение всех применимых нормативных и договорных требований.

Atlassian предоставляет необходимые права на аудит, информацию и доступ учреждениям, использующим затрагиваемые облачные продукты, а также их компетентным органам и их представителям.

Параграф 88

При аутсорсинге функций, которые не являются критически необходимыми или важными, учреждения и платежные организации должны обеспечить доступ и права на аудит, изложенные в пунктах (a) и (b) параграфа 87 и в разделе 13.3, на основе подхода с оценкой рисков, в которой учитывается характер передаваемой на аутсорсинг функции и связанных с ней операционных и репутационных рисков, ее масштабируемость, а также потенциальное влияние на непрерывное осуществление деятельности и предусмотренный договором период. Учреждения и платежные организации должны учитывать, что функции могут со временем стать критически необходимыми или важными.

См. строку 44 выше.

Параграф 89

Учреждения и платежные организации должны удостовериться в том, что соглашение об аутсорсинге или любое другое договорное соглашение не препятствует и не ограничивает эффективную реализацию прав на доступ и аудита для них, компетентных органов или третьих сторон, назначенных ими для реализации этих прав.

Наша программа аудита позволяет клиентам, соответствующим требованиям, и их компетентным органам эффективно проводить проверки затрагиваемых облачных продуктов.

Параграф 90

Учреждения и платежные организации должны пользоваться своими правами на доступ и аудит, определять периодичность аудита и его область на основе подхода с оценкой рисков и придерживаться соответствующих общепринятых национальных и международных стандартов аудита.

Мы разработали программу аудита, которая согласуется с этим положением.

Параграф 91

Без ущерба для своей окончательной ответственности в отношении соглашений об аутсорсинге учреждения и платежные организации могут использовать:

(a) групповые аудиты, организованные совместно с другими клиентами того же поставщика услуг и выполняемые ими и этими клиентами или назначенной ими третьей стороной в целях более эффективного использования аудиторских ресурсов и снижения организационной нагрузки как на клиентов, так и на поставщика услуг;

(b) сторонние сертификаты и отчеты по сторонним и внутренним аудитам, предоставляемые поставщиком услуг.

Наша программа аудита позволяет учреждениям проверять затрагиваемые облачные продукты с помощью групповых аудитов и (или) сторонних сертификатов.

Параграф 92

Для критически необходимых или важных функций, передаваемых на аутсорсинг, учреждениям и платежным организациям следует оценить, отвечают ли сторонние сертификаты и отчеты, упомянутые в пункте (b) параграфа 91, требованиям и достаточны ли они для выполнения нормативных обязательств, и не полагаться исключительно на эти отчеты в долгосрочной перспективе.

Этот вопрос рассматривается клиентом.

Параграф 93

Учреждения и платежные организации должны использовать метод, упомянутый в пункте (b) параграфа 91, только в том случае, если они:

(a) удовлетворены планом аудита для функции, переданной на аутсорсинг;

(b) удостоверились в том, что сертификат или отчет по аудиту охватывает системы (т. е. процессы, приложения, инфраструктуру, центры обработки данных и т. д.) и ключевые средства управления, определенные учреждением или платежной организацией, а также предполагает соблюдение соответствующих нормативных требований;

(c) тщательно оценивают содержание сертификатов или отчетов по аудитам на постоянной основе и проверяют, не устарели ли эти отчеты или сертификаты;

(d) предусмотрели охват ключевых систем и средств управления в будущих версиях сертификатов или отчетов по аудитам;

(e) удовлетворены компетентностью сертифицирующей или аудиторской стороны (например, в отношении ротации сертифицирующей или аудиторской компании, квалификации, опыта, а также проверки доказательств в базовом аудиторском досье);

(f) удостоверились, что сертификаты выдаются и аудиты проводятся в соответствии со значимыми общепризнанными профессиональными стандартами и включают проверку эффективности действующих ключевых средств управления;

(g) имеют договорное право требовать расширения сферы сертификации или отчетов по аудитам с целью включения других соответствующих систем и средств управления; количество и частота таких запросов на изменение охвата должны быть разумными и законными с точки зрения управления рисками;

(h) сохраняют за собой договорное право проводить индивидуальные аудиты по своему усмотрению в отношении критически необходимых или важных функций, передаваемых на аутсорсинг.

Подпункты (a)–(f) представляют собой вопросы, рассматриваемые клиентом. Что касается подпункта (g), мы предоставляем учреждениям договорный механизм для запроса изменений в наших средствах управления и процессах аудита. Подпункт (h) рассматривается в строке 44 выше.

Параграф 94

В соответствии с Руководством EBA по оценке рисков ИКТ в рамках процедуры контроля и оценки (SREP) учреждения должны (если это уместно) предусмотреть возможность тестирования на проникновение в целях оценки эффективности внедренных мер и процессов в сфере кибербезопасности и внутренней безопасности ИКТ. С учетом раздела I платежные организации также должны иметь внутренние механизмы контроля ИКТ, включая меры контроля безопасности ИКТ и действия по смягчению последствий инцидентов.

Atlassian предоставляет клиентам право проводить тестирование на проникновение в любое время без предварительного разрешения Atlassian: https://www.atlassian.com/trust/security/security-testing

Параграф 95

Прежде чем посетить объект, учреждения, платежные организации, компетентные органы или их сторонние представители вместе с аудиторами должны заблаговременно уведомить поставщика услуг, кроме тех случаев, когда это невозможно из-за чрезвычайной или кризисной ситуации либо может привести к утрате эффективности аудита.

Наша программа аудита разработана с учетом этого вопроса.

Параграф 96

При проведении аудитов в средах с несколькими клиентами необходимо следить за тем, чтобы риски в отношении среды другого клиента (например, влияние на уровни обслуживания, доступность данных или аспекты конфиденциальности) предотвращались или смягчались.

Для Atlassian и наших клиентов чрезвычайно важно, чтобы наша деятельность с одним клиентом не подвергала риску других. Это распространяется на аудиты как с вашей стороны, так и со стороны любого другого клиента. Когда учреждение проводит аудит, мы будем работать с ним таким образом, чтобы свести к минимуму перебои для остальных наших клиентов. Кроме того, мы постараемся обеспечить для этого учреждения те же условия, когда аудит будут проводить другие клиенты. В частности, мы будем непрерывно отслеживать соблюдение собственных обязательств по безопасности со стороны своей команды.

Параграф 97

Когда соглашение об аутсорсинге сопряжено с высоким уровнем технической сложности, например в случае облачного аутсорсинга, учреждение или платежная организация должны убедиться в том, что аудитор — будь то внутренние аудиторы, группа аудиторов или внешние аудиторы, действующие от имени учреждения или платежной организации, — обладает соответствующими навыками и знаниями для эффективного проведения соответствующих аудитов и (или) оценок. То же относится к любому персоналу учреждения или платежной организации, проверяющему сторонние сертификаты или аудиты, проводимые поставщиками услуг.

Ответственность за это лежит на клиенте.

Параграф 98

Соглашение об аутсорсинге должно в явной форме предусматривать возможность для учреждения или платежной организации расторгнуть соглашение в соответствии с применимым законодательством, в том числе в следующих ситуациях:

(a) если поставщик передаваемых на аутсорсинг функций нарушает применимые законы, правила или договорные положения;

(b) если выявлены препятствия, способные повлиять на эффективность выполнения передаваемой на аутсорсинг функции;

(c) если произошли существенные изменения, влияющие на соглашение об аутсорсинге или на поставщика услуг (например, дальнейший аутсорсинг или смена субподрядчиков);

(d) если выявлены недостатки в отношении безопасности конфиденциальных, личных или других закрытых данных или информации, а также в отношении управления ими;

(e) если компетентный орган учреждения или платежной организации дает соответствующие инструкции, например когда компетентный орган, назначенный в соглашении об аутсорсинге, больше не в состоянии эффективно контролировать учреждение или платежную организацию.

Мы предоставляем клиентам широкие и удобные права на расторжение договора, которые позволяют принять такое решение в любом из случаев, перечисленных в разделе 13.4 Руководства EBA.

Параграф 99

Письменное соглашение об аутсорсинге должно:

(a) четко излагать обязательства существующего поставщика услуг в случае передачи функции, отданной на аутсорсинг, другому поставщику услуг либо обратно учреждению или платежной организации, включая обработку данных;

Встроенные функции наших продуктов позволяют экспортировать данные клиентов в любое время в течение срока действия договора без нашей помощи.

(b) установить соответствующий переходный период, в течение которого поставщик услуг после прекращения действия соглашения об аутсорсинге будет продолжать предоставлять функции, переданные на аутсорсинг, для снижения риска сбоев;

Если это необходимо учреждению, срок подписки можно продлить на короткий период, чтобы обеспечить переход к другому поставщику услуг.

(c) включать обязательство поставщика услуг поддерживать учреждение или платежную организацию в ходе передачи функции в должном порядке при расторжении соглашения об аутсорсинге.

См. строки 58 и 59 выше.