EBA 指南

段落 74

机构、支付机构和服务提供商的权利和义务应明确分配，并在书面协议中加以规定。

通常由 Atlassian 客户合同处理。

段落 75

关键或重要职能的外包协议至少应规定：

(a) 明确说明将提供的外包职能；

我们的文档以引用方式纳入了面向符合条件的客户的 Atlassian 客户合同，其中包含对所涉云产品的清晰描述。

(b) 协议的开始日期和终止日期（如适用）以及服务提供商和机构或支付机构的通知期；

Atlassian 客户合同规定了订阅期限的默认期限和所有适用的通知期。此外，当您下单购买一个或多个所涉云产品时，订单中将包含相应订阅期限的开始和结束日期。

(c) 协议的管辖法律；

Atlassian 客户合同的默认适用法律是加利福尼亚州的法律。请联系我们的 Enterprise 销售团队，了解更多详情。

(d) 双方的金融义务；

每种所涉云产品的定价均会在 www.atlassian.com 上公布

(e) 是否允许将关键或重要职能或其重要部分进行分包，如果允许，则应遵守第 13.1 节（关键和重要职能的分包）中规定的分包条件；

请参阅第 21 行至第 36 行中对第 13.1 节的评论。

(f) 地点（即地区或国家）将提供关键或重要功能和/或保存和处理相关数据的地点，其中包括潜在的存储位置和要满足的条件，包括在服务提供商提议更改地点时通知机构或支付机构的要求；

如此处所述，特定所涉云产品包含产品内数据驻留功能，允许客户的管理员将范围内的产品数据固定到他们选择的位置。本页介绍我们的云托管基础架构。

根据合同，我们承诺：(a) 在适用的订阅期内不会对产品功能进行重大降级；(b) 数据托管位置的任何更改都会通知客户。

(g) 有关相关数据访问权限性、可用性、完整性、隐私和安全的相关条款，如第 13.2 节（数据和系统的安全）所述；

请参阅第 36 行至第 39 行中对第 13.2 节的评论。

(h) 机构或支付机构有权持续监控服务提供商的表现；

我们会在 status.atlassian.com 发布服务可用性更新，并通过合同承诺告知客户对所涉云产品可用性产生重大影响的事件。

(i) 约定的服务水平，其中应包括外包职能确切的量化和定性业绩指标，以便及时进行监控，从而在未能达到约定的服务水平时立即采取适当的纠正措施；

有关所涉云产品的相应服务级别条款以及不符合服务级别的补救措施，请参见我们的服务水平协议和相应的产品特定条款。

(j) 服务提供商向机构或支付机构报告的义务，包括服务提供商告知任何可能对服务提供商按照约定的服务水平和适用的法律法规要求有效执行关键或重要职能的能力产生重大影响的发展，以及适用情况下，提交服务提供商内部审计职能报告的义务；

我们会在 status.atlassian.com 发布服务可用性更新，并通过合同承诺告知客户对所涉云产品可用性产生重大影响的事件。

(k) 服务提供商是否应为某些风险购买强制性保险，以及所要求的保险水平（如适用）；

Atlassian 根据适用于我们业务的法律的要求，为多个已确定的风险提供保险。

(l) 实施和测试业务应急计划的要求；

我们维护业务连续性计划和灾难恢复计划，详见信任中心所述。至少每年，我们都会对这些计划进行审查和测试。

(m) 确保在服务提供商倒闭、破产或业务停止的情况下可以访问该机构或支付机构拥有的数据的规定；

我们允许客户在整个合同期限内访问和导出其数据。

即便 Atlassian 破产，这两项承诺也不会取消。Atlassian 也无权因自己破产而终止，但在此情况下，客户可以选择终止合同。

如果 Atlassian 破产，客户可在与指定的破产从业人员打交道时引用这些承诺。

(n) 服务提供商有义务与该机构或支付机构的主管当局和清算机构合作，其中包括他们指定的其他人员；

Atlassian 将与该机构的主管当局和清算机构合作，以行使其审计、信息和访问权。

(o) 就机构而言，明确提及国家清算机构的权力，特别是第 2014/59/EU (BRRD) 号指令第 68 条和第 71 条，尤其是根据该指令第 68 条的含义描述合同的“实质性义务”；

Atlassian 理解，机构和任何清算实体都必须能在清算期间开展业务。为通过清算提供支持，我们承诺在清算期间继续按照 BRRD 的要求提供所涉云产品。

(p) 根据第 13.3 节（访问、信息和审计权）的规定，机构、支付机构和主管当局不受限制地对服务提供商进行检查和审计，特别是针对关键或重要的外包职能；以及

请参阅第 40 行至第 53 行中对第 13.3 节的评论。

(q) 第 13.4 节（终止权）中规定的终止权。

请参阅第 56 行中对第 13.4 节的评论。

段落 76

外包协议应明确规定是否允许将关键或重要功能或其重要组成部分分包出去

为了在最大限度地减少中断的情况下提供全球产品，我们可能会将某些关键或重要功能分包给高质量的服务提供商（例如数据托管提供商）。

段落 77

如果允许对关键或重要职能进行分包，机构和支付机构应确定要分包的功能属于关键功能还是重要功能（即关键或重要功能的重要组成部分），如果是，则将其记录在登记册中

具体取决于客户的考量。

段落 78

如果允许对关键或重要功能进行分包，则书面协议应：

(a) 指明不属于分包范围的任何类型的活动；

见上文第 22 行。

(b) 指明在分包情况下应遵守的条件；

Atlassian 将提供针对关键或重要功能的任何变更或新分包的通知，并提供有关此类分包的信息。如果该机构对此类分包有疑虑，可以选择与我们终止合同。

(c) 明确规定服务提供商有义务监督其分包的服务，以确保服务提供商与该机构或支付机构之间的所有合同义务持续得到履行；

根据 Atlassian 客户合同，Atlassian 仍对其整体绩效负责，包括针对所有分包的功能。此外，关于关键或重要的分包业务，Atlassian 承诺确保与此类分包商签订适当的合同，这些分包商授予机构及其主管当局和清算机构适当的审计、访问和信息权，并要求此类分包商遵守所有适用的法律。

(d) 要求服务提供商在将数据分包之前事先获得机构或支付机构的特定或常规书面授权；

作为我们遵守 GDPR 的一部分，在我们的 DPA 中，我们承诺在未经客户事先书面同意的情况下，不指定任何辅助处理者处理客户个人数据。

(e) 包括服务提供商有义务向机构或支付机构通报任何计划的分包或其重大变化，特别是在可能会影响服务提供商履行外包协议规定责任的能力的情况下。这包括计划的分包商和通知期的重大变更，特别是，设定的通知期限应允许外包机构或支付机构至少对拟定变更进行风险评估，并在计划的分包外包或其重大变更生效前反对变更；

见上文第 26 行。

(f) 酌情确保该机构或支付机构有权反对预期的分包或其重大变更，或需要明确批准；

见上文第 26 行。

(g) 确保机构或支付机构在出现不当分包的情况下有终止协议的合同权利，例如分包大大增加了机构或支付机构的风险，或者服务提供商在没有通知该机构或支付机构的情况下进行外包。

见上文第 26 行。

段落 79

机构和支付机构同意分包的前提是分包商承诺：

(a) 遵守所有适用的法律、监管要求和合同义务；并且

见上文第 27 行。

(b) 授予该机构、支付机构和主管当局与服务提供商相同的访问和审计合同权。

见上文第 27 行。

段落 80

机构和支付机构应确保服务提供商根据机构或支付机构制定的政策，对分包服务提供商进行适当监督。如果提议的分包可能对一项关键或重要功能的外包安排产生重大不利影响，或导致风险大幅提升，包括不符合段落 79 所列条件的情况，该机构或支付机构则应行使其权利反对分包（如果已约定此权利）并/或终止合同。

见上文第 26 和 27 行。

段落 81

机构和支付机构应确保服务提供商在相关情况下遵守适当的 IT 安全标准

Atlassian 会定期接受对我们的安全、隐私和合规控制的独立审查。在我们与您签订的合同期限内，我们将至少遵守信任中心列出的各项标准，其中包括 ISO/IEC 27001 和 ISO/IEC 27018 认证，以及 SOC 2 Type II 和 SOC 3 审计报告：
https://www.atlassian.com/trust/compliance。

段落 82

在相关情况下（例如在云或其他 ICT 外包的情况下），机构和支付机构应在外包协议中定义数据和系统安全要求，并持续监控这些要求的遵守情况。

鉴于所涉云产品的一对多性质，我们为所有客户提供同样强大的安全性。我们的信任中心详细介绍了这些安全实践：
https://www.atlassian.com/trust/

我们承诺遵守信任中心的安全实践，并且在订阅期内不会大幅降低所涉云产品的整体安全性。

段落 83

如果外包给云服务提供商以及其他涉及处理或传输个人或机密数据的外包安排，机构和支付机构在数据存储和数据处理地点（即国家或地区）以及信息安全考量方面应采取基于风险的方案。

具体取决于客户的考量。

段落 84

在不影响 (EU) 2016/679 条例要求的前提下，机构和支付机构在外包（特别是向第三国）外包时，应考虑到各国在数据保护方面的规定存在差异。机构和支付机构应确保外包协议包括服务提供商保护机密、个人或其他敏感信息的义务，并遵守适用于该机构或支付机构的所有数据保护法律要求（例如，保护个人数据和银行机密，以及类似的客户信息法律保密义务（如适用））。

我们提供了一份数据处理附录，其中提供有关处理和保护客户个人数据的详细承诺。您可以点击此处详细了解我们的 GDPR 合规计划：

https://www.atlassian.com/trust/compliance/resources/gdpr

段落 85

各机构和支付机构应在书面外包安排内确保内部审计职能部门能够采用基于风险的方案来审查外包的功能。

Atlassian 为机构提供合同机制，以持续审查所涉云产品。

段落 86

无论外包功能的关键性或重要性如何，机构和服务提供商之间的书面外包安排均应参考指令 2014/59/EU 第 63(1)(a) 条所规定之主管当局和清算机构的信息收集和调查权，以及指令 2013/36/EU 第 65(3) 条所规定之关于成员国和第三国的服务提供商的相关权利。

Atlassian 承认主管当局和清算机构根据相关和适用的欧盟法律拥有收集和调查信息的权力。

段落 87

关于关键或重要功能的外包，机构和支付机构应在书面外包协议中确保服务提供商授予他们及其主管当局（包括清算机构，以及指定的任何其他人员或主管当局）以下权利：

(a) 完全访问所有相关营业场所（例如总部和运营中心），其中包括用于提供外包功能的各种相关设备、系统、网络、信息和数据，包括相关的财务信息、人员和服务提供商的外部审计员（“访问和信息权利”）；以及

(b) 与外包安排有关的不受限制的检查和审计权利（“审计权”），以便他们能监控外包安排，并确保遵守所有适用的监管和合同要求。

对于所有使用所涉云产品的机构，Atlassian 向机构、其主管当局和指定人员提供所需的审计、信息和访问权。

段落 88

对于非关键或非重要功能的外包，机构和支付机构应确保第 87 (a) 和 (b) 段以及第 13.3 节中对基于风险的办法的访问和审计权，同时考虑到外包职能的性质以及相关的运营和声誉风险、可扩展性、对其活动持续业绩的潜在影响以及合同期限。机构和支付机构应考虑到，随着时间的推移，功能可能会变为关键或重要功能。

见上文第 44 行。

段落 89

机构和支付机构应确保外包协议或任何其他合同安排不会妨碍或限制自己、主管当局或自己为行使这些权利而指定的第三方有效行使访问和审计权。

我们的审核计划旨在确保符合条件的客户及其主管当局能够有效地审计所涉云产品。

段落 90

机构和支付机构应行使其访问权和审计权，以基于风险的方法确定审计频率和范围，并遵守相关、公认的国家和国际审计标准。

我们已根据这一考量制定相应的审计计划。

段落 91

在不影响其外包安排最终责任的前提下，机构和支付机构可以使用：

(a) 与同一服务提供商的其他客户联合组织以及由他们和这些客户或由他们指定的第三方执行的集中审计，以便更高效地使用审计资源，减轻客户和服务提供商的组织负担；

(b) 服务提供商提供的第三方认证和第三方或内部审计报告。

我们的审计计划允许机构使用集中审计和/或第三方认证来审核所涉云产品。

段落 92

对于关键或重要功能的外包，机构和支付机构应评估段落 91 (b) 中提及的第三方认证和报告是否足以履行其监管义务，并且随着时间的推移不应仅仅依赖这些报告。

具体取决于客户的考量。

段落 93

机构和支付机构只有在以下情况才应使用段落 91 (b) 中的所述方法：

(a) 对外包职能的审计计划感到满意；

(b) 确保认证或审计报告的范围涵盖各个系统（例如，流程、应用、基础设施、数据中心等）以及机构或支付机构确定的关键控制措施，以及对相关监管要求的遵守情况；

(c) 持续全面评估认证或审计报告的内容，并核实这些报告或认证没有过时；

(d) 确保后续版本的认证或审计报告涵盖关键系统和控制措施；

(e) 对认证方或审计方的能力（例如，认证或审计公司的轮换、资质、专业知识、对基础审计档案中证据的重新执行/验证）感到满意；

(f) 对认证的颁发和审计是根据公认的相关专业标准进行的，并包括对现有关键控制措施的运营有效性进行测试感到满意；

(g) 根据合同有权利要求将认证或审计报告的范围扩大到其他相关系统和控制措施；从风险管理的角度来看，此类范围修改请求的数量和频率应是合理合法的；以及

(h) 保留其酌情就关键或重要功能的外包进行个别审计的合同权利。

(a) 至 (f) 分段是客户方面的考量。至于 (g) 分段，是我们向各机构提供的一种合同机制，以便对方请求修改我们的审计控制手段和流程。上文第 44 行涉及 (h) 分段。

段落 94

根据 SREP 下的 EBA ICT 风险评估指南，机构应在相关情况下确保能够进行安全渗透测试，以评估已实施的网络和内部 ICT 安全措施和流程的有效性。考虑到第一条，支付机构还应建立内部 ICT 控制机制，包括 ICT 安全控制和缓解措施。

Atlassian 为客户提供了在未经 Atlassian 事先批准的情况下随时进行渗透测试的权利：https://www.atlassian.com/trust/security/security-testing

段落 95

在计划的现场访问之前，机构、支付机构、主管当局和审计机构或代表该机构、支付机构或主管当局行事的第三方应向服务提供商提供合理的通知，除非由于紧急情况或危急情况而无法这样执行或是可能导致审计不再有效的局面。

我们的审计计划是针对此考量定制的

段落 96

在多客户环境中执行审计时，应注意确保其他客户的环境（例如避免或减轻对服务水平、数据可用性、机密性的影响）。

对于 Atlassian 和我们的客户来说，至关重要的是，我们对某个客户的操作不应给其他客户带来风险。这适用于您执行审计时。当任何其他客户执行审计时，它也适用。当机构执行审计时，我们将与他们合作，最大限度地减少对其他客户的干扰。正如我们将与另一位审计客户合作，最大限度地减少对机构的干扰一样。特别需指出的是，我们将始终谨慎遵守我们的安全承诺。

段落 97

如果外包安排具有很高的技术复杂性，例如在云外包的情况下，机构或支付机构应验证由谁执行审计，无论是内部审计师、审计师库还是外部审计师代表，并且执行审计的人员具有适当、相关的技能和知识，可以有效地执行相关的审计和/或评估。这同样适用于审查第三方认证或服务提供商执行的审计的机构或支付机构的任何员工。

这是客户的责任。

段落 98

外包安排应明确允许机构或支付机构根据适用法律终止安排，包括在以下情况下：

(a) 外包功能的提供商违反了适用的法律、法规或合同条款；

(b) 发现可能改变外包功能之性能的障碍；

(c) 发生影响外包安排或服务提供商的重大变化（例如分包或分包商变更）；

(d) 在机密、个人或其他敏感数据或信息的管理和安全方面存在薄弱环节；

(e) 该机构或支付机构的主管当局发出指示，例如主管当局因外包安排而无法再有效监督该机构或支付机构。

为方便起见，我们为客户提供了广泛的终止权利，以便客户能够在 EBA 指南第 13.4 节中列出的任何情况下终止协议。

段落 99

书面外包安排应：

(a) 明确规定在将外包职能转移给另一家服务提供商或转回机构或支付机构的情况下，现有服务提供商的义务，包括数据处理；

我们为所有客户提供产品内置功能，让他们在合同期限内无需我们协助即可随时导出自己的数据。

(b) 设定一个适当的过渡期，在此期间，服务提供商在外包安排终止后将继续提供外包职能，以减少中断的风险；并且

如果机构提出要求，则可短期延长其订阅期限，以便过渡到其他服务提供商。

(c) 包括服务提供商在外包协议终止时支持该机构或支付机构有序转移该功能的义务。

见上文第 58 和 59 行。