BaFin
Directrices de externalización de Atlassian
Esta tabla está pensada para ayudar a las instituciones de servicios financieros bajo la supervisión de la BaFin, la Autoridad Federal de Alemania para la Supervisión Financiera, a relacionar los párrafos del Capítulo V (Condiciones contractuales en caso de externalización [material]) de la Guía de externalización para proveedores de servicios en la nube (la "Guía de BaFin") con la documentación del contrato de cliente de Atlassian.
Si ya tienes un contrato con Atlassian o quieres más información sobre cómo se pueden aplicar estas condiciones a tu contrato, ponte en contacto con nosotros.
Última actualización: diciembre de 2021 (haz clic aquí para descargar el pdf)
N.º | Consideraciones y requisitos | Comentario de Atlassian |
1. | Dependiendo de los requisitos de la ley de supervisión, los siguientes términos y condiciones deben incluirse en el acuerdo de externalización material1 o para la externalización no diferenciada según la KAGB: |
|
2. | 1. Ámbito de actuación |
|
3. | El acuerdo debe especificar y, si es necesario, describir el servicio que ofrecerá el proveedor de servicios en la nube. Esto debe estipularse en lo que se conoce como el "acuerdo de nivel de servicio". En este contexto, deben definirse los siguientes aspectos: |
|
4. |
| Nuestra documentación, que se incluye como referencia con el contrato de cliente de Atlassian para los clientes que cumplen los requisitos, contiene descripciones claras de los productos de Cloud cubiertos. |
5. |
| Los clientes que cumplan los requisitos tienen acceso a las ofertas de soporte de Atlassian, que están sujetas al contrato de cliente de Atlassian. |
6. |
| En general, esto suele especificarse en el contrato de cliente de Atlassian. |
7. |
| Algunos productos de Cloud cubiertos incluyen una función de residencia de datos en el producto. Esta función se describe con más detalle aquí y permite a los administradores de nuestros clientes vincular los datos del producto en cuestión a la ubicación que elijan. En esta página se detalla nuestra infraestructura de alojamiento en la nube. |
8. |
| El contrato de cliente de Atlassian establece la duración predeterminada de un periodo de suscripción y todos los plazos de notificación aplicables. Además, al hacer un pedido de uno o más productos de Cloud cubiertos, se incluirá la fecha de inicio y finalización del periodo de suscripción correspondiente. |
9. |
| Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes. |
10. |
| Publicamos novedades en cuanto a disponibilidad de servicios en https://status.atlassian.com/ y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos. |
11. | 2. Derechos de información y auditoría de la empresa supervisada |
|
12. | Los derechos de información y auditoría, así como las opciones de control de la empresa supervisada, no deben estar sujetos a restricciones contractuales. Se debe garantizar que la empresa supervisada reciba la información necesaria para controlar y supervisar adecuadamente los riesgos relacionados con la externalización. | Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar los productos de Cloud cubiertos de manera eficaz. |
13. | Para proteger los derechos de información y auditoría, deben acordarse contractualmente las siguientes condiciones: | Consulta la fila 12 más arriba. |
14. | Sin restricciones (indirectas) de derechosEl ejercicio efectivo de los derechos de información y auditoría no puede restringirse por contrato. Las autoridades supervisoras alemanas consideran que esta restricción no aceptable de los derechos de información y auditoría se produce especialmente en el caso de acuerdos contractuales que conceden dichos derechos solo con ciertas condiciones, lo que incluye, en particular: | Consulta la fila 12 más arriba. |
15. | Excepciones | Esta es una consideración del cliente. Consulta también la fila 12 anterior y la fila 20 siguiente. |
16. | Auditorías conjuntas | Esta es una consideración del cliente. Consulta también la fila 12 más arriba. |
17. | En este sentido, las auditorías puede realizarlas el departamento de auditoría interna del proveedor de servicios en la nube, el departamento de auditoría interna de una o varias de las empresas de externalización supervisadas en nombre de la propia empresa ("auditorías conjuntas"), un tercero designado por el proveedor de servicios en la nube o un tercero designado por las empresas de externalización supervisadas. | Esta es una consideración del cliente. Consulta también la fila 12 más arriba. |
18. | En el caso de las otras empresas supervisadas, puede permitirse en cada caso individual ejercer ciertos derechos de información y auditoría frente al proveedor de servicios en la nube junto con otras empresas supervisadas mediante una auditoría conjunta. | Esta es una consideración del cliente. Consulta también la fila 12 más arriba. |
19. | Si una empresa supervisada hace uso de una de las excepciones antes mencionadas, es posible que no se limiten sus derechos de información y auditoría. | Consulta la fila 12 más arriba. |
20. | Pruebas/certificados e informes de auditoría | Atlassian se somete periódicamente a una evaluación independiente de nuestros controles de seguridad, privacidad y conformidad. Durante la vigencia de nuestro contrato contigo, cumpliremos al menos con los estándares indicados en nuestro Trust Center, que incluyen las certificaciones ISO/IEC 27001 e ISO/IEC 27018 y los informes de auditoría SOC 2 Tipo II y SOC 3: https://www.atlassian.com/trust/compliance. |
21. | Sin embargo, una empresa supervisada no debe basarse únicamente en ello para sus auditorías. Si el departamento de auditoría interna recurre a dicha documentación/certificados, debe poder analizar las pruebas que los sustentan. | Esta es una consideración del cliente. Consulta también la fila 12 más arriba. |
22. | 3. Derechos de información y auditoría de las autoridades supervisoras |
|
23. | Los derechos de información y auditoría, así como las opciones de control de las autoridades supervisoras, no deben estar sujetos a restricciones contractuales. Las autoridades supervisoras deben poder supervisar a los proveedores de servicios en la nube exactamente como la ley aplicable establece para la empresa supervisada. Además, deben poder ejercer sus derechos de información y auditoría, así como sus opciones de control, de manera adecuada y sin restricciones con respecto a la partida externalizada; esto también afecta a las personas que realizan las auditorías en nombre de las autoridades de supervisión. | Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar los productos de Cloud cubiertos de manera eficaz. |
24. | Para proteger estos derechos, deben acordarse contractualmente las siguientes condiciones: | Consulta la fila 23 más arriba. |
25. | Sin restricciones (indirectas) de derechos | Consulta la fila 23 más arriba. |
26. | 4. Derecho a emitir instrucciones |
|
27. | Deben acordarse los derechos de las empresas supervisadas a emitir instrucciones. Estos derechos sirven para garantizar que se puedan emitir todas las instrucciones necesarias para realizar el servicio acordado, es decir, debe existir la posibilidad de intervenir en la partida externalizada y de supervisarla. La implementación técnica puede organizarse individualmente en función de las circunstancias específicas de la empresa. | Nuestros clientes pueden enviarnos instrucciones (incluso con respecto a certificaciones de terceros e informes de auditoría) en relación con los productos de Cloud cubiertos a través de sus canales de atención al cliente. |
28. | Si la empresa supervisada utiliza pruebas/certificaciones o informes de auditoría (cf. V.2), también debe tener la posibilidad de influir en el alcance de las pruebas/certificaciones o informes de auditoría para que pueda ampliarse e incluir los sistemas y controles pertinentes. Debe haber una proporción razonable entre el número y la frecuencia con que se emitan estas instrucciones. | Consulta la fila 27 más arriba. |
29. | Además, la empresa supervisada debe estar autorizada en todo momento a emitir instrucciones al proveedor de servicios en la nube para la corrección, eliminación y bloqueo de datos, y el proveedor de servicios en la nube debe poder recopilar, tratar y utilizar los datos solo en el contexto de las instrucciones emitidas por la empresa supervisada. Esto también debe incluir la posibilidad de emitir una instrucción en cualquier momento para que los datos tratados por el proveedor de servicios en la nube se devuelvan a la empresa supervisada de manera inmediata y sin restricciones. | Ofrecemos un Anexo sobre el tratamiento de datos en el que se especifican compromisos detallados con respecto al tratamiento y la seguridad de los datos personales de los clientes. Puedes obtener más información sobre nuestro programa de conformidad con el RGPD aquí: |
30. | Si se puede renunciar al acuerdo explícito sobre los derechos de la empresa supervisada para emitir instrucciones, el servicio que debe prestar la empresa de externalización debe especificarse con suficiente claridad en el acuerdo de externalización. | Consulta la fila 27 más arriba. |
31. | 5. Seguridad y protección de datos (referencia a la ubicación del almacenamiento de datos) |
|
32. | Deben acordarse disposiciones que garanticen el cumplimiento de las normas de protección de datos y otros requisitos de seguridad. | Dada la naturaleza de uno a varios de nuestros productos de Cloud cubiertos, ofrecemos la misma seguridad robusta para todos nuestros clientes. Estas prácticas de seguridad se describen detalladamente en nuestro Trust Center: https://www.atlassian.com/trust/ |
33. | La empresa supervisada debe conocer la ubicación del almacenamiento de datos. Esto debe incluir la ubicación específica de los centros de datos. Como regla general, basta con dar el nombre de la ubicación (por ejemplo, la población). Sin embargo, si la empresa supervisada necesita la dirección exacta del centro de datos por motivos relacionados con la gestión de riesgos, el proveedor de servicios en la nube debe proporcionársela. | Consulta la fila 7 más arriba. |
34. | Además, debe garantizarse la redundancia de los datos y sistemas para que, en caso de fallo de un centro de datos, se puedan mantener los servicios. | Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center. Estos planes se revisan y prueban al menos una vez al año. |
35. | La seguridad de los datos y los sistemas también debe garantizarse dentro de la cadena de externalización. | Consulta la fila 32 más arriba. |
36. | La empresa supervisada debe tener la posibilidad de acceder rápidamente y en todo momento a los datos almacenados con el proveedor de servicios en la nube y de recuperarlos si es necesario. A este respecto, debe garantizarse que el método para recuperarlos no limita ni excluye el uso de los datos. Por este motivo, deben acordarse formatos de datos estándar independientes de la plataforma. También debe tenerse en cuenta la compatibilidad de los diferentes sistemas. | Consulta la fila 29 más arriba. |
37. | 6. Disposiciones de rescisión |
|
38. | Deben acordarse los derechos de rescisión y los plazos de notificación de la rescisión adecuados. En particular, debe acordarse un derecho especial de rescisión que prevea la rescisión por un buen motivo si la autoridad supervisora pide que se ponga fin al acuerdo. | Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia. |
39. | Debe garantizarse que, en caso de rescisión, las partidas externalizadas al proveedor de servicios en la nube sigan proporcionándose hasta el momento en que la partida externalizada se haya transferido por completo a otro proveedor de servicios en la nube o a la empresa supervisada. A este respecto, debe garantizarse en particular que el proveedor de servicios en la nube ayudará razonablemente a la empresa supervisada a transferir las partidas externalizadas a otro proveedor de servicios en la nube o directamente a la empresa supervisada. | Si una entidad lo requiere, puede ampliar su periodo de suscripción por un breve periodo de tiempo para permitir la transición a otro proveedor de servicios. |
40. | Deben definirse el tipo, la forma y la calidad de la transferencia de la partida externalizada y de los datos. Si el formato de los datos se ha adaptado a las necesidades individuales de la empresa supervisada, el proveedor de servicios en la nube debe entregar la documentación relacionada con dichas adaptaciones en el momento de la rescisión. | Se puede acceder a esta información en nuestra documentación. |
41. | Debe acordarse que, después de volver a transferir los datos a la empresa supervisada, el proveedor de servicios en la nube eliminará completa e irrevocablemente dichos datos. | Este tema se aborda en nuestro Anexo sobre el tratamiento de datos. |
42. | Para garantizar que las áreas externalizadas se mantengan en caso de rescisión planificada o no planificada del acuerdo, la empresa supervisada debe contar con una estrategia de salida y revisar su viabilidad. | Esta es una consideración del cliente. |
43. | 7. Externalización en cadena |
|
44. | Se acordarán disposiciones sobre la posibilidad y las modalidades de externalización en cadena que garanticen que se siguen cumpliendo los requisitos de la ley de supervisión. No se permiten restricciones tales que solo se asuman obligaciones sustancialmente similares. Debe garantizarse, en particular, que los derechos de información y auditoría, así como las opciones de control de la empresa de externalización supervisada y de las autoridades supervisoras, se apliquen también a los subcontratistas en el caso de la externalización en cadena. | Para ofrecer productos globales con interrupciones mínimas, podemos externalizar ciertas funciones críticas a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos). Con respecto a las externalizaciones críticas, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas para otorgar los derechos de auditoría, acceso e información adecuados a las instituciones y sus autoridades supervisoras y exigir que dichos subcontratistas cumplan con la legislación aplicable. Consulta también la fila 12 más arriba. |
45. | En cuanto a la externalización en cadena, en el acuerdo de externalización deben indicarse las reservas de consentimiento de la empresa de externalización o las condiciones específicas que deben cumplirse para que sea posible la externalización en cadena. Debe definirse qué partidas externalizadas o qué parte de ellas pueden externalizarse en cadena y cuáles no. | Consulta la fila 44 más arriba. |
46. | Es necesario informar a la empresa supervisada de la externalización en cadena de las partidas externalizadas o de parte de ellas por escrito y con antelación. La empresa supervisada debe tener conocimiento de los subcontratistas y de las partidas o la parte de ellas que se hayan externalizado en cadena. | Atlassian notificará cualquier cambio en las externalizaciones de funciones críticas o importantes (o si hay externalizaciones nuevas) y proporcionará información sobre dichas externalizaciones. Si la entidad tiene alguna inquietud sobre estas externalizaciones, podrá rescindir su contrato con nosotros. |
47. | En el caso de una nueva externalización en cadena, hay que tener en cuenta que esto puede tener un impacto en la situación de riesgo de la externalización y, por lo tanto, en la empresa de externalización. En consecuencia, el análisis de riesgos debe revisarse o repetirse si se produce una nueva externalización en cadena. Esto también se aplica si se conocen defectos o cambios materiales en el servicio en la nube proporcionado por los subcontratistas. | Esta es una consideración del cliente. |
48. | La empresa debe revisar y supervisar la prestación del servicio de forma continua, independientemente de si el servicio en la nube lo proporciona el proveedor de servicios en la nube o sus subcontratistas. | Esta es una consideración del cliente. |
49. | 8. Deberes de información |
|
50. | Se deben acordar disposiciones que garanticen que el proveedor de servicios en la nube informe a la empresa supervisada sobre los desarrollos que puedan afectar negativamente a la prestación ordenada de las partidas externalizadas. Esto incluye, por ejemplo, informar sobre cualquier interrupción en la prestación del servicio en la nube. Así se garantiza que la empresa pueda supervisar adecuadamente la partida externalizada. | Publicamos novedades en cuanto a disponibilidad de servicios en https://status.atlassian.com/ y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos. |
51. | El proveedor de servicios en la nube debe informar inmediatamente a la empresa supervisada de cualquier circunstancia que pueda poner en peligro la seguridad de los datos de la empresa supervisada que debe procesar el proveedor de servicios en la nube, por ejemplo, como resultado de actuaciones de terceros (como embargos o confiscaciones), procedimientos de insolvencia o de concurso de acreedores u otros acontecimientos. | Además de los compromisos a los que se hace referencia en la fila 50 anterior, nos comprometemos a informar a los clientes de los incidentes de seguridad en nuestro Anexo sobre el tratamiento de datos. |
52. | Debe garantizarse que el proveedor de servicios en la nube informe adecuadamente y con antelación a la empresa supervisada en caso de que vaya a realizar cambios relevantes en el servicio en la nube. Las descripciones de los servicios y cualquier cambio que se haga en ellos deben proporcionarse o notificarse a la empresa supervisada por escrito. Debe garantizarse que la empresa supervisada esté debidamente informada, en la medida en que lo permita la ley, si un tercero presenta una solicitud/demanda de entrega de datos de la empresa supervisada. | Publicamos nuestra hoja de ruta de productos de Cloud, que informa a los clientes de cambios importantes en los productos de Cloud cubiertos |
53. | 9. Aviso de legislación aplicable |
|
54. | Si se acuerda una cláusula de elección de ley y se decide que la legislación aplicable no sea la alemana, deberá escogerse la legislación de un país de la Unión Europea o del Espacio Económico Europeo como ley que regule el acuerdo. | La legislación aplicable predeterminada para el contrato de cliente de Atlassian es la ley de California. Contacta con nuestro equipo de ventas Enterprise si quieres más información. |
1El término "externalización material" que se utiliza en la Guía de BaFin equivale al término "externalización crítica o significativa" que se utiliza en las directrices de la ABE.