EBA-Leitlinien
Tabelle der Zuordnungen
Die nachstehende Tabelle enthält jeden Absatz aus Abschnitt 13 (Vertragsphase) der Leitlinien für Auslagerungvereinbarungen der Europäischen Bankenaufsichtsbehörde (die "EBA-Leitlinien"). Für deine interne Überprüfung haben wir beschrieben, wie wir die einzelnen Überlegungen in den EBA-Leitlinien berücksichtigen. Das Finanzdienstleistungsangebot von Atlassian richtet sich an qualifizierte Kunden, die die Enterprise-Versionen der abgedeckten Cloud-Produkte kaufen.
Letzte Aktualisierung: Dez. 2021, [Hier klicken, um das PDF herunterzuladen]
| Verweis auf EBA-Leitlinie | Gesichtspunkt | Kommentar von Atlassian |
---|---|---|---|
1. | Verweis auf EBA-Leitlinie 13. Vertragsphase | ||
2. | Verweis auf EBA-Leitlinie Abs. 74 | Gesichtspunkt Die Rechte und Pflichten des Instituts, des Zahlungsinstituts und des Dienstleisters sollten eindeutig festgelegt und in einer schriftlichen Vereinbarung festgehalten sein. | Kommentar von Atlassian Generell durch den Atlassian-Kundenvertrag abgedeckt. |
3. | Verweis auf EBA-Leitlinie Abs. 75 | Gesichtspunkt Die Auslagerungsvereinbarung für kritische und wesentliche Funktionen muss danach u. a. folgende Bestimmungen enthalten: | Atlassian Commentary
|
4. | EBA Guidelines Reference
| Gesichtspunkt
(a) eine klare Beschreibung der zu erbringenden ausgelagerten Funktion; | Kommentar von Atlassian Unsere Dokumentation, die durch Bezugnahme in den Atlassian-Kundenvertrag für berechtigte Kunden aufgenommen wird, enthält klare Beschreibungen der abgedeckten Cloud-Produkte. |
5. | EBA Guidelines Reference
| Gesichtspunkt
(b) das Datum des Beginns und gegebenenfalls des Endes der Vereinbarung sowie die Kündigungsfristen für den Dienstleister und das Institut oder Zahlungsinstitut; | Kommentar von Atlassian Der Atlassian-Kundenvertrag legt die Standarddauer einer Abonnementlaufzeit und alle geltenden Kündigungsfristen fest. Wenn du eine Bestellung für ein oder mehrere abgedeckte Cloud-Produkte aufgibst, enthält diese außerdem das Start- und Enddatum deiner jeweiligen Abonnementlaufzeit. |
6. | EBA Guidelines Reference
| Gesichtspunkt
(c) das für die Vereinbarung geltende Recht; | Kommentar von Atlassian Standardmäßig gilt für den Atlassian Customer Contract kalifornisches Recht. Bitte wende dich an unser Enterprise Sales Team, um weitere Informationen zu erhalten. |
7. | EBA Guidelines Reference
| Gesichtspunkt
(d) die finanziellen Pflichten der Parteien; | Kommentar von Atlassian Die Preise für jedes der abgedeckten Cloud-Produkte sind auf www.atlassian.com veröffentlicht. |
8. | EBA Guidelines Reference
| Gesichtspunkt
(e) die Angabe, ob die Weiterverlagerung einer kritischen oder wesentlichen Funktion bzw. Teile derselben zulässig ist; ist dies der Fall, sind die in Abschnitt 13.1. aufgeführten Bedingungen für die Weiterverlagerung anzugeben; | Kommentar von Atlassian Beachte die Kommentare zu Abschnitt 13.1 in den Zeilen 21 bis 36. |
9. | EBA Guidelines Reference
| Gesichtspunkt
(f) den Standort bzw. die Standorte (d. h. Regionen oder Länder), in denen die Durchführung einer kritischen oder wesentlichen Funktion erfolgt und/oder maßgebliche Daten gespeichert und verarbeitet werden, einschließlich des möglichen Speicherortes, und die zu erfüllenden Bedingungen, einschließlich der Anforderung, das Institut oder Zahlungsinstitut zu benachrichtigen, wenn der Dienstleister den Standort/die Standorte wechselt; | Kommentar von Atlassian Bestimmte abgedeckte Cloud-Produkte enthalten produktinterne Funktionen zur Datenresidenz, wie hier näher beschrieben, sodass die Administratoren unserer Kunden die Aufbewahrung von Produktdaten an einem Ort ihrer Wahl bestimmen können. Auf dieser Seite wird unsere Cloud-Hosting-Infrastruktur beschrieben. |
10. | EBA Guidelines Reference
| Gesichtspunkt
(g) gegebenenfalls die Zugänglichkeit, Verfügbarkeit, Integrität, den Datenschutz und die Sicherheit der entsprechenden Daten betreffende Bestimmungen, gemäß Abschnitt 13.2; | Kommentar von Atlassian Beachte die Kommentare zu Abschnitt 13.2 in den Zeilen 36 bis 39. |
11. | EBA Guidelines Reference
| Gesichtspunkt
(h) das Recht des Instituts oder Zahlungsinstituts auf laufende Überwachung der Leistung des Dienstleisters; | Kommentar von Atlassian Wir veröffentlichen Updates zur Serviceverfügbarkeit auf status.atlassian.com und verpflichten uns vertraglich, Kunden über Ereignisse zu informieren, die einen wesentlichen Einfluss auf die Verfügbarkeit der abgedeckten Cloud-Produkte haben. |
12. | EBA Guidelines Reference
| Gesichtspunkt
(i) die vereinbarten Service-Level, die genaue quantitative und qualitative Leistungsziele für die ausgelagerte Funktion umfassen sollten, um eine termingerechte Überwachung zu ermöglichen, sodass ohne größere Verzögerung eine geeignete Korrekturmaßnahme ergriffen werden kann, wenn die vereinbarten Service-Level nicht erfüllt werden; | Kommentar von Atlassian Die entsprechenden Service-Level-Bedingungen sowie die Abhilfemaßnahmen bei Nichteinhalten der Service-Level für die abgedeckten Cloud-Produkte sind in unserem Service Level Agreement und den entsprechenden produktspezifischen Bedingungen angegeben. |
13. | EBA Guidelines Reference
| Gesichtspunkt
(j) die Berichtspflichten des Dienstleisters gegenüber dem Institut oder Zahlungsinstitut, einschließlich der Übermittlung von Informationen durch den Dienstleister über Entwicklungen mit möglicherweise nachteiligen Auswirkungen auf die Fähigkeit des Dienstleisters zur wirksamen Durchführung der kritischen oder wesentlichen Funktion gemäß der vereinbarten Dienstleistungsgüte, den geltenden Gesetzen und aufsichtlichen Anforderungen, sowie gegebenenfalls die Pflichten zur Vorlage von Berichten der Funktion der inneren Revision des Dienstleisters; | Kommentar von Atlassian Wir veröffentlichen Updates zur Serviceverfügbarkeit auf status.atlassian.com und verpflichten uns vertraglich, Kunden über Ereignisse zu informieren, die einen wesentlichen Einfluss auf die Verfügbarkeit der abgedeckten Cloud-Produkte haben. |
14. | EBA Guidelines Reference
| Gesichtspunkt
(k) Angabe, ob der Dienstleister verpflichtet wird, für bestimmte Risiken eine Versicherung abzuschließen, sowie gegebenenfalls die Höhe der geforderten Versicherungsdeckung; | Kommentar von Atlassian Atlassian ist gegen eine Reihe von identifizierten Risiken und gemäß den für unser Unternehmen geltenden Gesetzen versichert. |
15. | EBA Guidelines Reference
| Gesichtspunkt
(l) die Anforderungen für die Umsetzung und Erprobung von Notfallplänen; | Kommentar von Atlassian Wir haben Business-Continuity- und Disaster-Recovery-Pläne, wie in unserem Trust Center beschrieben. Diese Pläne werden mindestens einmal im Jahr überprüft und getestet. |
16. | EBA Guidelines Reference
| Gesichtspunkt
(m) Bestimmungen, mit denen sichergestellt wird, dass auf die sich im Besitz des Instituts oder des Zahlungsinstituts befindlichen Daten im Fall einer Insolvenz, Abwicklung oder der Einstellung der Geschäftstätigkeit des Dienstleisters zugegriffen werden kann; | Kommentar von Atlassian Wir ermöglichen Kunden, während der gesamten Vertragsdauer auf ihre Daten zuzugreifen und sie zu exportieren. |
17. | EBA Guidelines Reference
| Gesichtspunkt
(n) die Pflicht des Dienstleisters zur Zusammenarbeit mit den zuständigen Behörden und Abwicklungsbehörden des Instituts oder Zahlungsinstituts, einschließlich weiterer von diesen ernannten Personen; | Kommentar von Atlassian Atlassian wird mit den zuständigen Behörden und Abwicklungsbehörden des Instituts bei der Ausübung ihrer Audit-, Informations- und Zugangsrechte zusammenarbeiten. |
18. | EBA Guidelines Reference
| Gesichtspunkt
(o) für Institute einen klaren Verweis auf die Befugnisse der nationalen Abwicklungsbehörde, insbesondere auf die Artikel 68 und 71 der Richtlinie 2014/59/EG (BRRD) und vor allem eine Beschreibung der "wesentlichen vertraglichen Verpflichtungen" im Sinne von Artikel 68 dieser Richtlinie; | Kommentar von Atlassian Atlassian ist sich bewusst, dass Institutionen und jede Abwicklungsstelle in der Lage sein müssen, während der Abwicklung Geschäfte zu tätigen. Um Unterstützung bei der Abwicklung zu bieten, verpflichten wir uns, die abgedeckten Cloud-Produkte während der Abwicklung weiterhin bereitzustellen, wie von der BRRD gefordert. |
19. | EBA Guidelines Reference
| Gesichtspunkt
(p) das uneingeschränkte Recht der Institute, Zahlungsinstitute und zuständigen Behörden zur Kontrolle und Prüfung des Dienstleisters, insbesondere was die ausgelagerte kritische oder wesentliche Funktion betrifft, gemäß den Ausführungen in Abschnitt 13.3; | Kommentar von Atlassian Beachte die Kommentare zu Abschnitt 13.3 in den Zeilen 40 bis 53. |
20. | EBA Guidelines Reference
| Gesichtspunkt
(q) Kündigungsrechte gemäß Abschnitt 13.4. | Kommentar von Atlassian Beachte die Kommentare zu Abschnitt 13.4 in Zeile 56. |
21. | Verweis auf EBA-Leitlinie 13.1 Weiterverlagerung von kritischen oder wesentlichen Funktionen | ||
22. | Verweis auf EBA-Leitlinie Abs. 76 | Gesichtspunkt In der Auslagerungsvereinbarung sollte angegeben sein, ob die Weiterverlagerung von kritischen oder wesentlichen Funktionen bzw. von wesentlichen Teilen derselben zulässig ist oder nicht. | Kommentar von Atlassian Um globale Produkte mit minimalen Unterbrechungen bereitzustellen, ist es möglich, dass wir bestimmte wichtige Funktionen an hochwertige Serviceanbieter (z. B. Daten-Hosting-Anbieter) auslagern. |
23. | Verweis auf EBA-Leitlinie Abs. 77 | Gesichtspunkt Sofern die Weiterverlagerung von kritischen oder wesentlichen Funktionen zulässig ist, sollten die Institute oder Zahlungsinstitute festlegen, ob der weiter zu verlagernde Teil der Funktion an sich kritisch oder wesentlich ist (d. h. einen wesentlichen Teil der kritischen oder wesentlichen Funktion darstellt), und diesen gegebenenfalls im Register erfassen. | Kommentar von Atlassian Dies ist eine Überlegung im Hinblick auf den Kunden. |
24. | Verweis auf EBA-Leitlinie Abs. 78 | Gesichtspunkt Sofern die Weiterverlagerung von kritischen oder wesentlichen Funktionen zulässig ist, sollte in der schriftlichen Vereinbarung Folgendes festgehalten werden: | Atlassian Commentary
|
25. | EBA Guidelines Reference
| Gesichtspunkt
(a) Angabe etwaiger Arten von Tätigkeiten, die von einer Weiterverlagerung ausgeschlossen sind; | Kommentar von Atlassian Siehe oben, Zeile 22. |
26. | EBA Guidelines Reference
| Gesichtspunkt
(b) Angabe der im Fall einer Weiterverlagerung zu erfüllenden Bedingungen; | Kommentar von Atlassian Atlassian informiert über Änderungen oder neues Sub-Outsourcing kritischer oder wichtiger Funktionen. Wenn das Institut Bedenken gegen solche Sub-Outsourcings hat, gestatten wir dem Institut, seinen Vertrag mit uns zu kündigen. |
27. | EBA Guidelines Reference
| Gesichtspunkt
(c) Angabe, dass der Dienstleister verpflichtet ist, die von ihm weiterverlagerten Dienstleistungen zu überwachen, um sicherzustellen, dass alle vertraglichen Pflichten zwischen dem Dienstleister und dem Institut oder Zahlungsinstitut fortlaufend erfüllt werden; | Kommentar von Atlassian Atlassian bleibt für seine Gesamtleistung im Rahmen des Atlassian-Kundenvertrags verantwortlich, einschließlich aller Funktionen, die an Sub-Outsourcing-Unternehmen ausgelagert werden. Darüber hinaus verpflichtet sich Atlassian bei kritischen oder wichtigen Sub-Outsourcings zum Abschluss geeigneter Verträge mit diesen Sub-Outsourcing-Unternehmen, die den Instituten und ihren zuständigen Aufsichts- und Abwicklungsbehörden angemessene Audit-, Zugangs- und Informationsrechte gewähren und die Sub-Outsourcing-Unternehmen zur Einhaltung aller geltenden Gesetze verpflichten. |
28. | EBA Guidelines Reference
| Gesichtspunkt
(d) Verpflichtung des Dienstleisters, vor der Weiterverlagerung in Zusammenhang mit Daten vorab eine spezifische oder allgemeine schriftliche Genehmigung vom Institut oder Zahlungsinstitut einzuholen; | Kommentar von Atlassian Im Rahmen unserer Einhaltung der DSGVO verpflichten wir uns in unserem Zusatz zum Datenschutz, keine Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Kundendaten ohne vorherige schriftliche Zustimmung eines Kunden zu beauftragen. |
29. | EBA Guidelines Reference
| Gesichtspunkt
(e) Aufnahme einer Pflicht des Dienstleisters, das Institut oder Zahlungsinstitut über eine geplante Weiterverlagerung bzw. geplante wesentliche Änderungen derselben zu informieren, insbesondere wenn diese Auswirkungen auf die Fähigkeit des Dienstleisters zur Erfüllung seiner Pflichten gemäß der Auslagerungsvereinbarung haben könnte. Dies umfasst geplante wesentliche Änderungen hinsichtlich Subunternehmern und die Frist für Benachrichtigungen; insbesondere sollte es die festzusetzende Frist für Benachrichtigungen dem auslagernden Institut oder Zahlungsinstitut mindestens ermöglichen, eine Risikobewertung der geplanten Änderungen vorzunehmen und den Änderungen zu widersprechen, bevor die geplante Weiterverlagerung oder wesentliche Änderungen derselben in Kraft treten; | Kommentar von Atlassian Siehe oben, Zeile 26. |
30. | EBA Guidelines Reference
| Gesichtspunkt
(f) gegebenenfalls Sicherstellung, dass das Institut oder Zahlungsinstitut befugt ist, die beabsichtigte Weiterverlagerung oder wesentliche Änderung derselben abzulehnen, oder das Erfordernis einer expliziten Genehmigung; | Kommentar von Atlassian Siehe oben, Zeile 26. |
31. | EBA Guidelines Reference
| Gesichtspunkt
(g) Sicherstellung, dass das Institut oder Zahlungsinstitut über das vertragliche Recht zur Kündigung der Vereinbarung bei einer unzulässigen Weiterverlagerung verfügt, z. B., wenn sich durch die Weiterverlagerung die Risiken für das Institut oder Zahlungsinstitut wesentlich erhöhen oder der Dienstleister eine Weiterverlagerung vornimmt, ohne das Institut oder Zahlungsinstitut zu benachrichtigen. | Kommentar von Atlassian Siehe oben, Zeile 26. |
32. | Verweis auf EBA-Leitlinie Abs. 79 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten vereinbaren, dass eine Weiterverlagerung nur erfolgt, wenn sich der Subunternehmer dazu verpflichtet, | Atlassian Commentary
|
33. | EBA Guidelines Reference
| Gesichtspunkt
(a) alle geltenden Gesetze, aufsichtlichen Anforderungen und vertraglichen Pflichten zu erfüllen; und | Kommentar von Atlassian Siehe oben, Zeile 27. |
34. | EBA Guidelines Reference
| Gesichtspunkt
(b) dem Institut, Zahlungsinstitut und der zuständigen Behörde dieselben vertraglichen Rechte auf Zugang und Prüfung einzuräumen, die vom Dienstleister gewährt werden. | Kommentar von Atlassian Siehe oben, Zeile 27. |
35. | Verweis auf EBA-Leitlinie Abs. 80 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten sicherstellen, dass der Dienstleister die Subunternehmer gemäß den von dem Institut oder Zahlungsinstitut festgelegten Richtlinien angemessen überwacht. Sofern die geplante Weiterverlagerung wesentliche nachteilige Auswirkungen auf die Auslagerungsvereinbarung über eine kritische oder wesentliche Funktion aufweisen könnte oder zu einem wesentlich höheren Risiko führen würde, auch wenn die Bedingungen in Absatz 79 nicht erfüllt sind, sollte das Institut oder Zahlungsinstitut sein Recht auf Ablehnung der Weiterverlagerung ausüben, wenn ein solches Recht vereinbart wurde, und/oder den Vertrag kündigen. | Kommentar von Atlassian Siehe oben, Zeilen 26 und 27. |
36. | Verweis auf EBA-Leitlinie 13.2 Sicherheit von Daten und Systemen | ||
37. | Verweis auf EBA-Leitlinie Abs. 81 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten sicherstellen, dass die Dienstleister, sofern notwendig, geeignete IT-Sicherheitsstandards erfüllen. | Kommentar von Atlassian Atlassian unterzieht sich regelmäßig einer unabhängigen Prüfung unserer Sicherheits-, Datenschutz- und Compliance-Kontrollen. Während der Laufzeit unseres Vertrags mit dir werden wir mindestens die in unserem Trust Center aufgeführten Standards einhalten, zu denen ISO/IEC 27001- und ISO/IEC 27018-Zertifizierungen sowie Audit-Berichte nach SOC 2 Typ II und SOC 3 gehören: |
38. | Verweis auf EBA-Leitlinie Abs. 82 | Gesichtspunkt Sofern notwendig (z. B. im Rahmen von Cloud-Outsourcing oder sonstigen Auslagerungen im IT-Bereich), sollten die Institute und Zahlungsinstitute Anforderungen an die Daten- und Systemsicherheit im Rahmen der Auslagerungsvereinbarung festlegen und die Einhaltung dieser Anforderungen fortlaufend überwachen. | Kommentar von Atlassian Angesichts des Eins-zu-Viele-Charakters unserer abgedeckten Cloud-Produkte bieten wir allen unseren Kunden dieselbe robuste Sicherheit. Diese Sicherheitspraktiken werden in unserem Trust Center ausführlich beschrieben: |
39. | Verweis auf EBA-Leitlinie Abs. 83 | Gesichtspunkt Bei einer Auslagerung an Cloud-Dienste und sonstigen Auslagerungsvereinbarungen, die den Umgang mit oder die Übertragung von personenbezogenen oder vertraulichen Daten umfassen, sollten die Institute und Zahlungsinstitute einen risikobasierten Ansatz in Bezug auf den Standort bzw. die Standorte der Datenspeicherung und Datenverarbeitung (d. h. Land oder Region) und hinsichtlich Überlegungen zur Informationssicherheit wählen. | Kommentar von Atlassian Dies ist eine Überlegung im Hinblick auf den Kunden. |
40. | Verweis auf EBA-Leitlinie Abs. 84 | Gesichtspunkt Unbeschadet der Anforderungen gemäß der Verordnung (EU) 2016/679 sollten die Institute und Zahlungsinstitute bei Auslagerungen (insbesondere in Drittstaaten) die Unterschiede bei den nationalen Vorschriften für den Datenschutz berücksichtigen. Die Institute und Zahlungsinstitute sollten sicherstellen, dass in der Auslagerungsvereinbarung die Pflicht des Dienstleisters festgelegt ist, vertrauliche, personenbezogene und anderweitig sensible Informationen zu schützen und alle rechtlichen Anforderungen den Datenschutz betreffend zu erfüllen, die für das Institut oder Zahlungsinstitut gelten (z. B. der Schutz von personenbezogenen Daten und die Einhaltung des Bankgeheimnisses oder vergleichbarer rechtlicher Geheimhaltungspflichten hinsichtlich der Informationen der Kunden). | Kommentar von Atlassian In unserem Zusatz zum Datenschutz sind detaillierte Verpflichtungen zur Verarbeitung und Sicherheit personenbezogener Kundendaten enthalten. Mehr über unser DSGVO-Compliance-Programm erfährst du hier: |
41. | Verweis auf EBA-Leitlinie 13.3 Zugangs-, Informations- und Prüfungsrechte | ||
42. | Verweis auf EBA-Leitlinie Abs. 85 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten im Rahmen der schriftlichen Auslagerungsvereinbarung sicherstellen, dass die Funktion der Internen Revision in der Lage ist, die ausgelagerte Funktion unter Verwendung eines risikobasierten Ansatzes zu prüfen. | Kommentar von Atlassian Atlassian bietet Instituten vertragliche Mechanismen zur laufenden Überprüfung der abgedeckten Cloud-Produkte. |
43. | Verweis auf EBA-Leitlinie Abs. 86 | Gesichtspunkt Unabhängig von der Kritikalität oder Wesentlichkeit der ausgelagerten Funktion sollte in den schriftlichen Auslagerungsvereinbarungen zwischen den Instituten und Dienstleistern auf die Informationserfassung und Untersuchungsbefugnisse der zuständigen Behörden und Abwicklungsbehörden gemäß Artikel 63 Absatz 1 Buchstabe a der Richtlinie 2014/59/EU und Artikel 65 Absatz 3 der Richtlinie 2013/36/EU mit Blick auf Dienstleister mit Sitz in einem Mitgliedstaat Bezug genommen werden und es sollten darüber hinaus diese Rechte bezüglich Dienstleistern mit Sitz in Drittstaaten gewährleistet werden. | Kommentar von Atlassian Atlassian erkennt die Informationsbeschaffungs- und Ermittlungsbefugnisse der zuständigen Behörden und Abwicklungsbehörden gemäß den einschlägigen und geltenden EU-Rechtsvorschriften an. |
44. | Verweis auf EBA-Leitlinie Abs. 87 | Gesichtspunkt Was die Auslagerung von kritischen oder wesentlichen Funktionen anbelangt, so sollten die Institute und Zahlungsinstitute im Rahmen der Auslagerungsvereinbarung sicherstellen, dass der Dienstleister ihnen und ihren zuständigen Behörden, einschließlich der Abwicklungsbehörden, und jeder anderen von ihnen oder den zuständigen Behörden benannten Person Folgendes gewährt: (a) vollständigen Zugang zu allen relevanten Geschäftsräumen (z. B. Hauptsitze und Betriebszentren), einschließlich des gesamten Spektrums an relevanten Geräten, Systemen, Netzwerken, Informationen und Daten, die für die Wahrnehmung der ausgelagerten Funktion eingesetzt werden, auch in Zusammenhang mit Finanzinformationen, Personal und den externen Prüfern des Dienstleisters ("Zugangs- und Informationsrechte"); sowie (b) uneingeschränkte Rechte auf Kontrolle und Prüfung in Zusammenhang mit der Auslagerungsvereinbarung ("Prüfungsrechte"), um ihnen die Überwachung der Auslagerungsvereinbarung zu ermöglichen und die Einhaltung aller geltenden aufsichtlichen und vertraglichen Anforderungen sicherzustellen. | Kommentar von Atlassian Für alle Institute, die abgedeckte Cloud-Produkte verwenden, gewährt Atlassian den zuständigen Behörden und ihren Beauftragten die erforderlichen Prüfungs-, Informations- und Zugriffsrechte. |
45. | Verweis auf EBA-Leitlinie Abs. 88 | Gesichtspunkt Für die Auslagerung von Funktionen, die nicht kritisch oder wesentlich sind, sollten die Institute und Zahlungsinstitute die Zugangs- und die Prüfungsrechte entsprechend den Ausführungen in Absatz 87 Buchstaben a und b und in Abschnitt 13.3 auf einem risikobasierten Ansatz sicherstellen, wobei die Art der ausgelagerten Funktion und die dazugehörigen Betriebs- und Reputationsrisiken, ihre Skalierbarkeit, die potenziellen Auswirkungen auf die kontinuierliche Ausübung der Tätigkeiten und die Vertragslaufzeit zu berücksichtigen sind. Die Institute und Zahlungsinstitute sollten berücksichtigen, dass Funktionen im Laufe der Zeit kritisch oder wesentlich werden können | Kommentar von Atlassian Siehe oben, Zeile 44. |
46. | Verweis auf EBA-Leitlinie Abs. 89 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten sicherstellen, dass die Auslagerungsvereinbarung oder etwaige andere vertragliche Regelungen der wirksamen Ausübung der Zugangs- und Prüfungsrechte durch sie selbst, die zuständigen Behörden oder von ihnen für die Ausübung dieser Rechte ernannte Dritte nicht im Wege stehen oder diese einschränken. | Kommentar von Atlassian Unser Audit-Programm soll es qualifizierten Kunden und ihren zuständigen Behörden ermöglichen, die abgedeckten Cloud-Produkte effektiv zu prüfen. |
47. | Verweis auf EBA-Leitlinie Abs. 90 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten ihre Zugangs- und Prüfungsrechte ausüben, die Häufigkeit der Prüfungen und die zu prüfenden Bereiche nach einem risikobasierten Ansatz bestimmen und die maßgeblichen, allgemein akzeptierten nationalen und internationalen Prüfstandards einhalten. | Kommentar von Atlassian Wir haben ein Audit-Programm entwickelt, das dieser Überlegung entspricht. |
48. | Verweis auf EBA-Leitlinie Abs. 91 | Gesichtspunkt Unbeschadet ihrer letztendlichen Verantwortung für Auslagerungsvereinbarungen können Institute und Zahlungsinstitute Folgendes nutzen: (a) Sammelprüfungen ("pooled audits"), die gemeinsam mit anderen Kunden desselben Dienstleisters organisiert und von ihnen und diesen Kunden oder einem von den Kunden beauftragten Dritten durchgeführt werden, sodass die Prüfungsressourcen effizienter genutzt werden und der Organisationsaufwand für die Kunden und den Dienstleister verringert wird. (b) Zertifizierungen durch Dritte und externe oder interne Revisionsberichte, die vom Dienstleister zur Verfügung gestellt werden. | Kommentar von Atlassian Unser Audit-Programm ermöglicht es Instituten, die abgedeckten Cloud-Produkte mithilfe von Sammelprüfungen und/oder Zertifizierungen durch Dritte zu überprüfen. |
49. | Verweis auf EBA-Leitlinie Abs. 92 | Gesichtspunkt Für die Auslagerung von kritischen oder wesentlichen Funktionen sollten die Institute und Zahlungsinstitute bewerten, ob Zertifizierungen durch Dritte und Berichte entsprechend Absatz 91 Buchstabe b angemessen und hinreichend sind, um ihre gesetzlichen Verpflichtungen zu erfüllen, und sollten sich nicht dauerhaft ausschließlich auf diese Berichte verlassen. | Kommentar von Atlassian Dies ist eine Überlegung im Hinblick auf den Kunden. |
50. | Verweis auf EBA-Leitlinie Abs. 93 | Gesichtspunkt Die Institute und Zahlungsinstitute sollten die in Absatz 91 Buchstabe b genannten Methoden nur verwenden, wenn sie (a) mit dem Prüfungsplan für die ausgelagerte Funktion zufrieden sind; (b) sicherstellen, dass sich der Zertifizierungs- oder Prüfberichtsumfang auf die Systeme (d. h. Prozesse, Anwendungen, Infrastruktur, Rechenzentren usw.) sowie die wichtigsten Kontrollen, die vom Institut oder Zahlungsinstitut ermittelt wurden, und die Einhaltung der maßgeblichen aufsichtlichen Anforderungen erstreckt; (c) laufend den Inhalt der Zertifizierungen und Prüfberichte sorgfältig bewerten und verifizieren, dass die Berichte oder Zertifizierungen nicht veraltet sind; (d) sicherstellen, dass die Schlüsselsysteme und Kontrollen in künftigen Versionen der Zertifizierung oder des Prüfberichts berücksichtigt werden; (e) mit der Eignung der Zertifizierers oder Prüfers zufrieden sind (beispielsweise hinsichtlich der Rotation des Zertifizierungs- oder Prüfungsunternehmens, der Qualifikationen, des Fachwissens oder der Neudurchführung/Überprüfung der Nachweise in der zugrunde liegenden Prüfdatei); (f) sich davon überzeugt haben, dass die Zertifizierungen und die Prüfungen auf der Grundlage allgemein anerkannter einschlägiger professioneller Standards erfolgen und einen Test der operativen Wirksamkeit der vorhandenen wichtigsten Kontrollen beinhalten; (g) über das vertragliche Recht verfügen, die Erweiterung des Umfangs der Zertifizierungen oder Prüfberichte auf weitere einschlägige Systeme und Kontrollen zu verlangen; die Zahl und Häufigkeit solcher Ersuchen um Änderungen des Umfangs sollten sich in einem vernünftigen Rahmen bewegen und unter dem Aspekt des Risikomanagements berechtigt sein; und (h) sich das vertragliche Recht auf Durchführung einzelner Prüfungen in ihrem Ermessen mit Blick auf die Auslagerung kritischer oder wesentlicher Funktionen vorbehalten. | Kommentar von Atlassian Die Absätze (a) bis (f) sind Überlegungen im Hinblick auf den Kunden. In Bezug auf Absatz (g) stellen wir Instituten einen vertraglichen Mechanismus zur Verfügung, mit dem sie Änderungen an unseren Prüfungskontrollen und -prozessen verlangen können. Unterabsatz (h) wird in Zeile 44 oben behandelt. |
51. | Verweis auf EBA-Leitlinie Abs. 94 | Gesichtspunkt In Einklang mit den Leitlinien der EBA für die IT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) sollten die Institute, sofern angemessen, sicherstellen, dass sie Sicherheitspenetrationstests zur Bewertung der Wirksamkeit der durchgeführten Maßnahmen und Prozesse im Bereich Cyber-Sicherheit und interne IT-Sicherheit durchführen können. Unter Berücksichtigung von Titel I sollten die Zahlungsinstitute zudem über interne IT-Kontrollmechanismen verfügen, einschließlich Kontrollmaßnahmen für die IT-Sicherheit und Maßnahmen zur Risikominderung. | Kommentar von Atlassian Atlassian räumt Kunden das Recht ein, jederzeit ohne vorherige Zustimmung von Atlassian Penetrationstests durchzuführen: https://www.atlassian.com/trust/security/security-testing |
52. | Verweis auf EBA-Leitlinie Abs. 95 | Gesichtspunkt Vor einer geplanten Vor-Ort-Prüfung sollten die Institute, Zahlungsinstitute, zuständigen Behörden und Prüfer oder im Namen des Instituts, Zahlungsinstituts oder zuständiger Behörden handelnde Dritte den Dienstleister angemessen informieren, es sei denn, dies ist aufgrund eines Notfalls oder einer Krisensituation nicht möglich oder würde zu einer Situation führen, in der die Prüfung nicht mehr wirksam ist. | Kommentar von Atlassian Unser Audit-Programm ist auf diese Überlegung zugeschnitten. |
53. | Verweis auf EBA-Leitlinie Abs. 96 | Gesichtspunkt Bei der Durchführung von Prüfungen in einer Mehrmandantenumgebung sollte darauf geachtet werden, dass Risiken für die Umgebung anderer Kunden (z. B. Auswirkungen auf die Service-Level, Verfügbarkeit von Daten, Vertraulichkeitsaspekte) vermieden oder gemindert werden. | Kommentar von Atlassian Atlassian und unseren Kunden ist es äußerst wichtig, dass unsere Aktivitäten für einen Kunden keine anderen Kunden gefährden. Dies gilt sowohl für von dir als auch für von anderen Kunden durchgeführte Audits. Wenn ein Institut einen Audit durchführt, werden wir in Zusammenarbeit mit diesem die Störung für unsere anderen Kunden minimieren. Genauso werden wir mit anderen Kunden, die einen Audit durchführen, zusammenarbeiten, um die Störung für das Institut zu minimieren. Dabei achten wir insbesondere darauf, unsere Sicherheitsverpflichtungen jederzeit einzuhalten. |
54. | Verweis auf EBA-Leitlinie Abs. 97 | Gesichtspunkt Wenn die Auslagerungsvereinbarung mit einem hohen Maß an technischer Komplexität verbunden ist, beispielsweise im Fall von Cloud-Outsourcing, sollte das Institut oder das Zahlungsinstitut verifizieren, dass ungeachtet der mit der Durchführung der Prüfung beauftragten Personen – seien es eigene Prüfer, Prüfer bei Sammelprüfungen oder in seinem Namen handelnde externe Prüfer – über angemessene und einschlägige Kompetenzen und Kenntnisse für die wirksame Durchführung der entsprechenden Prüfungen und/oder Bewertungen verfügen. Dies gilt auch für Personal des Instituts oder Zahlungsinstituts, das Zertifizierungen von Dritten oder von Dienstleistern durchgeführte Audits überprüft. | Kommentar von Atlassian Dies liegt in der Verantwortung des Kunden. |
55. | Verweis auf EBA-Leitlinie 13.4 Kündigungsrechte | ||
56. | Verweis auf EBA-Leitlinie Abs. 98 | Gesichtspunkt In der Auslagerungsvereinbarung sollte für das Institut oder Zahlungsinstitut ausdrücklich die Möglichkeit vorgesehen sein, die Vereinbarung gemäß dem geltenden Gesetz zu kündigen, einschließlich in den folgenden Fällen: (a) wenn der Dienstleister der ausgelagerten Funktionen gegen geltendes Recht, Rechtsvorschriften oder Vertragsbestimmungen verstößt; (b) wenn Hindernisse, durch die die Durchführung der ausgelagerten Funktion verändert werden kann, ermittelt werden; (c) wenn wesentliche Änderungen auftreten, die sich auf die Auslagerungsvereinbarung oder den Dienstleister auswirken (z. B. eine Weiterverlagerung oder Änderungen bei den Subunternehmern); (d) wenn Mängel bezüglich des Umgangs mit und der Sicherheit von vertraulichen, personenbezogenen oder anderweitig sensiblen Daten oder Informationen auftreten; und (e) wenn Anweisungen durch die zuständige Behörde des Instituts oder des Zahlungsinstituts erteilt werden, beispielsweise, wenn die zuständige Behörde aufgrund der Auslagerungsvereinbarung nicht mehr in der Lage ist, das Institut oder Zahlungsinstitut wirksam zu überwachen. | Kommentar von Atlassian Wir gewähren unseren Kunden ein umfassendes Kündigungsrecht, das es ihnen ermöglicht, in jedem der in Abschnitt 13.4 der EBA-Leitlinien aufgeführten Fälle zu kündigen. |
57. | Verweis auf EBA-Leitlinie Abs. 99 | Gesichtspunkt In der schriftlichen Auslagerungsvereinbarung sollten folgende Regelungen enthalten sein: | Atlassian Commentary
|
58. | EBA Guidelines Reference
| Gesichtspunkt
(a) Festlegung der Pflichten des bestehenden Dienstleisters im Fall einer Übertragung der ausgelagerten Funktion an einen anderen Dienstleister oder der Reintegration in das Institut oder Zahlungsinstitut, einschließlich der Behandlung von Daten; | Kommentar von Atlassian Wir bieten allen Kunden produktinterne Funktionen, mit denen sie ihre Daten jederzeit während der Laufzeit ihres Vertrags ohne unsere Unterstützung exportieren können. |
59. | EBA Guidelines Reference
| Gesichtspunkt
(b) Festlegung eines angemessenen Übergangszeitraums, in dem der Dienstleister nach Kündigung der Auslagerungsvereinbarung weiterhin die ausgelagerte Funktion durchführt, um das Risiko von Unterbrechungen zu verringern; sowie | Kommentar von Atlassian Falls von einem Institut gefordert, kann das Unternehmen seine Abonnementlaufzeit für einen kurzen Zeitraum verlängern, um den Übergang zu einem anderen Serviceanbieter zu ermöglichen. |
60. | EBA Guidelines Reference
| Gesichtspunkt
(c) Aufnahme einer Pflicht des Dienstleisters zur Unterstützung des Instituts oder Zahlungsinstituts bei der ordnungsgemäßen Übertragung der Funktion im Fall einer Kündigung der Auslagerungsvereinbarung. | Kommentar von Atlassian Siehe oben, Zeilen 58 und 59. |