Autoridade Supervisora do Mercado Financeiro (Suíça) – FINMA
Diretrizes de terceirização da Atlassian
Isenção de responsabilidade
A orientação disponibilizada abaixo visa apenas a auxiliar clientes suíços de nuvem no setor público, bem como empresas consideradas "entidades regulamentadas" pela Autoridade Supervisora do Mercado Financeiro (Eidgenössische Finanzmarktaufsicht, FINMA) que estiverem considerando terceirizar funções de negócios para a nuvem durante a avaliação dos produtos de nuvem e serviços associados da Atlassian.
Este relatório é destinado apenas às informações e orientações disponibilizadas pela Atlassian aos clientes de nuvem sobre o alinhamento com a FINMA. Além dele, há um artigo técnico sobre as Responsabilidades Compartilhadas que discute as responsabilidades compartilhadas que um provedor de serviços de nuvem ("CSP)", como a Atlassian, e seus clientes, precisam considerar ao garantir a conformidade com a FINMA. O modelo de responsabilidade compartilhada não elimina a responsabilidade e o risco dos clientes que usam os produtos Atlassian Cloud, mas ajuda a aliviar os encargos dos clientes de várias maneiras, inclusive por meio do gerenciamento e controle dos componentes do sistema e do controle físico das instalações, bem como da transferência de parte dos custos de segurança e conformidade para a Atlassian e não para os clientes.
Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança.
| | Orientação da FINMA | Resposta da Atlassian | Recursos da Atlassian |
Introdução |
| A FINMA é a principal responsável por abordar os riscos operacionais e de terceirização das instituições financeiras, garantindo (i) que as instituições financeiras mantenham controles apropriados de governança de segurança para proteger a si mesmas, aos credores e aos indivíduos ao interagir com prestadores de serviços terceirizados e (ii) que os mercados financeiros suíços funcionem com eficácia. |
|
Orientação de terceirização da BaFin |
| O artigo técnico com a orientação de terceirização da FINMA oferece mapeamentos específicos para cada requisito e como o Atlassian Cloud Enterprise ajuda você a cumprir as obrigações, incluindo informações sobre direitos de auditoria, direito de dar instruções, segurança de dados, rescisão e terceirização em cadeia. Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança. | |
Orientação da EBA |
| O artigo técnico com a orientação de terceirização da FINMA oferece mapeamentos específicos para cada requisito e como o Atlassian Cloud Enterprise ajuda você a cumprir as obrigações, incluindo informações sobre direitos de auditoria, direito de dar instruções, segurança de dados, rescisão e terceirização em cadeia. Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança. | |
Inventário da função terceirizada | 4.1. (14) O cliente deve manter um inventário atualizado das funções terceirizadas que inclua uma descrição das funções terceirizadas, do prestador de serviços (incluindo subcontratados), do beneficiário da terceirização e da unidade interna do cliente responsável pela terceirização | Isto é obrigatório para os clientes, as instituições reguladas. No entanto, em alguns casos, a Atlassian pode subterceirizar certas funções críticas ou importantes para prestadores de serviços de alta qualidade (por exemplo, provedores de hospedagem de dados) em conformidade com o GDPR. | |
Escolha, orientação e monitoramento do prestador de serviços | 5.1. (16) As especificações do serviço devem ser definidas em conformidade com os objetivos da terceirização e documentadas antes da assinatura do contrato. Isso inclui a realização de uma análise de riscos que leve em conta as principais considerações econômicas e operacionais, bem como os riscos e oportunidades associados. | Essa obrigação não se aplica aos prestadores de serviços em nuvem. No entanto, a Atlassian oferece vários recursos para ajudar os clientes a realizarem as avaliações de risco e auditorias necessárias. Para obter mais informações sobre as práticas operacionais e de segurança da Atlassian, visite o Atlassian Trust Center (https://www.atlassian.com/trust), onde você vai encontrar:
| Trust Center |
| 5.2. (17) O prestador de serviços deve ser escolhido tendo em conta e estar sujeito a verificações das capacidades profissionais, bem como dos recursos financeiros e humanos de que dispõe. Quando várias funções são terceirizadas para o mesmo prestador de serviços, a proporção de riscos deve ser levada em consideração. | Veja a orientação disponível na resposta às Seções 4.1 e 5.1. |
| |
| 5.3. (18) A possibilidade de alteração de prestadores de serviços e as possíveis consequências dessa mudança devem ser consideradas ao decidir terceirizar e escolher o prestador de serviços. O prestador de serviços deve garantir a prestação permanente do serviço. Devem ser tomadas providências para terceirizar ou transferir a função terceirizada. | Durante o Período de assinatura válido para o produto Cloud coberto que você tiver adquirido, a gente vai fazer tudo o que for viável do ponto de vista comercial para entregar uma porcentagem de disponibilidade mensal, conforme definido abaixo (“Compromisso de nível de serviço”):
Os termos de nível de serviço correspondentes, assim como as soluções para o não cumprimento dos níveis de serviço dos produtos Cloud cobertos estão disponíveis no Acordo de Nível de Serviço e nos Termos Específicos do Produto correspondentes. | Acordo de Nível de Serviço da Atlassian | |
| 5.4. (19) As obrigações das partes devem ser acordadas e delimitadas por contrato, em específico no que diz respeito às interfaces e responsabilidades. | Consulte o Contrato do cliente da Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | ||
| 5.5. (20 - 21) O cliente deve sempre monitorar e avaliar os serviços de um prestador de serviços terceirizado e, para esse fim, deve estabelecer termos contratuais para os direitos necessários de orientação e controle. | Para ajudar você com a conformidade e os relatórios, a gente compartilha informações, práticas recomendadas e concede acesso fácil à documentação sobre a funcionalidade dos produtos. Os produtos passam por verificações independentes regulares de controles de segurança, privacidade e conformidade, recebendo certificações com base em padrões globais visando a confiabilidade. | ||
Segurança | 6.1. (24) As partes devem concordar em contrato com os requisitos de segurança aplicáveis e o cliente deve monitorar o cumprimento desses requisitos | Os compromissos contratuais em relação à segurança estão incluídos na Seção 4.2 do Contrato do cliente da Atlassian (https://www.atlassian.com/legal/atlassian-customer-agreement), que afirma que a Atlassian implementou e vai manter medidas apropriadas de segurança física, técnica e administrativa projetadas para proteger os dados do cliente contra acesso, destruição, uso, modificação ou divulgação não autorizados. Esta seção também afirma que a Atlassian manterá um programa de conformidade que inclui auditorias e certificações independentes de terceiros. O Trust Center (https://www.atlassian.com/trust), atualizado com regularidade, contém mais informações sobre as medidas e certificações de segurança. | Contrato do cliente da Atlassian |
| 6.2. (25) As partes devem elaborar uma estrutura de segurança para garantir que a função terceirizada possa continuar em vigor em caso de emergência | A Atlassian mantém planos de continuidade de negócios e planos de recuperação de desastres, conforme descrito no Trust Center (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Esses planos são revisados e testados todos os anos, no mínimo. | ||
Auditoria e supervisão | 7.1. (26) O cliente, a empresa de auditoria e a FINMA devem poder verificar a conformidade do prestador de serviços com os regulamentos de supervisão. Para esse fim, eles devem ter o direito contratual de inspecionar e auditar todas as informações relacionadas à função terceirizada a qualquer momento, sem restrições. | A Atlassian reconhece que as entidades regulamentadas pela FINMA devem poder auditar os serviços com eficácia. A Atlassian concede certos direitos de auditoria, acesso e informações a essas entidades regulamentadas e às autoridades de supervisão em conformidade com as leis vigentes. As entidades regulamentadas podem acessar dados nos serviços a qualquer momento e conceder acesso à autoridade de supervisão. |
|
| 7.2. (27) A auditoria pode ser delegada aos auditores do prestador de serviços, desde que tenham a qualificação adequada. Nesses casos, a empresa de auditoria do cliente vai poder usar as conclusões dos auditores do prestador de serviços para a auditoria. | Os produtos de nuvem passam por verificações independentes frequentes dos controles de segurança, privacidade e conformidade, recebendo certificações, atestados de conformidade ou relatórios de auditoria com base em padrões no mundo inteiro. Você pode revisar a segurança líder do setor da Atlassian, as auditorias e certificações de terceiros, as documentações e os compromissos legais que ajudam a apoiar a conformidade no Centro de Recursos de Conformidade (https://www.atlassian.com/trust/compliance/resources). | ||
| 7.3. (28) A terceirização de uma função não deve dificultar a supervisão da FINMA, em especial se a função for terceirizada para outro país. | A Atlassian permanece responsável pelo desempenho geral nos termos do contrato do cliente da Atlassian, inclusive por todas as funções subterceirizadas. Além disso, com relação às subterceirizações essenciais ou importantes, a Atlassian se compromete a garantir que tenha contratos apropriados com os subcontratantes, o que concede à Atlassian direitos de auditoria conforme necessário e exige que os subcontratantes cumpram todas as leis vigentes. |
| |
| 7.4. (29) Se o prestador de serviços não for supervisionado pela FINMA, ele deverá ser obrigado por contrato a apresentar à FINMA todas as informações e documentação relativas às funções terceirizadas que forem necessárias para as atividades de supervisão da FINMA. Se a auditoria for delegada aos auditores do prestador de serviços, o relatório deverá ser apresentado, mediante solicitação, à FINMA, bem como aos auditores internos e à firma de auditoria do cliente terceirizado. | Mediante solicitação, a Atlassian vai apresentar o relatório de auditoria de terceiros. |
| |
Terceirização no exterior | 8.1. (30) A terceirização para outro país é admissível se o cliente puder garantir que ela, a firma de auditoria e a FINMA possam pleitear e fazer valer seu direito de inspecionar e auditar informações. | O artigo técnico com a orientação de terceirização da FINMA oferece mapeamentos específicos para cada requisito e como o Atlassian Cloud Enterprise ajuda você a cumprir as obrigações, incluindo informações sobre direitos de auditoria, direito de dar instruções, segurança de dados, rescisão e terceirização em cadeia. Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança. | |
| 8.2. (31) O cliente deve garantir que a terceirização para um prestador de serviços estrangeiro não impeça a reestruturação ou resolução na Suíça, e as informações necessárias para esse fim deverão estar sempre acessíveis na Suíça. | A Atlassian vai cooperar na medida do possível com os clientes no caso de alterações no controle, desinvestimento ou outra reestruturação organizacional. |
| |
Concordância | 9.1. (32) A terceirização deve ser baseada em um acordo escrito. Além de nomear as partes e descrever a função da terceirizada, o contrato também deve tratar dos requisitos nos itens 33—34. | Todas as relações com clientes são regidas por um contrato formal. Consulte o Contrato do cliente da Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) O cliente deve garantir que o uso ou a substituição de subcontratados para funções importantes seja informado em um estágio inicial e tem a possibilidade de rescindir a terceirização consoante a legislação, conforme o item 18.1. Quando houver subcontratados, eles também deverão estar vinculados às obrigações e garantias por parte do prestador de serviço que forem necessárias ao cumprimento desta circular. | A seção 13.4 das diretrizes da EBA descreve os direitos de rescisão do cliente. Nela, é afirmado que "a gente oferece aos clientes um amplo direito de rescisão por conveniência, o que poderia permitir rescindir em qualquer um dos casos listados na seção 13.4 das diretrizes da EBA." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) O acordo deve incluir medidas para garantir a aplicação dos requisitos estabelecidos na presente circular, em especial nos itens 21, 24, 26, 29, 30 e 31. | Veja as perguntas 5.5, 6.1, 7.1, 7.4, 8.1 e 8.2 |
|