BaFin
Diretrizes de terceirização da Atlassian
Este quadro foi desenvolvido para auxiliar as instituições de serviços financeiros sob a supervisão da BaFin, a Autoridade Federal de Supervisão Financeira da Alemanha, a mapear como cada parágrafo do Capítulo V (Termos contratuais no caso de terceirização (substancial)) da Orientação sobre Terceirização para Provedores de Serviços na Nuvem (a “Orientação da BaFin”) corresponde à documentação do contrato do cliente da Atlassian.
Se você tem um contrato da Atlassian existente ou quer saber mais sobre como esses termos podem ser aplicados ao seu contrato, entre em contato com a gente.
Última atualização em dezembro de 2021, [clique aqui para baixar o PDF]
Nº | Considerações e requisitos | Comentário da Atlassian |
1. | Dependendo dos requisitos legais de supervisão, os seguintes termos e condições em particular devem ser incluídos no contrato de terceirização para terceirização substancial1 ou para terceirização não diferenciada de acordo com a KAGB: |
|
2. | 1. Escopo do desempenho |
|
3. | O contrato deve incluir uma especificação e, se necessário, uma descrição do serviço a ser executado pelo provedor de serviços em nuvem. Elas devem ser estipuladas no que é chamado de acordo de nível de serviço. Neste contexto, os seguintes aspectos devem ser definidos: |
|
4. |
| A documentação que a gente oferece, incorporada por referência ao contrato do cliente da Atlassian para clientes qualificados, contém descrições claras dos Produtos Cloud Cobertos. |
5. |
| Os clientes qualificados têm acesso à Oferta de Suporte da Atlassian, sujeita ao contrato do cliente da Atlassian. |
6. |
| Essa questão é tratada em termos gerais no contrato do cliente Atlassian. |
7. |
| Certos Produtos Cloud Cobertos incluem a funcionalidade de residência de dados no produto, conforme descrito com mais detalhes aqui, o que permite que os administradores dos clientes fixem os dados do produto em escopo no local de sua preferência. Esta página descreve a infraestrutura de hospedagem na nuvem da Atlassian. |
8. |
| O contrato do cliente Atlassian define a duração padrão do período de assinatura e de todos os períodos de notificação adequados. Além disso, ao fazer o pedido de um ou mais Produtos Cloud Cobertos, ele vai conter as datas de início e término do período de assinatura correspondente. |
9. |
| Os termos de nível de serviço correspondentes, assim como as soluções para o não atendimento dos níveis de serviço para os Produtos Cloud Cobertos são dispostos no Acordo de Nível de Serviço e nos Termos Específicos do Produto correspondentes. |
10. |
| A Atlassian publica atualizações de disponibilidade do serviço em https://status.atlassian.com/ e tem o compromisso, por contrato, a notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos. |
11. | 2. Direitos de informação e auditoria da empresa supervisionada |
|
12. | Os direitos de informação e auditoria, assim como as possibilidades de controle da empresa supervisionada, não devem estar sujeitos a restrições contratuais. É preciso garantir que a empresa supervisionada receba as informações necessárias para realizar o controle e o monitoramento adequados dos riscos associados à terceirização. | O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades supervisoras auditem os Produtos Cloud Cobertos com eficácia. |
13. | Para proteger os direitos de informação e auditoria, os seguintes termos, em particular, devem ser firmados em contrato: | Veja a linha 12, acima. |
14. | Nenhuma restrição (indireta) de direitos. O exercício efetivo dos direitos de informação e auditoria não pode ser restringido por contrato. As autoridades de supervisão alemãs consideram a existência dessa restrição inadmissível de direitos de informação e auditoria no caso particular de acordos contratuais que concedam esses direitos apenas sob certas condições, o que inclui, em particular: | Veja a linha 12, acima. |
15. | Exceções | Esta é uma consideração do cliente. Consulte também a linha 12, acima, e a linha 20, abaixo. |
16. | Auditorias agrupadas | Esta é uma consideração do cliente. Consulte também a linha 12, acima. |
17. | A este respeito, a atividade de auditoria pode ser realizada pelo departamento de auditoria interna do provedor de serviços em nuvem, o departamento de auditoria interna de uma ou mais das empresas terceirizadas supervisionadas em nome das empresas terceirizadas supervisionadas (“auditorias agrupadas”), um terceiro nomeado pelo provedor de serviços em nuvem ou um terceiro nomeado pelas empresas terceirizadas supervisionadas. | Esta é uma consideração do cliente. Consulte também a linha 12, acima. |
18. | Para as outras empresas supervisionadas, pode ser permitido, em caráter individual, exercer certos direitos de informação e auditoria contra o provedor de serviços em nuvem em conjunto com outras empresas supervisionadas por meio de auditoria conjunta. | Esta é uma consideração do cliente. Consulte também a linha 12, acima. |
19. | Se uma empresa supervisionada fizer uso de alguma das exceções mencionadas acima, esse uso não pode resultar na restrição de seus direitos de informação e auditoria. | Veja a linha 12, acima. |
20. | Comprovações/certificados e relatórios de auditoria | A Atlassian passa com frequência por exames independentes dos controles de segurança, privacidade e conformidade internos. Durante a vigência do contrato da Atlassian com você, a gente vai cumprir pelo menos os padrões listados no Trust Center, que inclui as certificações ISO/IEC 27001 e ISO/IEC 27018, além de relatórios de auditoria SOC 2 Tipo II e SOC 3: https://www.atlassian.com/trust/compliance |
21. | No entanto, a empresa supervisionada não deve confiar apenas neles ao exercer sua atividade de auditoria. Se o departamento de auditoria interna utilizar essa documentação/esses certificados na sua atividade, ele deve ter a capacidade de examinar as evidências subjacentes. | Esta é uma consideração do cliente. Consulte também a linha 12, acima. |
22. | 3. Direitos de informação e auditoria das autoridades de supervisão |
|
23. | Os direitos de informação e auditoria e as possibilidades de controle das autoridades de supervisão não devem estar sujeitos a restrições contratuais. As autoridades supervisoras devem ser capazes de monitorar os provedores de serviços na nuvem em conformidade com as provisões da legislação vigente para a empresa supervisionada. As autoridades de supervisão devem poder exercer os direitos de informação e auditoria, bem como as possibilidades de controle de maneira adequada, e sem restrições, no que diz respeito ao item que está sendo terceirizado; este ponto também é válido para as pessoas que as autoridades de supervisão utilizam para realizar as auditorias. | O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades supervisoras auditem os Produtos Cloud Cobertos com eficácia. |
24. | Para proteger esses direitos, os seguintes termos, em particular, devem ser estabelecidos em contrato: | Veja a linha 23, acima. |
25. | Nenhuma restrição (indireta) de direitos | Veja a linha 23, acima. |
26. | 4. Direitos de emissão de instruções |
|
27. | Os direitos das empresas supervisionadas de emitir instruções devem ser acordados. Os direitos de emissão de instruções existem para garantir que todas as instruções necessárias para executar o serviço acordado possam ser emitidas, ou seja, a possibilidade de influenciar e controlar o item terceirizado é necessária. A implementação técnica pode ter organização individual com base nas circunstâncias específicas da empresa. | Os clientes da Atlassian podem emitir instruções (inclusive com relação a certificações de terceiros e relatórios de auditoria) para a gente em relação aos Produtos Cloud Cobertos por meio de seus canais de suporte ao cliente. |
28. | Se a empresa supervisionada usar comprovações/certificações ou relatórios de auditoria (cf. V.2), ela também deve ter a possibilidade de influenciar o escopo de comprovações/certificações ou dos relatórios de auditoria para que ele possa ser expandido para incluir sistemas e controles relevantes. Deve haver uma proporção razoável entre a quantidade e a frequência em que essas instruções são emitidas. | Veja a linha 27, acima. |
29. | Além disso, a empresa supervisionada deve estar sempre autorizada a emitir instruções ao provedor de serviços em nuvem para correção, eliminação e bloqueio de dados, e o provedor de serviços em nuvem deve ser autorizado a recolher, processar e utilizar os dados apenas no contexto das instruções emitidas pela empresa supervisionada. Este ponto também deve abranger a possibilidade de emitir instruções a qualquer momento para que os dados processados pelo provedor de serviços em nuvem sejam transferidos de volta para a empresa supervisionada de imediato e sem restrições. | A Atlassian oferece um Adendo de Processamento de Dados com compromissos detalhados sobre o processamento e a segurança dos dados pessoais do cliente. Você pode saber mais sobre o programa de conformidade com o GDPR aqui: |
30. | Se o acordo explícito sobre os direitos de emissão de instruções da empresa supervisionada puder ser dispensado, o serviço a ser prestado pela empresa terceirizada deve ser especificado com clareza suficiente no contrato de terceirização. | Veja a linha 27, acima. |
31. | 5. Segurança/proteção de dados (referência ao local do armazenamento de dados) |
|
32. | Devem ser acordadas disposições que garantam a conformidade com as regulamentações de proteção de dados e outros requisitos de segurança. | Dada a natureza de um para muitos dos Produtos Cloud Cobertos, a Atlassian oferece a mesma segurança robusta para todos os clientes. Essas práticas de segurança são descritas em detalhes no Trust Center: https://www.atlassian.com/trust/ |
33. | A localização do armazenamento de dados deve ser conhecida pela empresa supervisionada. Esse conhecimento deve incluir a localização específica dos data centers. Como regra geral, informar o nome do local (por exemplo, a cidade) é suficiente para essa finalidade. No entanto, se a empresa supervisionada precisar do endereço exato do data center com base em considerações de gerenciamento de risco, essa informação deve ser dada pelo provedor de serviços em nuvem. | Veja a linha 7, acima. |
34. | Além disso, a redundância dos dados e dos sistemas deve ser garantida para que, em caso de falha de um data center, seja assegurada a manutenção dos serviços. | A Atlassian mantém planos de continuidade de negócios e planos de recuperação de desastres, conforme descrito no Trust Center. Esses planos são revisados e testados todos os anos, no mínimo. |
35. | A segurança dos dados e sistemas também deve ser assegurada dentro da cadeia de terceirização. | Veja a linha 32, acima. |
36. | A empresa supervisionada deve ter a possibilidade de acessar com rapidez em todos os momentos seus dados armazenados com o provedor de serviços em nuvem e de retransferi-los, se necessário. A este respeito, é necessário assegurar que a forma selecionada de retransferência não restrinja ou exclua a utilização dos dados. Por essa razão, os formatos de dados padrão independentes de plataforma devem ser acordados. A compatibilidade dos diferentes sistemas deve ser levada em consideração. | Veja a linha 29, acima. |
37. | 6. Disposições de rescisão |
|
38. | Os direitos de rescisão e os períodos adequados para o aviso de rescisão devem ser acordados. Em particular, deve ser acordado um direito especial de rescisão que preveja a rescisão por justa causa, caso a autoridade supervisora solicite a rescisão do contrato. | A Atlassian oferece aos clientes um amplo direito de rescisão por conveniência, o que lhes permitiria rescindir em qualquer circunstância. |
39. | É necessário garantir que, em caso de rescisão, os itens terceirizados para o provedor de serviços em nuvem continuem a ser entregues até que o item terceirizado tenha sido transferido em sua totalidade para outro provedor de serviços em nuvem ou para a empresa supervisionada. A este respeito, tem de ser garantido, em particular, que o provedor de serviços em nuvem vai prover ajuda razoável para a empresa supervisionada na transferência dos itens terceirizados para outro provedor de serviços em nuvem ou para a própria empresa supervisionada. | Se exigido por alguma instituição, ela pode estender seu prazo de assinatura por um curto período para permitir sua transição para outro provedor de serviços. |
40. | O tipo, a forma e a qualidade da transferência do item terceirizado e dos dados devem ser definidos. Se os formatos de dados forem adaptados às necessidades individuais da empresa supervisionada, o provedor de serviços em nuvem deve prover a documentação dessas adaptações na rescisão. | Essas informações podem ser acessadas nesta Documentação. |
41. | Deve ser acordado que, após a transferência dos dados de volta para a empresa supervisionada, seus dados passem por exclusão completa e irrevogável do lado do provedor de serviços em nuvem. | Essa consideração é abordada no Adendo de Processamento de Dados. |
42. | Para garantir que as áreas terceirizadas sejam mantidas em caso de rescisão, planejada ou não, do contrato, a empresa supervisionada deve ter uma estratégia de saída e avaliar sua viabilidade. | Esta é uma consideração do cliente. |
43. | 7. Terceirização em cadeia |
|
44. | Devem ser acordadas disposições sobre a possibilidade e as modalidades de terceirização em cadeia que garantam que os requisitos da lei de supervisão continuem a ser cumpridos. Restrições resultantes, por exemplo, em apenas as obrigações de maior semelhança serem assumidas não são permitidas. Deve ser garantido, em especial, que os direitos de informação e auditoria, bem como as possibilidades de controle da empresa terceirizada supervisionada, bem como das autoridades de supervisão, também sejam válidos para os subcontratantes no caso da terceirização em cadeia. | Para oferecer produtos globais com interrupções mínimas, a Atlassian pode subterceirizar certas funções críticas para provedores de serviços de alta qualidade (por exemplo, provedores de hospedagem de dados). Com relação às subterceirizações essenciais, a Atlassian tem o compromisso de garantir que tenha contratos apropriados com esses subcontratantes, que concedam direitos adequados de auditoria, acesso e informação às instituições e suas autoridades supervisoras, com exigência de que esses subcontratantes cumpram todas as leis vigentes. Consulte também a linha 12, acima. |
45. | Com relação à terceirização em cadeia, reservas de consentimento da empresa terceirizada ou condições específicas a serem atendidas para que a terceirização em cadeia seja possível devem ser previstas no contrato de terceirização. Devem ser definidos quais itens terceirizados e/ou partes deles podem ser terceirizados em cadeia e quais não podem. | Veja a linha 44, acima. |
46. | A empresa supervisionada deve ser informada com antecedência da terceirização em cadeia dos itens terceirizados e/ou partes deles por escrito. Os subcontratados e os itens e/ou partes deles terceirizados em cadeia devem ser conhecidos pela empresa supervisionada. | A Atlassian vai avisar sobre quaisquer alterações ou novas subterceirizações de funções essenciais ou importantes e vai oferecer informações sobre essas subterceirizações. Se a instituição tiver dúvidas sobre essas subterceirizações, a gente permite que a instituição rescinda seu contrato com a Atlassian. |
47. | No caso de uma nova terceirização em cadeia, é preciso levar em consideração que ela pode afetar a situação de risco da terceirização e, portanto, a empresa terceirizada. Assim, a análise de risco deve, no mínimo, ser revisada ou repetida no caso de uma nova terceirização em cadeia. O mesmo vale quando defeitos substanciais, bem como alterações substanciais, no serviço de nuvem disponibilizado por subcontratados são conhecidos. | Esta é uma consideração do cliente. |
48. | A empresa deve realizar a revisão e o monitoramento contínuos do desempenho de todo o serviço, não importa se o serviço em nuvem é prestado pelo provedor de serviços na nuvem ou por seus subcontratados. | Esta é uma consideração do cliente. |
49. | 8. Obrigações de informação |
|
50. | Devem ser acordadas disposições que garantam que o provedor de serviços em nuvem informe a empresa supervisionada sobre desenvolvimentos que possam causar efeitos adversos ao desempenho ordenado dos itens terceirizados. Essas disposições incluem coisas como relatar todas as interrupções na prestação do serviço de nuvem. Essas informações são necessárias para garantir que a empresa possa realizar o monitoramento adequado do item terceirizado. | A Atlassian publica atualizações de disponibilidade do serviço em https://status.atlassian.com/ e tem o compromisso, por contrato, a notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos. |
51. | O provedor de nuvem deve informar a empresa supervisionada sem demora sobre quaisquer circunstâncias que possam representar um risco para a segurança dos dados da empresa supervisionada a serem processados pelo provedor de serviços em nuvem, por exemplo, como resultado de atos de terceiros (por exemplo, embargo ou confisco), processos de insolvência ou composição ou outros eventos. | Além dos compromissos mencionados na linha 50, acima, a Atlassian estabelece o compromisso de oferecer aos clientes avisos sobre incidentes de segurança no Adendo de Processamento de Dados. |
52. | Deve ser garantido que a empresa supervisionada receba as informações necessárias do provedor de serviços em nuvem com antecedência no caso de alterações relevantes no serviço em nuvem a ser prestado pelo provedor de serviços em nuvem. As descrições dos serviços e todas as alterações feitas a eles devem ser informadas e/ou notificadas à empresa supervisionada por escrito. Deve ser assegurado que a empresa supervisionada receba as informações necessárias, na medida do permitido pela lei, sempre que solicitações/pedidos de entrega de dados da empresa supervisionada sejam realizados por terceiros. | A Atlassian publica o Roteiro de produtos da nuvem, que oferece aos clientes avisos de alterações relevantes nos Produtos Cloud Cobertos. |
53. | 9. Aviso da lei vigente |
|
54. | Quando alguma cláusula de lei vigente é acordada e a lei alemã não é acordada como legislação vigente, a lei de um país da União Europeia ou do Espaço Econômico Europeu deve, em qualquer caso, ser acordada como a lei que rege o contrato. | A legislação padrão que rege o Contrato do Cliente da Atlassian é a legislação da Califórnia. Entre em contato com a equipe de vendas Enterprise para receber mais informações. |
1O termo “terceirização substancial”, conforme usado nas Orientações da BaFin, é equivalente ao termo “terceirização essencial ou significativa”, conforme usado nas Diretrizes da EBA.