Close
Logo do AICPA

Diretrizes da EBA

Tabela de mapeamento

A tabela abaixo define cada parágrafo da Seção 13 (Fase Contratual) das Diretrizes da Autoridade Bancária Europeia sobre Contratos de Terceirização (as “Diretrizes da EBA”). Para ajudar na sua análise interna, a gente descreve como a gente aborda cada uma das considerações nas Diretrizes da EBA. A oferta de serviços financeiros da Atlassian abrange clientes qualificados que compram as edições Enterprise dos Produtos Cloud Cobertos.

Última atualização em dezembro de 2021, [clique aqui para baixar o PDF]

 

Referência das diretrizes da EBA

Considerações

Comentário da Atlassian

1.

Referência das diretrizes da EBA

13. Fase contratual

2.

Referência das diretrizes da EBA

Parágrafo 74

Considerações

Os direitos e obrigações da instituição, da instituição de pagamento e do provedor de serviços devem ser atribuídos e definidos com clareza em contrato por escrito.

Comentário da Atlassian

Essa questão é tratada em termos gerais no contrato do cliente Atlassian.

3.

Referência das diretrizes da EBA

Parágrafo 75

Considerações

O contrato de terceirização para funções essenciais ou importantes deve estabelecer pelo menos:

Atlassian Commentary

 

4.

EBA Guidelines Reference

 

Considerações

(a) uma descrição clara da função terceirizada a ser provida;

Comentário da Atlassian

A documentação que a gente oferece, incorporada por referência ao contrato do cliente da Atlassian para clientes qualificados, contém descrições claras dos Produtos Cloud Cobertos.

5.

EBA Guidelines Reference

 

Considerações

(b) a data de início e a data de término, quando for o caso, do contrato e os períodos de notificação para o provedor de serviços e para a instituição ou instituição de pagamento;

Comentário da Atlassian

O contrato do cliente Atlassian define a duração padrão do período de assinatura e de todos os períodos de notificação adequados. Além disso, ao fazer o pedido de um ou mais Produtos Cloud Cobertos, ele vai conter as datas de início e término do período de assinatura correspondente.

6.

EBA Guidelines Reference

 

Considerações

(c) a legislação que rege o contrato;

Comentário da Atlassian

A legislação padrão que rege o Contrato do Cliente Atlassian é a legislação da Califórnia. Entre em contato com a equipe de vendas Enterprise para receber mais informações.

7.

EBA Guidelines Reference

 

Considerações

(d) as obrigações financeiras das partes;

Comentário da Atlassian

Os preços de todos os Produtos Cloud Cobertos estão publicados em www.atlassian.com

8.

EBA Guidelines Reference

 

Considerações

(e) se a subterceirização de alguma função essencial ou importante, ou partes substanciais dela, é permitida e, em caso afirmativo, as condições especificadas na Seção 13.1 (Subterceirização de funções essenciais e importantes) às quais a subterceirização está sujeita;

Comentário da Atlassian

Consulte os comentários da Seção 13.1, linhas 21 a 36.

9.

EBA Guidelines Reference

 

Considerações

(f) o(s) local(is), (ou seja, as regiões ou os países) em que a função essencial ou importante vai ser prestada e/ou em que os dados relevantes vão ser mantidos e tratados, incluindo o possível local de armazenamento, e as condições a cumprir, incluindo a obrigação de notificar a instituição ou instituição de pagamento caso o provedor de serviços pretenda alterar os locais;

Comentário da Atlassian

Certos Produtos Cloud Cobertos incluem a funcionalidade de residência de dados no produto, conforme descrito com mais detalhes aqui, o que permite que os administradores dos clientes fixem os dados do produto em escopo no local de sua preferência. Esta página descreve a infraestrutura de hospedagem na nuvem da Atlassian.

A Atlassian tem o compromisso, por contrato, de (a) não causar degradação substancial à funcionalidade do produto durante o período de assinatura vigente e (b) notificar os clientes sobre todas as alterações nos locais de hospedagem de dados.

10.

EBA Guidelines Reference

 

Considerações

(g) quando for o caso, disposições relativas a acessibilidade, disponibilidade, integridade, privacidade e segurança dos dados relevantes, conforme especificado na Seção 13.2 (Segurança de dados e sistemas);

Comentário da Atlassian

Consulte os comentários da Seção 13.2, linhas 36 a 39.

11.

EBA Guidelines Reference

 

Considerações

(h) o direito da instituição ou da instituição de pagamento de realizar o monitoramento contínuo do desempenho do provedor de serviços;

Comentário da Atlassian

A Atlassian publica atualizações de disponibilidade do serviço em status.atlassian.com e tem o compromisso, por contrato, de notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

12.

EBA Guidelines Reference

 

Considerações

(i) os níveis de serviço acordados, que devem incluir metas de desempenho quantitativas e qualitativas precisas para a função terceirizada, a fim de permitir o monitoramento oportuno, de modo a que as medidas corretivas adequadas possam ser tomadas sem demora injustificada se os níveis de serviço acordados não forem cumpridos;

Comentário da Atlassian

Os termos de nível de serviço correspondentes, assim como as soluções para o não atendimento dos níveis de serviço para os Produtos Cloud Cobertos são dispostos no Acordo de Nível de Serviço e nos Termos Específicos do Produto correspondentes.

13.

EBA Guidelines Reference

 

Considerações

(j) as obrigações de comunicação de informações do provedor de serviços à instituição ou instituição de pagamento, incluindo a comunicação pelo provedor de serviços de qualquer desenvolvimento que possa ter impacto significativo na capacidade do provedor de serviços para desempenhar com eficácia a função essencial ou importante conforme os níveis de serviço acordados e as disposições legislativas e regulamentares adequadas e, se for caso, as obrigações de apresentar relatórios sobre a função de auditoria interna do provedor de serviços;

Comentário da Atlassian

A Atlassian publica atualizações de disponibilidade do serviço em status.atlassian.com e tem o compromisso, por contrato, de notificar os clientes sobre eventos causadores de impactos substanciais na disponibilidade dos Produtos Cloud Cobertos.

14.

EBA Guidelines Reference

 

Considerações

(k) se o provedor de serviços deve assumir um seguro obrigatório contra certos riscos e, se for o caso, o nível de cobertura de seguro solicitado;

Comentário da Atlassian

A Atlassian mantém coberturas de seguro contra diversos riscos identificados e conforme exigido pelas leis pertinentes à empresa.

15.

EBA Guidelines Reference

 

Considerações

(l) os requisitos para implementar e testar planos de contingência de negócios;

Comentário da Atlassian

A Atlassian mantém planos de continuidade de negócios e planos de recuperação de desastres, conforme descrito no Trust Center. Esses planos são revisados e testados todos os anos, no mínimo.

16.

EBA Guidelines Reference

 

Considerações

(m) disposições que garantam que os dados pertencentes à instituição ou instituição de pagamento possam ser acessados em caso de insolvência, resolução ou interrupção das operações comerciais do provedor de serviços;

Comentário da Atlassian

A gente permite que o cliente acesse e exporte seus dados durante toda a duração do contrato.

Nenhum desses compromissos deixa de ser cumprido no caso de insolvência da Atlassian. A Atlassian também não tem o direito de rescindir por insolvência da própria Atlassian — embora o cliente tenha a opção de rescindir por conveniência nesse cenário.

No caso improvável de insolvência da Atlassian, o cliente pode consultar esses compromissos ao lidar com o administrador da insolvência designado.

17.

EBA Guidelines Reference

 

Considerações

(n) a obrigação de o provedor de serviços cooperar com as autoridades competentes e com as autoridades de resolução da instituição ou da instituição de pagamento, incluindo outras pessoas por elas designadas;

Comentário da Atlassian

A Atlassian vai cooperar com as autoridades competentes e com as autoridades de resolução da instituição no exercício de seus direitos de auditoria, informação e acesso.

18.

EBA Guidelines Reference

 

Considerações

(o) para as instituições, uma referência clara aos poderes da autoridade de resolução nacional, em especial aos artigos 68 e 71 da Diretiva 2014/59/UE (BRRD), e, em particular, uma descrição das “obrigações consideráveis” do contrato conforme o artigo 68 da Diretiva mencionada;

Comentário da Atlassian

A Atlassian entende que as instituições e qualquer entidade de resolução devem ser capazes de manter o funcionamento dos negócios durante a resolução. Para oferecer apoio até a resolução, a gente tem o compromisso de continuar oferecendo os Produtos Cloud Cobertos durante a resolução, conforme exigido pelo BRRD.

19.

EBA Guidelines Reference

 

Considerações

(p) o direito irrestrito das instituições, instituições de pagamento e autoridades competentes de inspecionar e auditar o provedor de serviços no que diz respeito, em especial, à função subcontratada essencial ou importante, conforme especificado na Secção 13.3 (Direitos de acesso, informação e auditoria); e

Comentário da Atlassian

Consulte os comentários da Seção 13.3, linhas 40 a 53.

20.

EBA Guidelines Reference

 

Considerações

(q) direitos de rescisão, conforme especificado na Seção 13.4 (Direitos de rescisão).

Comentário da Atlassian

Consulte os comentários da Seção 13.4, linha 56.

21.

Referência das diretrizes da EBA

13.1 Subterceirização de funções essenciais ou importantes

22.

Referência das diretrizes da EBA

Parágrafo 76

Considerações

O contrato de terceirização deve especificar se a subterceirização de funções essenciais ou importantes, ou partes substanciais delas, é permitida

Comentário da Atlassian

Para oferecer produtos globais com interrupções mínimas, a Atlassian pode subterceirizar certas funções essenciais ou importantes para provedores de serviços de alta qualidade (por exemplo, provedores de hospedagem de dados).

23.

Referência das diretrizes da EBA

Parágrafo 77

Considerações

Se for permitida a subterceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem determinar se a parte da função a ser subterceirizada é, em si, essencial ou importante (ou seja, uma parte considerável da função essencial ou importante) e, em caso afirmativo, incluir o fato no registro

Comentário da Atlassian

Esta é uma consideração do cliente.

24.

Referência das diretrizes da EBA

Parágrafo 78

Considerações

Se a subterceirização de funções essenciais ou importantes é permitida, o contrato por escrito deve:

Atlassian Commentary

 

25.

EBA Guidelines Reference

 

Considerações

(a) especificar todos os tipos de atividades excluídas de subterceirização;

Comentário da Atlassian

Veja a linha 22, acima.

26.

EBA Guidelines Reference

 

Considerações

(b) especificar as condições a serem cumpridas em caso de subterceirização;

Comentário da Atlassian

A Atlassian vai avisar sobre quaisquer alterações ou novas subterceirizações de funções essenciais ou importantes e vai oferecer informações sobre essas subterceirizações. Se a instituição tiver dúvidas sobre essas subterceirizações, a gente permite que a instituição rescinda seu contrato com a Atlassian.

27.

EBA Guidelines Reference

 

Considerações

(c) especificar que o provedor de serviços é obrigado a supervisionar os serviços que subcontratou para garantir que todas as obrigações contratuais entre o provedor de serviços e a instituição ou a instituição de pagamento sejam sempre cumpridas;

Comentário da Atlassian

A Atlassian permanece responsável por seu desempenho geral nos termos do contrato do cliente da Atlassian, inclusive por todas as funções subterceirizadas. Além disso, com relação às subterceirizações essenciais ou importantes, a Atlassian tem o compromisso de garantir que tenha contratos apropriados com esses subcontratantes, que concedam os devidos direitos de auditoria, acesso e informação às instituições e às suas autoridades competentes e de resolução, com exigência de que esses subcontratantes cumpram todas as leis vigentes.

28.

EBA Guidelines Reference

 

Considerações

(d) exigir que o provedor de serviços obtenha autorização prévia, específica ou geral, por escrito, da instituição ou instituição de pagamento antes da subterceirização de dados;

Comentário da Atlassian

Como parte da conformidade da Atlassian com o GDPR, no DPA, a gente estabelece o compromisso de não contratar nenhum subprocessador para processar os Dados Pessoais do Cliente sem o consentimento prévio e por escrito do cliente.

29.

EBA Guidelines Reference

 

Considerações

(e) incluir a obrigação do provedor de serviços de comunicar à instituição ou à instituição de pagamento qualquer subterceirização planejada, ou alterações consideráveis dela, em especial quando essa ação possa afetar a capacidade do provedor de serviços de cumprir as suas responsabilidades nos termos do contrato de terceirização. Esse ponto inclui alterações significativas e planejadas dos subcontratantes e do período de notificação; em especial, o período de notificação a ser definido deve permitir que a instituição que realiza a terceirização ou a instituição de pagamento, pelo menos, realize uma avaliação dos riscos das alterações propostas e se oponha às alterações antes da entrada em vigor da subterceirização planejada ou das alterações consideráveis dela provenientes;

Comentário da Atlassian

Veja a linha 26, acima.

30.

EBA Guidelines Reference

 

Considerações

(f) garantir, quando for caso, que a instituição ou instituição de pagamento tenha o direito de se opor à subterceirização pretendida, ou às alterações consideráveis a ela, ou estabelecer que a aprovação explícita seja necessária;

Comentário da Atlassian

Veja a linha 26, acima.

31.

EBA Guidelines Reference

 

Considerações

(g) garantir que a instituição ou instituição de pagamento tenha o direito contratual de rescindir o contrato em caso de subterceirização indevida, por exemplo, caso a subterceirização gere aumento substancial dos riscos à instituição ou à instituição de pagamento ou caso o provedor de serviços subterceirize sem aviso prévio dado à instituição ou à instituição de pagamento.

Comentário da Atlassian

Veja a linha 26, acima.

32.

Referência das diretrizes da EBA

Parágrafo 79

Considerações

As instituições e instituições de pagamento devem concordar com a subterceirização apenas se o subcontratante se comprometer a:

Atlassian Commentary

 

33.

EBA Guidelines Reference

 

Considerações

(a) cumprir todas as leis, requisitos regulamentares e obrigações contratuais apropriados; e

Comentário da Atlassian

Veja a linha 27, acima.

34.

EBA Guidelines Reference

 

Considerações

(b) conceder à instituição, à instituição de pagamento e à autoridade competente os mesmos direitos contratuais de acesso e auditoria que os concedidos pelo provedor de serviços.

Comentário da Atlassian

Veja a linha 27, acima.

35.

Referência das diretrizes da EBA

Parágrafo 80

Considerações

As instituições e as instituições de pagamento devem garantir que o provedor de serviços realize a supervisão adequada dos subprovedores de serviços, em conformidade com a política definida pela instituição ou instituição de pagamento. Caso a subterceirização proposta possa gerar efeitos adversos consideráveis ao contrato de terceirização de uma função essencial ou importante ou possa levar ao aumento significativo dos riscos, inclusive nos casos em que as condições do parágrafo 79 não seriam cumpridas, a instituição ou instituição de pagamento deve exercer o seu direito de se opor à subterceirização, se tal direito tiver sido acordado, e/ou de rescindir o contrato.

Comentário da Atlassian

Ver linhas 26 e 27, acima.

36.

Referência das diretrizes da EBA

13.2 Segurança de dados e sistemas

37.

Referência das diretrizes da EBA

Parágrafo 81

Considerações

As instituições e as instituições de pagamento devem assegurar que os provedores de serviços, quando relevante, cumpram as normas de segurança de TI adequadas

Comentário da Atlassian

A Atlassian passa com frequência por exames independentes dos controles de segurança, privacidade e conformidade internos. Durante a vigência do contrato da Atlassian com você, a gente vai cumprir pelo menos os padrões listados no Trust Center, que inclui as certificações ISO/IEC 27001 e ISO/IEC 27018, além de relatórios de auditoria SOC 2 Tipo II e SOC 3:
https://www.atlassian.com/trust/compliance

38.

Referência das diretrizes da EBA

Parágrafo 82

Considerações

Nos casos pertinentes (por exemplo, no contexto de terceirização da nuvem ou outra terceirização de TIC), as instituições e as instituições de pagamento devem definir os requisitos de segurança dos dados e do sistema no âmbito do contrato de terceirização, além de realizar o monitoramento contínuo da conformidade com esses requisitos.

Comentário da Atlassian

Dada a natureza de um para muitos dos Produtos Cloud Cobertos, a Atlassian oferece a mesma segurança robusta para todos os clientes. Essas práticas de segurança são descritas em detalhes no Trust Center:
https://www.atlassian.com/trust/

A Atlassian tem o compromisso de cumprir as práticas de segurança estabelecidas no Trust Center e de não gerar diminuição relevante da segurança geral dos Produtos Cloud Cobertos durante o período de sua assinatura.

39.

Referência das diretrizes da EBA

Parágrafo 83

Considerações

No caso de terceirização para provedores de serviços em nuvem e de outros contratos de terceirização que envolvam o tratamento ou a transferência de dados pessoais ou confidenciais, as instituições e as instituições de pagamento devem adotar uma abordagem com base nos riscos para o armazenamento de dados e para o(s) local(is) do processamento de dados (ou seja, país ou região) e considerações de segurança da informação.

Comentário da Atlassian

Esta é uma consideração do cliente.

40.

Referência das diretrizes da EBA

Parágrafo 84

Considerações

Sem prejuízo dos requisitos previstos no Regulamento (UE) 2016/679, as instituições e instituições de pagamento, ao terceirizar (em particular para países terceiros), devem levar em consideração as diferenças nas disposições nacionais relativas à proteção de dados. As instituições e as instituições de pagamento devem garantir que o contrato de terceirização inclua a obrigação do provedor de serviços de proteger as informações confidenciais, pessoais ou de natureza sigilosa e de cumprir todos os requisitos legais relativos à proteção de dados válidos para a instituição ou para a instituição de pagamento (por exemplo, que a proteção de dados pessoais e o sigilo bancário ou as obrigações legais similares de confidencialidade em relação às informações dos clientes, quando for o caso, sejam observados).

Comentário da Atlassian

A Atlassian oferece um Adendo de Processamento de Dados com compromissos detalhados sobre o processamento e a segurança dos dados pessoais do cliente. Você pode saber mais sobre o programa de conformidade com o GDPR aqui:

https://www.atlassian.com/trust/compliance/resources/gdpr

41.

Referência das diretrizes da EBA

13.3 Direitos de acesso, informação e auditoria

42.

Referência das diretrizes da EBA

Parágrafo 85

Considerações

As instituições e as instituições de pagamento devem assegurar, no âmbito do contrato escrito de terceirização, que a função de auditoria interna seja capaz de analisar a função terceirizada por meio de uma abordagem baseada nos riscos.

Comentário da Atlassian

A Atlassian oferece às instituições mecanismos contratuais para realizar a análise contínua dos Produtos Cloud Cobertos.

43.

Referência das diretrizes da EBA

Parágrafo 86

Considerações

Seja qual for a criticidade ou a importância da função terceirizada, os contratos escritos de terceirização entre instituições e provedores de serviços devem ser consoantes aos poderes de coleta de informações e de investigação das autoridades competentes e das autoridades de resolução nos termos do Artigo 63(1)(a) da Diretiva 2014/59/UE e do Artigo 65(3) da Diretiva 2013/36/UE quanto aos provedores de serviços localizados em um Estado-Membro e também devem garantir esses direitos no que diz respeito aos provedores de serviços localizados em outros países.

Comentário da Atlassian

A Atlassian reconhece os poderes de coleta de informações e de investigação das autoridades competentes e das autoridades de resolução de acordo com a legislação da UE relevante e pertinente.

44.

Referência das diretrizes da EBA

Parágrafo 87

Considerações

Quanto à terceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem garantir, no âmbito do contrato escrito de terceirização, que o provedor de serviços conceda a elas, bem como às suas autoridades competentes, incluindo as autoridades de resolução, e a qualquer outra pessoa por elas designada ou às autoridades competentes, o seguinte:

(a) acesso total a todas as instalações comerciais relevantes (por exemplo, sedes e centros de operação), incluindo todo o conjunto de dispositivos, sistemas, redes, informações e dados relevantes usados para prover a função terceirizada, incluindo informações financeiras relacionadas, o pessoal e os auditores externos do provedor de serviços (“direitos de acesso e informação”); e

(b) direitos irrestritos de inspeção e de auditoria relativos ao contrato de terceirização (“direitos de auditoria”), para permitir que monitorem o contrato de terceirização e garantir o cumprimento de todos os requisitos regulamentares e contratuais pertinentes.

Comentário da Atlassian

Para todas as instituições que usam os Produtos Cloud Cobertos, a Atlassian provê os direitos de auditoria, de informações e de acesso necessários às instituições, suas autoridades competentes e seus designados.

45.

Referência das diretrizes da EBA

Parágrafo 88

Considerações

Para a terceirização de funções que não são críticas ou importantes, as instituições e as instituições de pagamento devem assegurar os direitos de acesso e auditoria previstos no parágrafo 87(a) e (b) e na Seção 13.3, com base na abordagem baseada no risco, tendo em conta a natureza da função terceirizada e os riscos operacionais e para a reputação relacionados, sua escalabilidade, o impacto potencial no desempenho contínuo de suas atividades e o período contratual. As instituições e instituições de pagamento devem ter em conta que as funções podem passar a ser críticas ou importantes ao longo do tempo.

Comentário da Atlassian

Veja a linha 44, acima.

46.

Referência das diretrizes da EBA

Parágrafo 89

Considerações

As instituições e as instituições de pagamento devem garantir que o contrato de terceirização ou qualquer outro acordo contratual não impeça ou limite o exercício efetivo dos direitos de acesso e de auditoria da parte delas, das autoridades competentes ou de terceiros por elas designados para exercer esses direitos.

Comentário da Atlassian

O programa de auditoria da Atlassian foi desenvolvido para permitir que clientes qualificados e suas autoridades competentes auditem os Produtos Cloud Cobertos com eficácia.

47.

Referência das diretrizes da EBA

Parágrafo 90

Considerações

As instituições e as instituições de pagamento devem exercer os seus direitos de acesso e auditoria, determinar a frequência e as áreas a serem auditadas de acordo com uma abordagem baseada nos riscos e devem cumprir as normas de auditoria nacionais e internacionais relevantes e aceitas em âmbito geral.

Comentário da Atlassian

A gente desenvolveu um programa de auditoria condizente com essa consideração.

48.

Referência das diretrizes da EBA

Parágrafo 91

Considerações

Sem prejuízo de sua responsabilidade final em relação aos contratos de terceirização, as instituições e as instituições de pagamento podem usar:

(a) auditorias agrupadas organizadas em conjunto com outros clientes do mesmo provedor de serviços e realizadas por eles e por esses clientes ou por um terceiro por eles designado, a fim de fazer o uso eficiente dos recursos de auditoria e diminuir a carga organizacional para os clientes e para o provedor de serviços;

(b) certificações de terceiros e relatórios de auditoria interna ou de terceiros, disponibilizados pelo provedor de serviços.

Comentário da Atlassian

O programa de auditoria da Atlassian permite que as instituições analisem os Produtos Cloud Cobertos usando auditorias agrupadas e/ou certificações de terceiros.

49.

Referência das diretrizes da EBA

Parágrafo 92

Considerações

Para a terceirização de funções essenciais ou importantes, as instituições e instituições de pagamento devem avaliar se as certificações e os relatórios de terceiros conforme o parágrafo 91(b) são adequados e suficientes para cumprir as suas obrigações regulamentares e não devem confiar apenas nesses relatórios ao longo do tempo.

Comentário da Atlassian

Esta é uma consideração do cliente.

50.

Referência das diretrizes da EBA

Parágrafo 93

Considerações

As instituições e instituições de pagamento devem utilizar o método estabelecido no parágrafo 91(b) apenas se:

(a) estiverem satisfeitas com o plano de auditoria para a função terceirizada;

(b) houver a certeza de que o escopo do relatório de certificação ou de auditoria inclua os sistemas (ou seja, processos, aplicativos, infraestruturas, data centers, etc.) e os controles essenciais identificados pela instituição ou pela instituição de pagamento, além da conformidade com os requisitos regulamentares relevantes;

(c) realizarem avaliações abrangentes e contínuas do conteúdo das certificações ou dos relatórios de auditoria e verificarem se os relatórios ou as certificações não estão obsoletos;

(d) assegurarem que os principais sistemas e controles constem em futuras versões do relatório de certificação ou de auditoria;

(e) estiverem satisfeitas com a aptidão da parte certificadora ou auditora (por exemplo, no que concerne à rotação da empresa certificadora ou auditora, às qualificações, aos conhecimentos especializados, à repetição do desempenho/verificação das evidências no arquivo de auditoria subjacente);

(f) estiverem convencidas de que as certificações foram emitidas e as auditorias foram realizadas em conformidade com normas profissionais relevantes reconhecidas com abrangência e de que elas incluem um teste da eficácia operacional dos principais controles em vigor;

(g) tiverem o direito contratual de solicitar a expansão do escopo das certificações ou dos relatórios de auditoria para outros sistemas e controles relevantes; o número e a frequência dessas solicitações de modificação de escopo devem ser razoáveis e legítimos no que tange à gestão de riscos; e

(h) mantiverem o direito contratual de realizar auditorias individuais a seu critério no que diz respeito à terceirização de funções essenciais ou importantes.

Comentário da Atlassian

Os subparágrafos (a) até (f) são considerações do cliente. Com relação ao subparágrafo (g), a gente provê às instituições um mecanismo contratual para solicitar modificações nos controles e processos de auditoria da Atlassian. O subparágrafo (h) é tratado na linha 44, acima.

51.

Referência das diretrizes da EBA

Parágrafo 94

Considerações

Em conformidade com as Diretrizes da EBA sobre a avaliação dos riscos de TIC no âmbito do SREP, as instituições devem, sempre que necessário, garantir que são capazes de realizar testes de intrusão de segurança para avaliar a eficácia das medidas e dos processos internos de segurança cibernética de TIC implementados. Levando em conta o Título I, as instituições de pagamento devem também dispor de mecanismos internos de controle de TIC, incluindo medidas de mitigação e controle de segurança de TIC.

Comentário da Atlassian

A Atlassian oferece aos clientes o direito de conduzir testes de intrusão a qualquer momento sem a aprovação prévia da Atlassian: https://www.atlassian.com/trust/security/security-testing

52.

Referência das diretrizes da EBA

Parágrafo 95

Considerações

Antes de uma visita planejada ao local, as instituições, as instituições de pagamento, as autoridades competentes e os auditores ou terceiros atuando em nome da instituição, da instituição de pagamento ou das autoridades competentes devem dar o aviso adequado ao provedor de serviços, a menos que essa notificação não seja possível por conta de alguma emergência ou situação de crise ou levaria a uma situação em que a auditoria deixaria de ser eficaz.

Comentário da Atlassian

O programa de auditoria da Atlassian é personalizado com essa consideração em mente.

53.

Referência das diretrizes da EBA

Parágrafo 96

Considerações

Ao realizar auditorias em ambientes de diversos clientes, é preciso tomar cuidado para garantir que os riscos para o ambiente de outro cliente (por exemplo, impacto em níveis de serviço, disponibilidade de dados, aspectos de confidencialidade) sejam evitados ou mitigados.

Comentário da Atlassian

É de fundamental importância para a Atlassian e seus clientes que as ações realizadas com um cliente não coloquem nenhum outro cliente em risco. Esse ponto deve ser seguido quando você realiza auditorias. Também deve ser seguido quando qualquer outro cliente realiza auditorias. Quando é a instituição que realiza a auditoria, a gente coopera com ela para minimizar os transtornos para outros clientes. Assim como a gente também vai trabalhar com outro cliente de auditoria para minimizar transtornos na instituição. Em particular, a gente vai ter o cuidado de sempre cumprir os compromissos de segurança que a gente estabeleceu.

54.

Referência das diretrizes da EBA

Parágrafo 97

Considerações

Nos casos em que o contrato de terceirização produza elevado nível de complexidade técnica, por exemplo, no caso de terceirização em nuvem, a instituição ou a instituição de pagamento deve verificar se quem está realizando a auditoria — sejam os seus auditores internos, o grupo de auditores ou auditores externos que atuam em seu nome — tem habilidades e conhecimentos suficientes e relevantes para realizar auditorias e/ou avaliações importantes com eficácia. O mesmo ponto é válido para qualquer funcionário da instituição ou instituição de pagamento que analise certificações de terceiros ou a auditorias realizadas por provedores de serviços.

Comentário da Atlassian

Esta é uma responsabilidade do cliente.

55.

Referência das diretrizes da EBA

13.4 Direitos de rescisão

56.

Referência das diretrizes da EBA

Parágrafo 98

Considerações

O contrato de terceirização deve permitir expressamente a possibilidade de a instituição ou instituição de pagamento rescindir o contrato, em conformidade com a legislação vigente, inclusive nas seguintes situações:

(a) quando o prestador das funções terceirizadas violar a lei, os regulamentos ou as disposições contratuais vigentes;

(b) quando forem identificados impedimentos capazes de alterar o desempenho da função terceirizada;

(c) quando houver mudanças consideráveis que afetem o contrato de terceirização ou o provedor de serviços (por exemplo. subterceirização ou alterações de subcontratados);

(d) quando houver deficiências em relação à gestão e à segurança de dados ou às informações confidenciais, pessoais ou de natureza sigilosa; e

(e) quando as instruções forem dadas pela autoridade competente da instituição ou da instituição de pagamento, por exemplo, no caso de a autoridade competente, devido ao contrato de terceirização, deixar de estar em condições de supervisionar com eficácia a instituição ou a instituição de pagamento.

Comentário da Atlassian

A Atlassian oferece aos clientes um amplo direito de rescisão por conveniência, o que permitiria a elas a rescisão em todos os casos listados na Seção 13.4 das Diretrizes da EBA.

57.

Referência das diretrizes da EBA

Parágrafo 99

Considerações

O contrato de terceirização por escrito deve:

Atlassian Commentary

 

58.

EBA Guidelines Reference

 

Considerações

(a) estabelecer com clareza as obrigações do provedor de serviços existente, em caso de transferência da função terceirizada para outro provedor de serviços ou de volta para a instituição ou instituição de pagamento, incluindo o tratamento de dados;

Comentário da Atlassian

A gente oferece a todos os clientes a funcionalidade no produto para exportar seus dados a qualquer momento durante a vigência do contrato sem assistência da Atlassian.

59.

EBA Guidelines Reference

 

Considerações

(b) definir um período de transição adequado, durante o qual o provedor de serviços, após o término do contrato de terceirização, vai continuar provendo a função terceirizada para reduzir o risco de transtornos; e

Comentário da Atlassian

Se exigido por alguma instituição, ela pode estender seu prazo de assinatura por um curto período para permitir sua transição para outro provedor de serviços.

60.

EBA Guidelines Reference

 

Considerações

(c) incluir a obrigação do provedor de serviços de apoiar a instituição ou a instituição de pagamento na transferência ordenada da função em caso de rescisão do contrato de terceirização.

Comentário da Atlassian

Ver linhas 58 e 59, acima.